ESXi Shell 提供基本维护命令,且默认情况下,在 ESXi 主机上处于停用状态。如有必要,可以激活对 shell 的本地或远程访问。为了降低未授权访问风险,请激活 ESXi Shell 仅用于故障排除。

ESXi Shell 不受锁定模式影响。即使主机在锁定模式下运行,您仍然可以登录到 ESXi Shell(如果已激活)。

适用服务如下所示。

ESXi Shell
激活此服务以本地访问 ESXi Shell
SSH
激活此服务以使用 SSH 远程访问 ESXi Shell

Root 用户和具有管理员角色的用户可以访问 ESXi Shell。属于 Active Directory 组 ESX Admins 的用户将自动分配有管理员角色。默认情况下,只有 root 用户才能使用 ESXi Shell 执行系统命令(例如 vmware -v)。

注: 只有在真正需要访问 ESXi Shell 时才激活它。

使用 vSphere Client 设置 ESXi Shell 的闲置超时

如果您在主机上启用了 ESXi Shell,但却忘记了注销会话,则闲置会话将无限期保持连接状态。打开的连接会提高他人获得主机访问特权的可能性。可以通过为闲置会话设置超时来防止出现此问题。

闲置超时是指用户从闲置交互式会话注销之前可以经过的时间量。您可以从直接控制台界面 (DCUI) 或 vSphere Client 中控制本地和远程 (SSH) 会话的时间量。

过程

  1. vSphere Client 清单中,浏览到主机。
  2. 单击配置
  3. 在“系统”下,选择高级系统设置
  4. 单击编辑,选择 UserVars.ESXiShellInteractiveTimeOut,然后输入超时设置。
    值为零 (0) 表示停用空闲时间。
  5. 重新启动 ESXi Shell 服务和 SSH 服务,以使此超时生效。
    1. 转到系统 > 服务
    2. 依次选择 ESXi Shell 和 SSH,然后单击重新启动

结果

如果该会话闲置,则用户将在超时期限过后注销。

使用 vSphere Client 设置 ESXi Shell 的可用性超时

ESXi Shell 默认处于停用状态。您可设置 ESXi Shell 的可用性超时,提高激活 shell 时的安全性。

可用性超时设置是激活 ESXi Shell 后且必须登录前可以经过的时间量。超过超时期限之后,该服务会停用并且不允许用户登录。

过程

  1. vSphere Client 清单中,浏览到主机。
  2. 单击配置
  3. 在“系统”下,选择高级系统设置
  4. 单击编辑,然后选择 UserVars.ESXiShellTimeOut
  5. 输入闲置超时设置。
  6. 单击确定
  7. 重新启动 ESXi Shell 服务和 SSH 服务,以使此超时生效。
    1. 转到系统 > 服务
    2. 依次选择 ESXi Shell 和 SSH,然后单击重新启动

结果

如果在经过超时期限后您已登录,您的会话将持续。但是,您注销或您的会话终止后,用户将无法登录。

使用 DCUI 设置 ESXi Shell 的可用性超时或闲置超时

ESXi Shell 默认处于停用状态。要提高激活 Shell 时的安全性,可以设置可用性超时或闲置超时,也可以同时设置两者。

这两种超时类型适用于不同的情况。
ESXi Shell 闲置超时
如果用户在主机上激活了 ESXi Shell,但却忘记了注销会话,则闲置会话将无限期保持连接状态。打开的连接会提高他人获得主机访问特权的可能性。您可以通过为闲置会话设置超时来防止出现此情况。
ESXi Shell 可用性超时
可用性超时决定最初激活 Shell 之后到登录之前可经过的时间量。如果等待较长时间,则会停用服务,并且您无法登录到 ESXi Shell

