您可以使用 VMware Host Client 管理進階主機設定、向主機指派或移除授權、設定主機服務的啟動和停止原則以及管理主機的時間和日期組態。

VMware Host Client 中管理進階設定

可以使用 VMware Host Client 變更主機設定。

注意: 不支援變更進階選項,除非 VMware 技術支援或知識庫文章指示您這樣做。在其他所有情況下,均不支援變更這些選項。大多數情況下,使用預設的設定即可獲得最佳結果。

程序

  1. VMware Host Client 詳細目錄中按一下管理,然後按一下系統
  2. 按一下進階設定
  3. 在清單中的適當項目上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項
    編輯選項對話方塊隨即顯示。
  4. 編輯值,然後按一下儲存以套用變更。
  5. (選擇性) 在清單中的適當項目上按一下滑鼠右鍵,然後選取重設為預設值返回項目的原始設定。

為 Direct Console 使用者介面和 VMware Host Client 建立初始歡迎訊息

使用 VMware Host Client,可以建立一條歡迎訊息,該訊息將顯示在 Direct Console 使用者介面 (DCUI) 的初始螢幕上以及 VMware Host Client 的登入視窗上。還可以建立在使用者登入 VMware Host Client 後顯示的歡迎訊息,並決定是否顯示該歡迎訊息。

程序

  1. VMware Host Client 詳細目錄中按一下管理,然後按一下進階設定
    選項 動作
    建立登入 DCUI 和 VMware Host Client 之前顯示的歡迎訊息
    1. 搜尋文字方塊中輸入 Annotations.WelcomeMessage,然後按一下搜尋圖示。
    2. Annotations.WelcomeMessage 上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項

      編輯選項對話方塊隨即開啟。

    3. 新值文字方塊中,輸入歡迎訊息。

      若要設定預設訊息,請將新值文字方塊留空。
    建立登入 VMware Host Client 後顯示的歡迎訊息
    1. 搜尋文字方塊中輸入 UserVars.HostClientWelcomeMessage,然後按一下搜尋圖示。
    2. UserVars.HostClientWelcomeMessage 上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項

      編輯選項對話方塊隨即開啟。

    3. 新值文字方塊中,輸入歡迎訊息。

      若要設定預設訊息,請將新值文字方塊留空。
    啟用或停用在登入 VMware Host Client 後顯示歡迎訊息
    1. 搜尋文字方塊中輸入 UserVars.HostClientEnableMOTDNotification,然後按一下搜尋圖示。
    2. UserVars.HostClientEnableMOTDNotification 上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項

      編輯選項對話方塊隨即開啟。

    3. 新值文字方塊中,輸入新值。

      值為零 (0) 表示將停用歡迎訊息的顯示。

      值為 1 (1) 表示將啟用歡迎訊息的顯示。
  2. 按一下儲存
  3. (選擇性) 若要將金鑰設定重設為預設值,請在清單中的相應金鑰上按一下滑鼠右鍵,然後選取重設為預設值

設定 VMware Host Client 使用者介面工作階段逾時

VMware Host Client 中,使用者介面工作階段每 15 分鐘自動逾時,然後必須重新登入 VMware Host Client

可以透過變更進階組態參數來增加預設非作用中狀態逾時。預設值為 900 秒。

程序

  • 設定使用者介面工作階段逾時。
    選項 動作
    VMware Host Client 進階設定
    1. VMware Host Client 詳細目錄中按一下管理,然後按一下進階設定
    2. 搜尋文字方塊中輸入 UserVars.HostClientSessionTimeout,然後按一下搜尋圖示。
    3. UserVars.HostClientSessionTimeout 上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項

      編輯選項對話方塊隨即開啟。

    4. 新值文字方塊中,輸入逾時設定 (以秒為單位)。
      備註: 值為零 (0) 表示停用逾時。
    5. 按一下儲存
    6. (選擇性) 若要將金鑰設定重設為預設值,請在清單中的相應金鑰上按一下滑鼠右鍵,然後選取重設為預設值
    從 [使用者設定] 下拉式功能表中
    1. 按一下 VMware Host Client 視窗頂部的使用者名稱,然後選取設定 > 應用程式逾時 >
    2. 若要指定非作用中狀態逾時,請選取時間。
    3. 若要停用非作用中狀態逾時,請選取 Off

