ESXi Hypervisor 開始使用即受保護。您可以透過使用鎖定模式,以及其他內建功能,來進一步保護 ESXi 主機。如果您設定了參考主機並對以該主機之主機設定檔為基礎的所有主機進行變更,或者如果您執行指令碼式管理,則透過保證變更套用到所有主機,可對您的環境提供進一步保護。

使用本指南中詳細論述的下列功能,增強受 vCenter Server 管理之 ESXi 主機的保護。另請參閱《VMware vSphere Hypervisor 安全性》白皮書。

限制 ESXi 存取

依預設,ESXi Shell 和 SSH 服務未在執行中,並且僅根使用者可以登入 Direct Console 使用者介面 (DCUI)。如果您決定啟用 ESXi 或 SSH 存取,可以設定逾時來限制未經授權存取的風險。

可以存取 ESXi 主機的使用者必須具有管理主機的權限。您可以從管理主機的 vCenter Server 對主機物件設定權限。

使用具名使用者和最少的權限

依預設,根使用者可以執行許多工作。您可以從 vCenter Server 權限管理介面將不同的主機組態權限套用到不同的具名使用者,而不是允許管理員使用根使用者帳戶登入 ESXi 主機。您可以建立自訂角色,向該角色指派權限,以及將該角色與具名使用者及 vSphere Web Client 中的 ESXi 主機物件相關聯。

在只有一台主機的情況下,您直接管理使用者。請參閱 《使用 vSphere Client 進行 vSphere 管理》說明文件。

將開啟的 ESXi 防火牆連接埠數目降至最低

依預設,僅在您啟動對應的服務時,ESXi 主機上的防火牆連接埠才處於開啟狀態。您可以使用 vSphere Web Client、ESXCLI 或 PowerCLI 命令來檢查並管理防火牆連接埠狀態。

請參閱 ESXi 防火牆組態

自動化 ESXi 主機管理

由於同一資料中心中的不同主機處於同步狀態通常很重要,因此,請使用指令碼式安裝或 vSphere Auto Deploy 佈建主機。您可以使用指令碼管理主機。可以使用主機設定檔替代指令碼式管理。設定參考主機,匯出主機設定檔,並將主機設定檔套用到您的主機。您可以直接套用主機設定檔,或者做為使用 Auto Deploy 進行佈建的一部分。

如需有關 vSphere Auto Deploy 的資訊,請參閱使用指令碼管理主機組態設定《vSphere 安裝和設定》

利用鎖定模式

在鎖定模式下,依預設僅能透過 vCenter Server 存取 ESXi 主機。從 vSphere 6.0 開始,您可以選取嚴格鎖定模式或一般鎖定模式,並且可以定義例外使用者來允許直接存取服務帳戶 (如備份代理程式)。

請參閱 鎖定模式

檢查 VIB 套件完整性

每個 VIB 套件都具有相關聯的接受程度。僅當 VIB 的接受程度等同於或優於 ESXi 主機的接受程度時,才可以將其新增至此主機。不得將接受程度為 CommunitySupported 或 PartnerSupported 的 VIB 新增至主機,除非您明確變更主機的接受程度。

請參閱 檢查主機和 VIB 的接受程度

管理 ESXi 憑證

在 vSphere 6.0 及更新版本中,VMware 憑證授權機構 (VMCA) 使用依預設將 VMCA 做為根憑證授權機構的已簽署憑證佈建每台 ESXi 主機。根據公司原則需要,可以將現有憑證取代為由第三方 CA 簽署的憑證。

請參閱ESXi 主機的憑證管理

智慧卡驗證

從 vSphere 6.0 開始,ESXi 支援智慧卡驗證,做為代替使用者名稱和密碼驗證的選項。。

請參閱 設定用於 ESXi 的智慧卡驗證

ESXi 帳戶鎖定

從 vSphere 6.0 開始,支援透過 SSH 和 vSphere Web Services SDK 存取帳戶鎖定。Direct Console 介面 (DCUI) 和 ESXi Shell 不支援帳戶鎖定。依預設,最多十次嘗試失敗後,帳戶即會鎖定。依預設,帳戶會在兩分鐘後解除鎖定。

請參閱 ESXi 密碼及帳戶鎖定

儘管獨立主機的管理工作可能有所不同,但其安全考量事項類似。請參閱 《使用 vSphere Client 進行 vSphere 管理》說明文件。