使用 VMware Host Client,可以管理高级主机设置,为主机分配许可证或移除主机的许可证,配置主机服务的启动和停止策略以及管理主机的时间和日期配置。

VMware Host Client 中管理高级设置

使用 VMware Host Client 可以更改主机设置。

小心: 不支持更改高级选项,除非 VMware 技术支持或知识库文章指示您这样做。在其他所有情况下,均不支持更改这些选项。大多数情况下,使用默认设置即可获得最佳结果。

过程

  1. VMware Host Client 清单中单击管理,然后单击系统
  2. 单击高级设置
  3. 右键单击列表中的相应项,然后从下拉菜单中选择编辑选项
    此时将显示 编辑选项对话框。
  4. 编辑值,然后单击保存以应用更改。
  5. (可选) 右键单击列表中的相应项,然后选择重置为默认值恢复为该项的原始设置。

为直接控制台用户界面和 VMware Host Client 创建初始欢迎消息

使用 VMware Host Client,可以创建一条欢迎消息,该消息将显示在直接控制台用户界面 (DCUI) 的初始屏幕上以及 VMware Host Client 的登录窗口上。还可以创建在用户登录到 VMware Host Client 后显示的欢迎消息,并决定是否显示该欢迎消息。

过程

  1. 单击 VMware Host Client 清单中的管理,然后单击高级设置
    选项 操作
    创建登录到 DCUI 和 VMware Host Client 之前显示的欢迎消息
    1. 搜索文本框中输入 Annotations.WelcomeMessage,然后单击搜索图标。
    2. 右键单击 Annotations.WelcomeMessage,然后从下拉菜单中选择编辑选项

      此时将打开编辑选项对话框。

    3. 新值文本框中,输入欢迎消息。

      要设置默认消息,请将新值文本框留空。
    创建登录到 VMware Host Client 后显示的欢迎消息
    1. 搜索文本框中输入 UserVars.HostClientWelcomeMessage,然后单击搜索图标。
    2. 右键单击 UserVars.HostClientWelcomeMessage,然后从下拉菜单中选择编辑选项

      此时将打开编辑选项对话框。

    3. 新值文本框中,输入欢迎消息。

      要设置默认消息,请将新值文本框留空。
    登录到 VMware Host Client 后激活或停用欢迎消息的显示
    1. 搜索文本框中输入 UserVars.HostClientEnableMOTDNotification,然后单击搜索图标。
    2. 右键单击 UserVars.HostClientEnableMOTDNotification,然后从下拉菜单中选择编辑选项

      此时将打开编辑选项对话框。

    3. 新值文本框中,输入新值。

      值为零 (0) 表示将停用欢迎消息的显示。

      值为一 (1) 表示将激活欢迎消息的显示。
  2. 单击保存
  3. (可选) 要将密钥设置重置为默认值,请右键单击列表中的相应密钥,然后选择重置为默认值

配置 VMware Host Client 用户界面会话超时

VMware Host Client 中,用户界面会话每 15 分钟自动超时,然后必须重新登录到 VMware Host Client

可以通过更改高级配置参数来增加默认非活动超时。默认值为 900 秒。

过程

  • 配置用户界面会话超时。
    选项 操作
    VMware Host Client 高级设置
    1. 单击 VMware Host Client 清单中的管理,然后单击高级设置
    2. 搜索文本框中输入 UserVars.HostClientSessionTimeout,然后单击搜索图标。
    3. 右键单击 UserVars.HostClientSessionTimeout,然后从下拉菜单中选择编辑选项

      此时将打开编辑选项对话框。

    4. 新值文本框中,以秒为单位输入超时设置。
      注: 值为零 (0) 表示停用超时。
    5. 单击保存
    6. (可选) 要将密钥设置重置为默认值,请右键单击列表中的相应密钥,然后选择重置为默认值
    从“用户设置”下拉菜单中
    1. 单击 VMware Host Client 窗口顶部的用户名,然后选择设置 > 应用程序超时 >
    2. 要指定非活动超时,请选择时间。
    3. 要停用非活动超时,请选择Off