在 VMware Host Client 中設定 SOAP 工作階段逾時

VMware Host Client 中,可以設定 SOAP 工作階段逾時。

程序

  1. VMware Host Client 詳細目錄中按一下管理,然後按一下進階設定
  2. 搜尋文字方塊中輸入 Config.HostAgent.vmacore.soap.sessionTimeout,然後按一下搜尋圖示。
  3. Config.HostAgent.vmacore.soap.sessionTimeout 上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項
    編輯選項對話方塊隨即開啟。
  4. 新值文字方塊中,輸入逾時設定 (以秒為單位)。
    值為零 (0) 表示停用逾時。
  5. 按一下儲存
  6. (選擇性) 若要將金鑰設定重設為預設值,請在清單中的相應金鑰上按一下滑鼠右鍵,然後選取重設為預設值

VMware Host Client 中設定密碼和帳戶鎖定原則

對於 ESXi 主機,您必須使用符合預先定義需求的密碼。可以變更所需密碼長度、字元類別需求,或者允許使用複雜密碼,所有這些設定都可使用 Security.PasswordQualityControl 進階選項實現。您也可以使用 Security.PasswordHistory進階選項,設定需記住用於每個使用者的密碼數目。此設定可防止重複或類似的密碼。透過 Security.PasswordMaxDays 進階選項,可以設定兩次變更密碼之間的天數上限。

備註: 在變更預設密碼設定後,始終執行其他測試。

如果嘗試使用不正確的認證登入,帳戶鎖定原則將指定系統鎖定帳戶的時間和時長。

ESXi 密碼

ESXi 針對存取強制執行密碼需求。

  • 依預設,建立密碼時,必須包括以下四類字元中任何三類字元的組合:小寫字母、大寫字母、數字和特殊字元 (如底線或破折號)。
  • 依預設,密碼長度必須至少為 7 個字元,最多 40 個字元。
  • 密碼不得包含字典字組或部分字典字組。
  • 密碼不得包含使用者名稱或部分使用者名稱。
備註:

密碼開頭的大寫字元不計入使用的字元類別數。密碼結尾的數字不計入使用的字元類別數。

ESXi 密碼範例

下列候選密碼說明了選項設定如下時可以使用的潛在密碼:

retry=3 min=disabled,disabled,disabled,7,7

使用此設定時,如果新密碼的強度不夠或兩次未正確輸入密碼,則會提示使用者最多輸入三次 (retry=3)。由於前三個項目已停用,因此不允許使用包含一或兩類字元類別的密碼及密碼片語。使用三類及四類字元的密碼需要 7 個字元。

下列候選密碼符合以下密碼需求:

  • xQaTEhb! :包含八個字元,由三類字元組成。
  • xQaT3#A:包含七個字元,由四類字元組成。

下列候選密碼不符合密碼需求:

  • Xqat3hi:以大寫字元開頭,將有效字元類別數目減少到兩種。最少需要三種類別的字元。
  • xQaTEh2:以數字結尾,將有效字元類別數目減少到兩種。最少需要三種類別的字元。
密碼品質控制

可以使用 Security.PasswordQualityControl 進階選項控制密碼品質。

Security.PasswordQualityControl 由遵循以下模式的多個設定組成:

retry=N min=N0,N1,N2,N3,N4 max=N passphrase=N similar=permit|deny
密碼品質控制設定 說明 預設值
retry=N 在密碼不正確或密碼強度不夠時,使用者必須提供新密碼的次數。 retry=3
min=N0,N1,N2,N3,N4 字元類別和複雜密碼的長度下限需求。
  • N0 是單一字元類別的密碼長度下限。
  • N1 是兩種字元類別的密碼長度下限。
  • N2 是複雜密碼的長度下限。
  • N3 是三種字元類別的長度下限。
  • N4 是四種字元類別的長度下限。
可以利用 disabled 禁止使用具有指定字元類別數的密碼。		 min=disabled,disabled,disabled,7,7
max=N 允許的密碼長度上限。 max=40
passphrase=N 複雜密碼所需的字組數。為確保辨識 passphrase,請勿將 min 設定中的 N2 設定為 disabled passphrase=3
similar=permit|deny 指示是否允許密碼與舊密碼類似。若要使用此設定,請確保將 Security.PasswordHistory 選項設定為非零值。

