可以访问ESX主机的用户必须具有管理主机的权限。您可以从管理主机的 vCenter Server系统中设置对主机对象的权限 使用指定用户和最小特权默认情况下,root用户可以执行许多任务。不允许管理员使用root用户帐户 登录ESX主机,而是从 vCenter Server创建指定管理员用户,并为这些用 户分配管理员角色。您还可以为这些用户分配自定义角色。请参见创建自定义 名 如果在主机上直接管理用户,则角色管理选项受限制。请参见 vSphere单台 主机管理- VMware Host client文档。 尽可能减少打开的EsⅪ防默认情况下,只有启动相应的服务时,才会打开ESXi主机上的防火墙端口。 飞墙端口数 可以使用 vSphere Client或ESXC凵或 Powero凵命令检査和管理防火墙端 状态。 请参见ESXi防火墙配置。 自动化EsX主机管理于使同一数据中心内的不同主机保持同步通常十分重要,因此请使用脚本式 安装或 vSphere Auto Deploy置备主机。您可以使用脚本管理主机。除脚本 式管理之外,还可以使用主机配置文件。您可以设置引用主机、导出主机配置 文件并将主机配置文件应用到所有主机。可以直接应用主机配置文件,也可以 在使用 Auto Deploy置备时应用主机配置文件 有关 vSphere Auto Deploy的信息,请参见使用脚本管理主机配置设置和 《 vCenter Server安装和设置》文档。 使用锁定模式 在锁定模式下,默认只能通过 vCenter Server访问ESX主机。从 vSphere 60开始,您可以选择严格锁定模式或正常锁定模式。可以定义异常用户以允 午直接访问服务帐户(如备份代理) 请参见锁定模式 检查B软件包完整性每个ⅥB软件包均有关联的接受级别。只有在ⅥB接受级别与主机的接受级 别相同或比其更高时,才能将ⅥB添加到ESXi主机。除非明确更改主机的接 受级别,否则无法将由社区支持或合作伙伴支持的ⅥB添加到主机 请参见管理主机和B的接受级别。 管理ESXi证书 在 vSphere6.0及更高版本中,默认情况下, VMware Certificate Authority MCA)将使用以MCA作为根证书颁发机构的签名证书置备每个ESX主 机。如果公司策略有相关要求,则可以将现有证书替换为第三方或企业CA签 名的证书。 请参见ESXi主机的证书管理 考虑使用智能卡身份验证从 vSphere60开始,ESXi支持使用智能卡身份验证,而不是用户名和密码 身份验证。为了提高安全性,您可以配置智能卡身份验证。 vCenter server还 支持双因素身份验证。您可以同时配置用户名和密码身份验证以及智能卡身份 VMware,lc保留所有权利
可以访问 ESXi 主机的用户必须具有管理主机的权限。您可以从管理主机的 vCenter Server 系统中设置对主机对象的权限。 使用指定用户和最小特权 默认情况下,root 用户可以执行许多任务。不允许管理员使用 root 用户帐户 登录 ESXi 主机,而是从 vCenter Server 创建指定管理员用户,并为这些用 户分配管理员角色。您还可以为这些用户分配自定义角色。请参见创建自定义 角色。 如果在主机上直接管理用户,则角色管理选项受限制。请参见 vSphere 单台 主机管理 - VMware Host Client 文档。 尽可能减少打开的 ESXi 防 火墙端口数 默认情况下,只有启动相应的服务时,才会打开 ESXi 主机上的防火墙端口。 可以使用 vSphere Client 或 ESXCLI 或 PowerCLI 命令检查和管理防火墙端 口状态。 请参见 ESXi 防火墙配置。 自动化 ESXi 主机管理 由于使同一数据中心内的不同主机保持同步通常十分重要,因此请使用脚本式 安装或 vSphere Auto Deploy 置备主机。您可以使用脚本管理主机。除脚本 式管理之外,还可以使用主机配置文件。您可以设置引用主机、导出主机配置 文件并将主机配置文件应用到所有主机。可以直接应用主机配置文件,也可以 在使用 Auto Deploy 置备时应用主机配置文件。 有关 vSphere Auto Deploy 的信息,请参见使用脚本管理主机配置设置和 《vCenter Server 安装和设置》文档。 