ESX配置指南,iso文件怎么安装

ESX配置指南 ESX4.0vCenterServer4.0 ZH_CN-000106-00 ESX配置指南您可以在VMware的网站上找到最新的技术文档，网址为/support/VMware网站还提供了最新的产品更新。
如果您对本文档有任何意见和建议，请将您的反馈提交到：docfeedback@ ©2009VMware,Inc.保留所有权利。
本产品受美国和国际版权及知识产权法的保护。
VMware产品受一项或多项专利保护，有关专利详情，请访问。
VMware、VMware“箱状”徽标及设计、VirtualSMP和VMotion都是VMware,Inc.在美国和/或其他法律辖区的注册商标或商标。
此处提到的所有其他商标和名称分别是其各自公司的商标。
VMware,Inc.3401HillviewAve.PaloAlto,CA94304 北京办公室北京市海淀区科学院南路2号融科资讯中心C座南8层上海办公室上海市浦东新区浦东南路999号新梅联合广场23楼广州办公室广州市天河北路233号中信广场7401室
2 VMware,Inc. 目录关于本文档7 1ESX配置简介
9 网络 2网络简介13 网络概念概述13网络服务14在vSphereClient中查看网络信息14在vSphereClient中查看网络适配器信息14 3vNetwork标准交换机的基本网络17 vNetwork标准交换机17端口组18虚拟机的端口组配置18VMkernel网络配置19服务控制台配置21vNetwork标准交换机属性23 4vNetwork分布式交换机的基本网络27 vNetwork分布式交换机架构27配置vNetwork分布式交换机28dvPort组30专用VLAN31配置vNetwork分布式交换机网络适配器33在vNetwork分布式交换机上配置虚拟机网络37 5高级网络39 协议第6版39网络策略40更改DNS和路由配置51MAC地址52TCP分段清除和巨帧53NetQueue和网络性能56VMDirectPathGenI56 6网络最佳做法、场景和故障排除59 网络最佳做法59 VMware,Inc.
3 ESX配置指南挂载NFS卷60软件iSCSI存储器的网络配置60在刀片服务器上配置网络61故障排除62 存储器 7存储器简介67 关于ESX存储器67物理存储器的类型67支持的存储适配器69目标和设备表示形式69关于ESX数据存储71比较存储器类型73在vSphereClient中查看存储器信息74 8配置ESX存储器79 本地SCSI存储器79光纤通道存储器80iSCSI存储器80存储刷新和重新扫描操作89创建VMFS数据存储90网络附加存储91创建诊断分区92 9管理存储器95 管理数据存储95更改VMFS数据存储属性97管理重复VMFS数据存储99在ESX中使用多路径101精简置备108 10裸机映射111 关于裸机映射111裸机映射特性114管理映射的LUN117 安全 11ESX系统的安全123 ESX架构和安全功能123安全资源和信息129 12确保ESX配置的安全131 使用防火墙确保网络安全131
4 VMware,Inc. 目录通过VLAN确保虚拟机安全138确保虚拟交换机端口安全142确保iSCSI存储器安全143 13身份验证和用户管理147 通过身份验证和权限确保ESX的安全147ESX加密和安全证书153 14服务控制台安全159 常规安全建议159登录到服务控制台160服务控制台防火墙配置160密码限制163密码强度168setuid和setgid标记168SSH安全170安全修补程序和安全漏洞扫描软件171 15安全部署和建议173 常见ESX部署的安全措施173虚拟机建议176 主机配置文件 16管理主机配置文件183 主机配置文件使用情况模型183访问主机配置文件视图184创建主机配置文件184导出主机配置文件185导入主机配置文件185编辑主机配置文件185管理配置文件187检查合规性189 附录 AESX技术支持命令193 B用于ESX的Linux命令197 C使用vmkfstools199 vmkfstools命令语法199vmkfstools选项200 索引207 VMware,Inc.
5 ESX配置指南
6 VMware,Inc. 关于本文档本手册（《ESX配置指南》）提供有关如何为ESX配置网络的信息，其中包括如何创建虚拟交换机和端口，以及如何为虚拟机、VMotion、IP存储器和服务控制台设置网络的信息。
此外还论述了如何配置文件系统及各种类型的存储器，如iSCSI、光纤通道等等。
为了帮助保护ESX安装，本指南提供了有关ESX中内置安全功能的论述，以及为使其免受攻击而可采取的措施。
此外，它还包括一个ESX技术支持命令及其vSphereClient等效指令的列表，以及vmkfstools实用程序的描述。
此信息涉及ESX4.0。
目标读者本手册专为需要安装、升级或使用ESX的用户提供。
本手册的目标读者为熟悉数据中心操作且具丰富经验的Windows或Linux系统管理员。
文档反馈 VMware欢迎您提出宝贵建议，以便改进我们的文档。
如有意见，请将反馈发送到docfeedback@。
VMwarevSphere文档 vSphere文档包括VMwarevCenterServer和ESX文档集。
图中使用的缩写本手册中的图片使用表1中列出的缩写形式。
表
1。
缩写缩写数据库数据存储dsk#hostnSANtmpltuser#VCVM# 描述vCenterServer数据库受管主机的存储器受管主机的存储磁盘vCenterServer受管主机受管主机之间共享的存储区域网络类型数据存储模板具有访问权限的用户vCenterServer受管主机上的虚拟机 VMware,Inc.
