使用Lockdown Mode提升ESXi安全性

ESXi是VMware開發出來的作業系統，安裝在x86_64的實體主機上，以提供虛擬機器的運行環境為最主要的功能，因此設計上非常輕量精簡，一來可以省下大部份的資源給虛擬機器使用，二來也減少不必要的服務暴露在網路上的風險，是非常穩定可靠的平台。要能夠讓多台ESXi主機協同運作以達到高可用性、擴充性、負載平衡等目標，能夠管理多台ESXi主機的vCenter Server是必要的角色。而當以vCenter Server將ESXi主機納入控管之後，vCenter Server的資料庫和ESXi主機上的設定必須是一致的，因此一台ESXi主機應該只接受來自單一vCenter Server的命令，所有的功能才能正常運作。

為了避免ESXi主機在接受一台vCenter Server的管理後，還有人跳過vCenter Server直接連到ESXi，甚至使用另外的vCenter Server去異動ESXi上的設定，造成管理上的衝突，最好能限制ESXi只接受來自同一台vCenter Server的管理，而拒絕其他方式的連線，這個功能即是Lockdown Mode。開啟Lockdown Mode之後，一般ESXi本機或AD的帳號，即使原本具有管理者權限，也無法再透過vSphere API、SSH、或ESXi Shell等方式登入。而已經連接的vCenter Server則是透過一個特殊帳號vpxuser繼續控管ESXi主機，因為vpxuser在Lockdown Mode下不受影響，而且vpxuser的密碼存放在原本的vCenter Server之中。如此便可達到以單一vCenter Server完全控管ESXi主機的目標。Lockdown Mode可以在vCenter Server第一次連接ESXi主機時直接啟用，或隨時在ESXi的Security Profile中啟用：

不過萬一vCenter Server真的出現了無法回復的問題時，難道這些ESXi主機就再也不能由其他方式管理了嗎？為了避免這種情況發生，其實Lockdown Mode還預留了一條後路，就是在ESXi主機的實體主控台的管理介面，稱為Direct Console User Interface (DCUI)。在Lockdown Mode啟用時，ESXi本機預設的系統管理者root只有在DCUI才能登入，並且能夠解除Lockdown Mode：

vSphere 6更增加了許多新功能，除了原本的Lockdown Mode（改稱為Normal Lockdown Mode）之外，還多了更嚴格的Strict Lockdown Mode；另一方面也提供了讓root以外的使用者在Lockdown Mode下存取ESXi的選擇（透過DCUI.Access list和Exception User list），讓對安全性要求更高的使用者能更有彈性的管理。

您可在下列課程中了解更多VMware vSphere的管理技巧喔！

相關學習資源