ESXi Shell fornisce comandi di manutenzione essenziali ed è disattivata per impostazione predefinita negli host ESXi. Se necessario, è possibile attivare l'accesso locale e remoto alla shell. Per ridurre il rischio di accessi non autorizzati, attivare ESXi Shell solo per la risoluzione dei problemi.

La ESXi Shell è indipendente dalla modalità di blocco. Anche se l'host è in esecuzione in modalità di blocco, è comunque possibile accedere a ESXi Shell se è attivata.

I servizi applicabili sono i seguenti.

ESXi Shell
Attivare questo servizio per accedere a ESXi Shell in locale.
SSH
Attivare questo servizio per accedere a ESXi Shell in remoto utilizzando SSH.

L'utente root e gli utenti con il ruolo di amministratore possono accedere alla ESXi Shell. Agli utenti che si trovano nel gruppo Active Directory - Amministratori ESX viene assegnato automaticamente il ruolo di Amministratore. Per impostazione predefinita, solo l'utente root può eseguire comandi di sistema (ad esempio vmware -v) utilizzando la ESXi Shell.

Nota: Non attivare ESXi Shell a meno che non sia effettivamente necessario accedere.

Impostazione del timeout di inattività per ESXi Shell utilizzando vSphere Client

Se si abilita ESXi Shell su un host ma non si effettua la disconnessione dalla sessione, la sessione inattiva rimane connessa indefinitamente. La connessione aperta aumenta il potenziale per qualcuno di ottenere un accesso privilegiato all'host. Per prevenire l'insorgere di questo comportamento, si consiglia di impostare un timeout per le sessioni inattive.

Il timeout di inattività corrisponde alla quantità di tempo trascorsa prima che un utente venga disconnesso da una sessione interattiva inattiva. È possibile controllare la quantità di tempo per le sessioni locale e remota (SSH) dall'interfaccia della console diretta (DCUI) o da vSphere Client.

Procedura

  1. Passare all'host nell'inventario di vSphere Client.
  2. Fare clic su Configura.
  3. In Sistema, selezionare Impostazioni di sistema avanzate.
  4. Fare clic su Modifica, selezionare UserVars.ESXiShellInteractiveTimeOut e immettere l'impostazione di timeout.
    Il valore zero (0) disattiva il tempo di inattività.
  5. Riavviare i servizi ESXi Shell e SSH per rendere effettivo il timeout.
    1. Passare a Sistema > Servizi.
    2. Selezionare uno alla volta ESXi Shell e SSH e fare clic su Riavvia.

risultati

Se la sessione è inattiva, gli utenti vengono disconnessi una volta trascorso il periodo di timeout.

Impostazione del timeout di disponibilità per ESXi Shell utilizzando vSphere Client

ESXi Shell è disattivato per impostazione predefinita. È possibile impostare un timeout di disponibilità per ESXi Shell per aumentare la sicurezza quando si attiva la shell.

L'impostazione del timeout della disponibilità indica la quantità di tempo che può trascorrere prima che sia necessario effettuare l'accesso dopo l'attivazione di ESXi Shell. Dopo il periodo di timeout, il servizio viene disattivato e gli utenti non possono più effettuare l'accesso.

Procedura

  1. Passare all'host nell'inventario di vSphere Client.
  2. Fare clic su Configura.
  3. In Sistema, selezionare Impostazioni di sistema avanzate.
  4. Fare clic su Modifica e selezionare UserVars.ESXiShellTimeOut.
  5. Immettere l'impostazione del timeout di inattività.
  6. Fare clic su OK.
  7. Riavviare i servizi ESXi Shell e SSH per rendere effettivo il timeout.
    1. Passare a Sistema > Servizi.
    2. Selezionare uno alla volta ESXi Shell e SSH e fare clic su Riavvia.

risultati

Se si è connessi allo scadere del periodo di timeout, la sessione verrà mantenuta. Tuttavia, dopo la disconnessione o la chiusura della sessione, agli utenti non è più consentito effettuare l'accesso.

Impostazione di timeout di disponibilità o timeout di inattività per ESXi Shell usando DCUI

ESXi Shell è disattivato per impostazione predefinita. Per aumentare la sicurezza quando si attiva la shell, è possibile impostare un timeout di disponibilità, un timeout di inattività oppure entrambi.

I due tipi di timeout si applicano in situazioni diverse.
Timeout di inattività ESXi Shell
Se un utente attiva ESXi Shell in un host ma dimentica di disconnettersi dalla sessione, la sessione inattiva rimane connessa indefinitamente. La connessione aperta può aumentare la possibilità di ottenere l'accesso privilegiato all'host. È possibile evitare questa situazione impostando un timeout per le sessioni inattive.
Timeout disponibilità ESXi Shell
Il timeout di disponibilità determina il tempo che può trascorrere prima dell'accesso dopo avere attivato inizialmente la shell. Se si attende più tempo, il servizio viene disabilitato e non è possibile accedere a ESXi Shell.

Prerequisiti

Attivare ESXi Shell. Vedere Attivazione dell'accesso a ESXi Shell utilizzando DCUI.