在 VMware Host Client 中配置 SOAP 会话超时

VMware Host Client 中,可以配置 SOAP 会话超时。

过程

  1. 单击 VMware Host Client 清单中的管理,然后单击高级设置
  2. 搜索文本框中输入 Config.HostAgent.vmacore.soap.sessionTimeout,然后单击搜索图标。
  3. 右键单击 Config.HostAgent.vmacore.soap.sessionTimeout,然后从下拉菜单中选择编辑选项
    此时将打开 编辑选项对话框。
  4. 新值文本框中,以秒为单位输入超时设置。
    值为零 (0) 表示停用超时。
  5. 单击保存
  6. (可选) 要将密钥设置重置为默认值,请右键单击列表中的相应密钥,然后选择重置为默认值

VMware Host Client 中配置密码和帐户锁定策略

对于 ESXi 主机,必须使用符合预定义要求的密码。可以更改所需密码长度、字符类别要求,或者允许使用密码短语,所有这些设置都可使用 Security.PasswordQualityControl 高级选项实现。还可以使用 Security.PasswordHistory 高级选项设置要为每个用户记住的密码数。此设置可防止重复或类似的密码。使用 Security.PasswordMaxDays 高级选项,可以设置两次更改密码之间的最大天数。

注: 更改默认密码设置后,始终执行其他测试。

如果尝试使用不正确的凭据登录,帐户锁定策略将指定系统锁定帐户的时间和时长。

ESXi 密码

ESXi 强制执行密码访问要求。

  • 默认情况下,在创建密码时,必须包括以下四类字符中任何三类字符的组合:小写字母、大写字母、数字和特殊字符(如下划线或短划线)。
  • 默认情况下,密码长度必须至少为 7 个字符,最多 40 个字符。
  • 密码不得包含字典单词或部分字典单词。
  • 密码不得包含用户名或部分用户名。
注:

密码开头的大写字母不算入使用的字符类别数。密码结尾的数字不算入使用的字符类别数。

ESXi 密码示例

以下候选密码说明了选项设置如下时可以使用的密码:

retry=3 min=disabled,disabled,disabled,7,7

使用此设置时,如果新密码不够强或者两次未正确输入密码,则系统最多会提示用户输入三次 (retry=3)。不允许使用包含一种或两种类别字符的密码,也不允许使用密码短语,因为前三项已停用。使用三种和四种字符类别的密码需要 7 个字符。

候选密码符合以下密码要求:

  • xQaTEhb! :包含由三类字符组成的八个字符。
  • xQaT3#A:包含由四类字符组成的七个字符。

所选的以下密码不符合密码要求:

  • Xqat3hi:以大写字符开头,将有效字符类别数减少为两种。需要的最少字符类别数为三种。
  • xQaTEh2:以数字结尾,将有效字符种类数减少到两种。需要的最少字符类别数为三种。
密码质量控制

可以使用 Security.PasswordQualityControl 高级选项控制密码质量。

Security.PasswordQualityControl 由遵循以下模式的多个设置组成:

retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny
密码质量控制设置 描述 默认
retry=N 在密码不正确或不够强时,用户必须提供新密码的次数。 retry=3
min=N0,N1,N2,N3,N4 字符类别和密码短语最小长度要求。
  • N0 是一种字符类别的最小密码长度。
  • N1 是两种字符类别的最小密码长度。
  • N2 是密码短语的最小长度。
  • N3 是三种字符类别的最小长度。
  • N4 是四种字符类别的最小长度。
可以使用 disabled 禁止使用具有指定字符类别数的密码。		 min=disabled,disabled,disabled,7,7
max=N 允许的最大密码长度。 max=40
passphrase=N 密码短语所需的单词数。为确保识别 passphrase,请勿将 min 中的 N2 设置为 disabled passphrase=3
similar=permit|deny 指示是否允许密码与旧密码类似。要使用此设置,请确保将 Security.PasswordHistory 选项设置为非零值。

