Режим блокировки vmware что это такое

Обновлено: 21.11.2024

В этом разделе представлено введение в режим блокировки, который используется для повышения безопасности хоста ESXi за счет ограничения доступа, разрешенного к хосту. Когда этот режим включен, к хосту ESXi можно получить доступ только через сервер vCenter или пользовательский интерфейс Direct Console (DCUI). Включение режима блокировки влияет на то, каким пользователям разрешен доступ к службам хоста.

После включения режима блокировки и если root или administrator@vsphere.local или любое другое использование не входит в список пользователей-исключений, SSH для этого ESX не разрешен. Точно так же, если хост был удален из vCenter по какой-либо причине, добавление хоста обратно в vCenter не допускается.

Обычный режим блокировки

Режим строгой блокировки

API веб-служб vSphere

Все пользователи, в зависимости от разрешений.

Исключение включает пользователей в зависимости от разрешений.

Исключение включает пользователей в зависимости от разрешений.

vCloud Director (vslauser, если доступно)

Пользователи с правами администратора на хосте.

Исключение включает пользователей в зависимости от разрешений.

Исключение включает пользователей в зависимости от разрешений.

Прямой интерфейс консоли (DCUI)

Пользователи с правами администратора на хосте и пользователи в DCUI. Доступ к расширенным параметрам.

Пользователи, определенные в расширенном параметре доступа DCUI.

Служба DCUI остановлена.

Пользователи с правами администратора на хосте.

Пользователи, определенные в расширенном параметре доступа DCUI.

Исключение составляют пользователи с правами администратора на хосте.

Пользователи, определенные в расширенном параметре доступа DCUI.

Исключение составляют пользователи с правами администратора на хосте.

Пользователи с правами администратора на хосте.

Пользователи, определенные в расширенном параметре доступа DCUI.

Исключение составляют пользователи с правами администратора на хосте.

Пользователи, определенные в расширенном параметре доступа DCUI.

Исключение составляют пользователи с правами администратора на хосте.

Включить или отключить режим блокировки

В этом разделе описывается, как включить или отключить режим блокировки либо из DCUI, либо из веб-клиента vSphere.

После включения режима блокировки и если root или administrator@vsphere.local или любое другое использование не входит в список пользователей-исключений, SSH для этого ESX не разрешен. Точно так же, если хост был удален из vCenter по какой-либо причине, добавление хоста обратно в vCenter не допускается.

Включить или отключить режим блокировки в DCUI:

Процедура

Войдите непосредственно на хост ESXi.

Откройте пользовательский интерфейс Direct Console (DCUI) на хосте.

Нажмите F2 для начальной настройки.

Нажмите Enter, чтобы переключить настройку режима блокировки.

Перейдите к хосту в инвентаре веб-клиента vSphere.

Включить или отключить режим блокировки в веб-клиенте vSphere:

Процедура

Перейдите к хосту в инвентаре веб-клиента vSphere.

Перейдите на вкладку "Управление" и нажмите "Настройки".

В разделе "Система" выберите "Профиль безопасности" .

На панели "Режим блокировки" нажмите "Изменить" .

Нажмите "Режим блокировки" и выберите один из вариантов режима блокировки.

Устранение неполадок в режиме блокировки

Если вы получаете диалоговое окно с ошибкой и/или обновление программного обеспечения завершается сбоем в режиме блокировки, примените следующие варианты решения проблемы на основе одного из следующих сценариев:

По крайней мере один хост находится в режиме блокировки.

Во время обновления хост находится в режиме блокировки.

Когда хотя бы один хост находится в режиме блокировки:

Проверьте режим блокировки хоста при проверке перед обновлением.

Обнаружить ситуацию, выдать ошибку и завершить обновление кластера.

Отключите режим блокировки и повторите попытку обновления.

Если хост находится в режиме блокировки во время обновления:

Процедура

Проверьте режим блокировки хоста перед обновлением хоста.

Обнаружение ситуации и ошибки и сбоя обновления.

Отключите режим блокировки и повторите попытку обновления.

