vSphere单台主机管理- Mware Host client 在 VMware Host client中查看EsXi主机的证书详细信息 可以使用证书信息进行调试。 步 1在 VMware Host client清单中单击管理,然后单击安全性与用户。 2单击证书 可以查看以下证书详细信息。 字段 描述 证书的颁发者 有效截止日期 证书过期的日期。 有效起始日期 生成证书的日期。 主体 在证书生成期间使用的主体 在 VMware Host Client中为EsXi主机导入新证书 使用 VMware Host Client登录到ESXi主机后,可以导入来自可信证书颁发机构的证书。 步骤 1在 VMware Host Client清单中单击管理,然后单击安全性与用户。 2单击证书,然后单击导入新证书。 3将生成证书签名请求,该请求为FQDN签名请求或|P签名请求 然后,证书签名请求传递到证书颁发机构,以生成正式证书 FQDN请求在生成的证书公用名称字段中包含主机的完全限定主机名。P签名请求在公用名称字段中包 含主机的当前P地址。 将PEM格式的证书粘贴在证书文本框中,然后单击导入。 不需要立即导入证书,但是在生成证书签名请求和导入证书期间,不能重新引导主机 使用 VMware Host client管理用户 理用户以控制哪些用户获得授权可以登录ESXi。 用户和角色控制谁可以访问ESXi主机组件以及每个用户可以执行什么操作。 在 vSphere51和更高版本中,ESXi用户管理具有以下局限。 直接连接到ESX主机时所创建的用户不同于 Center server用户。当主机由 vCenter server管理时, vCenter Server将忽略直接在主机上创建的用户 通过 vSphere Web Client无法创建ESXi用户。必须通过 VMware Host Client直接登录主机才能创建 EsXi用户 VMware,lc保留所有权利
在 VMware Host Client 中查看 ESXi 主机的证书详细信息 可以使用证书信息进行调试。 步骤 1 在 VMware Host Client 清单中单击管理,然后单击安全性与用户。 2 单击证书。 可以查看以下证书详细信息。 字段 描述 颁发者 证书的颁发者。 有效截止日期 证书过期的日期。 有效起始日期 生成证书的日期。 主体 在证书生成期间使用的主体。 在 VMware Host Client 中为 ESXi 主机导入新证书 使用 VMware Host Client 登录到 ESXi 主机后,可以导入来自可信证书颁发机构的证书。 步骤 1 在 VMware Host Client 清单中单击管理,然后单击安全性与用户。 2 单击证书,然后单击导入新证书。 3 将生成证书签名请求,该请求为 FQDN 签名请求或 IP 签名请求。 然后,证书签名请求传递到证书颁发机构,以生成正式证书。 FQDN 请求在生成的证书公用名称字段中包含主机的完全限定主机名。IP 签名请求在公用名称字段中包 含主机的当前 IP 地址。 4 将 PEM 格式的证书粘贴在证书文本框中,然后单击导入。 不需要立即导入证书,但是在生成证书签名请求和导入证书期间,不能重新引导主机。 使用 VMware Host Client 管理用户 管理用户以控制哪些用户获得授权可以登录 ESXi。 用户和角色控制谁可以访问 ESXi 主机组件以及每个用户可以执行什么操作。 在 vSphere 5.1 和更高版本中,ESXi 用户管理具有以下局限。 n 直接连接到 ESXi 主机时所创建的用户不同于 vCenter Server 用户。当主机由 vCenter Server 管理时, vCenter Server 将忽略直接在主机上创建的用户。 n 通过 vSphere Web Client 无法创建 ESXi 用户。必须通过 VMware Host Client 直接登录主机才能创建 ESXi 用户。 vSphere 单台主机管理 - VMware Host Client VMware, Inc. 保留所有权利。 16