从 vSphere 8.0 Update 1 开始,默认值为 5。

similar=deny
ESXi 密码短语

可以使用密码短语代替密码。默认情况下,密码短语处于停用状态。可以使用 Security.PasswordQualityControl 高级选项更改默认设置。

例如,您可以将该选项更改为以下值。

retry=3 min=disabled,disabled,16,7,7

此示例允许使用至少包含 16 个字符的密码短语。密码短语必须至少包含 3 个以空格分隔的单词。

密码历史记录和轮换策略示例

要记住 6 个历史密码,请将 Security.PasswordHistory 选项设置为 6。

要强制执行 90 天密码轮换策略,请将 Security.PasswordMaxDays 选项设置为 90。

ESXi 帐户锁定策略

在连续尝试预设次数失败后,用户将被锁定。默认情况下,用户在 3 分钟内连续 5 次尝试失败后将被锁定,锁定的帐户在 15 分钟后将自动解锁。可以使用 Security.AccountLockFailuresSecurity.AccountUnlockTime 高级选项更改允许的最大失败尝试次数和锁定用户帐户的时长。

要配置管理员密码和帐户锁定行为,请执行以下步骤。

过程

  1. 单击 VMware Host Client 清单中的管理,然后单击高级设置

    选项

    操作

    配置所需密码长度、字符类别要求或允许使用密码短语

    1. 搜索文本框中输入 Security.PasswordQualityControl,然后单击搜索图标。

    2. 右键单击 Security.PasswordQualityControl,然后从下拉菜单中选择编辑选项

    配置要为每个用户记住的密码数

    1. 搜索文本框中输入 Security.PasswordHistory,然后单击搜索图标。

    2. 右键单击 Security.PasswordHistory,然后从下拉菜单中选择编辑选项

      注: 零 (0) 表示停用密码历史记录。

    配置两次更改密码之间的最大天数。

    1. 搜索文本框中输入 Security.PasswordMaxDays,然后单击搜索图标。

    2. 右键单击 Security.PasswordMaxDays,然后从下拉菜单中选择编辑选项

    配置锁定前允许的失败登录尝试次数

    1. 搜索文本框中输入 Security.AccountLockFailures,然后单击搜索图标。

    2. 右键单击 Security.AccountLockFailures,然后从下拉菜单中选择编辑选项

      注:

      零 (0) 表示停用帐户锁定。

    配置锁定用户帐户的时长

    1. 搜索文本框中输入 Security.AccountUnlockTime,然后单击搜索图标。

    2. 右键单击 Security.AccountUnlockTime,然后从下拉菜单中选择编辑选项

    此时将打开编辑选项对话框。

  2. 新值文本框中,输入新设置。
  3. 单击保存
  4. (可选) 要将密钥设置重置为默认值,请右键单击列表中的相应密钥,然后选择重置为默认值

VMware Host Client 中配置 Syslog

要配置 syslog 服务,可以使用 VMware Host Client

过程

  1. 单击 VMware Host Client 清单中的管理,然后单击高级设置
  2. 搜索文本框中,输入要更改的设置的名称,然后单击搜索图标。
    选项 描述
    Syslog.global.LogHost 将 syslog 消息转发到的远程主机,以及远程主机接收 syslog 消息的端口。可以包括协议和端口,例如 protocol://hostName1:portprotocol 可以是 udp、tcp 或 ssl。对于 UDP,只能使用端口 514。ssl 协议使用 TLS 1.2。例如:ssl://hostName1:1514port 的值可以是介于 1 和 65535 之间的任何十进制数字。

    虽然对接收 syslog 消息的远程主机数量没有硬性限制,但建议将远程主机的数量保持在 5 个或 5 个以下。
    Syslog.global.logCheckSSLCerts 登录到远程主机时强制检查 SSL 证书。
    Syslog.global.defaultRotate 要保留的存档的最大数目。可以在全局范围内设置该数目,也可以为单个子记录器设置该数目。
    Syslog.global.defaultSize 在系统轮换日志之前,日志的默认大小 (KB)。可以在全局范围内设置该数目,也可以为单个子记录器设置该数目。
    Syslog.global.LogDir 存储日志的目录。该目录可以位于挂载的 NFS 或 VMFS 卷中。只有本地文件系统中的 /scratch 目录在重新引导后仍然存在。将目录指定为 [数据存储名称] 文件路径,其中,路径是相对于支持数据存储卷的 root 目录的路径。例如,路径 [storage1] /systemlogs 将映射为路径 /vmfs/volumes/storage1/systemlogs
    Syslog.global.logDirUnique 选择此选项将使用 ESXi 主机的名称在 Syslog.global.LogDir 指定的目录下创建子目录。如果多个 ESXi 主机使用同一个 NFS 目录,则唯一的目录非常有用。
  3. 右键单击设置名称,然后从下拉菜单中选择编辑选项
    此时将打开 编辑选项对话框。
  4. 要在登录到远程主机时执行 SSL 证书检查,请从新值中单击 True
  5. 单击保存
  6. (可选) 要将密钥设置重置为默认值,请右键单击列表中的相应密钥,然后选择重置为默认值