7 ESX配置指南技术支持和教育资源您可以获取以下技术支持资源。
有关本文档和其他文档的最新版本，请访问：/support/pubs。
在线支持和电话支持支持服务项目VMware专业服务要通过在线支持提交技术支持请求、查看产品和合同信息以及注册您的产品，请访问/support。
客户只要拥有相应的支持合同，就可以通过电话支持，尽快获得对优先级高的问题的答复。
请访问/support/phone_support.html。
要了解VMware支持服务项目如何帮助您满足业务需求，请访问/support/services。
VMware教育服务课程提供了大量实践操作环境、案例研究示例，以及用作作业参考工具的课程材料。
这些课程可以通过现场指导、教室授课的方式学习，也可以通过在线直播的方式学习。
关于现场试点项目及实施的最佳实践，VMware咨询服务可提供多种服务，协助您评估、计划、构建和管理虚拟环境。
要了解有关教育课程、认证计划和咨询服务的信息，请访问/services。

8 VMware,Inc. ESX配置简介
1 本指南将介绍配置ESX主机网络、存储器和安全需要完成的任务。
此外，本指南还提供有关有助于了解这些任务以及如何根据需要部署主机的概述、建议和概念性论述。
在使用此信息之前，请阅读《vSphere简介》以了解系统结构以及组成vSphere系统的物理和虚拟设备的概述。
此简介概括了本指南的内容。
网络网络信息使您了解物理和虚拟网络概念，介绍配置ESX主机的网络连接需要完成的基本任务，并对高级网络主题和任务进行论述。
存储器存储器信息提供有关存储器的基本认识，介绍配置和管理ESX主机存储器所要执行的基本任务，并对如何设置裸机映射(RDM)进行论述。
安全安全信息介绍VMware已内置到ESX中的安全措施，以及为保护主机免受安全危胁所采取的措施。
这些措施包括使用防火墙、利用虚拟交换机的安全功能以及设置用户身份验证和权限。
主机配置文件本节介绍主机配置文件的功能，以及如何使用它将主机配置封装到主机配置文件。
本节还将介绍如何将此主机配置文件应用于其他主机或群集、如何编辑配置文件以及如何检查主机是否与配置文件相符。
附录附录提供有助于您配置ESX主机的专业信息。
nESX技术支持命令-论述了可通过命令行Shell（如SecureShell(SSH)）发出的ESX配置命令。
尽管有这些命令可供使用，但不要将其视为可在其上生成脚本的API。
这些命令可能有所更改，并且VMware不支持依赖于ESX配置命令的应用程序和脚本。
此附录提供了对应于这些命令的vSphereClient等效指令。
n使用vmkfstools-论述了vmkfstools实用程序，该程序可用于执行iSCSI磁盘的管理和迁移任务。
VMware,Inc.
9 ESX配置指南 10 VMware,Inc. 网络 VMware,Inc. 11 ESX配置指南 12 VMware,Inc. 网络简介
2 此网络简介可帮助您了解ESX网络的基本概念以及如何在vSphere环境中设置和配置网络。
本章讨论了以下主题： n第13页，“网络概念概述” n第14页，“网络服务” n第14页，“在vSphereClient中查看网络信息” n第14页，“在vSphereClient中查看网络适配器信息” 网络概念概述一些概念对透彻了解虚拟网络至关重要。
如果您是ESX的新用户，则了解这些概念将对您很有帮助。
物理网络是为了使物理机之间能够收发数据而在物理机间建立的网络。
VMwareESX运行于物理机之上。
虚拟网络是运行于单台物理机之上的虚拟机之间为了互相发送和接收数据而相互逻辑连接所形成的网络。
虚拟机可连接到在添加网络时创建的虚拟网络。
物理以太网交换机管理物理网络上计算机之间的网络流量。
一台交换机可具有多个端口，每个端口都可与网络上的一台计算机或其他交换机连接。
可按某种方式对每个端口的行为进行配置，具体取决于其所连接的计算机的需求。
交换机将会了解到连接其端口的主机，并使用该信息向正确的物理机转发流量。
交换机是物理网络的核心。
可将多个交换机连接在一起，以形成较大的网络。
虚拟交换机vSwitch的运行方式与物理以太网交换机十分相似。
它检测与其虚拟端口进行逻辑连接的虚拟机，并使用该信息向正确的虚拟机转发流量。
可通过使用物理以太网适配器（也称为上行链路适配器）将虚拟网络连接至物理网络，以将vSwitch连接到物理交换机。
此类型的连接类似于将物理交换机连接在一起以创建较大型的网络。
即使vSwitch的运行方式与物理交换机十分相似，但它不具备物理交换机所拥有的一些高级功能。
vNetwork分布式交换机在数据中心上的所有关联主机之间充当单一vSwitch。
这使得虚拟机可在跨多个主机进行迁移时确保其网络配置保持一致。
dvPort是vNetwork分布式交换机上的一个端口，连接到主机的服务控制台或VMkernel，或者连接到虚拟机的网络适配器。
端口组为每个端口指定了诸如宽带限制和VLAN标记策略之类的端口配置选项。
网络服务通过端口组连接vSwitch。
