آخرین فرصت تا %60 تخفیف خرید یکجای دوره ها برای 3 نفر فقط تا
00 00 00

کاربرد Lockdown Mode در ESXi چیست ؟

با سلام به همه کاربران عزیز جزیره مجازی سازی وب سایت توسینسو ، اگر کمی با ESXi کار کرده باشید احتمالا گزینه ای به نام Enable Lockdown Mode را در زمان اضافه کردن یک Host به مجموعه VCenter مشاهده کرده اید. امروز می خواهیم کاربرد این گزینه را به شما معرفی کنیم . بسیاری اوقات پیش می آید که شما می خواهید صرفا دسترسی به ESXi های شما توسط کنسول VCenter انجام شود اما به هر حال عده ای هستند که بصورت جداگانه از طریق VSphere Client به هر کدام از Host های ESXi شما بصورت جداگانه متصل می شوند و تغییراتی را ممکن است بصورت ناخواسته یا خواسته بر روی آن سرور انجام بدهند . این تغییرات ممکن است در بسیاری از تنظیمات کلی که از طریق کنسول مدیریتی VCenter بصورت متمرکز انجام شده است تاثیر منفی داشته باشد ، شما باید کاری کنید که هیچکس نتواند بصورت مستقیم از طریق اتصال به ESXi های شما تنظیماتی بر روی آنها انجام بدهد به همین دلیل می توانید بر روی Host ESXi خودتان گزینه Enable Lockdown Mode را فعال کنید ، تصویر محل فعال سازی این گزینه را در زیر مشاهده می کنید :

تصویر Lockdown Mode

به زبان ساده تر زمانیکه ما صحبت از Lockdown Mode می کنیم یعنی با فعال سازی این گزینه هرگونه اجازه دسترسی با استفاده از root به سرور اصلی از طریق VSphere Client بصورت مستقیم بسته می شود و صرفا به Host مورد نظر از طریق کنسول VCenter اجازه دسترسی داده خواهد شد و این یعنی مدیریت فقط بصورت متمرکز ممکن است از طریق VCenter انجام شود . این گزینه به عنوان یک قابلیت ایمنی برای ESXi در نظر گرفته شده است تا از دستکاری های ناخواسته و غیرمجاز جلوگیری شود . با فعال کردن این گزینه ، دسترسی به سرور صرفا توسط یک کاربر خاص به نام vpxuser از طریق کنسول VCenter انجام می شود ، اگر شما نتوانید با استفاده از کاربر root از طریق VSphere Client به Host متصل شوید به احتمال زیاد گزینه Enable Lockdown Mode شما فعال شده است . البته فراموش نکنید که این گزینه صرفا دسترسی گرافیکی کاربر root به سرور را مسدود می کند و همچنان امکان اتصال به سرور ESXi بصورت مستقیم با استفاده از دستورات و کنسول SSH امکانپذیر است . توجه کنید که Lockdown Mode دسترسی فیزیکی و کنسولی به سرور را نیز مسدود نمی کند و شما همچنان می توانید با استفاده از ارتباط مستقیم از طریق مانیتور و کیبورد ، از طریق iLO ، از طریق DRAC و هرگونه ارتباط مستقیم شبکه ای به کنسول اصلی سرور متصل بشوید و تنظیمات اولیه سرور را انجام بدهید.

نویسنده : محمد نصیری

منبع : جزیره مجازی سازی وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

3 نظر
سارا عارفی

سلام مهندس نصیری عزیز...

ما زمانی که هاست هارو به vcenter از طریق vsphere web client معرفی میکنیم یک گزینه ای داریم به نام restrict ، ایا lockdown mode مشابه این گزینه هست؟

تا جایی که مطلعم توسط strict دسترسی به vcenter مان فقط از طریق vcenter انجام میشد ودسترسی از طریق vsphere client به هاست موردنظر نداشتیم

محمد نصیری

لطفا محل دقیقش رو بگید تا بدونم در مورد چه Restriction ای صحبت می کنید تا بگم ارتباطی به این بحث داره یا خیر