vSphere单台主机管理- Mware Host client Esxi51及更高版本不支持本地组。但是,支持 Active Directory组。 要阻止匿名用户(如root)通过直接控制台用户界面(cU)或 ESXi She访问主机,请在主机的根文件夹 中移除用户的管理员权限。此操作对本地用户与 Active Directory用户和组均适用。 在 VMware Host client中添加ESXi用户 将用户添加到用户表会更新由主机维护的内部用户列表 前提条件 查看《 vSphere安全性》文档中的密码要求 步骤 1通过 Mware Host Client登录到ESXi。 通过 vSphere Web Client无法创建ESXi用户。必须通过 VMware Host Client直接登录主机才能创建 ESXi用户。 2在 VMware Host Client清单中单击管理,然后单击安全性与用户 3单击用户。 4单击添加用户。 5输入用户名和密码 注不要创建名称为ALL的用户。某些情况下,与名称ALL关联的特权可能对有些用户不可用。例如 如果名称为ALL的用户拥有管理员特权,则拥有只读特权的用户可能可以远程登录到主机。此种行为已 经超出预期范围。 用户名中不可包含空格。 用户名中不可包含非AsC川l字符。 创建符合长度和复杂性要求的密码。主机将使用默认身份验证插件pam_ passwd.so来检查密码 合规性。如果密码不合规,会显示错误消息指明密码要求。 6单击添加。 在 VMware Host client中更新ESXi用户 可以在 VMware Host Client中更改Esx用户的用户名、描述和密码。 步骤 1在 VMware Host Client清单中单击管理,然后单击安全性与用户。 2单击用户 3从列表中选择用户并单击编辑用户。 4更新用户详细信息并单击保存 VMware,lc保留所有权利
n ESXi 5.1 及更高版本不支持本地组。但是,支持 Active Directory 组。 要阻止匿名用户(如 root)通过直接控制台用户界面 (DCUI) 或 ESXi Shell 访问主机,请在主机的根文件夹 中移除用户的管理员权限。此操作对本地用户与 Active Directory 用户和组均适用。 在 VMware Host Client 中添加 ESXi 用户 将用户添加到用户表会更新由主机维护的内部用户列表。 前提条件 查看《vSphere 安全性》文档中的密码要求。 步骤 1 通过 VMware Host Client 登录到 ESXi。 通过 vSphere Web Client 无法创建 ESXi 用户。必须通过 VMware Host Client 直接登录主机才能创建 ESXi 用户。 2 在 VMware Host Client 清单中单击管理,然后单击安全性与用户。 3 单击用户。 4 单击添加用户。 5 输入用户名和密码。 注 不要创建名称为 ALL 的用户。某些情况下,与名称 ALL 关联的特权可能对有些用户不可用。例如, 如果名称为 ALL 的用户拥有管理员特权,则拥有只读特权的用户可能可以远程登录到主机。此种行为已 经超出预期范围。 n 用户名中不可包含空格。 n 用户名中不可包含非 ASCII 字符。 n 创建符合长度和复杂性要求的密码。主机将使用默认身份验证插件 pam_passwdqc.so 来检查密码 合规性。如果密码不合规,会显示错误消息指明密码要求。 6 单击添加。 在 VMware Host Client 中更新 ESXi 用户 可以在 VMware Host Client 中更改 ESXi 用户的用户名、描述和密码。 步骤 1 在 VMware Host Client 清单中单击管理,然后单击安全性与用户。 2 单击用户。 3 从列表中选择用户并单击编辑用户。 4 更新用户详细信息并单击保存。 vSphere 单台主机管理 - VMware Host Client VMware, Inc. 保留所有权利。 17
vSphere单台主机管理- Mware Host client 从 VMware Host client中的主机上移除本地Esxi用户 可从主机中移除本地ESXi用户。 小心不要移除root用户 如果从主机中移除用户,其将失去对主机中所有对象的权限,且无法再次登录。 注如果从域中移除已登录的用户,其主机权限在您重新启动主机前将予以保留。 步骤 1在 VMware Host Client清单中单击管理,然后单击安全性与用户。 单击用户 3从列表中选择要移除的用户,单击移除用户,然后单击是。 不要以任何原因移除root用户。 在 VMware Host client中管理Esxi角色 ESXi仅向已分配有与对象相关的权限的用户授予访问对象的权限。向用户分配与对象相关的权限时,可通 将用户与角色进行配对来操作。