ESXi Hypervisor 安装时即受到安全保护。通过使用锁定模式和其他内置的功能,可以进一步保护 ESXi 主机。为了保持一致性,您可以设置引用主机,并将所有主机与引用主机的主机配置文件保持同步。也可以通过执行脚本式管理保护您的环境,以便确保将更改应用到所有主机。

您可以通过以下操作提高对 vCenter Server 管理的 ESXi 主机的保护。各独立主机需要考虑的安全注意事项相似,尽管管理任务可能有所不同。请参见《vSphere 单台主机管理 - VMware Host Client》文档。

限制 ESXi 访问

默认情况下,ESXi Shell 和 SSH 服务不会运行,只有 root 用户才能登录到直接控制台用户界面 (DCUI)。如果决定启用 ESXi 或 SSH 访问,则可以设置超时以限制未经授权的访问风险。可以访问 ESXi 主机的用户必须具有管理主机的权限。您可以从管理主机的 vCenter Server 系统中设置对主机对象的权限。

请参见使用 ESXi Shell

使用指定用户和最小特权

默认情况下,root 用户可以执行许多任务。不允许管理员使用 root 用户帐户登录 ESXi 主机,而是从 vCenter Server 创建指定管理员用户,并为这些用户分配管理员角色。您还可以为这些用户分配自定义角色。请参见创建 vCenter Server 自定义角色

如果在主机上直接管理用户,则角色管理选项受限制。请参见《vSphere 单台主机管理 - VMware Host Client》文档。

尽可能减少打开的 ESXi 防火墙端口数

默认情况下,只有启动相应的服务时,才会打开 ESXi 主机上的防火墙端口。可以使用 vSphere Client 或 ESXCLI 或 PowerCLI 命令检查和管理防火墙端口状态。

请参见配置 ESXi 防火墙

自动化 ESXi 主机管理

由于使同一数据中心内的不同主机保持同步通常十分重要,因此请使用脚本式安装或 vSphere Auto Deploy 置备主机。您可以使用脚本管理主机。除脚本式管理之外,还可以使用主机配置文件。您可以设置引用主机、导出主机配置文件并将主机配置文件应用到所有主机。可以直接应用主机配置文件,也可以在使用 Auto Deploy 置备时应用主机配置文件。

有关 vSphere Auto Deploy 的信息,请参见使用脚本管理 ESXi 主机配置设置《vCenter Server 安装和设置》文档。

使用 ESXi 锁定模式

在锁定模式下,默认只能通过 vCenter Server 访问 ESXi 主机。可以选择严格锁定模式或正常锁定模式。可以定义例外用户以允许直接访问服务帐户(如备份代理)。

请参见在 ESXi 主机上配置和管理锁定模式

检查 VIB 软件包完整性

每个 vSphere 安装包 (VIB) 均有关联的接受级别。只有在 VIB 接受级别与主机的接受级别相同或比其更高时,才能将 VIB 添加到 ESXi 主机。除非明确更改主机的接受程度,否则无法将 CommunitySupported 或 PartnerSupported VIB 添加到主机。

请参见管理 ESXi 主机和 vSphere 安装包的接受级别

管理 ESXi 证书

默认情况下,VMware Certificate Authority (VMCA) 将使用以 VMCA 作为根证书颁发机构的签名证书置备每个 ESXi 主机。如果公司策略有相关要求,则可以将现有证书替换为第三方或企业证书颁发机构签名的证书。

请参见管理 ESXi 主机的证书

ESXi 考虑使用智能卡身份验证

ESXi 支持使用智能卡身份验证,而不是用户名和密码身份验证。vCenter Server 还支持双因素身份验证。您可以同时配置用户名和密码身份验证以及智能卡身份验证。

请参见为 ESXi 配置和管理智能卡身份验证

考虑使用 ESXi 帐户锁定

对于通过 SSH 和通过 vSphere Web Services SDK 进行的访问,支持帐户锁定。默认情况下,最多允许 5 次尝试,当这些尝试均失败后,便会锁定帐户。默认情况下,帐户将在 15 分钟后解锁。
注: 直接控制台界面 (DCUI) 和 ESXi Shell 不支持帐户锁定。

请参见ESXi 密码和帐户锁定