使用锁定模式 在锁定模式下,默认只能通过 vCenter Server 访问 ESXi 主机。从 vSphere 6.0 开始,您可以选择严格锁定模式或正常锁定模式。可以定义异常用户以允 许直接访问服务帐户(如备份代理)。 请参见锁定模式。 检查 VIB 软件包完整性 每个 VIB 软件包均有关联的接受级别。只有在 VIB 接受级别与主机的接受级 别相同或比其更高时,才能将 VIB 添加到 ESXi 主机。除非明确更改主机的接 受级别,否则无法将由社区支持或合作伙伴支持的 VIB 添加到主机。 请参见管理主机和 VIB 的接受级别。 管理 ESXi 证书 在 vSphere 6.0 及更高版本中,默认情况下,VMware Certificate Authority (VMCA) 将使用以 VMCA 作为根证书颁发机构的签名证书置备每个 ESXi 主 机。如果公司策略有相关要求,则可以将现有证书替换为第三方或企业 CA 签 名的证书。 请参见 ESXi 主机的证书管理。 考虑使用智能卡身份验证 从 vSphere 6.0 开始,ESXi 支持使用智能卡身份验证,而不是用户名和密码 身份验证。为了提高安全性,您可以配置智能卡身份验证。vCenter Server 还 支持双因素身份验证。您可以同时配置用户名和密码身份验证以及智能卡身份 验证。 vSphere 安全性 VMware, Inc. 保留所有权利。 11
vSphere安全性 请参见配置ESXi的智能卡身份验证 考虑使用ESXi帐户锁定从 vSphere6.0开始,系统将支持对通过SSH和通过 vSphere Web Services SDK进行的访问进行帐户锁定。默认情况下,允许最多10次尝试,当这些 尝试均失败后,才会锁定帐户。默认情况下,帐户将在两分钟后解锁。 注直接控制台界面(DCUD和 ESXi Shel不支持帐户锁定。 请参见ESXi密码和帐户锁定 各独立主机需要考虑的安全注意事项相似,尽管管理任务可能有所不同。请参见 vSphere单台主机管理 VMware Host Client文档 确保 V Center server系统及关联服务安全 通过 vCenter Single Sign-On进行身份验证和通过 vCenter Server权限模型进行授权可保护 vCenter server 系统及关联服务。您可以修改默认行为,且可以采取其他措施来限制对环境的访问 保护 vSphere环境时,请考虑必须保护与 vCenter Server实例关联的所有服务。在某些环境中,您可以 保护多个 VCenter server实例及一个或多个 Platform Services Controller实例。 强化对所有 vCenter主机保护 vCenter环境的第一步是强化对运行 vCenter server或关联服务的每台 的保护 计算机的保护。物理机或虚拟机需要考虑类似的注意事项。始终为操作系统安 装最新的安全修补程序,并遵循行业标准最佳做法以保护主机。 了解 vCenter证书模型默认情况下, VMware Certificate Authority将为每个EsX主机、环境中的每 台计算机以及每个解决方案用户置备WMCA签名的证书。环境可以即装即用, 旦如果公司策略需要,则可以更改默认行为。有关详细信息,请参见 Platform Services Controller管理文档。 如需其他保护,请明确移除过期或撤销的证书以及失败的安装。 配置 v Center Single vCenter Single Sign-on身份验证框架可保护 vCenter Server和关联服务。 Sign-On 首次安装软件时,为 vCenter Single Sign-On域的管理员(默认为 administrator@ vsphere loca)指定密码。仅该域最初可用作标识源。您可以 添加其他标识源( Active Directory或LDAP),并设置默认标识源。此后, 能够向任一标识源进行身份验证的用户均可以查看对象并执行任务(如果拥有 相关权限)。有关详细信息,请参见 Platform Services Controller管理文档。 向指定用户或组分配角色为了实现更好的日志记录,请将授予给对象的每个权限与指定用户或组以及预 定义角色或自定义角色相关联。 vSphere6.0权限模型提供了较大的灵活性 允许通过多种方式授权用户或组。请参见了解 vSphere中的授权和常见任务 的所需特权。 限制管理员特权及管理员角色的使用。如果可能,请不要使用匿名管理员用户。 设置NTP 为环境中的每个节点设置NTP。证书基础架构需要准确的时间戳,如果节点 不同步,则证书基础架构将无法正常运行。 请参见同步 vSphere网络连接上的时钟。 VMware,lc保留所有权利