前提条件

激活 ESXi Shell。请参见使用 DCUI 激活对 ESXi Shell 的访问

过程

  1. 登录到 ESXi Shell
  2. 从“故障排除模式选项”菜单中,选择修改 ESXi Shell 和 SSH 超时,然后按 Enter。
  3. 输入闲置超时(以秒为单位)或可用性超时。
  4. 按 Enter 并按 Esc 直到返回到直接控制台用户界面的主菜单。
  5. 单击确定
  6. 重新启动 ESXi Shell 服务和 SSH 服务,以使此超时生效。
    1. vSphere Client 中,选择主机,然后转到配置 > 系统 > 服务
    2. 依次选择 ESXi Shell 和 SSH,然后单击重新启动

结果

  • 如果设置闲置超时,用户将在会话闲置了指定的时间后注销。
  • 如果设置可用性超时,并且您未在该超时经过之前登录,则会再次停用登录。

使用 vSphere Client 激活对 ESXi Shell 的访问

默认情况下,ESXi Shell 和 SSH 接口处于停用状态。除非要执行故障排除或支持活动,否则这些接口应保持停用状态。对于日常活动,请使用 vSphere Client,使活动受制于基于角色的访问控制和现代访问控制方法。

注: 使用 vSphere Client、远程命令行工具(ESXCLI 和 PowerCLI)和已发布的 API 来访问主机。不要激活使用 SSH 远程访问主机的功能,特殊要求除外。

前提条件

如果要使用授权 SSH 密钥,可以上载该密钥。请参见ESXi SSH 密钥

过程

  1. 在清单中,浏览到主机。
  2. 单击配置,然后单击“系统”下的服务
  3. 管理 ESXi、SSH 或直接控制台 UI 服务。
    1. 在“服务”窗格中,选择服务。
    2. 单击编辑启动策略,然后选择手动启动和停止启动策略。
    3. 要激活服务,请单击启动
    如果选择 手动启动和停止,则重新引导主机时不会启动服务。如果要在重新引导主机时启动服务,请选择 与主机一起启动和停止

下一步做什么

设置 ESXi Shell 的可用性超时和闲置超时。请参见使用 vSphere Client 设置 ESXi Shell 的可用性超时使用 vSphere Client 设置 ESXi Shell 的闲置超时

使用 DCUI 激活对 ESXi Shell 的访问

通过直接控制台用户界面 (DCUI),您可以使用基于文本的菜单在本地与主机进行交互。评估您的环境安全要求是否支持激活直接控制台用户界面。

可以使用直接控制台用户界面 (DCUI) 激活对 ESXi Shell 的本地和远程访问。可以从连接到主机的物理控制台访问直接控制台用户界面。主机重新引导并加载 ESXi 后,按 F2 以登录到 DCUI。输入您在安装 ESXi 时创建的凭据。
注: 使用直接控制台用户界面、 vSphere Client、ESXCLI 或其他管理工具对主机进行的更改,会每隔一小时或在正常关机时提交到永久存储。如果在提交更改之前主机出现故障,则可能会丢失这些更改。

过程

  1. 从直接控制台用户界面中,按 F2 访问“系统自定义”菜单。
  2. 选择故障排除选项,然后按 Enter。
  3. 从“故障排除模式选项”菜单中,选择要激活的服务。
    • 启用 ESXi Shell
    • 启用 SSH
  4. 按 Enter 即可激活服务。
  5. 按 Esc 直到返回到直接控制台用户界面的主菜单。

下一步做什么

设置 ESXi Shell 的可用性超时和闲置超时。请参见使用 DCUI 设置 ESXi Shell 的可用性超时或闲置超时

登录 ESXi Shell 以进行故障排除

使用 vSphere Client、ESXCLI 或 VMware PowerCLI 执行 ESXi 配置任务。登录 ESXi Shell(以前称为技术支持模式或 TSM)仅进行故障排除。

过程

  1. 使用以下方法之一登录 ESXi Shell
    • 如果可以直接访问主机,请在计算机的物理控制台上按 Alt+F1 打开登录页面。
    • 如果要远程连接到主机,请使用 SSH 或其他远程控制台连接在主机上启动会话。
  2. 输入能够由主机识别的用户名和密码。