Para mejorar la seguridad de los hosts ESXi, puede ponerlos en modo de bloqueo. En el modo de bloqueo, las operaciones deben realizarse mediante vCenter Server de forma predeterminada.

A partir de vSphere 6.0, puede seleccionar el modo de bloqueo normal o el modo de bloqueo estricto, que ofrecen diferentes grados de bloqueo. vSphere 6.0 también incluye la lista de usuarios con excepción. Los usuarios con excepción no pierden sus privilegios cuando el host entra en el modo de bloqueo. Utilice la lista de usuarios con excepción para agregar cuentas de soluciones de terceros y aplicaciones externas que deben tener acceso directo al host cuando este último está en modo de bloqueo. Consulte Especificar usuarios con excepción para el modo de bloqueo.

Modo de bloqueo normal y modo de bloqueo estricto

A partir de vSphere 6.0, puede seleccionar el modo de bloqueo normal o el modo de bloqueo estricto, que ofrecen diferentes grados de bloqueo.

Modo de bloqueo normal

En el modo de bloqueo normal, el servicio de la DCUI no se interrumpe. Si se pierde la conexión con el sistema vCenter Server y el acceso a través de vSphere Web Client deja de estar disponible, las cuentas con privilegios pueden iniciar sesión en la interfaz de la consola directa del host ESXi y salir del modo de bloqueo. Solo las siguientes cuentas pueden acceder a la interfaz de usuario de la consola directa:

  • Cuentas de la lista de usuarios con excepción para el modo de bloqueo que tienen privilegios administrativos en el host. La lista de usuarios con excepción está pensada para las cuentas de servicio que realizan tareas muy específicas. Al agregar administradores de ESXi a esta lista, se anula el propósito del modo de bloqueo.

  • Usuarios definidos en la opción avanzada DCUI.Access del host. Esta opción sirve para tener acceso de emergencia a la interfaz de la consola directa en caso de que se pierda la conexión con vCenter Server. Estos usuarios no necesitan privilegios administrativos en el host.

Modo de bloqueo estricto

En el modo de bloqueo estricto, nuevo en vSphere 6.0, el servicio de la DCUI se interrumpe. Si se pierde la conexión con vCenter Server y vSphere Web Client deja de estar disponible, el host ESXi deja de estar disponible, a menos que se habiliten los servicios ESXi Shell y SSH, y se definan usuarios con excepción. Si no es posible restaurar la conexión con el sistema vCenter Server, debe volver a instalar el host.

Modo de bloqueo y servicios ESXi Shell y SSH

El modo de bloqueo estricto interrumpe el servicio de la DCUI. Sin embargo, los servicios ESXi Shell y SSH son independientes del modo de bloqueo. Para que el modo de bloqueo sea una medida de seguridad efectiva, asegúrese de que los servicios ESXi Shell y SSH también estén deshabilitados. Estos servicios están deshabilitados de forma predeterminada.

Cuando un host está en modo de bloqueo, los usuarios que están en la lista de usuarios con excepción pueden acceder a él desde ESXi Shell y a través de SSH si cuentan con la función de administrador en el host. Se puede tener este tipo de acceso incluso en el modo de bloqueo estricto. La opción más segura es dejar los servicios ESXi Shell y SSH deshabilitados.

Nota:

La lista de usuarios con excepción no está pensada para administradores, sino para las cuentas de servicio que realizan tareas específicas, como copias de servicio de hosts. Agregar usuarios administradores a la lista de usuarios con excepción va en contra de la finalidad del modo de bloqueo.

Habilitar y deshabilitar el modo de bloqueo

Los usuarios con privilegios pueden habilitar el modo de bloqueo de varias maneras:

Los usuarios con privilegios pueden deshabilitar el modo de bloqueo desde vSphere Web Client. Desde la interfaz de usuario de la consola directa, pueden deshabilitar el modo de bloqueo normal, pero no el modo de bloqueo estricto.

Nota:

Si habilita o deshabilita el modo de bloqueo mediante la interfaz de usuario de la consola directa, se descartan los permisos para los grupos y los usuarios en el host. Para conservar estos permisos, puede habilitar o deshabilitar el modo de bloqueo mediante vSphere Web Client.