Добавить хосты в vCenter при ошибке этапа развертывания

Проверка блокировки во время установки HX — это проверка доступности SSH хоста ESXi для пользователя root. Добавление пользователя root в список исключений означает обход проверки развертывания для режима блокировки. В этом случае, когда узлы добавляются в vCenter на этапе развертывания, происходит сбой, и, следовательно, установка HX также завершается с ошибкой.

Если добавить хосты в vCenter на этапе развертывания не удается, и вы получаете сообщение об ошибке Не удалось добавить хосты в vCenter:

Процедура

Проверьте состояние режима блокировки, отключите его и удалите пользователя root из исключения.

Чтобы сделать ваши хосты ESXi более безопасными, вы можете перевести их в так называемый режим блокировки. В этом посте объясняется, что такое режим блокировки VMware ESXi, каковы его основные преимущества и этапы настройки.Конфигурация представляет собой простой переключатель через веб-клиент vSphere, но есть также возможность активировать ее через пользовательский интерфейс прямой консоли (DCUI). Это еще один пост из нашей категории «Советы».

Мы впервые рассматриваем эту тему, и важно знать, какие услуги и ограничения применяются в каждом режиме. Режим блокировки VMware ESXi применяется не только к пользователям, но и к поставщикам CIM или приложениям, которые необходимо поддерживать в рабочем состоянии (например, для резервного копирования).

Режим блокировки ESXi был представлен в более простой версии ESXi 5.0, которая была расширена в ESXi 6.0 и ESXi 6.5. Если вы переведете хост в режим блокировки, вы сможете подключаться и управлять своими хостами и виртуальными машинами только через vCenter Server. Ваше подключение будет отклонено, если вы хотите напрямую подключиться к хосту через хост-клиент.

В режиме блокировки операции должны выполняться через vCenter Server по умолчанию. Впервые это было в vSphere 6.0, где вы можете выбирать между обычным режимом блокировки или режимом строгой блокировки.

Учетные записи пользователей ESXi, внесенные в специальный список под названием «Пользователи-исключения», у которых есть права администратора, и эти пользователи также могут входить в оболочку ESXi через DCUI или хост-клиент.

Где активировать режим блокировки VMware ESXi?

Чтобы активировать режим блокировки, вы можете использовать веб-клиент vSphere или клиент vSphere HTML5.

Выберите хост > Настроить > Система > Профиль безопасности > Изменить.

Режим блокировки VMware ESXi — два разных режима.

Давайте посмотрим, в чем разница между обычным режимом и режимом Strick Lockdown:

Обычный режим блокировки: доступ к хосту возможен через vCenter Server. Только пользователи, внесенные в список пользователей-исключений и обладающие правами администратора, могут войти в пользовательский интерфейс Direct Console. Если SSH или оболочка ESXi включены, доступ может быть возможен.

Строгий режим блокировки: доступ к хосту возможен только через vCenter Server. Если SSH или ESXi Shell включены, запуск сеансов для учетных записей в расширенном параметре DCUI.Access и для учетных записей пользователей-исключений с правами администратора остается включенным. Все другие сеансы завершаются.

Кроме того, при выборе режима Strict Lockdown служба DCUI полностью останавливается.

DC Scope для VMware vSphere — оптимизация, планирование емкости и управление затратами. Загрузите БЕСПЛАТНУЮ пробную версию здесь.

  • Отслеживает производительность ВМ с помощью сводного представления ресурсов и метрик в процессе деградации.
  • Легко повышайте производительность своей инфраструктуры.
  • DC Scope предлагается по доступной цене за виртуальную машину.

Кто такие пользователи-исключения?

VMware говорит, что это пользователи, которые…

Список учетных записей пользователей, которые сохраняют свои разрешения, когда хост переходит в режим блокировки. Учетные записи используются сторонними решениями и внешними приложениями, которые должны продолжать свою работу в режиме блокировки. Чтобы режим блокировки оставался беспрепятственным, следует добавлять только те учетные записи пользователей, которые связаны с приложениями.

Где добавить учетную запись в список исключенных пользователей?

Сначала необходимо создать локального пользователя ESXi, а затем указать эти дополнительные параметры для каждого хоста. Итак, в моем случае я создал образец локального пользователя ESXi с именем «катастрофа» через хост-клиент ESXi, который является локальным пользователем ESXi.

