ESXi Shell は重要なメンテナンス コマンドを提供し、ESXi ホストではデフォルトで無効になっています。このシェルへのローカル アクセスおよびリモート アクセスは、必要に応じて有効にすることができます。不正アクセスのリスクを低減するためには、トラブルシューティングにのみ ESXi Shell を有効にします。

ESXi Shell は、ロックダウン モードに依存しません。ホストがロックダウン モードで実行されている場合でも、有効な場合は ESXi Shell にログインできます。

適用可能なサービスは次のとおりです。

ESXi Shell
ローカルで ESXi Shell にアクセスする場合は、このサービスを有効にします。
SSH
SSH を使用して ESXi Shell にリモート アクセスするには、このサービスを有効にします。

root ユーザーおよび管理者ロールを持つユーザーは、ESXi Shell にアクセスできます。Active Directory グループ ESX Admins 内のユーザーには、管理者ロールが自動的に割り当てられます。デフォルトでは、root ユーザーのみが、ESXi Shell を使用してシステム コマンド(vmware -v など)を実行できます。

注: ESXi Shell は、実際にアクセスが必要にならない限り有効にしないでください。

vSphere Client を使用した ESXi Shell のアイドル タイムアウトの設定

ホストで ESXi Shell を有効にしていてセッションからログアウトし忘れた場合、アイドル セッションは無期限に接続されたままになります。接続を開いたままにすると、他のユーザーがホストに対するアクセス権を取得する可能性が高くなります。アイドル セッションのタイムアウトを設定することによって、これを防止できます。

アイドル タイムアウト設定は、ユーザーが対話形式のアイドル セッションからログアウトされるまでの許容経過時間を示します。ダイレクト コンソール インターフェイス (DCUI) から、または vSphere Client からのローカル セッションとリモート (SSH) セッションの両方について、時間の長さを制御できます。

手順

  1. vSphere Clientインベントリで、ホストに移動して参照します。
  2. [構成] をクリックします。
  3. [システム] の下で [システムの詳細設定] を選択します。
  4. [編集] をクリックし、UserVars.ESXiShellInteractiveTimeOut を選択して、タイムアウト設定を入力します。
    ゼロ (0) の値を指定すると、アイドル時間が無効になります。
  5. SSH サービスと ESXi Shell サービスを再起動して、タイムアウトを反映させます。
    1. [システム] > [サービス] の順に移動します。
    2. ESXi Shell と SSH を 1 つずつ選択し、[再起動] をクリックします。

結果

セッションがアイドル状態の場合、タイムアウト期間が経過した後、ユーザーがログアウトされます。

vSphere Client を使用した ESXi Shell の可用性タイムアウトの設定

ESXi Shell はデフォルトでは無効になっています。ESXi Shell の可用性タイムアウトを設定し、シェルを有効にした場合のセキュリティを強化できます。

可用性タイムアウト設定は、ESXi Shell を有効にしてからログインするまでの許容経過時間を示します。タイムアウト期間が過ぎると、サービスは無効になり、ユーザーはログインできなくなります。

手順

  1. vSphere Clientインベントリで、ホストに移動して参照します。
  2. [構成] をクリックします。
  3. [システム] の下で [システムの詳細設定] を選択します。
  4. [編集] をクリックし、UserVars.ESXiShellTimeOut を選択します。
  5. アイドル タイムアウト設定を入力します。
  6. [OK] をクリックします。
  7. SSH サービスと ESXi Shell サービスを再起動して、タイムアウトを反映させます。
    1. [システム] > [サービス] の順に移動します。
    2. ESXi Shell と SSH を 1 つずつ選択し、[再起動] をクリックします。

結果

タイムアウト期間が経過したときにログイン済みの場合は、セッションが維持されます。ただし、ログアウト後、またはセッション終了後は、ユーザーはログインできません。

DCUI を使用した ESXi Shell での可用性タイムアウトまたはアイドル タイムアウトの設定

ESXi Shell はデフォルトでは無効になっています。シェルを有効にする際にセキュリティを強化するため、可用性タイムアウトとアイドルのタイムアウトのどちらか一方、または両方を設定できます。

この 2 つのタイプのタイムアウトは、それぞれ異なる状況に適用されます。
ESXi Shell のアイドル タイムアウト
ユーザーがホストで ESXi Shell を有効にしていてセッションからログアウトし忘れた場合、アイドル セッションは無期限に接続されたままになります。接続を開いたままにすると、誰かがホストに対するアクセス権を取得する潜在性が高くなります。アイドル セッションのタイムアウトを設定することによって、この状況を防止できます。
ESXi Shell の可用性タイムアウト
可用性タイムアウトは、最初にこのシェルを有効にした後、ログインするまでの許容される時間を決定します。この時間を超えると、サービスは無効になり、 ESXi Shell にログインすることはできません。