從 vSphere 8.0 Update 1 開始,預設值為 5。

similar=deny
ESXi 複雜密碼

可以使用複雜密碼取代密碼。複雜密碼預設處於停用狀態。可以使用 Security.PasswordQualityControl 進階選項變更預設設定。

例如,您可將該選項變更為下列內容。

retry=3 min=disabled,disabled,16,7,7

此範例允許使用至少包含 16 個字元的複雜密碼。複雜密碼必須至少包含 3 個以空格分隔的字組。

密碼歷程記錄和輪替原則範例

若要記住 6 個密碼的歷程記錄,請將 Security.PasswordHistory 選項設定為 6。

若要強制執行 90 天密碼輪替原則,請將 Security.PasswordMaxDays 選項設定為 90。

ESXi 帳戶鎖定原則

在連續嘗試失敗預設次數後,使用者會被鎖定。依預設,在 3 分鐘內連續嘗試失敗 5 次後,使用者會被鎖定,並且 15 分鐘後,系統會自動解除鎖定被鎖定的帳戶。可以使用 Security.AccountLockFailuresSecurity.AccountUnlockTime 進階選項變更允許的失敗嘗試次數上限和鎖定使用者帳戶的時長。

若要設定管理員密碼和帳戶鎖定行為,請執行以下步驟。

程序

  1. VMware Host Client 詳細目錄中按一下管理,然後按一下進階設定

    選項

    動作

    設定所需密碼長度、字元類別需求或允許使用複雜密碼

    1. 搜尋文字方塊中輸入 Security.PasswordQualityControl,然後按一下搜尋圖示。

    2. Security.PasswordQualityControl 上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項

    設定需記住用於每個使用者的密碼數目

    1. 搜尋文字方塊中輸入 Security.PasswordHistory,然後按一下搜尋圖示。

    2. Security.PasswordHistory 上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項

      備註: 零 (0) 表示停用密碼歷程記錄。

    設定兩次變更密碼之間的天數上限

    1. 搜尋文字方塊中輸入 Security.PasswordMaxDays,然後按一下搜尋圖示。

    2. Security.PasswordMaxDays 上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項

    設定鎖定前允許的失敗登入嘗試次數

    1. 搜尋文字方塊中輸入 Security.AccountLockFailures,然後按一下搜尋圖示。

    2. Security.AccountLockFailures 上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項

      備註:

      零 (0) 表示停用帳戶鎖定。

    設定鎖定使用者帳戶的時長

    1. 搜尋文字方塊中輸入 Security.AccountUnlockTime,然後按一下搜尋圖示。

    2. Security.AccountUnlockTime 上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項

    編輯選項對話方塊隨即開啟。

  2. 新值文字方塊中,輸入新設定。
  3. 按一下儲存
  4. (選擇性) 若要將金鑰設定重設為預設值,請在清單中的相應金鑰上按一下滑鼠右鍵,然後選取重設為預設值

VMware Host Client 中設定 Syslog

若要設定 syslog 服務,可以使用 VMware Host Client

程序

  1. VMware Host Client 詳細目錄中按一下管理,然後按一下進階設定
  2. 搜尋文字方塊中,輸入要變更的設定的名稱,然後按一下搜尋圖示。
    選項 說明
    Syslog.global.LogHost 將 Syslog 訊息轉送到的遠端主機,以及該遠端主機接收 Syslog 訊息所在的連接埠。可以包括通訊協定和連接埠,例如 protocol://hostName1:port,其中 protocol 可以是 udp、tcp 或 ssl。對於 UDP,只能使用連接埠 514。ssl 通訊協定使用 TLS 1.2。例如:ssl://hostName1:1514port 的值可以是介於 1 到 65535 之間的任何十進位數字。

    雖然對接收 Syslog 訊息的遠端主機數量沒有固定限制,但建議將遠端主機的數量保持在 5 個或以下。
    Syslog.global.logCheckSSLCerts 登入遠端主機時強制檢查 SSL 憑證。
    Syslog.global.defaultRotate 要保留的封存數目上限。可全域設定該數目,也可針對個別子記錄器進行設定。
    Syslog.global.defaultSize 系統輪替記錄前記錄的預設大小 (以 KB 為單位)。可全域設定該數目,也可針對個別子記錄器進行設定。
    Syslog.global.LogDir 儲存記錄的目錄。該目錄可能位於掛接的 NFS 或 VMFS 磁碟區中。只有本機檔案系統中的 /scratch 目錄在重新開機後仍會存在。將目錄指定為 [datastorename] path_to_file,其中路徑相對於支援資料存放區的磁碟區的根目錄路徑。例如,路徑 [storage1] /systemlogs 會對應到路徑 /vmfs/volumes/storage1/systemlogs
    Syslog.global.logDirUnique 若選取此選項,將會使用 ESXi 主機的名稱,在 Syslog.global.LogDir 指定的目錄下建立子目錄。如果有多個 ESXi 主機使用同一個 NFS 目錄,則唯一的目錄非常有用。
  3. 在設定名稱上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項
    編輯選項對話方塊隨即開啟。
  4. 若要在登入遠端主機時執行 SSL 憑證檢查,請從新值中按一下 True
  5. 按一下儲存
  6. (選擇性) 若要將金鑰設定重設為預設值,請在清單中的相應金鑰上按一下滑鼠右鍵,然後選取重設為預設值

