要提高ESXi主机的安全性,可以将其置于锁定模式。在锁定模式下,默认情况下,操作必须通过 vCenter Server执行。
可以选择正常锁定模式或严格锁定模式,这两种模式提供不同的锁定程度。还可以使用“例外用户”列表。主机进入锁定模式时,例外用户不会丢失其特权。使用“异常用户”列表可添加在主机处于锁定模式时需要直接访问主机的第三方解决方案和外部应用程序帐户。
锁定模式行为
在锁定模式下,一些服务会被停用,一些服务只允许特定用户访问。
对不同用户可用的锁定模式服务
当主机正在运行时,可用服务取决于锁定模式是否激活以及锁定模式的类型。
- 在严格锁定模式和正常锁定模式下,特权用户可以通过 vCenter Server、通过 vSphere Client 或使用 vSphere Web Services SDK 访问主机。
- 严格锁定模式和正常锁定模式下的直接控制台界面行为有所不同。
- 在严格锁定模式下,直接控制台用户界面 (DCUI) 服务处于停用状态。
- 在正常锁定模式下,“例外用户”列表中具有管理员特权的帐户可以访问 DCUI。此外,
DCUI.Access高级系统设置中指定的所有用户也可以访问 DCUI。
- 如果已激活 ESXi Shell 或 SSH 且将主机置于锁定模式,则“例外用户”列表中具有管理员特权的帐户可以使用这些服务。对于所有其他用户,将停用 ESXi Shell 或 SSH 访问。不具备管理员特权的用户的 ESXi 或 SSH 会话将关闭。
严格锁定模式和正常锁定模式下的所有访问均会记入日志。
| 服务 | 正常模式 | 正常锁定模式 | 严格的锁定模式 |
|---|---|---|---|
| vSphere Web Services API | 所有用户,基于权限 | vCenter (vpxuser) 异常用户,基于权限 vCloud Director(vslauser,如果可用) |
vCenter (vpxuser) 异常用户,基于权限 vCloud Director(vslauser,如果可用) |
| CIM 提供程序 | 具有主机管理员特权的用户 | vCenter (vpxuser) Exception 用户,基于特权 vCloud Director(vslauser,如果可用) |
vCenter (vpxuser) Exception 用户,基于特权 vCloud Director(vslauser,如果可用) |
| 直接控制台 UI (DCUI) | 拥有主机管理员特权的用户和 DCUI.Access 高级系统设置中指定的用户 |
|
DCUI 服务停止。 |
| ESXi Shell(如果已激活)和 SSH(如果已激活) | 具有主机管理员特权的用户 |
|
具有主机管理员特权的异常用户 |
在激活锁定模式时登录到 ESXi Shell 的用户的锁定模式行为
在激活锁定模式之前,用户可以登录 ESXi Shell 或通过 SSH 访问主机。在这种情况下,“例外用户”列表中具有主机管理员特权的用户仍保持登录状态。所有其他用户的会话将关闭。终止在正常锁定模式和严格锁定模式下均适用。
如何停用锁定模式
- 从 vSphere Client 中
- 用户可以从 vSphere Client 中停用正常锁定模式和严格锁定模式。请参见 从 vSphere Client 停用锁定模式。
- 从直接控制台用户界面
- 能够在 ESXi 主机上访问直接控制台用户界面的用户可以停用正常锁定模式。在严格锁定模式下,直接控制台界面服务已停止。请参见 从直接控制台用户界面激活或停用正常锁定模式。
从 vSphere Client 激活锁定模式
选择锁定模式以要求所有主机配置更改都通过 vCenter Server 进行。vSphere 支持正常锁定模式和严格锁定模式。
如果要完全禁用对主机的所有直接访问,可以选择严格锁定模式。激活严格锁定模式后,如果 vCenter Server 不可用,并且 SSH 和 ESXi Shell 处于停用状态,用户将无法访问主机。请参见锁定模式行为。
过程
- 在 vSphere Client 清单中,浏览到主机。
- 单击配置。
- 在“系统”下,选择安全配置文件。
- 在“锁定模式”面板中,单击编辑。
- 单击锁定模式,然后选择其中一个锁定模式选项。
选项 描述 正常 可以通过 vCenter Server 访问主机。只有位于“异常用户”列表中且具有管理员特权的用户能够登录直接控制台用户界面。如果激活了 SSH 或 ESXi Shell,则可以访问。 严格 只能通过 vCenter Server 访问主机。如果激活了 SSH 或 ESXi Shell, DCUI.Access高级系统设置中的帐户以及具有管理员特权的“例外用户”帐户的正在运行的会话仍处于启用状态。所有其他会话将关闭。 - 单击确定。