端口组定义通过vSwitch连接网络的方式。
通常，单个vSwitch与一个或多个端口组关联。
dvPort组是与vNetwork分布式交换机关联的端口组，它为每个成员端口指定端口配置选项。
dvPort组定义如何通过vNetwork分布式交换机连接到网络。
当多个上行链路适配器与单一vSwitch相关联以形成小组时，就会发生网卡绑定。
小组将物理网络和虚拟网络之间的流量负载分摊给其所有或部分成员，或在出现硬件故障或网络中断时提供被动故障切换。
VMware,Inc. 13 ESX配置指南 VLAN可用于将单个物理LAN分段进一步分段，以便使端口组中的端口互相隔离，就如同位于不同物理分段上一样。
标准是802.1Q。
VMkernelTCP/IP网络堆栈支持iSCSI、NFS和VMotion。
虚拟机运行其自身系统的TCP/IP堆栈，并通过虚拟交换机连接至以太网级别的VMkernel。
IP存储器是指将TCP/IP网络通信用作其基础的任何形式的存储器。
iSCSI可用作虚拟机数据存储，NFS可用作虚拟机数据存储并用于直接挂载.ISO文件，这些文件对于虚拟机显示为CD-ROM。
TCP分段卸载(TSO)可使TCP/IP堆栈发出非常大的帧（达到64KB），即使接口的最大传输单元(MTU)较小也是如此。
然后网络适配器将较大的帧分成MTU大小的帧，并预置一份初始TCP/IP标头的调整后副本。
借助“通过VMotion迁移”，可在ESX主机之间转移已启动的虚拟机，而无需关闭虚拟机。
可选VMotion功能需要其自身的许可证密钥。
网络服务 vNetwork向主机和虚拟机提供了多种不同服务。
可以在ESX中启用三种类型的网络服务：n将虚拟机连接到物理网络以及相互连接虚拟机。
n将VMkernel服务（如NFS、iSCSI或VMotion）连接至物理网络。
n通过服务控制台运行ESX管理服务。
服务控制台端口（默认情况下在安装期间设置）是将ESX连接至任何网络或远程服务（包括vSphereClient）所必需的。
其他服务（如iSCSI存储器）可能需要其他服务控制台端口。
在vSphereClient中查看网络信息 vSphereClient显示了一般网络信息及网络适配器的特定信息。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3单击虚拟交换机以查看主机上的vNetwork标准交换机网络，或单击分布式虚拟交换机以查看主机上的 vNetwork分布式交换机网络。
分布式虚拟交换机选项仅出现在与vNetwork分布式交换机关联的主机上。
即会显示主机上的每个虚拟交换机的网络信息。
在vSphereClient中查看网络适配器信息您可以查看主机上的每个物理网络适配器的有关信息，如速度、双工和观察的IP范围。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2单击配置选项卡，然后单击网络适配器。
网络适配器面板显示以下信息。
选项描述设备网络适配器的名称速度网络适配器的实际速度和双工 14 VMware,Inc. 选项已配置vSwitch观察的IP范围支持LAN唤醒描述网络适配器的已配置速度和双工网络适配器所关联的vSwitch网络适配器可访问的IP地址网络适配器支持LAN唤醒功能第2章网络简介 VMware,Inc. 15 ESX配置指南 16 VMware,Inc. vNetwork标准交换机的基本网络
3 下列主题引导您在vSphere环境中完成基本vNetwork标准交换机(vSwitch)的网络设置和配置。
使用vSphereClient，添加基于以下类别的网络，这些类别反映网络服务类型：n虚拟机 nVMkerneln服务控制台本章讨论了以下主题： n第17页，“vNetwork标准交换机”n第18页，“端口组”n第18页，“虚拟机的端口组配置”n第19页，“VMkernel网络配置”n第21页，“服务控制台配置”n第23页，“vNetwork标准交换机属性” vNetwork标准交换机可以创建名为vNetwork标准交换机(vSwitch)的抽象网络设备。
vSwitch可在虚拟机之间进行内部流量路由或链接至外部网络。
使用vSwitch组合多个网络适配器的带宽并平衡它们之间的通信流量。
也可将vSwitch配置为处理物理网卡故障切换。
vSwitch模拟物理以太网交换机。
vSwitch的默认逻辑端口数量为56个。
但在ESX中可以有多达1016个端口。
每个端口均可连接一个虚拟机网络适配器。
与vSwitch关联的每个上行链路适配器均使用一个端口。
vSwitch的每个逻辑端口都是单一端口组的成员。
还可向每个vSwitch分配一个或多个端口组。
最多可在单台主机上创建127个vSwitch。
当两个或多个虚拟机连接到同一vSwitch时，它们之间的网络流量就会在本地进行路由。
如果将上行链路适配器连接到vSwitch，每个虚拟机均可访问该适配器所连接到的外部网络。