設定進階 TLS/SSL 金鑰選項

可以設定用於加密與 ESXi 主機通訊的安全性通訊協定和密碼編譯演算法。

如需詳細資訊,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/79476

傳輸層安全性 (TLS) 金鑰使用 TLS 通訊協定保護與主機的通訊。首次開機時,ESXi 主機會以 2048 位元 RSA 金鑰的形式產生 TLS 金鑰。目前,ESXi 不為 TLS 自動產生 ECDSA 金鑰。TLS 私密金鑰不由管理員進行維護。

SSH 金鑰使用 SSH 通訊協定保護與 ESXi 主機的通訊。首次開機時,系統會以 2048 位元 RSA 金鑰的形式產生 SSH 金鑰。依預設,SSH 伺服器處於停用狀態。SSH 存取主要用於疑難排解目的。SSH 金鑰不由管理員進行維護。透過 SSH 登入需要相當於完全主機控制的管理權限。若要啟用 SSH 存取,請參閱在 VMware Host Client 中啟用安全殼層 (SSH)

可以設定以下 ESXi 主機安全性金鑰設定。
備註: UserVars.ESXiVPsAllowedCiphers 安全性金鑰設定僅影響 I/O 篩選器。
索引鍵 預設值 說明
UserVars.ESXiVPsAllowedCiphers !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES 預設密碼控制字串。
Config.HostAgent.ssl.keyStore.allowAny False 可以將任何憑證新增到 ESXi CA 信任存放區。
Config.HostAgent.ssl.keyStore.allowSelfSigned False 可以將非 CA 自我簽署憑證新增到 ESXi CA 信任存放區,即未設定 CA 位元的憑證。
Config.HostAgent.ssl.keyStore.discardLeaf True 捨棄新增到 ESXi CA 信任存放區的分葉憑證。

設定 ESXi 安全性金鑰設定:

程序

  1. VMware Host Client 詳細目錄中按一下管理,然後按一下進階設定
  2. 搜尋文字方塊中輸入安全性金鑰,然後按一下搜尋圖示。
  3. 在安全性金鑰上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項
    編輯選項對話方塊隨即開啟。
  4. 新值欄位中,輸入新值,然後按一下儲存
  5. (選擇性) 若要將金鑰設定重設為預設值,請在清單中的相應金鑰上按一下滑鼠右鍵,然後選取重設為預設值

設定使用者環境記憶體歸零

VMware Host Client 中,可以使用進階選項 Mem.MemEagerZero 確定如何為虛擬機器和使用者空間應用程式將頁面歸零。

若要在配置給虛擬機器和使用者空間應用程式時將所有頁面歸零,請將 Mem.MemEagerZero 設定為一 (1)。如果未重複使用記憶體,此設定可防止將虛擬機器或使用者空間應用程式中的資訊公開給其他用戶端,同時在記憶體中保留以前的內容。

如果將 Mem.MemEagerZero 設定為 1,使用者空間應用程式結束時會將頁面歸零。對於虛擬機器,會在以下情況下將此類頁面歸零:
  • 虛擬機器電源已關閉。
  • 已移轉虛擬機器頁面。
  • ESXi 主機回收虛擬機器記憶體。
備註: 對於虛擬機器,可以透過將 sched.mem.eagerZero 進階選項設定為 TRUE 來實現此行為。

如需設定進階虛擬機器選項的相關資訊,請參閱《vSphere 資源管理》說明文件。

若要設定使用者環境記憶體歸零,請執行以下步驟。

程序

  1. VMware Host Client 詳細目錄中按一下管理,然後按一下進階設定
  2. 搜尋文字方塊中輸入 Mem.MemEagerZero,然後按一下搜尋圖示。
  3. Mem.MemEagerZero 上按一下滑鼠右鍵,然後從下拉式功能表中選取編輯選項
    編輯選項對話方塊隨即開啟。
  4. 新值文字方塊中,輸入新值。