配置高级 TLS/SSL 密钥选项

可以配置用于加密与 ESXi 主机通信的安全协议和加密算法。

有关详细信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/79476

传输层安全 (TLS) 密钥使用 TLS 协议保护与主机的通信。首次引导时,ESXi 主机会以 2048 位 RSA 密钥的形式生成 TLS 密钥。当前,ESXi 不为 TLS 自动生成 ECDSA 密钥。TLS 私钥不由管理员进行维护。

SSH 密钥使用 SSH 协议保护与 ESXi 主机的通信。首次引导时,系统会以 2048 位 RSA 密钥的形式生成 SSH 密钥。默认情况下,SSH 服务器处于取消激活状态。SSH 访问主要用于故障排除目的。SSH 密钥不由管理员进行维护。通过 SSH 登录需要相当于完全主机控制的管理特权。要启用 SSH 访问,请参见在 VMware Host Client 中启用安全 Shell (SSH)

可以配置以下 ESXi 主机安全密钥设置。
注: UserVars.ESXiVPsAllowedCiphers 安全密钥设置仅影响 I/O 筛选器。
默认 描述
UserVars.ESXiVPsAllowedCiphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES 默认密码控制字符串。
Config.HostAgent.ssl.keyStore.allowAny False 可以将任何证书添加到 ESXi CA 信任库。
Config.HostAgent.ssl.keyStore.allowSelfSigned False 可以将非 CA 自签名证书添加到 ESXi CA 信任库,即未设置 CA 位的证书。
Config.HostAgent.ssl.keyStore.discardLeaf True 放弃添加到 ESXi CA 信任库的分支证书。

要配置 ESXi 安全密钥设置,请执行以下操作:

过程

  1. 单击 VMware Host Client 清单中的管理,然后单击高级设置
  2. 搜索文本框中输入安全密钥,然后单击搜索图标。
  3. 右键单击安全密钥,然后从下拉菜单中选择编辑选项
    此时将打开 编辑选项对话框。
  4. 新值字段中,输入新值,然后单击保存
  5. (可选) 要将密钥设置重置为默认值,请右键单击列表中的相应密钥,然后选择重置为默认值

配置用户环境内存置零

VMware Host Client 中,可以使用高级选项 Mem.MemEagerZero 确定如何为虚拟机和用户空间应用程序将页置零。

要在分配给虚拟机和用户空间应用程序时将所有页置零,请将 Mem.MemEagerZero 设置为一 (1)。如果未重用内存,此设置可防止将虚拟机或用户空间应用程序中的信息公开给其他客户端,同时在内存中保留以前的内容。

如果将 Mem.MemEagerZero 设置为 1,用户空间应用程序退出时会将页置零。对于虚拟机,会在以下情况下将此类页置零:
  • 虚拟机已关闭电源。
  • 已迁移虚拟机页。
  • ESXi 主机回收虚拟机内存。
注: 对于虚拟机,可以通过将 sched.mem.eagerZero 高级选项设置为 TRUE 来实现此行为。

有关设置高级虚拟机选项的信息,请参见《vSphere 资源管理》文档。

要配置用户环境内存置零,请执行以下步骤。

过程

  1. 单击 VMware Host Client 清单中的管理,然后单击高级设置
  2. 搜索文本框中输入 Mem.MemEagerZero,然后单击搜索图标。
  3. 右键单击 Mem.MemEagerZero,然后从下拉菜单中选择编辑选项
    此时将打开 编辑选项对话框。
  4. 新值文本框中,输入新值。

