ESXiHypervisor 開始使用即受保護。您可以透過使用鎖定模式,以及其他內建功能,來進一步保護ESXi主機。針對一致性,您可以設定參考主機,並將所有主機與參考主機的主機設定檔保持同步。您也可以透過執行指令碼式管理保護您的環境,這會確保變更套用到所有主機。
您可以採取下列動作,增強對 vCenter Server管理之ESXi 主機的保護。如需背景和詳細資料,請參閱《VMware vSphere Hypervisor 安全性》白皮書。
- 限制 ESXi存取
- 依預設, ESXi Shell和 SSH 服務未在執行中,並且僅根使用者可以登入 Direct Console 使用者介面 (DCUI)。如果您決定啟用 ESXi或 SSH 存取,可以設定逾時來限制未經授權存取的風險。
- 使用具名使用者和最少的權限
- 依預設,根使用者可以執行許多工作。不允許管理員使用根使用者帳戶登入 ESXi主機。而是從 vCenter Server建立具名管理員使用者,並為這些使用者指派管理員角色。您也可以為這些使用者指派自訂角色。請參閱 建立 vCenter Server 自訂角色。
- 將開啟的 ESXi防火牆連接埠數目降至最低
- 依預設,僅在您啟動對應的服務時, ESXi主機上的防火牆連接埠才處於開啟狀態。您可以使用 vSphere Client、ESXCLI 或 PowerCLI 命令來檢查並管理防火牆連接埠狀態。
- 自動化 ESXi主機管理
- 由於同一資料中心中的不同主機處於同步狀態通常很重要,因此,請使用指令碼式安裝或 vSphere Auto Deploy 佈建主機。您可以使用指令碼管理主機。主機設定檔是指令碼式管理的替代。您可設定參考主機,匯出主機設定檔,並將主機設定檔套用到所有主機。您可以直接套用主機設定檔,或者做為使用 Auto Deploy 進行佈建的一部分。
- 利用鎖定模式
- 在鎖定模式下,依預設僅能透過 vCenter Server存取 ESXi 主機。您可以選取嚴格鎖定模式或一般鎖定模式。您可以定義例外使用者,以允許直接存取備份代理程式等服務帳戶。
- 檢查 VIB 套件完整性
- 每個 VIB 套件都具有相關聯的接受程度。僅當 VIB 的接受程度等同於或優於 ESXi主機的接受程度時,才可以將此 VIB 新增至此主機。不得將接受程度為 CommunitySupported 或 PartnerSupported 的 VIB 新增至主機,除非您明確變更主機的接受程度。
- 管理 ESXi憑證
- VMware Certificate Authority (VMCA) 預設會使用將 VMCA 做為根憑證授權機構的已簽署憑證佈建每台 ESXi主機。如果公司原則需要,您可以將現有憑證取代為由第三方或企業 CA 簽署的憑證。
- 考量智慧卡驗證
- ESXi支援使用智慧卡驗證,而不是使用者名稱和密碼驗證。為增強安全性,您可以設定智慧卡驗證。 vCenter Server也支援雙因素驗證。您可以同時設定使用者名稱和密碼驗證及智慧卡驗證。
- 考量 ESXi帳戶鎖定
-
支援透過 SSH 和 vSphere Web Services SDK 存取帳戶鎖定。依預設,最多 10 次嘗試失敗後,帳戶即會鎖定。依預設,帳戶會在兩分鐘後解除鎖定。
備註: Direct Console 介面 (DCUI) 和 ESXi Shell不支援帳戶鎖定。
儘管獨立主機的管理工作可能有所不同,但其安全考量事項類似。請參閱 vSphere 單一主機管理 - VMware Host Client說明文件。