Procedura

  1. Accedere al ESXi Shell.
  2. Dal menu Opzioni modalità risoluzione problemi, selezionare Modifica timeout di ESXi Shell e SSH e premere Invio.
  3. Immettere il timeout di inattività (in secondi) o il timeout di disponibilità.
  4. Premere Invio e premere ESC finché non si torna al menu principale di Direct Console User Interface.
  5. Fare clic su OK.
  6. Riavviare i servizi ESXi Shell e SSH per rendere effettivo il timeout.
    1. In vSphere Client, selezionare l'host e passare a Configurazione > Sistema > Servizi.
    2. Selezionare uno alla volta ESXi Shell e SSH e fare clic su Riavvia.

risultati

  • Se si imposta il timeout di inattività, gli utenti vengono disconnessi dopo che la sessione è rimasta inattiva per il tempo specificato.
  • Se si imposta il timeout di disponibilità e non si accede prima che tale timeout scada, gli accessi vengono disattivati.

Attivazione dell'accesso a ESXi Shell utilizzando vSphere Client

Le interfacce di ESXi Shell e SSH sono disattivate per impostazione predefinita. Mantenere queste interfacce disattivate a meno che non si stiano eseguendo attività di risoluzione dei problemi o di supporto. Per le attività quotidiane, utilizzare vSphere Client, in cui l'attività è soggetta al controllo degli accessi in base al ruolo e ai moderni metodi di controllo degli accessi.

Nota: Accedere all'host utilizzando le API pubblicate e gli strumenti della riga di comando remoti (ESXCLI e PowerCLI) di vSphere Client. Non attivare l'accesso remoto all'host tramite SSH a meno che circostanze specifiche non lo richiedano.

Prerequisiti

Se si desidera utilizzare una chiave SSH autorizzata, è possibile caricarla. Vedere Chiavi SSH ESXi.

Procedura

  1. Passare all'host nell'inventario.
  2. In Sistema, fare clic su Configura e quindi su Servizi.
  3. Gestire ESXi, SSH o i servizi dell'interfaccia utente di Direct Console.
    1. Nel riquadro Servizi, selezionare il servizio.
    2. Fare clic su Modifica criterio di avvio, quindi selezionare il criterio di avvio Avvio e arresto manuale.
    3. Per attivare il servizio, fare clic su Avvia.
    Quando si seleziona Avvio e arresto manuale, il servizio non viene avviato quando si riavvia l'host. Se si desidera che il servizio venga avviato al riavvio dell'host, selezionare Avvia e interrompi con host.

Operazioni successive

Impostare i timeout di disponibilità e inattività per ESXi Shell. Vedere Impostazione del timeout di disponibilità per ESXi Shell utilizzando vSphere Client e Impostazione del timeout di inattività per ESXi Shell utilizzando vSphere Client.

Attivazione dell'accesso a ESXi Shell utilizzando DCUI

L'interfaccia utente di Direct Console (DCUI) consente di interagire con l'host localmente utilizzando i menu basati su testo. Valutare se i requisiti di sicurezza del proprio ambiente supportano l'attivazione di Direct Console User Interface.

È possibile utilizzare Direct Console User Interface (DCUI) per attivare l'accesso locale e remoto a ESXi Shell. La console fisica collegata all'host consente inoltre di accedere alla DCUI. Dopo che l'host ha avviato e caricato ESXi, premere F2 per accedere alla DCUI. Immettere le credenziali create durante l'installazione di ESXi.
Nota: Le modifiche apportate all'host tramite l'interfaccia utente di Direct Console, a vSphere Client, a ESXCLI o ad altri strumenti di amministrazione vengono confermate nello storage permanente ogni ora o al momento dell'arresto normale. Se l'host produce un errore prima che le modifiche vengano confermate, è possibile che vengano perse.

Procedura

  1. Dall'interfaccia utente della console diretta, premere F2 per accedere al menu Personalizzazione del sistema.
  2. Selezionare Opzioni di risoluzione dei problemi e premere Invio.
  3. Dal menu Opzioni modalità di risoluzione dei problemi, selezionare un servizio da attivare.
    • Abilita ESXi Shell
    • Abilita SSH
  4. Premere Invio per attivare il servizio.
  5. Premere Esc finché non si torna al menu principale dell'interfaccia utente della console diretta.

Operazioni successive

Impostare i timeout di disponibilità e inattività per ESXi Shell. Vedere Impostazione di timeout di disponibilità o timeout di inattività per ESXi Shell usando DCUI.

Accesso a ESXi Shell per la risoluzione dei problemi

Eseguire attività di configurazione di ESXi con vSphere Client, ESXCLI o VMware PowerCLI. Accedere all'ESXi Shell (in precedenza Tech Support Mode o TSM) solo a scopo di risoluzione dei problemi.

Procedura

  1. Accedere all'ESXi Shell utilizzando uno dei metodi seguenti.
    • Se si dispone di accesso diretto all'host, premere Alt+F1 per aprire la pagina di accesso nella console fisica della macchina.
    • Se ci si connette all'host in remoto, utilizzare SSH o un'altra connessione a console remota per avviare una sessione nell'host.
  2. Immettere un nome utente e una password riconosciuti dall'host.