Per aumentare la sicurezza degli host ESXi, è possibile attivare la modalità di blocco. In modalità blocco, le operazioni devono essere eseguite tramite vCenter Server per impostazione predefinita.

Modalità di blocco normale e modalità di blocco rigido

Con vSphere 6.0 e versioni successive, è possibile selezionare la modalità di blocco normale o la modalità di blocco rigido.

Modalità di blocco normale
In modalità di blocco normale, il servizio DCUI rimane attivo. Se viene persa la connessione al sistema vCenter Server e l'accesso tramite vSphere Client non è disponibile, gli account con privilegi possono accedere al servizio Direct Console User Interface (DCUI) dell'host ESXi e uscire dalla modalità di blocco. Solo i seguenti account possono accedere al servizio Direct Console User Interface:
  • ID inclusi nell'elenco Utenti eccezione per la modalità blocco che dispongono di privilegi amministrativi sull'host. L'elenco Utenti eccezione è destinato agli account di servizio che eseguono attività specifiche. Se ad esso si aggiungono amministratori ESXi, si vanifica lo scopo della modalità di blocco.
  • Utenti definiti nell'opzione avanzata DCUI.Access per l'host. Questa opzione consente l'accesso di emergenza al servizio Direct Console User Interface nel caso in cui si perda la connessione a vCenter Server. Questi utenti non richiedono privilegi amministrativi nell'host.
Modalità di blocco rigido
In modalità di blocco stretta, il servizio DCUI viene arrestato. Se la connessione a vCenter Server viene persa e vSphere Client non è più disponibile, l'host ESXi diventa non disponibile, a meno che non siano abilitati i servizi ESXi Shell e SSH e non siano definiti utenti eccezione. Se non è possibile ripristinare la connessione al sistema vCenter Server, è necessario reinstallare l'host.

Modalità di blocco e servizi ESXi Shell e SSH

La modalità di blocco rigido interrompe il servizio DCUI. Tuttavia, i servizi ESXi Shell e SSH sono indipendenti dalla modalità di blocco. Affinché la modalità di blocco sia una misura di sicurezza efficace, assicurarsi che siano disattivati anche i servizi ESXi Shell e SSH. Questi servizi sono disattivati per impostazione predefinita.

Quando un host si trova in modalità di blocco, gli utenti nell'elenco Utenti eccezione possono accedervi da ESXi Shell e tramite SSH, se hanno il ruolo di amministratore nell'host. Questo accesso è possibile anche in modalità di blocco rigido. Lasciare disattivati i servizi ESXi Shell e SSH è l'opzione più sicura.

Nota: L'elenco Utenti eccezione è destinato agli account di servizio che eseguono attività specifiche, come i backup degli host, e non agli amministratori. L'aggiunta di utenti amministratori all'elenco Utenti eccezione vanifica lo scopo della modalità di blocco.

Attivazione della modalità di blocco normale in un host ESXi mediante VMware Host Client

È possibile utilizzare il VMware Host Client per attivare la modalità di blocco normale.

Procedura

  1. Fare clic con il pulsante destro del mouse su Host nell'inventario di VMware Host Client, scegliere Modalità blocco dal menu a discesa e selezionare Attiva blocco normale.
    Verrà visualizzato un messaggio di avviso.
  2. Fare clic su Attiva blocco normale.

Attivazione della modalità di blocco rigido in un host ESXi mediante VMware Host Client

È possibile utilizzare VMware Host Client per attivare la modalità di blocco rigido.

Procedura

  1. Fare clic con il pulsante destro del mouse su Host nell'inventario di VMware Host Client, scegliere Modalità blocco dal menu a discesa e selezionare Attiva blocco rigido.
    Verrà visualizzato il messaggio di avviso.
  2. Fare clic su Attiva blocco rigido.

Disattivazione della modalità di blocco mediante VMware Host Client

Se in un host ESXi è stata attivata la modalità di blocco normale o rigido, è possibile disattivare il blocco mediante VMware Host Client.

Procedura

  • Fare clic con il pulsante destro del mouse su Host nell'inventario di VMware Host Client, scegliere Modalità blocco dal menu a discesa e selezionare Disattiva blocco.

Definizione di utenti eccezione modalità di blocco in VMware Host Client

Con vSphere 6.0 e versioni successive, è possibile aggiungere utenti all'elenco degli utenti eccezione utilizzando VMware Host Client. Questi utenti non perdono le proprie autorizzazioni quando l'host passa alla modalità di blocco. È possibile aggiungere account di servizio, come ad esempio un agente di backup, all'elenco degli utenti eccezione.

Gli utenti eccezione sono utenti locali host o utenti Active Directory con privilegi definiti localmente per l'host ESXi. Non sono membri di un gruppo Active Directory e non sono utenti vCenter Server. A questi utenti è consentito eseguire operazioni sull'host in base ai propri privilegi. Ciò significa, ad esempio, che un utente di sola lettura non può disattivare la modalità di blocco in un host.
Nota: L'elenco degli utenti eccezione è utile per gli account di servizio che eseguono attività specifiche, come i backup degli host, e non per gli amministratori. L'aggiunta di utenti amministratori all'elenco Utenti eccezione vanifica lo scopo della modalità di blocco.

Procedura

  1. Fare clic su Gestisci nell'inventario di VMware Host Client, quindi selezionare Sicurezza e utenti.
  2. Fare clic su Modalità blocco.
  3. Fare clic su Aggiungi eccezione utente, immettere il nome dell'utente e fare clic su Aggiungi eccezione.
  4. (Facoltativo) Selezionare un nome nell'elenco degli utenti eccezione, fare clic su Rimuovi eccezione utente e quindi su Conferma.