若要提高 ESXi 主機的安全性,您可以將主機置於鎖定模式。在鎖定模式下,依預設所有作業都必須透過 vCenter Server 執行。

一般鎖定模式和嚴格鎖定模式

使用 vSphere 6.0 及更新版本,您可以選取一般鎖定模式或嚴格鎖定模式。

一般鎖定模式
在一般鎖定模式下,DCUI 服務會保持使用中狀態。如果 vCenter Server 系統的連線中斷,且無法透過 vSphere Client 進行存取,具有權限的帳戶可以登入 ESXi 主機的 Direct Console 介面並結束鎖定模式。只有下列帳戶可以存取 Direct Console 使用者介面:
  • 鎖定模式的 [例外使用者] 清單中擁有該主機之管理權限的帳戶。[例外使用者] 清單適用於執行特定工作的服務帳戶。將 ESXi 管理員新增到此清單會讓鎖定模式的用途失效。
  • 該主機之 DCUI.Access 進階選項中定義的使用者。此選項用於在 vCenter Server 連線中斷的情況下緊急存取 Direct Console 介面。這些使用者不需要該主機的管理權限。
嚴格鎖定模式
在嚴格鎖定模式下,DCUI 服務會停止。如果 vCenter Server 的連線中斷,且無法再使用 vSphere Client,則 ESXi 主機將無法使用,除非啟用 ESXi Shell 和 SSH 服務並定義「例外使用者」。如果您無法還原 vCenter Server 系統的連線,則必須重新安裝該主機。

鎖定模式以及 ESXi Shell 與 SSH 服務

嚴格鎖定模式會停止 DCUI 服務。不過,ESXi Shell 和 SSH 服務不受鎖定模式的影響。如果要讓鎖定模式成為有效的安全性措施,請確保同樣停用 ESXi Shell 和 SSH 服務。這些服務預設處於停用狀態。

主機處於鎖定模式時,如果 [例外使用者] 清單中的使用者擁有主機的管理員角色,則可以從 ESXi Shell 並透過 SSH 存取該主機。即使處於嚴格鎖定模式,仍然可存取主機。保持停用 ESXi Shell 服務和 SSH 服務是最安全的選擇。

備註: [例外使用者] 清單適用於執行特定工作 (例如,主機備份) 的服務帳戶,而不是管理員。將管理員使用者新增到 [例外使用者] 清單會讓鎖定模式的用途失效。

使用 VMware Host ClientESXi 主機置於一般鎖定模式

您可以使用 VMware Host Client 進入一般鎖定模式。

程序

  1. VMware Host Client 詳細目錄中的主機上按一下滑鼠右鍵,從下拉式功能表中選取鎖定模式,然後選取進入一般鎖定
    將顯示一條警告訊息。
  2. 按一下進入一般鎖定

使用 VMware Host ClientESXi 主機置於嚴格鎖定模式

您可以使用 VMware Host Client 進入嚴格鎖定模式。

程序

  1. VMware Host Client 詳細目錄中的主機上按一下滑鼠右鍵,從下拉式功能表中選取鎖定模式,然後選取進入嚴格鎖定
    將顯示一條警告訊息。
  2. 按一下進入嚴格鎖定

使用 VMware Host Client 結束鎖定模式

如果您已在 ESXi 主機上進入一般或嚴格鎖定模式,則可以透過使用 VMware Host Client 結束鎖定。

程序

  • VMware Host Client 詳細目錄中的主機上按一下滑鼠右鍵,從下拉式功能表中選取鎖定模式,然後選取結束鎖定

VMware Host Client 中指定鎖定模式例外使用者

藉由 vSphere 6.0 及更新版本,您可以透過使用 VMware Host Client 將使用者新增到 [例外使用者] 清單中。當主機進入鎖定模式時,這些使用者不會遺失他們的權限。因此,可以將服務帳戶 (例如備份代理程式) 新增到 [例外使用者] 清單。

例外使用者為主機的本機使用者,或具有針對 ESXi 主機本機定義之權限的 Active Directory 使用者。他們不是 Active Directory 群組的成員,也不是 vCenter Server 使用者。這些使用者可根據其權限在主機上執行作業。例如,這意味著唯讀使用者無法在主機上停用鎖定模式。
備註: [例外使用者] 清單適用於執行特定工作 (例如,主機備份) 的服務帳戶,而不是管理員。將管理員使用者新增到 [例外使用者] 清單會讓鎖定模式的用途失效。

程序

  1. VMware Host Client 詳細目錄中按一下管理,然後按一下安全性和使用者
  2. 按一下鎖定模式
  3. 按一下新增使用者例外,輸入使用者名稱,然後按一下新增例外
  4. (選擇性) 從 [例外使用者] 清單中選取名稱,然後依次按一下移除使用者例外確認