    預設值為零 (0)。

  5. 按一下儲存
  6. (選擇性) 若要將金鑰設定重設為預設值,請在清單中的相應金鑰上按一下滑鼠右鍵,然後選取重設為預設值

VMware Host Client 中變更自動啟動組態

設定 ESXi 主機的自動啟動選項,以設定主機的啟動和停止時間。

程序

  1. VMware Host Client 詳細目錄中按一下管理,然後按一下系統
  2. 按一下自動啟動
  3. 按一下編輯設定
  4. 選取以允許變更自動啟動組態。
    選項 說明
    開始延遲 啟動 ESXi 主機之後,它會開始開啟設定為自動啟動的虛擬機器的電源。在 ESXi 主機開啟第一個虛擬機器的電源之後,主機會等待指定的延遲時間過後,再開啟下一個虛擬機器的電源。
    停止延遲 停止延遲為 ESXi 主機等待關閉命令完成的時間上限。關閉虛擬機器的順序與其啟動順序相反。ESXi 主機在指定的時間內關閉第一個虛擬機器後,會接著關閉下一個虛擬機器。如果在指定的延遲時間內未關閉虛擬機器,則主機會執行關閉電源命令,然後開始關閉下一個虛擬機器。ESXi 主機只會在所有虛擬機器均關閉之後關閉。
    停止動作 選取當主機關閉時,適用於主機上虛擬機器的關閉動作。
    • 系統預設值
    • 關閉電源
    • 暫停
    • 關閉
    等待活動訊號 選取以啟用等待活動訊號選項。如果虛擬機器的客體作業系統安裝了 VMware Tools,則可以使用此選項。在 ESXi 主機開啟第一個虛擬機器的電源之後,會立即開啟下一個虛擬機器的電源。在虛擬機器收到第一個活動訊號之後,開啟虛擬機器電源的順序會按啟動順序繼續。
    如果將延遲選項設定為 -1,系統會使用預設選項。
  5. 按一下儲存

VMware Host Client 中編輯 ESXi 主機的時間組態

透過使用 VMware Host Client,您可以手動設定主機的時間設定,也可以將主機的時間和日期與 NTP 或 PTP 伺服器同步。NTP 提供毫秒計時準確性,而 PTP 保持微秒計時準確性。

主機上的 NTP 服務會定期從 NTP 伺服器獲得時間和日期。無論選取的 NTP 服務啟動原則為何,您都可以隨時使用啟動停止重新啟動按鈕來變更主機上 NTP 服務的狀態。

PTP 會佈建網路中虛擬機器的精確時間同步。若要在任何時候變更主機上的 PTP 服務,可以使用啟動停止重新啟動按鈕。啟動或停止 PTP 服務會自動啟用或停用 PTP。若要在手動啟用或停用 PTP 時套用變更,請啟動或停止 PTP 服務。

如需有關服務的詳細資訊,請參閱在 VMware Host Client 中管理服務

備註: NTP 和 PTP 服務無法同時執行。

程序

  1. 按一下 VMware Host Client 詳細目錄中的管理
  2. 系統索引標籤上,按一下時間和日期
  3. 設定主機的時間和日期。
    選項 動作
    手動設定主機上的日期和時間
    1. 按一下編輯 NTP 設定

      隨即顯示編輯 NTP 設定對話方塊。

    2. 手動設定主機的時間和日期。
    3. 按一下儲存
    使用網路時間通訊協定 (啟用 NTP 用戶端)
    1. 按一下編輯 NTP 設定

      隨即顯示編輯 NTP 設定對話方塊。

    2. 選取使用網路時間通訊協定選項按鈕。
    3. NTP 伺服器文字方塊中,輸入要使用的 NTP 伺服器的 IP 位址或主機名稱。
    4. NTP 服務啟動原則下拉式功能表中,選取用於啟動和停止主機上 NTP 服務的選項。
      • 根據連接埠使用情況啟動和停止。在啟用或停用 NTP 用戶端連接埠以存取主機的安全性設定檔時,啟動或停止 NTP 服務。
      • 隨主機一起啟動和停止。當主機電源開啟和關閉時,啟動和停止 NTP 服務。
      • 手動啟動和停止。啟用手動啟動和停止 NTP 服務的功能。如果您選取手動啟動和停止原則,則 NTP 服務的狀態僅在您使用 UI 控制時才會變更。
    5. 按一下儲存
    使用精確時間通訊協定 (啟用 PTP 用戶端)
    1. 按一下編輯 PTP 設定
    2. 選取啟用核取方塊。
    3. 網路介面下拉式功能表中,選取網路介面。

      隨即顯示 IPv4 和子網路遮罩。

    4. 按一下儲存