Поэтому, чтобы изменить список пользователей-исключений, вам придется использовать клиент vSphere HTML5 для веб-клиента vSphere. Чтобы получить доступ к этому параметру, выберите свой хост> Система> Дополнительные настройки системы> в списке найдите DCUI. Доступ> щелкните, чтобы добавить другого локального пользователя ESXi. Пользователь root уже присутствует там по умолчанию.

Пользователи-исключения могут выполнять только те задачи, для которых у них есть права. Таким образом, даже если вы создадите своего локального пользователя и поместите его в список исключений, пользователь не сможет подключиться, если вы не предоставите ему привилегию.

Подключитесь к хосту ESXi через Клиент хоста ESXi > Действия > Разрешения.

Затем нажмите Добавить пользователя

Интерфейс изменится, и здесь у вас будет возможность выбрать ранее созданного пользователя, а затем назначить права этому пользователю.

У VMware есть удобная таблица, показывающая, какие именно службы или какое поведение различаются для нормального и строгого режима блокировки. Такое поведение влияет на API веб-сервисов vSphere, провайдеров CIM, DCUI, ESXi Shell и SSH…..

Таблицу можно найти в Центре документации VMware — ссылка.

Итак, в каком режиме я смогу войти через DCUI?

Только если активирован стандартный режим блокировки. Не в строгом режиме.

Что делать, если сервер vCenter недоступен?

Настройка режима блокировки будет недоступна, если vCenter не работает или хост отключен от vCenter.

Включить/отключить режим блокировки ESXi из DCUI

Примечание. Это применимо только в том случае, если хост находится в обычном режиме блокировки. В противном случае вы сможете заблокировать себя из DCUI.

В серверной:

Открыть консоль сервера > Нажмите F2, чтобы настроить систему/просмотреть журналы > Открыть настройку режима блокировки > Нажмите ПРОБЕЛ, чтобы включить или отключить режим блокировки


Нажмите ENTER, чтобы сохранить изменения. Вот и все.

Подведение итогов:

Пользователи режима блокировки VMware ESXi не могут входить в систему непосредственно на хосте. Хост будет доступен только через локальную консоль или сервер vCenter. Если есть настроенные локальные пользователи ESXi, если у них достаточно привилегий для локального входа в систему И если они больше находятся в списке исключений блокировки, то они МОГУТ войти в систему локально через хост-клиент.

Действительно очень мощный режим, который не влияет на пользователя root по умолчанию (если вы не удалите пользователя root из списка исключений).

Вы должны дважды подумать, прежде чем активировать «строгий» режим блокировки VMware ESXi. Если этот режим включен, вы удалили ВСЕХ пользователей из исключений И потеряли соединение с сервером vCenter между этим конкретным хостом и вашим vCenter, тогда возникла большая проблема. Вы не сможете войти в систему локально.

Поддержание среды с высоким уровнем безопасности для вашей инфраструктуры — один из лучших способов во многих отношениях. Существует множество способов ограничить доступ к вашей инфраструктуре, просто избегая непредвиденных ситуаций с вашими конфиденциальными данными.

Здесь я собираюсь показать один из распространенных и лучших способов ограничить доступ к вашей среде VMware. Мы называем это «Режим блокировки VMware». На данный момент в VMware доступно два типа режимов блокировки.

  • Обычный — хост доступен только через DCUI (пользовательский интерфейс прямого управления) или сервер VMware vCenter. Если вы потеряли доступ к своему серверу vCenter, у вас все равно есть возможность выйти из «Режима блокировки» хоста с помощью привилегированной учетной записи пользователя
  • Строгий — вы не можете получить доступ к DCUI в строгом режиме, и вы должны использовать vCenter для доступа и удаления «Режима блокировки». Если вы потеряли доступ к серверу vCenter при включении «строгого режима блокировки», ваш хост может быть недоступен. Единственный вариант, который у вас есть, это переустановить ESXi с нуля

Чтобы включить «Режим блокировки», щелкните правой кнопкой мыши хост, для которого вы хотите включить режим блокировки, и выберите «Настройки» (я использую веб-консоль)

Перейдите на вкладку «Управление» и выберите «Профиль безопасности», после чего вы сможете найти режим блокировки. Нажмите «Изменить», чтобы изменить настройку

Затем вы увидите окно «Режим блокировки», и вы сможете включить нормальный/строгий режим в соответствии с вашими требованиями. В моем случае я включаю «Строгий режим». Нажмите «ОК», чтобы принять предупреждение и включить режим строгой блокировки.

