要提高 ESXi 主机的安全性,可以将其置于锁定模式。在锁定模式下,默认情况下,操作必须通过 vCenter Server 执行。
正常锁定模式和严格锁定模式
在 vSphere 6.0 及更高版本中,可以选择正常锁定模式或严格锁定模式。
- 正常锁定模式
-
在正常锁定模式下,DCUI 服务保持活动状态。如果失去了与
vCenter Server 系统的连接且无法通过
vSphere Web Client 进行访问,则特权帐户可以登录到
ESXi 主机的直接控制台界面并退出锁定模式。只有以下帐户可以访问直接控制台用户界面:
- 锁定模式下“例外用户”列表中对主机具有管理员特权的帐户。“例外用户”列表专为执行特殊任务的服务帐户提供。将 ESXi 管理员添加到此列表违背了锁定模式的初衷。
- 在主机的 DCUI.Access 高级选项中定义的用户。此选项用于在与 vCenter Server 的连接断开时紧急访问直接控制台界面。这些用户不需要拥有对主机的管理特权。
- 严格的锁定模式
- 在严格锁定模式下,DCUI 服务已停止。如果失去了与 vCenter Server 的连接且 vSphere Web Client 不再可用,则 ESXi 主机将变为不可用,除非启用 ESXi Shell 和 SSH 服务并定义例外用户。如果无法恢复与 vCenter Server 系统的连接,则必须重新安装主机。
锁定模式及 ESXi Shell 和 SSH 服务
严格锁定模式会停止 DCUI 服务。但是,ESXi Shell 和 SSH 服务不受锁定模式影响。要使锁定模式成为有效的安全措施,请确保 ESXi Shell 和 SSH 服务也处于禁用状态。默认情况下,这些服务处于禁用状态。
在主机处于锁定模式下时,如果“例外用户”列表中的用户拥有对主机的管理员角色,则可以从 ESXi Shell 或通过 SSH 访问主机。即使在严格锁定模式下也可以进行此访问。ESXi Shell 服务和 SSH 服务保持禁用状态是最安全的选项。
注: “例外用户”列表针对用于执行特定任务(例如主机备份)的服务帐户提供,而非针对管理员提供。将管理员用户添加到“例外用户”列表违背了锁定模式的初衷。