VMware,Inc. 17 ESX配置指南端口组端口组将多个端口聚合在一个公共配置下，并为连接到带标记网络的虚拟机提供稳定的定位点。
最多可在单台主机上创建512个端口组。
每个端口组都由一个对于当前主机保持唯一的网络标签来标识。
使用网络标签，可以使虚拟机配置可在主机间移植。
对于数据中心中物理连接到同一网络的所有端口组（即每组都可以接收其他组的广播），会赋予同一标签。
反过来，如果两个端口组无法接收对方的广播，则会赋予不同的标签。
VLANID是可选的，它用于将端口组流量限制在物理网络内的一个逻辑以太网网段中。
要使端口组到达其他VLAN上的端口组，必须将VLANID设置为4095。
如果使用VLANID，则必须一起更改端口组标签和VLANID，以便标签能够正确地表示连接性。
虚拟机的端口组配置可以从vSphereClient添加或修改虚拟机端口组。
vSphereClient的添加网络向导将引导您完成与虚拟机相连的虚拟网络的创建任务，该任务包括创建vSwitch和配置网络标签设置。
设置虚拟机网络时，需要考虑是否在主机之间的网络中迁移虚拟机。
如果需要，请确保两台主机均位于同一广播域（即同一第2层子网）内。
ESX不支持在不同广播域中的主机之间进行虚拟机迁移，因为迁移后的虚拟机可能需要在其被移至另一个网络后不再可访问的系统和资源。
即使网络配置设置为高可用性环境或包括可解决不同网络中虚拟机需求的智能交换机，当ARP表格为虚拟机进行更新并恢复网络流量时，仍会遇到网络延迟。
虚拟机通过上行链路适配器接入物理网络。
只有当一个或多个网络适配器连接到vSwitch时，vSwitch才能将数据传输到外部网络。
当两个或多个适配器连接到单个vSwitch时，它们便以透明方式进行组合。
添加虚拟机端口组虚拟机端口组为虚拟机提供网络连接。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择“虚拟交换机”视图。
vSwitch将显示在包括详细信息布局的概述中。
4在页面右侧，单击添加网络。
5接受默认连接类型（虚拟机），然后单击下一步。
6选择创建虚拟交换机或所列出的一台现有vSwitch及其关联物理适配器，以用于此端口组。
创建新的vSwitch不一定要使用以太网适配器。
如果创建的vSwitch不带物理网络适配器，则该vSwitch上的所有流量仅限于其内部。
物理网络上的其他主机或其他vSwitch上的虚拟机均无法通过此vSwitch发送或接收流量。
如果想要一组虚拟机互相进行通信但不与其他主机或虚拟机组之外的虚拟机进行通信，则可创建一个不带物理网络适配器的vSwitch。
7单击下一步。
8在“端口组属性”组中，输入用于标识所创建的端口组的网络标签。
网络标签用于标识两个或多个主机共有且与迁移兼容的连接。
18 VMware,Inc. 第3章vNetwork标准交换机的基本网络 9（可选）如果使用的是VLAN，在VLANID字段中输入一个介于1和4094之间的数字。
如果使用的不是VLAN，则将此处留空。
如果输入0或将该选项留空，则端口组只能看到未标记的（非VLAN）流量。
如果输入4095，端口组可检测到任何VLAN上的流量，而VLAN标记仍保持原样。
10单击下一步。
11确定vSwitch配置正确之后，单击完成。
VMkernel网络配置 VMkernel网络接口用于VMwareVMotion和IP存储器。
在主机之间移动虚拟机称为迁移。
使用VMotion，可以在不停机的情况下迁移已启动的虚拟机。
必须正确设置VMkernel网络连接堆栈，以容纳VMotion。
IP存储器是指将TCP/IP网络通信用作其基础的任何形式的存储器，包括用于ESX的iSCSI和NFS。
由于这些存储器类型都基于网络，因此它们可使用相同的VMkernel接口和端口组。
VMkernel提供的网络服务（iSCSI、NFS和VMotion）使用VMkernel中的TCP/IP堆栈。
此TCP/IP堆栈与用于服务控制台中的TCP/IP堆栈完全隔离。
其中的每个TCP/IP堆栈均通过连接到一个或多个vSwitch上的一个或多个端口组来访问各种网络。
VMkernel级别的TCP/IP堆栈 VMwareVMkernelTCP/IP网络堆栈以多种方式为它所处理的各种服务提供网络支持。
VMkernelTCP/IP堆栈用以下方式处理iSCSI、NFS和VMotion。
n作为虚拟机数据存储的iSCSIn用于直接挂载.ISO文件的iSCSI，.ISO文件对于虚拟机显示为CD-ROMn作为虚拟机数据存储的NFSn用于直接挂载.ISO文件的NFS，.ISO文件对于虚拟机显示为CD-ROMn通过VMotion迁移如果有两个或更多的物理网卡用于iSCSI，则可以通过使用端口绑定技术创建软件iSCSI的多个路径。
有关端口绑定的详细信息，请参见《iSCSISAN配置指南》。
注意ESX仅支持TCP/IP上的NFS版本
3。
设置VMkernel网络创建用作VMotion接口或IP存储端口组的VMkernel网络适配器。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3在“虚拟交换机”视图中，单击添加网络。