角色是一组预定义的特权。 ESXi主机可提供三种默认的角色,不可更改与这些角色相关联的特权。每个后续的默认角色均包括前一个 角色的特权。例如,管理员角色继承只读角色的特权。您创建的角色不继承任何默认角色的特权。 可使用 VMware Host Client中的角色编辑功能创建自定义角色,以创建符合用户需求的特权组。同样,在 vCenter Server中无法访问在主机上直接创建的角色。仅当您直接从 VMware Host Client登录主机时,才 可使用这些角色。 注如果添加自定义角色而不向其分配任何特权,则角色将创建为只读角色,且具有以下三个系统定义的特 权: System. Anonymous、 System view和 System. Read 如果通过 vCenter Server管理Esxi主机,则在主机和 vCenter Server中维护自定义角色可能会导致混淆 和误用。在此类型配置中,应仅在 VCenter server中维护自定义角色 可通过使用 Mware Host Client直接连接到ESXi主机来创建主机角色并设置权限。 在 VMware Host Client中添加角色 您可以创建角色,以满足环境的访问控制需求。 前提条件 证您是否以具有管理员特权的用户身份(如root或 vpxuser)登录。 步骤 1在 VMware Host Client清单中单击管理,然后单击安全性与用户 VMware,lc保留所有权利
从 VMware Host Client 中的主机上移除本地 ESXi 用户 可从主机中移除本地 ESXi 用户。 小心 不要移除 root 用户。 如果从主机中移除用户,其将失去对主机中所有对象的权限,且无法再次登录。 注 如果从域中移除已登录的用户,其主机权限在您重新启动主机前将予以保留。 步骤 1 在 VMware Host Client 清单中单击管理,然后单击安全性与用户。 2 单击用户。 3 从列表中选择要移除的用户,单击移除用户,然后单击是。 不要以任何原因移除 root 用户。 在 VMware Host Client 中管理 ESXi 角色 ESXi 仅向已分配有与对象相关的权限的用户授予访问对象的权限。向用户分配与对象相关的权限时,可通 过将用户与角色进行配对来操作。角色是一组预定义的特权。 ESXi 主机可提供三种默认的角色,不可更改与这些角色相关联的特权。每个后续的默认角色均包括前一个 角色的特权。例如,管理员角色继承只读角色的特权。您创建的角色不继承任何默认角色的特权。 可使用 VMware Host Client 中的角色编辑功能创建自定义角色,以创建符合用户需求的特权组。同样,在 vCenter Server 中无法访问在主机上直接创建的角色。仅当您直接从 VMware Host Client 登录主机时,才 可使用这些角色。 注 如果添加自定义角色而不向其分配任何特权,则角色将创建为只读角色,且具有以下三个系统定义的特 权:System.Anonymous、System.View 和 System.Read。 如果通过 vCenter Server 管理 ESXi 主机,则在主机和 vCenter Server 中维护自定义角色可能会导致混淆 和误用。在此类型配置中,应仅在 vCenter Server 中维护自定义角色。 可通过使用 VMware Host Client 直接连接到 ESXi 主机来创建主机角色并设置权限。 在 VMware Host Client 中添加角色 您可以创建角色,以满足环境的访问控制需求。 前提条件 验证您是否以具有管理员特权的用户身份(如 root 或 vpxuser)登录。 步骤 1 在 VMware Host Client 清单中单击管理,然后单击安全性与用户。 vSphere 单台主机管理 - VMware Host Client VMware, Inc. 保留所有权利。 18
vSphere单台主机管理- Mware Host client 2单击角色 3单击添加角色。 4输入新角色的名称。 5从列表中选择要与新角色关联的特权,然后单击添加。 在 VMware Host client中更新角色 编辑角色时,可更改为该角色选择的特权。完成后,这些特权将应用于分配了编辑后角色的所有用户或组。 前提条件 验证您是否以具有管理员特权的用户身份(如root或 vpxuser)登录。 1在 VMware Host Client清单中单击管理,然后单击安全性与用户。 2单击角色。 3从列表中选择角色并单击编辑角色 4更新角色详细信息并单击保存。 在 Mware Host Client中移除角色 在将未分配给任何用户或组的角色移除时,将从角色列表中移除定义。移除分配给用户或组的角色时,您可 移除分配,或者使用其他角色的分配来替换它。 A小心您必须在移除或替换所有分配之前,先了解用户会受到何种影响。没有授予权限的用户不能登录。 前提条件 验证您是否以具有管理员特权的用户身份(如rot或 vpxuser)登录 步骤 1在 VMware Host Client清单中单击管理,然后单击安全性与用户 2单击角色 3从列表中选择要移除的角色的名称。 4单击移除角色,选择仅移除未使用,然后单击是 管理 v Center server中的主机 要访问您所管理的主机的全部功能,请将主机连接到 vCenter server系统 有关ESXi主机的配置管理的信息,请参见《 vSphere网络连接》文档、《 vSphere存储》文档和《 vSphere 全性》文档。 VMware,lc保留所有权利
2 单击角色。 3 单击添加角色。 4 输入新角色的名称。 5 从列表中选择要与新角色关联的特权,然后单击添加。 在 VMware Host Client 中更新角色 编辑角色时,可更改为该角色选择的特权。完成后,这些特权将应用于分配了编辑后角色的所有用户或组。 前提条件 验证您是否以具有管理员特权的用户身份(如 root 或 vpxuser)登录。 步骤 1 在 VMware Host Client 清单中单击管理,然后单击安全性与用户。 2 单击角色。 3 从列表中选择角色并单击编辑角色。 4 更新角色详细信息并单击保存。 在 VMware Host Client 中移除角色 在将未分配给任何用户或组的角色移除时,将从角色列表中移除定义。移除分配给用户或组的角色时,您可 移除分配,或者使用其他角色的分配来替换它。 小心 您必须在移除或替换所有分配之前,先了解用户会受到何种影响。没有授予权限的用户不能登录。 前提条件 验证您是否以具有管理员特权的用户身份(如 root 或 vpxuser)登录。 步骤 1 在 VMware Host Client 清单中单击管理,然后单击安全性与用户。 2 单击角色。 3 从列表中选择要移除的角色的名称。 4 单击移除角色,选择仅移除未使用,然后单击是。 管理 vCenter Server 中的主机 要访问您所管理的主机的全部功能,请将主机连接到 vCenter Server 系统。 有关 ESXi 主机的配置管理的信息,请参见《vSphere 网络连接》文档、《vSphere 存储》文档和《vSphere 安全性》文档。 vSphere 单台主机管理 - VMware Host Client VMware, Inc. 保留所有权利。 19
vSphere单台主机管理- Mware Host client 将Ⅴ Mware Host Client环境更新到最新版本 要评估是否使用了最新版本的 VMware Host Client,请检查在环境中安装了哪些ⅥB,然后检查ⅥB版本信 息。通过输入ⅥB或ESX更新 metadata.zip文件的URL,可以更新 VMware Host client环境。 如果提供ⅥB,则在 VMware Host Client环境中安装的现有ⅥB将更新为新的ⅥB。 如果提供指向 metadata.zip文件的链接,则整个ESXi系统将更新到 metadata.zip文件所描述的版本。 小心如果主机由 vSphere Update Manager管理,则通过此信息更新主机可能会导致 Update Manager将 主机报告为不合规。 步骤 1在 VMware Host Client中单击管理,然后单击软件包。 2单击安装更新,然后输入ⅥB或 metadata.zip文件的URL 3单击更新 单击刷新以确保更新已成功完成。 