请参见配置 ESXi 的智能卡身份验证。 考虑使用 ESXi 帐户锁定 从 vSphere 6.0 开始,系统将支持对通过 SSH 和通过 vSphere Web Services SDK 进行的访问进行帐户锁定。默认情况下,允许最多 10 次尝试,当这些 尝试均失败后,才会锁定帐户。默认情况下,帐户将在两分钟后解锁。 注 直接控制台界面 (DCUI) 和 ESXi Shell 不支持帐户锁定。 请参见 ESXi 密码和帐户锁定。 各独立主机需要考虑的安全注意事项相似,尽管管理任务可能有所不同。请参见 vSphere 单台主机管理 - VMware Host Client 文档。 确保 vCenter Server 系统及关联服务安全 通过 vCenter Single Sign-On 进行身份验证和通过 vCenter Server 权限模型进行授权可保护 vCenter Server 系统及关联服务。您可以修改默认行为,且可以采取其他措施来限制对环境的访问。 在保护 vSphere 环境时,请考虑必须保护与 vCenter Server 实例关联的所有服务。在某些环境中,您可以 保护多个 vCenter Server 实例及一个或多个 Platform Services Controller 实例。 强化对所有 vCenter 主机 的保护 保护 vCenter 环境的第一步是强化对运行 vCenter Server 或关联服务的每台 计算机的保护。物理机或虚拟机需要考虑类似的注意事项。始终为操作系统安 装最新的安全修补程序,并遵循行业标准最佳做法以保护主机。 了解 vCenter 证书模型 默认情况下,VMware Certificate Authority 将为每个 ESXi 主机、环境中的每 台计算机以及每个解决方案用户置备 VMCA 签名的证书。环境可以即装即用, 但如果公司策略需要,则可以更改默认行为。有关详细信息,请参见 Platform Services Controller 管理文档。 如需其他保护,请明确移除过期或撤销的证书以及失败的安装。 配置 vCenter Single Sign-On vCenter Single Sign-On 身份验证框架可保护 vCenter Server 和关联服务。 首次安装软件时,为 vCenter Single Sign-On 域的管理员(默认为 administrator@vsphere.local)指定密码。仅该域最初可用作标识源。您可以 添加其他标识源(Active Directory 或 LDAP),并设置默认标识源。此后, 能够向任一标识源进行身份验证的用户均可以查看对象并执行任务(如果拥有 相关权限)。有关详细信息,请参见 Platform Services Controller 管理文档。 向指定用户或组分配角色 为了实现更好的日志记录,请将授予给对象的每个权限与指定用户或组以及预 定义角色或自定义角色相关联。vSphere 6.0 权限模型提供了较大的灵活性, 允许通过多种方式授权用户或组。请参见了解 vSphere 中的授权和常见任务 的所需特权。 限制管理员特权及管理员角色的使用。如果可能,请不要使用匿名管理员用户。 设置 NTP 为环境中的每个节点设置 NTP。证书基础架构需要准确的时间戳,如果节点 不同步,则证书基础架构将无法正常运行。 请参见同步 vSphere 网络连接上的时钟。 vSphere 安全性 VMware, Inc. 保留所有权利。 12