4选择VMkernel，然后单击下一步。
5选择要使用的vSwitch，或选择创建虚拟交换机以创建一个新的vSwitch。
VMware,Inc. 19 ESX配置指南 6选中与vSwitch要使用的网络适配器相对应的复选框。
为每个vSwitch选择适配器，以便使通过适配器连接的虚拟机或其他设备可访问正确的以太网分段。
如果“创建新的虚拟交换机”下方未出现适配器，则表明系统中的所有网络适配器均被现有vSwitch使用。
可以在不使用网络适配器的情况下创建新的vSwitch，也可以选择由现有vSwitch使用的网络适配器。
7单击下一步。
8选择或输入网络标签和VLANID。
选项网络标签 VLANID 描述用于识别所创建端口组的名称。
此标签是在配置诸如VMkernel服务（如VMotion和IP存储器）的过程中，配置要连接到此端口组的虚拟适配器时指定的。
用于识别端口组网络流量将使用的VLAN。
9选择将此端口组用于VMotion，以便允许此端口组对另一个主机将其自身通告为应在其中发送vMotion流量的网络连接。
对于每个主机来说，只能为其中一个vMotion和IP存储器端口组启用此属性。
如果没有为任何端口组启用此属性，则无法通过vMotion向此主机进行迁移。
10选择是否将此端口组用于容错日志记录，然后单击下一步。
11选择自动获得IP设置以使用DHCP获得IP设置，或选择使用以下IP设置来手动指定IP设置。
如果选择手动指定IP设置，则提供此信息。
a输入VMkernel接口的IP地址和子网掩码。
此地址必须不同于为服务控制台设置的IP地址。
b单击编辑以设置VMkernel服务（如VMotion、NAS和iSCSI）的VMkernel默认网关。
c默认情况下，DNS配置选项卡上已输入主机名称。
如同域一样，在安装期间指定的DNS服务器地址也已预先选定。
d在路由选项卡中，服务控制台和VMkernel均需要其自身的网关信息。
如果要连接到与服务控制台或VMkernel不在同一个IP子网上的计算机，则需要网关。
默认设置为静态IP设置。
e单击确定，然后单击下一步。
12在启用了IPV6的主机上，选择不使用IPv6设置以便针对VMkernel接口仅使用IPv4设置，或选择使用以下IPv6设置为VMkernel接口配置IPv6。
如果在主机上禁用了IPv6，此屏幕将不出现。
13如果选择针对VMkernel接口使用IPv6，请选择以下选项之一来获取IPv6地址。
n通过DHCP自动获取IPv6地址n通过路由器通告自动获取IPv6地址n静态IPv6地址14如果选择使用静态IPv6地址，请完成以下步骤。
a单击添加以添加新的IPv6地址。
b输入IPv6地址和子网前缀长度，然后单击确定。
c要更改VMkernel默认网关，请单击编辑。
20 VMware,Inc. 第3章vNetwork标准交换机的基本网络 15单击下一步。
16检查信息，单击上一步以更改条目，然后单击完成。
服务控制台配置服务控制台和VMkernel均使用虚拟以太网适配器连接至vSwitch并到达vSwitch所服务的网络。
常见服务控制台配置修改包括更改网卡和为使用中的网卡更改设置。
如果仅有一个服务控制台连接，则不允许更改服务控制台配置。
对于新连接，请将网络设置更改为使用其他网卡。
在确保新连接运行正常之后，请移除旧连接。
这会切换至新网卡。
在ESX中最多可创建16个服务控制台端口。
设置服务控制台网络单个服务控制台网络接口是在ESX安装过程中设置的。
在ESX正常运行之后，还可以添加其他服务控制台接口。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3在“虚拟交换机”视图中，单击添加网络。
4选择服务控制台，然后单击下一步。
5选择要用于网络访问的vSwitch，或选择创建新的vSwitch，然后单击下一步。
如果“创建虚拟交换机”组中未出现适配器，则表明系统中的所有网络适配器均被现有vSwitch使用。
6输入网络标签和VLANID，然后单击下一步。
7输入IP地址和子网掩码，或选择自动获得IP设置。
8单击编辑以设置服务控制台默认网关，然后单击下一步。
9在启用了IPV6的主机上，选择不使用IPv6设置以便针对服务控制台仅使用IPv4设置，或选择使用以下IPv6 设置为服务控制台配置IPv6。
如果在主机上禁用了IPv6，此屏幕不会出现。
10如果选择使用IPv6，请选择如何获得IPv6地址。
11如果选择静态IPv6地址，则执行以下操作：a单击添加以添加新的IPv6地址。
b输入IPv6地址和子网前缀长度，然后单击确定。
c要更改服务控制台默认网关，请单击编辑。
12单击下一步。
13检查信息，单击上一步以更改条目，然后单击完成。
配置服务控制台端口可以编辑服务控制台端口属性，例如IP设置和网络连接策略。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
