要提高 ESXi 主机的安全性,可以将其置于锁定模式。在锁定模式下,默认情况下,操作必须通过 vCenter Server 执行。

正常锁定模式和严格锁定模式

在 vSphere 6.0 及更高版本中,可以选择正常锁定模式或严格锁定模式。

正常锁定模式
在正常锁定模式下,DCUI 服务保持活动状态。如果失去了与 vCenter Server 系统的连接且无法通过 vSphere Client 进行访问,则特权帐户可以登录到 ESXi 主机的直接控制台界面并退出锁定模式。只有以下帐户可以访问直接控制台用户界面:
  • 锁定模式下“例外用户”列表中对主机具有管理员特权的帐户。“例外用户”列表专为执行特殊任务的服务帐户提供。将 ESXi 管理员添加到此列表违背了锁定模式的初衷。
  • 在主机的 DCUI.Access 高级选项中定义的用户。此选项用于在与 vCenter Server 的连接断开时紧急访问直接控制台界面。这些用户不需要拥有对主机的管理特权。
严格的锁定模式
在严格锁定模式下,DCUI 服务已停止。如果失去了与 vCenter Server 的连接且 vSphere Client 不再可用,则 ESXi 主机将变为不可用,除非启用 ESXi Shell 和 SSH 服务并定义例外用户。如果无法恢复与 vCenter Server 系统的连接,则必须重新安装主机。

锁定模式及 ESXi Shell 和 SSH 服务

严格锁定模式会停止 DCUI 服务。但是,ESXi Shell 和 SSH 服务不受锁定模式影响。要使锁定模式成为有效的安全措施,请确保 ESXi Shell 和 SSH 服务也处于停用状态。默认情况下,这些服务处于停用状态。

在主机处于锁定模式下时,如果“例外用户”列表中的用户拥有对主机的管理员角色,则可以从 ESXi Shell 或通过 SSH 访问主机。即使在严格锁定模式下也可以进行此访问。ESXi Shell 服务和 SSH 服务保持停用状态是最安全的选项。

注: “例外用户”列表针对用于执行特定任务(例如主机备份)的服务帐户提供,而非针对管理员提供。将管理员用户添加到“例外用户”列表违背了锁定模式的初衷。

使用 VMware Host ClientESXi 主机置于正常锁定模式

可以使用 VMware Host Client 进入正常锁定模式。

过程

  1. 右键单击 VMware Host Client 清单中的主机,从下拉菜单中选择锁定模式,然后选择进入正常锁定
    将显示警告消息。
  2. 单击进入正常锁定

使用 VMware Host ClientESXi 主机置于严格锁定模式

可以使用 VMware Host Client 进入严格锁定模式。

过程

  1. 右键单击 VMware Host Client 清单中的主机,从下拉菜单中选择锁定模式,然后选择进入严格锁定
    将显示警告消息。
  2. 单击进入严格锁定

使用 VMware Host Client 退出锁定模式

如果在 ESXi 主机上进入了正常或严格锁定模式,可以使用 VMware Host Client 退出锁定。

过程

  • 右键单击 VMware Host Client 清单中的主机,从下拉菜单中选择锁定模式,然后选择退出锁定

VMware Host Client 中指定锁定模式例外用户

在 vSphere 6.0 及更高版本中,您可以使用 VMware Host Client 将用户添加到“例外用户”列表。主机进入锁定模式时,这些用户不会丢失其权限。可以将备份代理等服务帐户添加到例外用户列表。

例外用户是指具有在本地为 ESXi 主机定义的特权的主机本地用户或 Active Directory 用户。他们不是 Active Directory 组的成员,也不是 vCenter Server 用户。根据其权限,不允许这些用户在主机上执行操作。例如,这意味着只读用户无法在主机上停用锁定模式。
注: 例外用户列表对于执行特定任务(例如主机备份)的服务帐户非常有用,对于管理员则不适用。将管理员用户添加到“例外用户”列表违背了锁定模式的初衷。

过程

  1. VMware Host Client 清单中单击管理,然后单击安全性与用户
  2. 单击锁定模式
  3. 单击添加用户例外,输入用户名,然后单击添加例外
  4. (可选) 从例外用户列表中选择用户名,单击移除用户例外,然后单击确认