vSphere安全性 确保虚拟机安全 要确保虚拟机安全,请保持修补客户机操作系统并保护您的环境,就像保护物理杋一样。请考虑禁用不必要 的功能,尽量少用虚拟机控制台并遵循其他最佳做法。 保护客户机操作系统 要保护客户机操作系统,请确保其使用最新的修补程序及(如果适用)反间谍 件和反恶意软件应用程序。请参见客户机操作系统供应商提供的文档以及 (如果可能)手册中或 Internet上提供的有关该操作系统的其他信息 禁用不必要的功能 检查是否已禁用不必要的功能,以最大限度地减少潜在攻击点。默认情况下, 不经常使用的许多功能处于禁用状态。移除不必要的硬件并禁用某些功能(如 主机客户机文件系统(HFSG),或在虚拟机和远程控制台之间进行复制和粘 贴操作。 请参见禁用虚拟机中不必要的功能。 使用模板和脚本式管理通过虚拟机模板,您可以设置操作系统以使其符合您的要求,并使用相同的设 置创建其他虚拟机。 如果要在初始部署后更改虚拟机设置,请考虑使用脚本(如 PowerCL)。本 文档介绍了如何使用GU执行任务。请考虑使用脚本而非GUl来保持环境的 致性。在大型环境中,您可以将虚拟机分组到文件夹以优化脚本。 有关模板的信息,请参见使用模板来部署虚拟机和 vSphere虚拟机管理。有 关 PowerclI的信息,请参见 Mware Powercl文档。 尽量少用虚拟机控制台虚拟机控制台为虚拟机提供的功能与物理服务器上的监视器相同。具有虚拟机 控制台访问权限的用户可以访问虚拟机电源管理和可移除设备连接控制。因 此,虚拟机控制台访问权限可能会造成对虚拟机的恶意攻击 考虑UEF安全引导 从 vSphere65开始,可以将虚拟机配置为使用UEF引导。如果操作系统支 持UEF安全引导,则可以为虚拟机选择该选项以提高安全性。请参见为虚拟 机启用或禁用∪EFI安全引导。 考虑 VMware 从 vSphere67 Update1开始,可以安装并使用 VMware AppDefense插件 AppDefense 来保护您的应用程序并确保端点安全。具有 vSphere白金许可证可使用 AppDefense插件。如果您拥有白金许可证, AppDefense面板将显示在清单 中任何虚拟机的摘要选项卡上。从该面板,可以安装、升级或查看有关 AppDefense插件的详细信息。有关 VMware AppDefense的详细信息,请参 见 AppDefense文档 确保虚拟网络连接层安全 虚拟网络连接层包括虚拟网络适配器、虚拟交换机、分布式虚拟交换机及端口和端口组。ESⅪi依赖虚拟网 络连接层来支持虚拟机与其用户之间的通信。此外,ESXi可使用虚拟网络连接层与 ISCSI SAN和№AS存 储等进行通信。 VMware,lc保留所有权利
确保虚拟机安全 要确保虚拟机安全,请保持修补客户机操作系统并保护您的环境,就像保护物理机一样。请考虑禁用不必要 的功能,尽量少用虚拟机控制台并遵循其他最佳做法。 保护客户机操作系统 要保护客户机操作系统,请确保其使用最新的修补程序及(如果适用)反间谍 软件和反恶意软件应用程序。请参见客户机操作系统供应商提供的文档以及 (如果可能)手册中或 Internet 上提供的有关该操作系统的其他信息。 禁用不必要的功能 检查是否已禁用不必要的功能,以最大限度地减少潜在攻击点。默认情况下, 不经常使用的许多功能处于禁用状态。移除不必要的硬件并禁用某些功能(如 主机客户机文件系统 (HFSG)),或在虚拟机和远程控制台之间进行复制和粘 贴操作。 请参见禁用虚拟机中不必要的功能。 使用模板和脚本式管理 通过虚拟机模板,您可以设置操作系统以使其符合您的要求,并使用相同的设 置创建其他虚拟机。 如果要在初始部署后更改虚拟机设置,请考虑使用脚本(如 PowerCLI)。本 文档介绍了如何使用 GUI 执行任务。请考虑使用脚本而非 GUI 来保持环境的 一致性。在大型环境中,您可以将虚拟机分组到文件夹以优化脚本。 有关模板的信息,请参见使用模板来部署虚拟机和 vSphere 虚拟机管理。有 关 PowerCLI 的信息,请参见 VMware PowerCLI 文档。 尽量少用虚拟机控制台 虚拟机控制台为虚拟机提供的功能与物理服务器上的监视器相同。具有虚拟机 控制台访问权限的用户可以访问虚拟机电源管理和可移除设备连接控制。因 此,虚拟机控制台访问权限可能会造成对虚拟机的恶意攻击。 考虑 UEFI 安全引导 从 vSphere 6.5 开始,可以将虚拟机配置为使用 UEFI 引导。如果操作系统支 持 UEFI 安全引导,则可以为虚拟机选择该选项以提高安全性。请参见为虚拟 机启用或禁用 UEFI 安全引导。 考虑 VMware AppDefense 从 vSphere 6.7 Update 1 开始,可以安装并使用 VMware AppDefense 插件 来保护您的应用程序并确保端点安全。具有 vSphere 白金许可证可使用 AppDefense 插件。如果您拥有白金许可证,AppDefense 面板将显示在清单 中任何虚拟机的摘要选项卡上。从该面板,可以安装、升级或查看有关 AppDefense 插件的详细信息。有关 VMware AppDefense 的详细信息,请参 见 AppDefense 文档。 确保虚拟网络连接层安全 虚拟网络连接层包括虚拟网络适配器、虚拟交换机、分布式虚拟交换机及端口和端口组。ESXi 依赖虚拟网 络连接层来支持虚拟机与其用户之间的通信。此外,ESXi 可使用虚拟网络连接层与 iSCSI SAN 和 NAS 存 储等进行通信。 vSphere 安全性 VMware, Inc. 保留所有权利。 13
vSphere安全性 vSphere包括安全网络基础架构所需的全套功能。您可以单独确保基础架构中每个元素(如虚拟交换机、分 布式虚拟交换机和虚拟网络适配器)的安全。此外,请考虑以下准则,这些准则将在第10章,确保 vSphere 网络安全中进行更详细的介绍。 隔离网络流量 网络流量隔离对保护ESXi环境安全至关重要。不同的网络需要不同的访问权 限和隔离级别。管理网络将客户端流量、命令行界面(CL或AP流量,以及 第三方软件流量与正常流量隔离。确保管理网络仅供系统、网络和安全管理员 访问。 请参见ESXi网络连接安全建议。 使用防火墙确保虚拟网络您可以打开和关闭防火墙端口,并单独确保虚拟网络中每个元素的安全。对于 元素的安全 EsXi主机,防火墙规则可将服务与相应的防火墙关联,并可以根据服务的状 态打开和关闭防火墙。请参见ESXi防火墙配置。 您也可以明确打开 Platform Services Controller和 vCenter Server实例上的 端口。请参见 vCenter Server和 Platform Services Controller所需的端口和 其他 vCenter server TCP和UDP端口。 考虑网络安全策略 网络安全策略可保护流量免受MAC地址模拟和有害端口扫描的威胁。在网络 协议堆栈的第2层(数据链路层)执行标准交换机或 Distributed Switch的安 全策略。安全策略的三大要素是混杂模式、MAC地址更改和伪信号。 有关说明,请参见《 vSphere网络连接》文档。 确保虚拟机网络连接安全用于确保虚拟机网络连接安全的方法取决于多种因素,包括: 安装的客户机操作系统 虚拟机是否在受信任的环境中运行 与其他常见安全措施(例如,安装防火墙)结合使用时,虚拟交换机和分布式 虚拟交换机提供的保护作用非常显著。 请参见第10章,确保 vSphere网络安全。 考虑使用VLAN保护您的EsX支持EEE8021 g VLAN。通过VLAN,可对物理网络进行分段。可以 环境 使用ⅥLAN为虚拟机网络或存储配置提供进一步保护。使用ⅥLAN时,同一 物理网络中的两台虚拟机无法互相收发数据包,除非它们位于同一ⅥLAN上。 请参见通过ⅥLAN确保虚拟机安全。 确保虚拟化存储连接的拟机可在虚拟磁盘上存储操作系统文件、程序文件以及其他数据。从虚拟机 安全 的角度而言,每个虚拟磁盘看上去都好像是与SCS|控制器连接的SCS驱动 器。虚拟机与存储详细信息隔离,且无法访问有关其虚拟磁盘所在的LUN的 信息。 虚拟机文件系统MFS)是向ESXi主机提供虚拟卷的分布式文件系统和卷管 理器。您必须确保存储连接的安全。例如,如果您使用的是isCS存储,则 可以将您的环境设置为使用CHAP。如果公司策略要求,可以设置双向 CHAP。使用 vSphere Client或CL|设置CHAP VMware,lc保留所有权利
