Sperrmodus in VMware vSphere 6: normal versus streng (Lockdown Mode)

VMware vSphere kann die direkte Verwaltung von ESXi-Hosts unterbinden, wenn sie zur Bestands­liste von vCenter gehören. Die Version 6.0 kennt eine moderate und eine neue, strenge Aus­prägung dieses Sperr­modus. Beide lassen bei Ausfall von vCenter unter bestim­mten Bedin­gungen eine Anmeldung privile­gierter User zu.

Der Sperrmodus soll zum einen verhindern, dass Administratoren an vCenter vorbei auf Hosts zugreifen und deren Konfiguration ändern. Ein solches Vorgehen würde zu einer inkonsistenten Umgebung führen, wenn ein und dieselben Einstellungen gleichzeitig lokal und zentral verwaltet werden.

Direkter Zugriff auf ESXi manchmal erforderlich

Zum anderen sind ESXi-Server kritische Systeme, weil jeder von ihnen gleich mehrere Anwendungen bereitstellt. Entsprechend ist es meist nicht erwünscht, wenn diese direkt und damit unkoordiniert administriert werden.

Bei allen Vorzügen eines zentralen Managements über vCenter bleiben bestimmte Situationen, in denen Systemverwalter direkt auf ESXi zugreifen müssen. Das gilt besonders dann, wenn vCenter nicht mehr verfügbar ist. In diesem Fall laufen zwar die VMs weiter, aber eine Verwaltung ist nur mehr direkt über den Host möglich.

Darüber hinaus kann es vorkommen, dass für das Troubleshooting ein Zugriff auf die ESXi-Shell erforderlich ist, weil vCenter die benötigten Funktionen nicht bietet. Auch in diesem Fall muss sich ein Administrator entweder über SSH oder die Konsole anmelden können.

Lockdown Mode aktivieren

Fügt man einen Host zur Bestandsliste von vCenter hinzu, dann bietet der dafür zuständige Wizard gleich die Möglichkeit, ESXi von Anfang an in den Lockdown Mode zu versetzen. Will man diesen nachträglich konfigurieren, dann findet sich diese Einstellung im vSphere Web Client in den Einstellungen des Hosts unter Sicherheitsprofil.

In den neueren Tools stehen unter vSphere 6 mit normal und streng zwei Modi zur Auswahl. Jeder von ihnen bewirkt, dass eine Administration von ESXi über das vSphere API nicht mehr möglich ist. Das betrifft sowohl den betagten vSphere Client unter Windows als auch den neuen Embedded Host Client.

Nutzt man noch den alten C#-Client unter Windows, dann kennt dieser nur einen Lockdown Mode. Das Gleiche gilt für das Direct Console User Interface (DCUI) von ESXi. In beiden Fällen aktiviert man damit nur den normalen Sperrmodus.

Normaler Sperrmodus

Der normale Sperrmodus stellt einen Kompromiss zwischen Sicherheit und Administrier­barkeit dar. Er sieht deshalb vor, bestimmte Konten von der Sperre auszunehmen:

• Nimmt man User in die Liste unter Einstellungen => Sicherheitsprofil => Sperrmodus => Bearbeiten => Ausnahme für Benutzer auf, dann können sie mit Tools wie dem vSphere Client, dem Host Client oder PowerCLI auf ESXi zugreifen. Es ist nicht sinnvoll, dort Administratoren einzutragen, denn dann könnte man den Lockdown Mode gleich abschalten.
• Gibt man Benutzer unter Einstellungen => Erweiterte System­einstellungen => DCUI.Access in Form einer Komma-separierten Liste ein, dann dürfen sie sich an der Konsole anmelden. Fällt vCenter aus, dann können sie dort den Sperrmodus deaktivieren. Sie benötigen dafür keine administrativen Rechte.
• Wenn der Systemverwalter die ESXi-Shell und SSH zugelassen hat (standardmäßig sind sie nicht aktiviert), dann können administrative Benutzer, die im Sicherheitsprofil unter den Ausnahmen eingetragen sind, den Host auch auf diesem Weg ansprechen.

Strenger Sperrmodus

Der strenge Sperrmodus ist ein neues Feature von vSphere 6. Er deaktiviert zusätzlich den DCUI-Dienst.

Anders als im normalen Modus bleibt es daher ohne Wirkung, wenn man Benutzer in DCUI.Access aufnimmt, weil ein Zugang über die ESXi-Konsole generell nicht möglich ist.

Ist in diesem verschärften Lockdown die Shell nicht zugänglich und befindet sich kein privilegierter User unter den Ausnahmen, dann muss man im schlimmsten Fall den Hypervisor neu installieren, wenn sich keine Verbindung zum vCenter-Server mehr aufbauen lässt.