VMware,Inc. 21 ESX配置指南 3在页面右侧，单击要编辑的vSwitch的属性。
4在“vSwitch属性”对话框中，单击端口选项卡。
5选择服务控制台，然后单击编辑。
6要继续配置服务控制台，请单击继续修改此连接。
7根据需要编辑端口属性、IP设置和有效策略。
8单击确定。
设置默认网关可以为服务控制台的每个TCP/IP堆栈配置一个默认网关。
小心保存更改之前，请确保网络设置正确。
如果网络设置的配置有误，UI会丢失与主机的连接，随后您必须从服务控制台的命令行重新对主机进行配置。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和DNS和路由。
3单击属性。
4单击路由选项卡。
5在“服务控制台”下方，设置服务控制台网络的默认网关和网关设备。
对于服务控制台，仅当两个或多个网络适配器使用同一子网时才需要网关设备。
网关设备确定用于默认路由的网络适配器。
服务控制台和VMkernel通常连接到不同的网络，因此需要其各自的网关信息。
连接的计算机与服务控制台或VMkernel接口位于不同IP子网上时需要网关。
在启用了IPv6的主机上，还可以选择服务控制台网络的“IPv6的默认网关”和“使用IPv6的网关设备”。
6在“VMkernel”下方，设置VMkernel网络的默认网关。
在启用了IPv6的主机上，还可以选择VMkernel网络的“IPv6的默认网关”。
7单击确定。
显示服务控制台信息可以查看服务控制台网络信息，如VLANID和网络策略。
步骤1单击服务控制台端口组左侧的信息图标以显示服务控制台信息。
2单击
X，以关闭信息弹出窗口。
对服务控制台使用DHCP 大多数情况下，应对服务控制台使用静态IP地址。
如果DNS服务器可将服务控制台的主机名称映射至动态生成的IP地址，也可将服务控制台设置为使用动态地址DHCP。
如果DNS服务器无法将主机名称映射至其DHCP生成的IP地址，则使用服务控制台的数值IP地址访问主机。
当DHCP租期到期或系统重新引导时，数值IP地址可能会发生变化。
因此，VMware建议不要将DHCP用于服务控制台，除非DNS服务器可处理主机名称转换。
22 VMware,Inc. 第3章vNetwork标准交换机的基本网络 vNetwork标准交换机属性 vNetwork标准交换机设置可控制端口的vSwitch层面默认值，而每个vSwitch的端口组设置均可覆盖这些值。
您可以编辑vSwitch属性，如上行链路配置和可用端口数。
更改vSwitch的端口数 vSwitch可用作使用了一组常用网络适配器的端口配置（包括根本不包含网络适配器的集合）的容器。
每个虚拟交换机都提供有限数量的端口，虚拟机和网络服务可以通过这些端口访问一个或多个网络。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3在页面右侧，单击要编辑的vSwitch的属性。
4单击端口选项卡。
5在“配置”列表中选择vSwitch项目，然后单击编辑。
6单击常规选项卡。
7从下拉菜单中选择您要使用的端口数。
8单击确定。
下一步重新启动系统后更改才会生效。
更改上行链路适配器的速度可以更改上行链路适配器的连接速度和双工。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择vSwitch并单击属性。
4单击网络适配器选项卡。
5要更改网络适配器的已配置速度和双工值，请选择网络适配器并单击编辑。
6要手动选择连接速度，请在下拉菜单中选择速度和双工。
如果网卡和物理交换机在协商正确的连接速度时可能失败，请手动选择连接速度。
速度和双工不匹配的表现包括低带宽，或者没有链路连接。
适配器以及与它所连接到的物理交换机端口必须设置为相同值，如两者可同时设置为“auto”或“ND”（其中ND表示某个速度和双工），但不能一个设置为“auto”，另一个设置为“ND”。
7单击确定。
VMware,Inc. 23 ESX配置指南添加上行链路适配器可以将多个适配器与一个vSwitch关联以提供成网卡绑定。
此网卡组可以共享流量并提供故障切换。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择vSwitch并单击属性。
4单击网络适配器选项卡。
5单击添加以启动添加适配器向导。
6在列表中选择一个或多个适配器，然后单击下一步。
7（可选）要将网卡重新排序到不同类别中，请选择网卡，并单击上移和下移。
选项活动适配器待机适配器描述vSwitch使用的适配器。
如果一个或多个活动适配器发生故障，则待机适配器将成为活动适配器。
8单击下一步。
9查看“适配器摘要”页面上的信息，单击上一步以更改条目，然后单击完成。
此时将重新出现网络适配器列表，显示现在由vSwitch声明的适配器。
10单击关闭，退出“vSwitch属性”对话框。
在配置选项卡的“网络”区域中按指定的顺序和类别显示网络适配器。
Cisco发现协议 Cisco发现协议(CDP)允许ESX管理员决定哪个Cisco交换机端口与给定的vSwitch相连。
当特定vSwitch启用了CDP时，可以通过vSphereClient查看Cisco交换机的属性（如设备ID、软件版本和超时）。
在ESX主机上启用CDP默认情况下，vSwitch设置为检测Cisco端口信息。
还可以设置CDP模式，以便Cisco交换机管理员可以使用vSwitch信息。
步骤1直接登录ESX主机的控制台。
2通过输入esxcfg-vswitch-b命令查看vSwitch的当前CDP模式。
如果禁用了CDP，则模式将显示为关闭。
3通过输入esxcfg-vswitch-B命令更改CDP模式。
模式描述关闭 CDP处于禁用状态。
侦听 ESX检测并显示与关联Cisco交换机端口相关的信息，但并不向Cisco交换机管理员提供有关vSwitch的信息。
24 VMware,Inc. 第3章vNetwork标准交换机的基本网络模式描述播发 ESX将有关vSwitch的信息提供给Cisco交换机管理员，但不检测和显示Cisco 交换机的相关信息。
二者 ESX检测并显示与关联Cisco交换机相关的信息，并将有关vSwitch的信息提供给Cisco交换机管理员。
在vSphereClient上查看Cisco交换机信息当CDP设置为侦听或二者时，可以查看Cisco交换机信息。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3单击vSwitch右侧的信息图标。
注意由于CDP通常每分钟播发一次Cisco设备信息，因此从启用ESX的CDP到从vSphereClient获得CDP数据间可能会有显著的延迟。
VMware,Inc. 25 ESX配置指南 26 VMware,Inc. vNetwork分布式交换机的基本网络
4 这些主题指导您掌握vNetwork分布式交换机网络的基本概念，并指导您如何在vSphere环境中设置和配置vNetwork分布式交换机网络。
本章讨论了以下主题： n第27页，“vNetwork分布式交换机架构” n第28页，“配置vNetwork分布式交换机” n第30页，“dvPort组” n第31页，“专用VLAN” n第33页，“配置vNetwork分布式交换机网络适配器” n第37页，“在vNetwork分布式交换机上配置虚拟机网络” vNetwork分布式交换机架构 vNetwork分布式交换机在所有关联主机之间起到单个虚拟交换机的作用。
这使得虚拟机在跨多个主机进行迁移时确保其网络配置保持一致。
与vNetwork标准交换机一样，每个vNetwork分布式交换机也是虚拟机可以使用的网络集线器。
vNetwork分布式交换机可在虚拟机之间转发内部流量，或者通过连接物理以太网适配器（也称为上行链路适配器）链接至外部网络。
您还可以为每个vNetwork分布式交换机分配一个或多个dvPort组。
dvPort组将多个端口组合在一个通用配置下，并为连接标定网络的虚拟机提供稳定的定位点。
每个dvPort端口组都由一个对于当前数据中心唯一的网络标签来标识。
VLANID是可选的，它用于将端口组流量限制在物理网络内的一个逻辑以太网网段中。
除了VMwarevNetwork分布式交换机以外，vSphere4还为第三方虚拟交换机提供初始支持。
有关配置这些第三方交换机的信息，请访问/go/1000vdocs。
VMware,Inc. 27 ESX配置指南配置vNetwork分布式交换机可以在vCenterServer数据中心上创建vNetwork分布式交换机。
创建了vNetwork分布式交换机之后，便可以添加主机、创建dvPort组并编辑vNetwork分布式交换机的属性和策略。
创建vNetwork分布式交换机创建vNetwork分布式交换机以处理数据中心上相关主机的网络流量。
步骤1登录到vSphereClient，此时会在“网络”视图中显示数据中心。
2从“清单”菜单，选择数据中心>新建vNetwork分布式交换机。
此时将显示创建vNetwork分布式交换机向导。
3在“名称”字段中输入vNetwork分布式交换机的名称。
4选择dvUplink端口数，然后单击下一步。
dvUplink端口将vNetwork分布式交换机连接到关联的ESX主机上的物理网卡。
dvUplink端口数是允许每台主机与vNetwork分布式交换机建立的最大物理连接数。
5单击下一步。
6选择是立即添加还是以后添加。
7如果选择立即添加，则通过单击每个主机或适配器旁边的复选框来选择要使用的主机和物理适配器。
在vNetwork分布式交换机创建期间，只能添加尚未使用的物理适配器。
8单击下一步。
9选择是否自动创建默认端口组。
此选项将创建一个带有128个端口的早期绑定端口组。
对于具有复杂端口组要求的系统，跳过默认端口组并在完成vNetwork分布式交换机的添加之后创建新dvPort组。
10查看vNetwork分布式交换机关系图以确保正确配置，然后单击完成。