mtpa

نکته ای که اشاره نشد بگم بعد از نسخه vSphere 5.1 قابلیتی اضافه شد که علاوه بر vSphere Client می توان از طریق Web Client هم جهت مدیریت بستر مجازی بکار برد، شرکت VMware برای توسعه و سوق دادن کاربران برای استفاده از این پلتفرم تحت HTML 5 شرایط رو طوری تغییر داد که تمامی خاصیت ها و قابلیت ها جدید اضافه شده بعد از این نسخه فقط از طریق Web Client در دسترس و امکان کانفیگ و مدیریت آنها وجود دارد اما دیگر در هنگام استفاده از نرم افزار نصبی vSphere Client امکان مشاهده و تنظیم قابلیت های جدید نیست. به طبع این روال بعد از ورژن vSphere 6.5 باز تغییراتی در ابزارهای مدیریتی بوجود اومد و آن هم این بود که vSphere Client از حالت نرم افزار نصبی تحت ویندوز تغییر شکل یافت و همین ابزار بصورت نسخه وب عرضه شد که علاوه بر تمام مواردی که قبلا در Web Client قابل کانفیگ بود الان از طریق نسخه جدید vSphere Client تحت HTML 5 با نام vSphere UI ارائه شده (هم برای مدیریت ESXi ها هم برای مدیریت vCenter) قابل انجام هستند. این موضوع تا جایی پیش رفت که VMware از نسخه 6.5 به بعد بطور کل ابزار مدیریتی vSphere Client سنتی تحت ویندوزی را از چرخه محصولات کنار گذاشت.

دلیل این مسئله هم کاملا منطقیه چون فارغ از وابستگی به سیستم عامل های مختلف، کاربران برای وصل شدن و مدیریت بستر مجازی فقط به یک مرورگر نیاز دارند (در هر سیستم عاملی حداقل یک مرورگر بصورت پیش فرض وجود دارد) و مثل قبل نیست که vSphere Client فقط روی ویندوز قابل نصب بود مثلا کاربری از سیستم عامل لینوکس یا مکینتاش استفاده می کرد باید در کنار اینها سیستم عامل ویندوزی هم می داشت که vSphere Client رو نصب کنه تا امکان اتصال به بستر مجازی فراهم بشه. این قضیه هم برای VMware مفیده چون بار هزینه ها و روند ایجاد، توسعه مستمر و بروز رسانی های مداوم ابزارهای مدیریتی برای سیستم عامل های مختلف از بین می ره و پشت بند آن تمرکز برای بهبود ابزار تحت وب افزایش می یابد هم اینکه کاربران از هر سیستم عاملی استفاده کنند با یک مرورگر می توانند زیر ساخت مجازی ارتباط برقرار کرده و دسترسی داشته باشند.

حالا برآیند همه توضیحات اینه که Lockdown Mode از ورژن vSphere 4 اضافه شده و از vClient قابل نصب در ویندوز این گزینه قابل انتخاب هست اما بعد از ارائه vSphere 6 این قابلیت دچار تغییراتی شد و موارد جدید اضافه شده که این موارد جدید فقط از طریق Web Client و vSphere UI در نسخه های 6.5 به بعد قابل انتخاب هستند.

موقع Add کردن ESXi ها در vCenter ورژن های 6 به بعد از طریق Web Client همچنین vSphere UI در ورژن های 6.5 به بعد تصویری مانند زیر نمایان میشه که سه گزینه برای انتخاب وجود دارد.

Lockdown mode

  1. حالت اول که پیش فرض هست، Disabled به معنی فعال نبودن قابلیت Lockdown Mode و دسترسی از هر روش ممکن به ESXi ها امکان پذیر هست.
  2. حالت دوم Normal، همان چیزی هست که در نسخه های قبل vSphere 6 هم وجود داشت این گزینه به حالت عادی امکان دسترسی مستقیم با vSphere Client به هاست های ESXi رو مسدود می کند و مدیریت از طریق vCenter و DCUI (دسترسی از کنسول) و SSH در صورت فعال بودن فراهم هست معمولا این گزینه بیشترین کاربرد رو به نسبت حالت شماره بعدی دارد.
  3. حالت سوم Strict، این گزینه بعد ورژن vSphere 6 افزوده شده علاوه بر مسدود سازی دسترسی مستقیم از طریق کلاینت های مدیریتی به ESXi ها (vSphere Client و vSphere UI در نسخه های 6.5 به بعد) سرویس مربوط به DCUI را هم غیرفعال می کند با این شرایط عملا امکان دسترسی به ESXi از طریق کنسول فیزیکی (DCUI) نیز وجود ندارد لذا از vCenter و SSH در صورت فعال بودن می توان هاست های اضافه شده رو مدیریت کرد. دلیل کاربرد کم این گزینه نسبت به قبلی این هست که اگر به هر علتی ارتباط vCenter با هاست ها با مشکل مواجه شود، بخاطر اینکه نمی توان مستقیم به کنسول ESXi دسترسی داشت در نتیجه ممکنه باعث نصب مجدد ESXi منجر شود در این صورت شاید تمامی تنظیمات و حتی داده های ضروری بسته به ساختار مجازی سازی شده از بین برود.
نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر