若要提高 ESXi 主機的安全性,您可以將主機置於鎖定模式。在鎖定模式下,依預設所有作業都必須透過 vCenter Server 執行。

從 vSphere 6.0 開始,您可以選取一般鎖定模式或嚴格鎖定模式,這兩者可提供不同的鎖定程度。vSphere 6.0 還推出了 [例外使用者] 清單。當主機進入鎖定模式時,例外使用者不會遺失他們的權限。主機處於鎖定模式時,使用 [例外使用者] 清單來新增需要直接存取主機之第三方解決方案和外部應用程式的帳戶。請參閱 指定鎖定模式例外使用者

一般鎖定模式和嚴格鎖定模式

從 vSphere 6.0 開始,您可以選取一般鎖定模式或嚴格鎖定模式,這兩者可提供不同的鎖定程度。

一般鎖定模式

在一般鎖定模式下,不會停止 DCUI 服務。如果 vCenter Server 系統的連線中斷,且無法再透過 vSphere Web Client 進行存取,具有權限的帳戶可以登入 ESXi 主機的 Direct Console 介面並結束鎖定模式。只有下列帳戶可以存取 Direct Console 使用者介面:

  • 鎖定模式的 [例外使用者] 清單中擁有該主機之管理權限的帳戶。[例外使用者] 清單適用於執行極特定工作的服務帳戶。將 ESXi 管理員新增到此清單會讓鎖定模式的用途失效。

  • 該主機之 DCUI.Access 進階選項中定義的使用者。此選項用於在 vCenter Server 連線中斷的情況下緊急存取 Direct Console 介面。這些使用者不需要該主機的管理權限。

嚴格鎖定模式

嚴格鎖定模式是 vSphere 6.0 中的新增模式,這種模式下會停止 DCUI 服務。如果 vCenter Server 的連線中斷,且無法再使用 vSphere Web Client,則 ESXi 主機將無法使用,除非啟用 ESXi Shell 和 SSH 服務並定義「例外使用者」。如果您無法還原 vCenter Server 系統的連線,則必須重新安裝該主機。

鎖定模式以及 ESXi Shell 與 SSH 服務

嚴格鎖定模式會停止 DCUI 服務。不過,ESXi Shell 和 SSH 服務不受鎖定模式的影響。如果要讓鎖定模式成為有效的安全性措施,請確保同樣停用 ESXi Shell 和 SSH 服務。這些服務預設為停用狀態。

主機處於鎖定模式時,如果 [例外使用者] 清單中的使用者擁有主機的管理員角色,則可以從 ESXi Shell 並透過 SSH 存取該主機。即使處於嚴格鎖定模式,仍然可存取主機。保持停用 ESXi Shell 服務和 SSH 服務是最安全的選擇。

備註︰

[例外使用者] 清單適用於執行特定工作 (例如,主機備份) 的服務帳戶,而不是管理員。將管理員使用者新增到 [例外使用者] 清單會讓鎖定模式的用途失效。

啟用和停用鎖定模式

具有權限的使用者可以透過下列多種方式啟用鎖定模式:

具有權限的使用者可以從 vSphere Web Client 停用鎖定模式。他們可從 Direct Console 介面停用一般鎖定模式,但是無法從 Direct Console 介面停用嚴格鎖定模式。

備註︰

如果使用 Direct Console 使用者介面來啟用或停用鎖定模式,則會捨棄主機上使用者和群組的權限。若要保留這些權限,您必須使用 vSphere Web Client 啟用和停用鎖定模式。