    默认值为零 (0)。

  5. 单击保存
  6. (可选) 要将密钥设置重置为默认值,请右键单击列表中的相应密钥,然后选择重置为默认值

VMware Host Client 中更改自动启动配置

配置 ESXi 主机的自动启动选项,以设置主机的启动和停止时间。

过程

  1. VMware Host Client 清单中单击管理,然后单击系统
  2. 单击自动启动
  3. 单击编辑设置
  4. 选择以启用更改自动启动配置。
    选项 描述
    启动延迟 启动 ESXi 主机后,将开始打开配置为自动启动的虚拟机的电源。ESXi 主机打开第一个虚拟机的电源后,该主机会等待指定的延迟时间,然后打开下一个虚拟机的电源。
    停止延迟 停止延迟是指 ESXi 主机等待关机命令完成的最长时间。关闭这些虚拟机的顺序与其启动顺序相反。当 ESXi 主机在您指定的时间内关闭第一个虚拟机后,它将关闭下一个虚拟机。如果某个虚拟机未在指定的延迟时间内关闭,则主机将运行关闭电源命令,然后开始关闭下一个虚拟机。在所有虚拟机都关闭后,ESXi 主机才会关闭。
    停止操作 在主机关机时,选择适用于主机上虚拟机的关机操作。
    • 系统默认值
    • 关闭电源
    • 挂起
    • 关机
    等待检测信号 选择以启用等待检测信号选项。如果虚拟机的客户机操作系统安装了 VMware Tools,则可以使用此选项。ESXi 主机打开第一个虚拟机的电源后,会立即打开下一个虚拟机的电源。虚拟机收到第一个检测信号后,虚拟机打开电源的顺序继续。
    如果将延迟选项设置为 -1,系统将使用默认选项。
  5. 单击保存

VMware Host Client 中编辑 ESXi 主机的时间配置

通过使用 VMware Host Client,您可以手动配置主机的时间设置,也可以将主机的时间和日期与 NTP 或 PTP 服务器同步。NTP 提供以毫秒为单位的时间精度,PTP 则会保持以微秒为单位的时间精度。

主机上的 NTP 服务会定期从 NTP 服务器获取时间和日期。不管选定何种 NTP 服务启动策略,您都可以随时使用启动停止重新启动按钮更改主机上 NTP 服务的状态。

PTP 将为网络中的虚拟机置备精确的时间同步。要在任何时候更改主机上的 PTP 服务,可以使用启动停止重新启动按钮。启动或停止 PTP 服务会自动激活或停用 PTP。要在手动激活或停用 PTP 时应用更改,请启动或停止 PTP 服务。

有关服务的详细信息,请参见在 VMware Host Client 中管理服务

注: NTP 和 PTP 服务无法同时运行。

过程

  1. 单击 VMware Host Client 清单中的管理
  2. 系统选项卡上,单击时间和日期
  3. 设置主机的时间和日期。
    选项 操作
    在此主机上手动配置日期和时间
    1. 单击编辑 NTP 设置

      此时将显示编辑 NTP 设置对话框。

    2. 手动设置主机的时间和日期。
    3. 单击保存
    使用网络时间协议 (启用 NTP 客户端)
    1. 单击编辑 NTP 设置

      此时将显示编辑 NTP 设置对话框。

    2. 选择使用网络时间协议单选按钮。
    3. NTP 服务器文本框中,输入您要使用的 NTP 服务器的 IP 地址或主机名。
    4. NTP 服务启动策略下拉菜单中,选择用于为主机启动和停止 NTP 服务的选项。
      • 根据端口使用情况启动和停止。在激活或停用 NTP 客户端端口以访问主机的安全配置文件时,启动或停止 NTP 服务。
      • 与主机一起启动和停止。在打开和关闭主机电源时启动和停止 NTP 服务。
      • 手动启动和停止。启用 NTP 服务的手动启动和停止。如果选择手动启动和停止策略,那么只有在您使用相应 UI 控件时 NTP 服务的状态才会更改。
    5. 单击保存
    使用精度时间协议(启用 PTP 客户端)
    1. 单击编辑 PTP 设置
    2. 选择启用复选框。
    3. 网络接口下拉菜单中,选择网络接口。

      将显示 IPv4 和子网掩码。

    4. 单击保存