从 vSphere Client 停用锁定模式
停用锁定模式后配置更改可通过直接连接传递到 ESXi 主机。激活锁定模式可确保环境更安全。
用户可以从 vSphere Client 中停用正常锁定模式和严格锁定模式。
过程
- 在 vSphere Client清单中,浏览到主机。
- 单击配置。
- 在“系统”下,选择安全配置文件。
- 在“锁定模式”面板中,单击编辑。
- 单击锁定模式,然后选择已禁用以停用锁定模式。
- 单击确定。
结果
系统将退出锁定模式,vCenter Server将显示一条警报,并向审核日志中添加一个条目。
从直接控制台用户界面激活或停用正常锁定模式
可以从直接控制台用户界面 (DCUI) 激活和停用正常锁定模式。只能从 vSphere Client 激活和停用严格锁定模式。
- “异常用户”列表中对主机具有管理员特权的帐户。“异常用户”列表针对服务帐户(例如备份代理)提供。
- 在主机的
DCUI.Access高级选项中定义的用户。此选项可在出现灾难性故障时用于激活访问权限。
激活锁定模式时,将保留用户权限。用户权限在您从直接控制台界面停用锁定模式时还原。
DCUI.Access高级选项中找到的所有用户,以保证主机仍可访问。
要保留权限,请在升级之前从 vSphere Client 停用主机的锁定模式。
过程
- 在主机的直接控制台用户界面上,按 F2 并登录。
- 滚动至配置锁定模式设置并按 Enter 切换当前设置。
- 按 Esc 直到返回到直接控制台用户界面的主菜单。
指定在锁定模式下拥有访问特权的帐户
您可以指定能够直接访问 ESXi 主机的服务帐户,方法是将这些帐户添加到“异常用户”列表。如果出现灾难性 vCenter Server 故障,可以指定能够访问 ESXi 主机的单个用户。
vSphere 处于锁定模式时帐户可以执行的操作
- 在 vSphere 5.0 和早期版本中,只有 root 用户能够在锁定模式下的 ESXi 主机上登录到直接控制台用户界面。
- 在 vSphere 5.1 及更高版本中,可以将用户添加到每个主机的
DCUI.Access高级系统设置中。该设置在 vCenter Server 出现灾难性故障时使用。公司通常将拥有此访问权限的用户的密码锁入保险箱内。DCUI.Access列表中的用户不需要拥有对主机的完全管理特权。 - 在 vSphere 6.0 及更高版本中,仍支持
DCUI.Access高级系统设置。此外,vSphere 6.0 及更高版本还支持“异常用户”列表,该列表面向必须直接登录主机的服务帐户提供。“异常用户”列表中拥有管理员特权的帐户可以登录 ESXi Shell。此外,这些用户还可以在正常锁定模式下登录主机的 DCUI,并且能够退出锁定模式。请从 vSphere Client 指定异常用户。注: 例外用户是指具有在本地为 ESXi 主机定义的特权的主机本地用户或 Active Directory 用户。当主机处于锁定模式时,作为 Active Directory 组成员的用户会丢失其权限。
将用户添加到 DCUI.Access 高级系统设置
出现灾难性故障时,如果无法从 vCenter Server 访问主机,可以通过 DCUI.Access 高级系统设置退出锁定模式。可以通过从 vSphere Client 编辑主机的“高级设置”向列表中添加用户。
- 在 vSphere Client 清单中,浏览到主机。
- 单击配置。
- 在“系统”下,单击高级系统设置,然后单击编辑。
- 筛选 DCUI。
- 在 DCUI.Access 文本框中,输入本地 ESXi 用户名,用逗号分隔。
注: 您无法输入Active Directory用户。仅支持本地 ESXi 用户。
默认情况下,已指定 root 用户。请考虑从 DCUI.Access 列表中移除 root 用户,并指定命名帐户以增强可审核性。
- 单击确定。
指定锁定模式异常用户
可以通过 vSphere Client 将用户添加到“例外用户”列表。主机进入锁定模式时,这些用户不会丢失其权限。
例外用户是指具有在本地为 ESXi 主机定义的特权的主机本地用户或 Active Directory 用户。他们不是 Active Directory 组的成员,也不是 vCenter Server 用户。根据其权限,不允许这些用户在主机上执行操作。例如,这意味着只读用户无法在主机上停用锁定模式。
- 在 vSphere Client 清单中,浏览到主机。
- 单击配置。
- 在“系统”下,选择安全配置文件。
- 在“锁定模式”面板中,单击编辑。
- 单击例外用户,然后单击添加用户图标以添加例外用户。
- 单击确定。
