若要提高 ESXi 主機的安全性,您可以將主機置於鎖定模式。在鎖定模式下,依預設所有作業都必須透過 vCenter Server 執行。

一般鎖定模式和嚴格鎖定模式

使用 vSphere 6.0 及更新版本,您可以選取一般鎖定模式或嚴格鎖定模式。

一般鎖定模式
在一般鎖定模式下,DCUI 服務會保持使用中狀態。如果 vCenter Server 系統的連線中斷,且無法透過 vSphere Client 進行存取,具有權限的帳戶可以登入 ESXi 主機的 Direct Console 介面並結束鎖定模式。只有下列帳戶可以存取 Direct Console 使用者介面:
  • 鎖定模式的 [例外使用者] 清單中擁有該主機之管理權限的帳戶。[例外使用者] 清單適用於執行特定工作的服務帳戶。將 ESXi 管理員新增到此清單會讓鎖定模式的用途失效。
  • 該主機之 DCUI.Access 進階選項中定義的使用者。此選項用於在 vCenter Server 連線中斷的情況下緊急存取 Direct Console 介面。這些使用者不需要該主機的管理權限。
嚴格鎖定模式
在嚴格鎖定模式下,DCUI 服務會停止。如果 vCenter Server 的連線中斷,且無法再使用 vSphere Client,則 ESXi 主機將無法使用,除非啟用 ESXi Shell 和 SSH 服務並定義「例外使用者」。如果您無法還原 vCenter Server 系統的連線,則必須重新安裝該主機。

鎖定模式以及 ESXi Shell 與 SSH 服務

嚴格鎖定模式會停止 DCUI 服務。不過,ESXi Shell 和 SSH 服務不受鎖定模式的影響。如果要讓鎖定模式成為有效的安全性措施,請確保同樣停用 ESXi Shell 和 SSH 服務。這些服務預設為停用。

主機處於鎖定模式時,如果 [例外使用者] 清單中的使用者擁有主機的管理員角色,則可以從 ESXi Shell 並透過 SSH 存取該主機。即使處於嚴格鎖定模式,仍然可存取主機。保持停用 ESXi Shell 服務和 SSH 服務是最安全的選擇。

備註: [例外使用者] 清單適用於執行特定工作 (例如,主機備份) 的服務帳戶,而不是管理員。將管理員使用者新增到 [例外使用者] 清單會讓鎖定模式的用途失效。