Para mejorar la seguridad de los hosts ESXi, puede ponerlos en modo de bloqueo. En el modo de bloqueo, las operaciones deben realizarse mediante vCenter Server de forma predeterminada.
Modo de bloqueo normal y modo de bloqueo estricto
Con vSphere 6.0 y las versiones posteriores, se puede seleccionar el modo de bloqueo normal o el modo de bloqueo estricto.
- Modo de bloqueo normal
-
En el modo de bloqueo normal, el servicio de la DCUI permanece activo. Si se pierde la conexión con el sistema
vCenter Server y el acceso a través de
vSphere Client deja de estar disponible, las cuentas con privilegios pueden iniciar sesión en la interfaz de la consola directa del host
ESXi y salir del modo de bloqueo. Solo las siguientes cuentas pueden acceder a la interfaz de usuario de la consola directa:
- Cuentas de la lista de usuarios con excepción para el modo de bloqueo que tienen privilegios administrativos en el host. La lista de usuarios con excepción está pensada para las cuentas de servicio que realizan tareas específicas. Al agregar administradores de ESXi a esta lista, se anula el propósito del modo de bloqueo.
- Usuarios definidos en la opción avanzada DCUI.Access del host. Esta opción sirve para tener acceso de emergencia a la interfaz de la consola directa en caso de que se pierda la conexión con vCenter Server. Estos usuarios no necesitan privilegios administrativos en el host.
- Modo de bloqueo estricto
- En el modo de bloqueo estricto, el servicio de la DCUI se interrumpe. Si se pierde la conexión con vCenter Server y vSphere Client deja de estar disponible, el host ESXi deja de estar disponible, a menos que se habiliten los servicios ESXi Shell y SSH, y se definan usuarios con excepción. Si no es posible restaurar la conexión con el sistema vCenter Server, debe reinstalar el host.
Modo de bloqueo y servicios ESXi Shell y SSH
El modo de bloqueo estricto interrumpe el servicio de la DCUI. Sin embargo, los servicios ESXi Shell y SSH son independientes del modo de bloqueo. Para que el modo de bloqueo sea una medida de seguridad efectiva, asegúrese de que los servicios ESXi Shell y SSH también estén desactivados. Estos servicios están desactivados de forma predeterminada.
Cuando un host está en modo de bloqueo, los usuarios que están en la lista de usuarios con excepción pueden acceder a él desde ESXi Shell y a través de SSH si cuentan con el rol de administrador en el host. Se puede tener este tipo de acceso incluso en el modo de bloqueo estricto. La opción más segura es dejar los servicios ESXi Shell y SSH desactivados.
Poner un host ESXi en modo de bloqueo normal mediante VMware Host Client
Puede usar VMware Host Client para ingresar al modo de bloqueo normal.
Procedimiento
Poner un host ESXi en modo de bloqueo estricto mediante VMware Host Client
Puede usar VMware Host Client para ingresar al modo de bloqueo estricto.
Procedimiento
Salir del modo de bloqueo mediante VMware Host Client
Si ha ingresado en modo de bloqueo normal o estricto en un host ESXi, puede usar VMware Host Client para salir del bloqueo.
Procedimiento
- ♦ Haga clic en Host desde el inventario de VMware Host Client, seleccione Modo de bloqueo en el menú desplegable y, a continuación, seleccione Entrar en bloqueo.
Especificar usuarios con excepción para el modo de bloqueo en VMware Host Client
En vSphere 6.0 y versiones posteriores, se pueden agregar usuarios a la lista de usuarios con excepción mediante VMware Host Client. Estos usuarios no pierden sus permisos cuando el host entra en el modo de bloqueo. Puede agregar cuentas de servicio, como un agente de copia de seguridad, a la lista de usuarios con excepción.
Procedimiento
- Haga clic en Administrar desde el inventario de VMware Host Client y, a continuación, haga clic en Seguridad y usuarios.
- Haga clic en Modo de bloqueo.
- Haga clic en Agregar excepción de usuario, introduzca el nombre del usuario y haga clic en Agregar excepción.
- (opcional) Seleccione un nombre en la lista de usuarios con excepción, haga clic en Quitar excepción de usuario y, a continuación, haga clic en Confirmar.