Нажмите «ОК» и отметьте выполненные задачи в окне «Недавняя задача»

Теперь вы включили «Режим блокировки» и пытаетесь получить к нему доступ через DCUI. DCUI останавливается в «режиме строгой блокировки». Вам нужно использовать vCenter только для отключения режима строгой блокировки

Добавление пользователей-исключений в режим блокировки

Тем не менее, вы можете предоставить доступ к вашему хосту, пока вы находитесь в режиме блокировки, для некоторых учетных записей пользователей, чтобы продолжить работу и доступ. Это может быть полезно для сторонних приложений или решений для продолжения работы в режиме блокировки.

После того как вы откроете окно режима блокировки, выберите «Пользователи-исключения» и нажмите зеленый знак «+», чтобы добавить локальных пользователей в режим блокировки

Используйте DCUI, чтобы отключить «Обычный режим блокировки»

Допустим, вы находитесь в «обычном режиме блокировки», но вы можете использовать DCUI для отключения режима блокировки без vCenter. Опять же, если вы находитесь в «строгом режиме блокировки», вы не можете этого сделать.

Войдите в свой DCUI с учетными данными root и выберите «Настроить режим блокировки», вы увидите, что он включен, нажмите «Ввод», чтобы изменить режим

Вы можете увидеть его как Отключено после изменения режима

Примечание. SSH и Shell не зависят от режима блокировки, и вам необходимо отключить/включить его вручную

Аруна Лакмал

Младший технический специалист, Шри-Ланка. Специалист по технологиям, энтузиаст, эксперт VMware vExpert и блоггер с более чем 8-летним опытом работы в области виртуализации и облачных технологий.

Для лучшего просмотра > Открыть изображение в другой вкладке

пожалуйста, посмотрите на диаграмму сети выше

  • контроллер домена для AD DC101.pioneers.lab с IP-адресом 172.16.100.
  • ESXI151 с IP-адресом 172.16.100.151
  • ESXI152 с IP-адресом 172.16.100.152
  • ESXI153 с IP-адресом 172.16.100.153
  • Сервер VCenter VCSA161.pioneers.lab с IP-адресом 172.16.100.161

режим блокировки

Режим блокировки используется для повышения безопасности хоста ESXi за счет ограничения разрешенного доступа к хосту.

По умолчанию режим блокировки отключен

Если этот режим включен, доступ к узлу ESXi возможен только через сервер vCenter или пользовательский интерфейс прямой консоли (DCUI). Хостом ESXi больше нельзя управлять с помощью других инструментов

типы режима блокировки

Отключенный режим блокировки:

это режим по умолчанию, что означает, что хост ESXI доступен для всех инструментов управления

Обычный режим блокировки:

В обычном режиме блокировки служба DCUI не останавливается. Если соединение с сервером vCenter потеряно и доступ через веб-клиент vSphere недоступен,

привилегированные учетные записи могут входить в интерфейс прямой консоли хоста ESXi и выходить из режима блокировки.

Только эти учетные записи могут получить доступ к пользовательскому интерфейсу Direct Console:

  • Учетные записи в списке пользователей-исключений для режима блокировки, у которых есть права администратора на хосте. Список пользователей-исключений предназначен для учетных записей служб, выполняющих очень специфические задачи. Добавление администраторов ESXi в этот список противоречит цели режима блокировки.
  • Пользователи, определенные в расширенном параметре DCUI.Access для хоста. Этот параметр предназначен для экстренного доступа к интерфейсу Direct Console в случае потери соединения с vCenter Server. Этим пользователям не требуются права администратора на хосте.

Режим строгой блокировки:

В режиме строгой блокировки служба DCUI останавливается.

Если соединение с vCenter Server потеряно и веб-клиент vSphere недоступен,

узел ESXi становится недоступным, если не включены службы ESXi Shell и SSH и не определены пользователи-исключения.

Если не удается восстановить подключение к системе vCenter Server, необходимо переустановить узел.

Читайте также: