Para mejorar la seguridad de los hosts ESXi, puede ponerlos en modo de bloqueo. En el modo de bloqueo, las operaciones deben realizarse mediante vCenter Server de forma predeterminada.
Modo de bloqueo normal y modo de bloqueo estricto
Con vSphere 6.0 y las versiones posteriores, se puede seleccionar el modo de bloqueo normal o el modo de bloqueo estricto.
- Modo de bloqueo normal
-
En el modo de bloqueo normal, el servicio de la DCUI permanece activo. Si se pierde la conexión con el sistema
vCenter Server y el acceso a través de
vSphere Web Client deja de estar disponible, las cuentas con privilegios pueden iniciar sesión en la interfaz de la consola directa del host
ESXi y salir del modo de bloqueo. Solo las siguientes cuentas pueden acceder a la interfaz de usuario de la consola directa:
- Cuentas de la lista de usuarios con excepción para el modo de bloqueo que tienen privilegios administrativos en el host. La lista de usuarios con excepción está pensada para las cuentas de servicio que realizan tareas específicas. Al agregar administradores de ESXi a esta lista, se anula el propósito del modo de bloqueo.
- Usuarios definidos en la opción avanzada DCUI.Access del host. Esta opción sirve para tener acceso de emergencia a la interfaz de la consola directa en caso de que se pierda la conexión con vCenter Server. Estos usuarios no necesitan privilegios administrativos en el host.
- Modo de bloqueo estricto
- En el modo de bloqueo estricto, el servicio de la DCUI se interrumpe. Si se pierde la conexión con vCenter Server y vSphere Web Client deja de estar disponible, el host ESXi deja de estar disponible, a menos que se habiliten los servicios ESXi Shell y SSH, y se definan usuarios con excepción. Si no es posible restaurar la conexión con el sistema vCenter Server, debe reinstalar el host.
Modo de bloqueo y servicios ESXi Shell y SSH
El modo de bloqueo estricto interrumpe el servicio de la DCUI. Sin embargo, los servicios ESXi Shell y SSH son independientes del modo de bloqueo. Para que el modo de bloqueo sea una medida de seguridad efectiva, asegúrese de que los servicios ESXi Shell y SSH también estén deshabilitados. Estos servicios están deshabilitados de forma predeterminada.
Cuando un host está en modo de bloqueo, los usuarios que están en la lista de usuarios con excepción pueden acceder a él desde ESXi Shell y a través de SSH si cuentan con el rol de administrador en el host. Se puede tener este tipo de acceso incluso en el modo de bloqueo estricto. La opción más segura es dejar los servicios ESXi Shell y SSH deshabilitados.