vSphere 包括安全网络基础架构所需的全套功能。您可以单独确保基础架构中每个元素(如虚拟交换机、分 布式虚拟交换机和虚拟网络适配器)的安全。此外,请考虑以下准则,这些准则将在第 10 章,确保 vSphere 网络安全中进行更详细的介绍。 隔离网络流量 网络流量隔离对保护 ESXi 环境安全至关重要。不同的网络需要不同的访问权 限和隔离级别。管理网络将客户端流量、命令行界面 (CLI) 或 API 流量,以及 第三方软件流量与正常流量隔离。确保管理网络仅供系统、网络和安全管理员 访问。 请参见 ESXi 网络连接安全建议。 使用防火墙确保虚拟网络 元素的安全 您可以打开和关闭防火墙端口,并单独确保虚拟网络中每个元素的安全。对于 ESXi 主机,防火墙规则可将服务与相应的防火墙关联,并可以根据服务的状 态打开和关闭防火墙。请参见 ESXi 防火墙配置。 您也可以明确打开 Platform Services Controller 和 vCenter Server 实例上的 端口。请参见 vCenter Server 和 Platform Services Controller 所需的端口和 其他 vCenter Server TCP 和 UDP 端口。 考虑网络安全策略 网络安全策略可保护流量免受 MAC 地址模拟和有害端口扫描的威胁。在网络 协议堆栈的第 2 层(数据链路层)执行标准交换机或 Distributed Switch 的安 全策略。安全策略的三大要素是混杂模式、MAC 地址更改和伪信号。 有关说明,请参见《vSphere 网络连接》文档。 确保虚拟机网络连接安全 用于确保虚拟机网络连接安全的方法取决于多种因素,包括: n 安装的客户机操作系统。 n 虚拟机是否在受信任的环境中运行 与其他常见安全措施(例如,安装防火墙)结合使用时,虚拟交换机和分布式 虚拟交换机提供的保护作用非常显著。 请参见第 10 章,确保 vSphere 网络安全。 考虑使用 VLAN 保护您的 环境 ESXi 支持 IEEE 802.1q VLAN。通过 VLAN,可对物理网络进行分段。可以 使用 VLAN 为虚拟机网络或存储配置提供进一步保护。使用 VLAN 时,同一 物理网络中的两台虚拟机无法互相收发数据包,除非它们位于同一 VLAN 上。 请参见通过 VLAN 确保虚拟机安全。 确保虚拟化存储连接的 安全 虚拟机可在虚拟磁盘上存储操作系统文件、程序文件以及其他数据。从虚拟机 的角度而言,每个虚拟磁盘看上去都好像是与 SCSI 控制器连接的 SCSI 驱动 器。虚拟机与存储详细信息隔离,且无法访问有关其虚拟磁盘所在的 LUN 的 信息。 虚拟机文件系统 (VMFS) 是向 ESXi 主机提供虚拟卷的分布式文件系统和卷管 理器。您必须确保存储连接的安全。例如,如果您使用的是 iSCSI 存储,则 可以将您的环境设置为使用 CHAP。如果公司策略要求,可以设置双向 CHAP。使用 vSphere Client 或 CLI 设置 CHAP。 vSphere 安全性 VMware, Inc. 保留所有权利。 14
vSphere安全性 请参见存储安全性最佳做法。 评估|PSec的使用 ESXi支持|Pv6上的PSec。不能使用|Pv4上的PSec 请参见 Internet协议安全。 此外,请评估 VMware NSX for vSphere是否是确保环境中网络连接层安全的有效解决方案。 vSphere环境中的密码 vSphere环境中的密码限制、密码过期和帐户锁定取决于用户的目标系统、用户身份以及策略设置 Esxi密码 ESXi密码限制由 Linux PAM模块 pam_passwdgc确定。请参见Lnux手册页了解 pam_pas swdgc并参见 EsXi密码和帐户锁定 vCenter server及其他 V Center服务的密码 vCenter Single Sign-On管理登录到 vCenter Server及其他 VCenter服务的所有用户的身份验证。密码限 制、密码过期和帐户锁定取决于用户的域以及用户身份 v Center Single Sign-On如果在安装期间选择了不同域,则 administrator@ vsphere.ocal用户或 管理员 administratore@ mydomain用户的密码不会过期,并且不受锁定策略限制。在 所有其他情况下,密码必须遵循 vCenter Single Sign-On密码策略中设置的 限制。有关详细信息,请参见《 Platform Services Controller管理》 如果忘记此用户的密码,请搜索 VMware知识库系统,了解有关重置密码的 信息。重置需要其他特权,例如对 vCenter Server系统的root访问权限。 