前提条件

ESXi Shell を有効にします。DCUI を使用した ESXi Shell へのアクセスの有効化を参照してください。

手順

  1. ESXi Shellにログインします。
  2. トラブルシューティング モード オプション メニューから、[ESXi Shell および SSH のタイムアウトの変更] を選択し、Enter を押します。
  3. アイドル タイムアウト(秒単位)、または可用性タイムアウトを入力します。
  4. ダイレクト コンソール ユーザー インターフェイスのメイン メニューに戻るまで、Enter を押し、Esc を押します。
  5. [OK] をクリックします。
  6. SSH サービスと ESXi Shell サービスを再起動して、タイムアウトを反映させます。
    1. vSphere Client でホストを選択し、[構成] > [システム] > [サービス] に移動します。
    2. ESXi Shell と SSH を 1 つずつ選択し、[再起動] をクリックします。

結果

  • アイドル タイムアウトを設定した場合、指定された時間アイドル状態が続くとユーザーはログアウトされます。
  • 可用性タイムアウトを設定した場合、このタイムアウト時間が経過する前にログインしないと、ログインできなくなります。

vSphere Client を使用した ESXi Shell へのアクセスの有効化

ESXi Shell および SSH インターフェイスはデフォルトで無効になっています。トラブルシューティングまたはサポート アクティビティを実行する場合以外は、これらのインターフェイスは無効のままにしてください。日常のアクティビティでは、vSphere Client を使用します。そのため、アクティビティはロールベースのアクセス コントロールおよび最新のアクセス コントロール方法の影響を受けます。

注: vSphere Client、リモートのコマンド ライン ツール(ESXCLI および PowerCLI)、および発行済みの API を使用してホストにアクセスします。特別な状況によって必要になった場合を除き、SSH を使用したホストへのリモート アクセスを有効にしないでください。

前提条件

認証済みの SSH キーを使用する必要がある場合は、それをアップロードできます。ESXi SSH キーを参照してください。

手順

  1. インベントリで、ホストに移動して参照します。
  2. [構成] をクリックし、[システム] の [サービス] をクリックします。
  3. ESXi、SSH、またはダイレクト コンソール ユーザー インターフェイス サービスを管理します。
    1. [サービス] ペインで、サービスを選択します。
    2. [起動ポリシーを編集] をクリックし、起動ポリシー [手動で開始および停止] を選択します。
    3. サービスを有効にするには、[起動] をクリックします。
    [手動で開始および停止] を選択すると、ホストを再起動しても、サービスは開始されません。ホストの再起動時にサービスが開始されるようにするには、 [ホストと連動して起動および停止] を選択します。

次のタスク

ESXi Shell の可用性とアイドルのタイムアウトを設定します。vSphere Client を使用した ESXi Shell の可用性タイムアウトの設定およびvSphere Client を使用した ESXi Shell のアイドル タイムアウトの設定を参照してください。

DCUI を使用した ESXi Shell へのアクセスの有効化

ダイレクト コンソール ユーザー インターフェイス (DCUI) を使用すると、テキストベースのメニューを使用して、ローカルでホストとの対話を行うことができます。お使いの環境のセキュリティ要件の下で、ダイレクト コンソール ユーザー インターフェイスの有効化がサポートされるかどうかを評価します。

ダイレクト コンソール ユーザー インターフェイス (DCUI) を使用して、 ESXi Shell へのローカル アクセスおよびリモート アクセスを有効にできます。ダイレクト コンソール ユーザー インターフェイスには、ホストに接続されている物理コンソールからアクセスします。ホストが再起動して ESXi がロードされたら、F2 キーを押して DCUI にログインします。 ESXi のインストール時に作成した認証情報を入力します。
注: ダイレクト コンソール ユーザー インターフェイス、 vSphere Client、ESXCLI、またはその他の管理ツールを使用してホストに加えられた変更は、1 時間ごと、または適切にシャットダウンされたときに、永続的なストレージにコミットされます。変更がコミットされる前にホストに障害が発生すると、ホストが失われる可能性があります。

手順

  1. ダイレクト コンソール ユーザー インターフェイスで、F2 を押してシステムのカスタマイズ メニューにアクセスします。
  2. [トラブルシューティング オプション] を選択し、Enter キーを押します。
  3. [トラブルシューティング モード オプション] メニューから、有効にするサービスを選択します。
    • ESXi Shell の有効化
    • SSH の有効化
  4. Enter キーを押してサービスを有効にします。
  5. ダイレクト コンソール ユーザー インターフェイスのメイン メニューに戻るまで、Esc を押します。

次のタスク

ESXi Shell の可用性とアイドルのタイムアウトを設定します。DCUI を使用した ESXi Shell での可用性タイムアウトまたはアイドル タイムアウトの設定を参照してください。

トラブルシューティングのために ESXi Shell にログイン

vSphere Client、ESXCLI、または VMware PowerCLI を使用してESXi 設定タスクを実行します。ESXi Shell(以前の Tech Support モード (TSM)) には、トラブルシューティングの目的でのみログインしてください。

手順

  1. 次のいずれかの方法で ESXi Shellにログインします。
    • ホストに直接アクセス可能な場合は、マシンの物理コンソールで Alt + F2 を押してログイン ページを開きます。
    • ホストにリモート接続する場合は、SSH などのリモート コンソール接続を使用して、ホスト上でセッションを開始します。
  2. ホストで認識されるユーザー名とパスワードを入力します。