Para mejorar la seguridad de los hosts ESXi, puede ponerlos en modo de bloqueo. En el modo de bloqueo, las operaciones deben realizarse mediante vCenter Server de forma predeterminada.

Modo de bloqueo normal y modo de bloqueo estricto

Con vSphere 6.0 y las versiones posteriores, se puede seleccionar el modo de bloqueo normal o el modo de bloqueo estricto.

Modo de bloqueo normal
En el modo de bloqueo normal, el servicio de la DCUI permanece activo. Si se pierde la conexión con el sistema vCenter Server y el acceso a través de vSphere Client deja de estar disponible, las cuentas con privilegios pueden iniciar sesión en la interfaz de la consola directa del host ESXi y salir del modo de bloqueo. Solo las siguientes cuentas pueden acceder a la interfaz de usuario de la consola directa:
  • Cuentas de la lista de usuarios con excepción para el modo de bloqueo que tienen privilegios administrativos en el host. La lista de usuarios con excepción está pensada para las cuentas de servicio que realizan tareas específicas. Al agregar administradores de ESXi a esta lista, se anula el propósito del modo de bloqueo.
  • Usuarios definidos en la opción avanzada DCUI.Access del host. Esta opción sirve para tener acceso de emergencia a la interfaz de la consola directa en caso de que se pierda la conexión con vCenter Server. Estos usuarios no necesitan privilegios administrativos en el host.
Modo de bloqueo estricto
En el modo de bloqueo estricto, el servicio de la DCUI se interrumpe. Si se pierde la conexión con vCenter Server y vSphere Client deja de estar disponible, el host ESXi deja de estar disponible, a menos que se habiliten los servicios ESXi Shell y SSH, y se definan usuarios con excepción. Si no es posible restaurar la conexión con el sistema vCenter Server, debe reinstalar el host.

Modo de bloqueo y servicios ESXi Shell y SSH

El modo de bloqueo estricto interrumpe el servicio de la DCUI. Sin embargo, los servicios ESXi Shell y SSH son independientes del modo de bloqueo. Para que el modo de bloqueo sea una medida de seguridad efectiva, asegúrese de que los servicios ESXi Shell y SSH también estén desactivados. Estos servicios están desactivados de forma predeterminada.

Cuando un host está en modo de bloqueo, los usuarios que están en la lista de usuarios con excepción pueden acceder a él desde ESXi Shell y a través de SSH si cuentan con el rol de administrador en el host. Se puede tener este tipo de acceso incluso en el modo de bloqueo estricto. La opción más segura es dejar los servicios ESXi Shell y SSH desactivados.

Nota: La lista de usuarios con excepción no está pensada para administradores, sino para las cuentas de servicio que realizan tareas específicas, como copias de servicio de hosts. Agregar usuarios administradores a la lista de usuarios con excepción va en contra de la finalidad del modo de bloqueo.

Poner un host ESXi en modo de bloqueo normal mediante VMware Host Client

Puede usar VMware Host Client para ingresar al modo de bloqueo normal.

Procedimiento

  1. Haga clic en Host desde el inventario de VMware Host Client, seleccione Modo de bloqueo en el menú desplegable y, a continuación, seleccione Entrar en bloqueo normal.
    Aparecerá un mensaje de advertencia.
  2. Haga clic en Entrar en bloqueo normal.

Poner un host ESXi en modo de bloqueo estricto mediante VMware Host Client

Puede usar VMware Host Client para ingresar al modo de bloqueo estricto.

Procedimiento

  1. Haga clic en Host desde el inventario de VMware Host Client, seleccione Modo de bloqueo en el menú desplegable y, a continuación, seleccione Entrar en bloqueo estricto.
    Aparecerá un mensaje de advertencia.
  2. Haga clic en Entrar en bloqueo estricto.

Salir del modo de bloqueo mediante VMware Host Client

Si ha ingresado en modo de bloqueo normal o estricto en un host ESXi, puede usar VMware Host Client para salir del bloqueo.

Procedimiento

  • Haga clic en Host desde el inventario de VMware Host Client, seleccione Modo de bloqueo en el menú desplegable y, a continuación, seleccione Entrar en bloqueo.

Especificar usuarios con excepción para el modo de bloqueo en VMware Host Client

En vSphere 6.0 y versiones posteriores, se pueden agregar usuarios a la lista de usuarios con excepción mediante VMware Host Client. Estos usuarios no pierden sus permisos cuando el host entra en el modo de bloqueo. Puede agregar cuentas de servicio, como un agente de copia de seguridad, a la lista de usuarios con excepción.

Los usuarios con excepción son usuarios locales del host o usuarios de Active Directory con privilegios definidos localmente para el host ESXi. No son miembros de un grupo de Active Directory y no son usuarios de vCenter Server. Estos usuarios tienen permitido realizar operaciones en el host en función de sus privilegios. Esto significa, por ejemplo, que un usuario de solo lectura no puede desactivar el modo de bloqueo en un host.
Nota: La lista de usuarios con excepción es útil para las cuentas de servicio que realizan tareas específicas, como copias de servicio de hosts, pero no para los administradores. Agregar usuarios administradores a la lista de usuarios con excepción va en contra de la finalidad del modo de bloqueo.

Procedimiento

  1. Haga clic en Administrar desde el inventario de VMware Host Client y, a continuación, haga clic en Seguridad y usuarios.
  2. Haga clic en Modo de bloqueo.
  3. Haga clic en Agregar excepción de usuario, introduzca el nombre del usuario y haga clic en Agregar excepción.
  4. (opcional) Seleccione un nombre en la lista de usuarios con excepción, haga clic en Quitar excepción de usuario y, a continuación, haga clic en Confirmar.