ESXi Hypervisor 開始使用即受保護。您可以透過使用鎖定模式,以及其他內建功能,來進一步保護 ESXi 主機。針對一致性,您可以設定參考主機,並將所有主機與參考主機的主機設定檔保持同步。您也可以透過執行指令碼式管理保護您的環境,這會確保變更套用到所有主機。

您可以採取下列動作,增強對 vCenter Server 管理之 ESXi 主機的保護。如需背景和詳細資料,請參閱《VMware vSphere Hypervisor 安全性》白皮書。

限制 ESXi 存取

依預設,ESXi Shell 和 SSH 服務未在執行中,並且僅根使用者可以登入 Direct Console 使用者介面 (DCUI)。如果您決定啟用 ESXi 或 SSH 存取,可以設定逾時來限制未經授權存取的風險。

可以存取 ESXi 主機的使用者必須具有管理主機的權限。您可以從管理主機的 vCenter Server 系統對主機物件設定權限。

使用具名使用者和最少的權限

依預設,根使用者可以執行許多工作。不允許管理員使用根使用者帳戶登入 ESXi 主機。而是從 vCenter Server 建立具名管理員使用者,並為這些使用者指派管理員角色。您也可以為這些使用者指派自訂角色。請參閱建立自訂角色

如果您直接管理主機上的使用者,則會限制角色管理選項。請參閱 vSphere 單一主機管理 - VMware Host Client說明文件。

將開啟的 ESXi 防火牆連接埠數目降至最低

依預設,僅在您啟動對應的服務時,ESXi 主機上的防火牆連接埠才處於開啟狀態。您可以使用 vSphere Web Client、ESXCLI 或 PowerCLI 命令來檢查並管理防火牆連接埠狀態。

請參閱ESXi 防火牆組態

自動化 ESXi 主機管理

由於同一資料中心中的不同主機處於同步狀態通常很重要,因此,請使用指令碼式安裝或 vSphere Auto Deploy 佈建主機。您可以使用指令碼管理主機。主機設定檔是指令碼式管理的替代。您可設定參考主機,匯出主機設定檔,並將主機設定檔套用到所有主機。您可以直接套用主機設定檔,或者做為使用 Auto Deploy 進行佈建的一部分。

如需有關 vSphere Auto Deploy 的資訊,請參閱使用指令碼管理主機組態設定vSphere 安裝和設定說明文件。

利用鎖定模式

在鎖定模式下,依預設僅能透過 vCenter Server 存取 ESXi 主機。從 vSphere 6.0 開始,您可以選取嚴格鎖定模式或一般鎖定模式。您可以定義例外使用者來允許直接存取服務帳戶 (如備份代理程式)。

請參閱鎖定模式

檢查 VIB 套件完整性

每個 VIB 套件都具有相關聯的接受程度。僅當 VIB 的接受程度等同於或優於 ESXi 主機的接受程度時,才可以將此 VIB 新增至此主機。不得將接受程度為 CommunitySupported 或 PartnerSupported 的 VIB 新增至主機,除非您明確變更主機的接受程度。

請參閱管理主機和 VIB 的接受程度

管理 ESXi 憑證

在 vSphere 6.0 及更新版本中,VMware Certificate Authority (VMCA) 使用依預設將 VMCA 做為根憑證授權機構的已簽署憑證佈建每台 ESXi 主機。如果公司原則需要,您可以將現有憑證取代為由第三方或企業 CA 簽署的憑證。

請參閱ESXi 主機的憑證管理

考量智慧卡驗證

從 vSphere 6.0 開始,ESXi 支援使用智慧卡驗證,而不是使用者名稱和密碼驗證。為增強安全性,您可以設定智慧卡驗證。vCenter Server 也支援雙重要素驗證。

請參閱設定用於 ESXi 的智慧卡驗證

考量 ESXi 帳戶鎖定

從 vSphere 6.0 開始,支援透過 SSH 和 vSphere Web Services SDK 存取帳戶鎖定。依預設,最多 10 次嘗試失敗後,帳戶即會鎖定。依預設,帳戶會在兩分鐘後解除鎖定。

備註︰

Direct Console 介面 (DCUI) 和 ESXi Shell 不支援帳戶鎖定。

請參閱ESXi 密碼及帳戶鎖定

儘管獨立主機的管理工作可能有所不同,但其安全考量事項類似。請參閱 vSphere 單一主機管理 - VMware Host Client說明文件。