ESXi ホストのセキュリティを向上させるために、ロックダウン モードにすることができます。ロックダウン モードでは、デフォルトで vCenter Server から操作を実行する必要があります。
通常ロックダウン モードと厳密なロックダウン モード
vSphere 6.0 以降では、通常のロックダウン モードまたは厳密なロックダウン モードを選択できます。
- 通常ロックダウン モード
-
通常ロックダウン モードでは、DCUI サービスがアクティブなままになります。
vCenter Server システムへの接続が失われ、
vSphere Client 経由でアクセスできない場合は、権限のあるアカウントで
ESXi ホストのダイレクト コンソール インターフェイスにログインし、ロックダウン モードを終了することができます。ダイレクト コンソール ユーザー インターフェイスには、次のアカウントのみがアクセスできます。
- ホストでの管理権限を持っている、ロックダウン モードの例外ユーザー リストにあるアカウント。例外ユーザー リストは、特定のタスクを実行するサービス アカウントのリストです。このリストに ESXi 管理者を追加することは、ロックダウン モードの趣旨に反します。
- ホストの DCUI.Access 詳細オプションに定義されているユーザー。このオプションは、vCenter Server への接続が失われた場合に、ダイレクト コンソール インターフェイスに緊急アクセスするためのものです。これらのユーザーは、ホストの管理権限が不要になります。
- 厳密なロックダウン モード
- 厳密なロックダウン モードでは、DCUI サービスが停止します。 vCenter Server への接続が失われ、 vSphere Client を使用できなくなると、 ESXi Shell および SSH サービスが有効で、かつ例外ユーザーが定義されていない限り、 ESXi ホストが使用不能になります。 vCenter Server システムへの接続をリストアできない場合は、ホストを再インストールする必要があります。
ロックダウン モードと ESXi Shell および SSH サービス
厳密なロックダウン モードでは DCUI サービスが停止します。ただし、ESXi Shell および SSH サービスは、ロックダウン モードに依存しません。ロックダウン モードを有効なセキュリティ対策とするため、ESXi Shell および SSH サービスも必ず無効にしてください。これらのサービスは、デフォルトで無効になっています。
ホストがロックダウン モードになっている場合、例外ユーザー リストのユーザーは、ホストでの管理者ロールを持っていれば、ESXi Shell から、および SSH を介して、そのホストにアクセスすることができます。このアクセスは、厳密なロックダウン モードになっている場合でも可能です。ESXi Shell サービスと SSH サービスを無効のままにするのが最も安全なオプションです。
注: 例外ユーザー リストは、ホストのバックアップなどの特殊なタスクを実行するサービス アカウントを登録するために用意されたものであり、管理者を対象とするものではありません。管理者を例外ユーザー リストに追加するのは、ロックダウン モードの目的を無視した使い方です。