升级到Esxi60或更高版本后无法从 VMware Host client连接到ESXi 主机 将主机从EsXi55升级到EsXi6.0或更高版本后,尝试使用 VMware Host client访问EsXi主机时,您的 浏览器控制台可能会显示一条错误消息,并且连接可能会失败 问题 将ESX主机从55升级到60或更高版本后,尝试导航到http://host-name/ui或 http://host-ip-address/ui可能会导致以下错误 503服务不可用(无法连接到端点:[N7 Omacor4Http16 LocalServiceSpecE:0xffa14e8] serverNamespace=/ui isRedirect false_port =8308)(503 Service Unavailable (Failed to connect to endpoint [n7Vmacore4Http16localservicespece: exffae14e8]_server namespace = /ui -_isredirect = false _port =8308)) 升级后对letc/vmware/rhttpproxy/endpoints.conf的更改将保留,导致/ui端点覆盖 VMware Host Client。 如果6.0或更高版本的EsXi主机上的 endpoint.conf文件中缺少/ ticket,您的浏览器内虚拟机控制台 将显示“无法连接( Failed to connect)”错误消息,但 Mware Remote Console将继续工作。 解决方案 1使用SSH或 ESXi Shel登录ESX主机 如果使用SSH,可能需要先启用SSH。您可以使用DCU启用SSH VMware,lc保留所有权利
将 VMware Host Client 环境更新到最新版本 要评估是否使用了最新版本的 VMware Host Client,请检查在环境中安装了哪些 VIB,然后检查 VIB 版本信 息。通过输入 VIB 或 ESX 更新 metadata.zip 文件的 URL,可以更新 VMware Host Client 环境。 如果提供 VIB,则在 VMware Host Client 环境中安装的现有 VIB 将更新为新的 VIB。 如果提供指向 metadata.zip 文件的链接,则整个 ESXi 系统将更新到 metadata.zip 文件所描述的版本。 小心 如果主机由 vSphere Update Manager 管理,则通过此信息更新主机可能会导致 Update Manager 将 主机报告为不合规。 步骤 1 在 VMware Host Client 中单击管理,然后单击软件包。 2 单击安装更新,然后输入 VIB 或 metadata.zip 文件的 URL。 3 单击更新。 4 单击刷新以确保更新已成功完成。 升级到 ESXi 6.0 或更高版本后无法从 VMware Host Client 连接到 ESXi 主机 将主机从 ESXi 5.5 升级到 ESXi 6.0 或更高版本后,尝试使用 VMware Host Client 访问 ESXi 主机时,您的 浏览器控制台可能会显示一条错误消息,并且连接可能会失败。 问题 将 ESXi 主机从 5.5 升级到 6.0 或更高版本后,尝试导航到 http://host-name/ui 或 http://host-IP-address/ui 可能会导致以下错误: 503 服务不可用 (无法连接到端点: [N7Vmacore4Http16LocalServiceSpecE:0xffa014e8] _serverNamespace = /ui _isRedirect = false _port = 8308) (503 Service Unavailable (Failed to connect to endpoint: [N7Vmacore4Http16LocalServiceSpecE:0xffa014e8] _serverNamespace = /ui _isRedirect = false _port = 8308)) 原因 升级后对 /etc/vmware/rhttpproxy/endpoints.conf 的更改将保留,导致 /ui 端点覆盖 VMware Host Client。 如果 6.0 或更高版本的 ESXi 主机上的 endpoint.conf 文件中缺少 /ticket,您的浏览器内虚拟机控制台 将显示“无法连接 (Failed to connect)”错误消息,但 VMware Remote Console 将继续工作。 解决方案 1 使用 SSH 或 ESXi Shell 登录 ESXi 主机。 如果使用 SSH,可能需要先启用 SSH。您可以使用 DCUI 启用 SSH。 vSphere 单台主机管理 - VMware Host Client VMware, Inc. 保留所有权利。 20