ESXi 6.0:
从 vSphere 6.0 开始,您可以选择正常锁定模式或严格锁定模式,这两种模式的锁定程度有所不同。
正常锁定模式:
正常锁定模式下不会停止 DCUI 服务。 如果失去与 vCenter Server 的连接并且无法通过 vSphere Web Client 进行访问,特权帐户可以登录到 ESXi 主机的直接控制台界面并退出锁定模式。 仅以下帐户可以访问直接控制台用户界面:
- 锁定模式的例外用户列表中具有主机管理特权的帐户。 例外用户列表专用于执行非常特定的任务的服务帐户。 将 ESXi 管理员添加到此列表即可摆脱锁定模式的约束。
- 在主机的 DCUI.Access 高级选项中定义的用户。 如果失去与 vCenter Server 的连接,此选项可供紧急访问直接控制台界面。 这些用户不需要具备主机管理特权。
严格锁定模式:
严格锁定模式下会停止 DCUI 服务。 如果失去与 vCenter Server 的连接并且 vSphere Web Client 不再可用,除非启用 ESXi Shell 和 SSH 服务并且定义例外用户,否则 ESXi 主机将变得不可用。 如果无法还原与 vCenter Server 系统的连接,则必须重新安装主机。
要从 DCUI 启用或禁用锁定模式,请执行以下操作: - 直接登录到 ESXi 主机。
- 从主机上打开 DCUI。
- 按 F2 进行初始设置。
- 按 Enter 切换配置锁定模式设置。
要从 vSphere Web Client 启用或禁用锁定模式,请执行以下操作:
- 在 vSphere Web Client 清单中浏览到主机。
- 单击管理选项卡,然后单击设置。
- 在“系统”下,选择安全配置文件。
- 在“锁定模式”面板中,单击编辑。
- 单击锁定模式并选择其中一个锁定模式选项。
ESXi 5.x 及以前版本:
启用锁定模式后, 只有 vpxuser 才具有身份验证权限。 其他用户无法直接在该主机上执行任何操作。 锁定模式会强制通过 vCenter Server 来执行所有操作。 处于锁定模式的主机无法使用该主机上的管理服务器、脚本或 vMA 运行 vCLI 命令。 此外,外部软件或管理工具将无法从 ESXi 主机检索或修改信息。
有关锁定模式的详细信息,请参见 vSphere Security Guide(适用于 vSphere 5.x)或 ESXi Configuration Guide(适用于更低版本)。
您可以从直接控制台用户界面 (DCUI) 启用锁定模式。
注意:
- 这些过程仅适用于 ESXi。
- 主机配置文件不具有启用或禁用锁定模式的设置。
- 如果 vCenter 已关闭或主机与 vCenter 断开连接,配置锁定模式将灰显。
- 启用锁定模式后,所有故障排除服务均无法使用。
如果使用 DCUI 启用或禁用锁定模式,则会丢失主机上用户和组的权限。 要保留这些权限,必须使用与 vCenter Server 连接的 vSphere Client 来启用或禁用锁定模式。
要启用锁定模式,请执行以下操作:
- 直接登录到 ESXi 主机。
- 从主机上打开 DCUI。
- 按 F2 进行初始设置。
- 按 Enter 切换配置锁定模式设置。
使用故障排除服务
默认情况下,ESXi 主机上的故障排除服务处于禁用状态。 可以根据需要启用这些服务。 无论主机是否处于锁定模式,都可以启用或禁用故障排除服务。
以下是各个故障排除服务:
使用 ESXi Shell 启用或禁用锁定模式
可从 vSphere CLI 运行这些命令来验证锁定模式的状态以及启用/禁用此模式。
ESXi 5.x 和 4.1
- 要检查是否已启用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/lockdown_is_enabled
- 要禁用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/lockdown_mode_exit
- 要启用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/lockdown_mode_enter
ESXi 4.0
- 要检查是否已启用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/admin_account_is_enabled
- 要禁用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/admin_account_enable
- 要启用锁定模式,请执行以下操作: vim-cmd -U dcui vimsvc/auth/admin_account_disable
注意: 要检查状态或在已启用锁定模式的情况下禁用锁定模式,您必须进入直接控制台用户界面服务 (DCUI),然后在 ESXi 主机上运行这些命令。
使用 PowerCLI 启用或禁用锁定模式
要使用 PowerCLI 启用锁定模式,请运行以下命令:
(get-vmhost <hostname> | get-view).EnterLockdownMode() | get-vmhost | select Name,@{N="LockDown";E={$_.Extensiondata.Config.adminDisabled}} | ft -auto
要禁用锁定模式,请运行以下命令:
(get-vmhost <hostname> | get-view).ExitLockdownMode()
要使用 PowerCLI 批处理修改锁定模式,请将此文本保存在 *.PS1 文件中并使用 PowerCLI 运行:
$vCenter = 'vCenterServer_Name_or_IP_address'
Connect-VIServer $vCenter
$Scope = Get-VMHost #This will change the Lockdown Mode on all hosts managed by vCenter
foreach ($ESXhost in $Scope) {
(get-vmhost $ESXhost | get-view).ExitLockdownMode() # To DISABLE Lockdown Mode
#(get-vmhost $ESXhost | get-view).EnterLockdownMode() # To ENABLE Lockdown Mode
}
Disconnect-VIServer -Server $vCenter -Confirm:$false
有关详细信息,请参见
vSphere Command-Line Interface Documentation。