若要提高ESXi主機的安全性,您可以將主機置於鎖定模式。在鎖定模式下,依預設所有作業都必須透過 vCenter Server執行。

您可以選取一般鎖定模式或嚴格鎖定模式,這兩者可提供不同的鎖定程度。也可以使用 [例外使用者] 清單。當主機進入鎖定模式時,例外使用者不會遺失他們的權限。主機處於鎖定模式時,使用 [例外使用者] 清單來新增需要直接存取主機之第三方解決方案和外部應用程式的帳戶。

鎖定模式行為

在鎖定模式下,部分服務會停用,而部分服務僅供特定使用者存取。

適用於不同使用者的鎖定模式服務

當主機執行時,可用服務取決於是否已啟用鎖定模式,以及鎖定模式的類型。

  • 在嚴格及一般鎖定模式下,有特殊權限的使用者可透過 vCenter Server、從 vSphere Client,或透過使用 vSphere Web Services SDK 來存取主機。
  • Direct Console 介面行為針對嚴格鎖定模式和一般鎖定模式有所不同。
    • 在嚴格鎖定模式下,Direct Console 使用者介面 (DCUI) 服務會停用。
    • 在一般鎖定模式下,如果 [例外使用者] 清單上的帳戶擁有管理員權限,則可以存取 DCUI。此外,在 DCUI.Access 進階系統設定中指定的所有使用者都可存取 DCUI。
  • 如果 ESXi Shell 或 SSH 已啟用,而主機處於鎖定模式下,則 [例外使用者] 清單中具有管理員權限的帳戶均可使用這些服務。對於所有其他使用者,ESXi Shell 或 SSH 存取會停用。針對無管理員權限之使用者的 ESXi 或 SSH 工作階段均會關閉。

嚴格及一般鎖定模式下的所有存取均會得到記錄。

表 1. 鎖定模式行為
服務 一般模式 一般鎖定模式 嚴格鎖定模式
vSphere Web Services API 所有使用者,根據權限 vCenter (vpxuser)

例外使用者,根據權限

vCloud Director (如果可用,則為 vslauser)

vCenter (vpxuser)

例外使用者,根據權限

vCloud Director (如果可用,則為 vslauser)

CIM 提供者 主機上具有管理員權限的使用者 vCenter (vpxuser) 例外使用者,根據權限

vCloud Director (如果可用,則為 vslauser)

vCenter (vpxuser) 例外使用者,根據權限

vCloud Director (如果可用,則為 vslauser)

Direct Console UI (DCUI) 主機上具有管理員權限的使用者,以及 DCUI.Access 進階系統設定中的使用者

DCUI.Access 進階系統設定中定義的使用者

主機上具有管理員權限的例外使用者 		DCUI 服務已停止。
ESXi Shell (如果啟用) 和 SSH (如果啟用) 主機上具有管理員權限的使用者

DCUI.Access 進階選項中定義的使用者

主機上具有管理員權限的例外使用者

DCUI.Access 進階系統設定中定義的使用者

主機上具有管理員權限的例外使用者

在啟用鎖定模式時登入 ESXi Shell 的使用者的鎖定模式行為

使用者可能會登入 ESXi Shell,或透過 SSH 存取主機,然後鎖定模式才會啟用。在此情況下,位於 [例外使用者] 清單中且在主機上具有管理員權限的使用者會保持登入狀態。將會針對所有其他使用者關閉工作階段。此終止同時適用於一般及嚴格鎖定模式。

如何停用鎖定模式

您可以停用鎖定模式,如下所示。
vSphere Client
使用者可以從 vSphere Client 中停用一般鎖定模式和嚴格鎖定模式。請參閱 從 vSphere Client 停用鎖定模式
從 Direct Console 使用者介面中
若使用者能在 ESXi 主機上存取 Direct Console 使用者介面,即可停用一般鎖定模式。在嚴格鎖定模式下,Direct Console 介面服務會停止。請參閱 從 Direct Console 使用者介面啟用或停用一般鎖定模式

vSphere Client 啟用鎖定模式

選取鎖定模式,要求所有組態變更都透過 vCenter Server 進行。vSphere 支援一般鎖定模式和嚴格鎖定模式。

如果您想要完全禁止所有對主機的直接存取,您可以選取嚴格鎖定模式。在嚴格鎖定模式下,如果 vCenter Server 不可用,且 SSH 和 ESXi Shell 已停用,則無法存取主機。請參閱鎖定模式行為

程序

  1. vSphere Client 詳細目錄中瀏覽到主機。
  2. 按一下設定
  3. 在 [系統] 下,選取安全性設定檔
  4. 在 [鎖定模式] 面板中,按一下編輯
  5. 按一下鎖定模式,然後選取其中一個鎖定模式選項。
    選項 說明
    正常 主機可透過 vCenter Server 存取。只有「例外使用者」清單中具有管理員權限的使用者才能登入 Direct Console 使用者介面。如果已啟用 SSH 或 ESXi Shell,才有可能進行存取。
    嚴格 主機僅可透過 vCenter Server 存取。如果已啟用 SSH 或 ESXi Shell,則會保持執行 DCUI.Access 進階系統設定中的帳戶和具有管理員權限的例外使用者帳戶的工作階段。所有其他工作階段均會關閉。
  6. 按一下確定

vSphere Client 停用鎖定模式

停用鎖定模式,以便使組態從直接連線變更為 ESXi 主機。保持啟用鎖定模式會實現更安全的環境。

使用者可以從 vSphere Client 中停用一般鎖定模式和嚴格鎖定模式。

程序

  1. vSphere Client 詳細目錄中瀏覽到主機。
  2. 按一下設定
  3. 在 [系統] 下,選取安全性設定檔
  4. 在 [鎖定模式] 面板中,按一下編輯
  5. 按一下鎖定模式,然後選取已停用來停用鎖定模式。
  6. 按一下確定

結果

系統會結束鎖定模式,vCenter Server 會顯示警示,並在稽核記錄中新增一個項目。

從 Direct Console 使用者介面啟用或停用一般鎖定模式

您可以從 Direct Console 使用者介面 (DCUI) 啟用和停用一般鎖定模式。您只能從 vSphere Client 啟用和停用嚴格鎖定模式。

當主機處於一般鎖定模式時,下列帳戶可存取 Direct Console 使用者介面:
  • [例外使用者] 清單中擁有該主機的管理員權限的帳戶。[例外使用者] 清單適用於服務帳戶,例如備份代理程式。
  • 該主機之 DCUI.Access 進階選項中定義的使用者。該選項可用於在發生災難性故障時啟用存取權。

啟用鎖定模式時,會保留使用者權限。從 Direct Console 介面停用鎖定模式時會還原使用者權限。

備註: 如果將處於鎖定模式的主機在未結束鎖定模式的情況下升級為 ESXi 6.0 版,然後在升級後結束鎖定模式,則主機在進入鎖定模式前定義的所有權限都會遺失。系統會將管理員角色指派給 DCUI.Access 進階選項中找到的所有使用者,以保證主機仍可存取。

若要保留權限,請先從 vSphere Client 停用該主機的鎖定模式,然後再進行升級。

程序

  1. 在主機的 Direct Console 使用者介面上,按 F2 並登入。
  2. 捲動至設定鎖定模式設定並按 Enter 切換目前設定。
  3. 按 Esc 直到返回 Direct Console 使用者介面的主功能表。

指定在鎖定模式下具有存取權限的帳戶

您可以指定可直接存取 ESXi 主機的服務帳戶,方式是將其新增到 [例外使用者] 清單。您可以指定在發生災難性 vCenter Server 失敗時可存取 ESXi 主機的單一使用者。

