ESXi 虚拟化管理程序安装时即受到安全保护。通过使用锁定模式和其他内置的功能,可以进一步保护 ESXi 主机。为了保持一致性,您可以设置引用主机,并将所有主机与引用主机的主机配置文件保持同步。也可以通过执行脚本式管理保护您的环境,以便确保将更改应用到所有主机。

使用本指南中详细介绍的以下功能,可增强对 vCenter Server 管理的 ESXi 主机的保护。另请参见《VMware vSphere Hypervisor 的安全性》白皮书。

限制 ESXi 访问

默认情况下,ESXi Shell和 SSH 服务不会运行,只有 root 用户才能登录到直接控制台用户界面 (DCUI)。如果决定启用 ESXi 或 SSH 访问,则可以设置超时以限制未经授权的访问风险。

可以访问 ESXi 主机的用户必须具有管理主机的权限。您可以从管理主机的 vCenter Server 系统中设置对主机对象的权限。

使用指定用户和最小特权

默认情况下,root 用户可以执行许多任务。您可以从 vCenter Server 权限管理界面将不同的主机配置特权应用于不同的指定用户,而不是允许管理员使用 root 用户帐户登录到 ESXi 主机。您可以在 vSphere Web Client 中创建自定义角色、将特权分配给该角色,并将该角色与指定用户或指定用户组以及 ESXi 主机对象关联。

如果在主机上直接管理用户,则角色管理选项受限制。请参见vSphere 单台主机管理 - VMware Host Client文档。

尽可能减少打开的 ESXi 防火墙端口数

默认情况下,只有启动相应的服务时,才会打开 ESXi 主机上的防火墙端口。可以使用 vSphere Web Client 或 ESXCLI 或 PowerCLI 命令检查和管理防火墙端口状态。

请参见ESXi 防火墙配置

自动化 ESXi 主机管理

由于使同一数据中心内的不同主机保持同步通常十分重要,因此请使用脚本式安装或 vSphere Auto Deploy 置备主机。您可以使用脚本管理主机。除脚本式管理之外,还可以使用主机配置文件。您可以设置引用主机、导出主机配置文件并将主机配置文件应用到所有主机。可以直接应用主机配置文件,也可以在使用 Auto Deploy 置备时应用主机配置文件。

有关 vSphere Auto Deploy 的信息,请参见使用脚本管理主机配置设置vSphere 安装和设置文档。

使用锁定模式

在锁定模式下,默认只能通过 vCenter Server 访问 ESXi 主机。从 vSphere 6.0 开始,您可以选择严格锁定模式或正常锁定模式。可以定义异常用户以允许直接访问服务帐户(如备份代理)。

请参见锁定模式

检查 VIB 软件包完整性

每个 VIB 软件包均有关联的接受级别。只有在接受级别与主机的接受级别相同或更高时,才能将 VIB 添加到 ESXi 主机。除非明确更改主机的接受级别,否则无法将由社区支持或合作伙伴支持的 VIB 添加到主机。

请参见管理主机和 VIB 的接受级别

管理 ESXi 证书

在 vSphere 6.0 及更高版本中,默认情况下,VMware Certificate Authority (VMCA) 将使用以 VMCA 作为根证书颁发机构的签名证书置备每个 ESXi 主机。如果公司策略有相关要求,则可以将现有证书替换为第三方或企业 CA 签名的证书。

请参见ESXi 主机的证书管理

智能卡身份验证

从 vSphere 6.0 开始,ESXi 提供了智能卡身份验证选项,而不是用户名和密码身份验证。

请参见配置 ESXi 的智能卡身份验证

ESXi 帐户锁定

从 vSphere 6.0 开始,系统将支持对通过 SSH 和通过 vSphere Web Services SDK 进行的访问进行帐户锁定。默认情况下,允许最多 10 次尝试,当这些尝试均失败后,才会锁定帐户。默认情况下,帐户将在两分钟后解锁。直接控制台界面 (DCUI) 和 ESXi Shell 不支持帐户锁定。

请参见ESXi 密码和帐户锁定

各独立主机需要考虑的安全注意事项相似,尽管管理任务可能有所不同。请参见和vSphere 单台主机管理 - VMware Host Client文档。