v Center Single Sign-on其他 vsphere. local用户的密码或安装期间指定域的用户的密码必须遵循 域的其他用户 vCenter Single Sign-on密码策略和锁定策略设置的限制。有关详细信息,请 参见《 Platform services controller管理》。默认情况下,这些密码将在9 天后过期。作为密码策略的一部分,管理员可以更改过期时间。 如果忘记 vsphere. local密码,管理员用户可以使用dir-cLi命令重置密码。 其他用户 所有其他用户的密码限制、密码过期和帐户锁定由用户对其进行身份验证的域 (标识源)决定 vCenter Single Sign-On支持一个默认标识源。用户只能使用其用户名登录到 具有 vSphere Client的相应域。如果用户希望登录到非默认域,用户可以包 ,指定user@ domain或 domain\user。域密码参数适用于每个 vCenter Server Appliance直接控制台用户界面用户的密码 vCenter Server Appliance是基于 Linux的预配置虚拟机,针对在 Linux上运行 vCenter Server及关联服务 进行了优化。 VMware,lc保留所有权利
请参见存储安全性最佳做法。 评估 IPSec 的使用 ESXi 支持 IPv6 上的 IPSec。不能使用 IPv4 上的 IPSec。 请参见 Internet 协议安全。 此外,请评估 VMware NSX for vSphere 是否是确保环境中网络连接层安全的有效解决方案。 vSphere 环境中的密码 vSphere 环境中的密码限制、密码过期和帐户锁定取决于用户的目标系统、用户身份以及策略设置。 ESXi 密码 ESXi 密码限制由 Linux PAM 模块 pam_passwdqc 确定。请参见 Linux 手册页了解 pam_passwdqc 并参见 ESXi 密码和帐户锁定。 vCenter Server 及其他 vCenter 服务的密码 vCenter Single Sign-On 管理登录到 vCenter Server 及其他 vCenter 服务的所有用户的身份验证。密码限 制、密码过期和帐户锁定取决于用户的域以及用户身份。 vCenter Single Sign-On 管理员 如果在安装期间选择了不同域,则 administrator@vsphere.local 用户或 administrator@mydomain 用户的密码不会过期,并且不受锁定策略限制。在 所有其他情况下,密码必须遵循 vCenter Single Sign-On 密码策略中设置的 限制。有关详细信息,请参见《Platform Services Controller 管理》。 如果忘记此用户的密码,请搜索 VMware 知识库系统,了解有关重置密码的 信息。重置需要其他特权,例如对 vCenter Server 系统的 root 访问权限。 vCenter Single Sign-On 域的其他用户 其他 vsphere.local 用户的密码或安装期间指定域的用户的密码必须遵循 vCenter Single Sign-On 密码策略和锁定策略设置的限制。有关详细信息,请 参见《Platform Services Controller 管理》。默认情况下,这些密码将在 90 天后过期。作为密码策略的一部分,管理员可以更改过期时间。 如果忘记 vsphere.local 密码,管理员用户可以使用 dir-cli 命令重置密码。 其他用户 所有其他用户的密码限制、密码过期和帐户锁定由用户对其进行身份验证的域 (标识源)决定。 vCenter Single Sign-On 支持一个默认标识源。用户只能使用其用户名登录到 具有 vSphere Client 的相应域。如果用户希望登录到非默认域,用户可以包 括该域名,即,指定 user@domain 或 domain\user。域密码参数适用于每个 域。 vCenter Server Appliance 直接控制台用户界面用户的密码 vCenter Server Appliance 是基于 Linux 的预配置虚拟机,针对在 Linux 上运行 vCenter Server 及关联服务 进行了优化。 vSphere 安全性 VMware, Inc. 保留所有权利。 15