當 vSphere 處於鎖定模式時帳戶可以執行的作業

vSphere 版本決定啟用鎖定模式時不同帳戶預設執行的動作以及如何變更預設行為。
  • 在 vSphere 5.0 及更早版本中,僅根使用者可以在處於鎖定模式的 ESXi 主機上登入 Direct Console 使用者介面。
  • 在 vSphere 5.1 及更新版本中,您可以將某個使用者新增到每個主機的 DCUI.Access 進階系統設定中。該設定適用於 vCenter Server 的災難性故障。公司通常會將具有該存取權的使用者的密碼鎖定在安全位置中。DCUI.Access 清單中的使用者不需要擁有主機的完整管理權限。
  • 在 vSphere 6.0 及更新版本中,仍支援 DCUI.Access 進階系統設定。此外,vSphere 6.0 及更新版本支援 [例外使用者] 清單,該清單適用於須直接登入主機的服務帳戶。[例外使用者] 清單中具有管理員權限的帳戶可登入 ESXi Shell。此外,這些使用者還可以在一般鎖定模式下登入主機的 DCUI 並結束鎖定模式。
    您可以從 vSphere Client 指定例外使用者。
    備註: 例外使用者為主機的本機使用者,或具有針對 ESXi 主機本機定義之權限的 Active Directory 使用者。當主機處於鎖定模式時,身為 Active Directory 群組成員的使用者會遺失其權限。

將使用者新增到 DCUI.Access 進階系統設定

發生災難性故障時,如果無法從 vCenter Server 存取主機,可以透過 DCUI.Access 進階系統設定結束鎖定模式。可從 vSphere Client 編輯主機的 [進階設定] 將使用者新增到清單。

備註: DCUI.Access 清單中的使用者可變更鎖定模式設定,無論其權限為何。變更鎖定模式功能可能會影響主機安全性。對於需要直接存取主機的服務帳戶,請考慮將使用者新增到 [例外使用者] 清單中。例外使用者只能執行擁有相應權限的工作。請參閱本主題後面的「指定鎖定模式例外使用者」。
  1. vSphere Client 詳細目錄中瀏覽到主機。
  2. 按一下設定
  3. 在 [系統] 下,按一下進階系統設定,然後按一下編輯
  4. DCUI 的篩選器。
  5. DCUI.Access 文字方塊中,輸入本機 ESXi 使用者名稱,並以逗點分隔。
    備註: 您無法輸入 Active Directory 使用者。僅支援本機 ESXi 使用者。

    依預設,已包含根使用者。請考慮從 DCUI.Access 清單中移除 root 使用者並指定具名帳戶以更方便稽核。

  6. 按一下確定

指定鎖定模式例外使用者

您可以從 vSphere Client,將使用者新增到 [例外使用者] 清單中。當主機進入鎖定模式時,這些使用者不會遺失他們的權限。

通常,這些使用者是代表需要在鎖定模式下繼續運作的第三方解決方案和外部應用程式的帳戶。例如,將服務帳戶 (例如備份代理程式) 新增到 [例外使用者] 清單很有必要。
備註: [例外使用者] 清單適用於執行極特定工作的服務帳戶,而不是管理員。將管理員使用者新增到 [例外使用者] 清單會讓鎖定模式的用途失效。

例外使用者為主機的本機使用者,或具有針對 ESXi 主機本機定義之權限的 Active Directory 使用者。他們不是 Active Directory 群組的成員,也不是 vCenter Server 使用者。這些使用者可根據其權限在主機上執行作業。例如,這意味著唯讀使用者無法在主機上停用鎖定模式。

  1. vSphere Client 詳細目錄中瀏覽到主機。
  2. 按一下設定
  3. 在 [系統] 下,選取安全性設定檔
  4. 在 [鎖定模式] 面板中,按一下編輯
  5. 按一下例外使用者,然後按一下新增使用者圖示以新增例外使用者。
  6. 按一下確定