下一步如果选择以后添加主机，则在添加网络适配器之前，必须将主机添加到vNetwork分布式交换机。
可以从vSphereClient的主机配置页面添加网络适配器，也可以使用主机配置文件。
将主机添加到vNetwork分布式交换机使用将主机添加到vNetwork分布式交换机向导可以将主机与vNetwork分布式交换机关联起来。
还可以使用主机配置文件将主机添加到vNetwork分布式交换机。
步骤1在vSphereClient中，显示“网络”清单视图，并选择vNetwork分布式交换机。
2从“清单”菜单中，选择分布式虚拟交换机>添加主机。
此时将显示将主机添加到vNetwork分布式交换机向导。
3选择要添加的主机。
28 VMware,Inc. 第4章vNetwork分布式交换机的基本网络 4在所选主机下面，选择要添加的物理适配器，然后单击下一步。
您可以选择可用的和使用中的物理适配器。
如果选择当前正由主机使用的适配器，则需要选择是否将关联虚拟适配器移动到vNetwork分布式交换机。
注意将物理适配器移动到vNetwork分布式交换机而没有移动任何关联虚拟适配器将导致这些虚拟适配器失去网络连接。
5单击完成。
编辑常规vNetwork分布式交换机设置可以编辑vNetwork分布式交换机的常规属性，例如vNetwork分布式交换机名称和vNetwork分布式交换机的上行链路端口数。
步骤1在vSphereClient中，显示“网络”清单视图，并选择vNetwork分布式交换机。
2从“清单”菜单中，选择分布式虚拟交换机>编辑设置。
3选择常规以编辑下面的vNetwork分布式交换机设置。
a输入vNetwork分布式交换机的名称。
b选择上行链路端口数。
c要编辑上行链路端口名称，请单击编辑dvUplink端口名称，输入新名称，然后单击确定。
d输入有关vNetwork分布式交换机的任何说明。
4单击确定。
编辑vNetwork分布式交换机高级设置使用“vNetwork分布式交换机设置”对话框可以配置高级vNetwork分布式交换机设置（如vNetwork分布式交换机的Cisco发现协议和最大MTU）。
步骤1在vSphereClient中，显示“网络”清单视图，并选择vNetwork分布式交换机。
2从“清单”菜单中，选择分布式虚拟交换机>编辑设置。
3选择高级以编辑下面的vNetwork分布式交换机属性。
a指定最大MTU大小。
b选中启用Cisco发现协议复选框以启用CDP，然后将操作设置为侦听、通告或二者。
c在“管理员联系信息”区域中输入vNetwork分布式交换机管理员的名称和其他详细信息。
4单击确定。
查看vNetwork分布式交换机的网络适配器信息从vSphereClient的网络清单视图中，查看vNetwork分布式交换机的物理网络适配器和上行链路分配。
步骤1在vSphereClient中，显示“网络”清单视图，并选择vNetwork分布式交换机。
2从“清单”菜单中，选择分布式虚拟交换机>编辑设置。
VMware,Inc. 29 ESX配置指南 3在网络适配器选项卡上，可以查看关联主机的网络适配器和上行链路分配。
此选项卡是只读的。
vNetwork分布式交换机网络适配器必须在主机级别上进行配置。
4单击确定。
dvPort组 dvPort组为vNetwork分布式交换机上的每个端口指定端口配置选项。
dvPort组定义如何连接到网络。
添加dvPort组可使用创建dvPort组向导将dvPort组添加到vNetwork分布式交换机。
步骤1在vSphereClient中，显示“网络”清单视图，并选择vNetwork分布式交换机。
2从清单菜单中，选择分布式虚拟交换机>新建端口组。
3输入dvPort组的名称和端口数。
4选择VLAN类型。
选项无VLANVLAN中继专用VLAN 描述不使用VLAN。
在VLANID字段中，输入一个介于1和4094之间的数字。
输入VLAN中继范围。
选择专用VLAN条目。
如果尚未创建任何专用VLAN，则此菜单为空。
5单击下一步。
6单击完成。
编辑dvPort组常规属性使用dvPort组属性对话框可以配置dvPort组常规属性（如dvPort组名称和端口组类型）。
步骤1在vSphereClient中，显示“网络”清单视图，并选择dvPort组。
2从“清单”菜单中，选择网络>编辑设置。
3选择常规以编辑以下dvPort组属性。
选项名称描述端口数端口绑定操作输入dvPort组的名称。
输入dvPort组的简要描述。
输入dvPort组的端口数。
选择将端口分配到与该dvPort组相连的虚拟机的时间。
n虚拟机连接到dvPort组后，请选择静态绑定以将端口分配到虚拟机。
n连接到dvPort组之后首次启动虚拟机时，请选择动态绑定以将端口分配到虚拟机。
n为无端口绑定选择极短。
4单击确定。
30 VMware,Inc. 第4章vNetwork分布式交换机的基本网络编辑dvPort组高级属性使用“dvPort组属性”对话框可以配置dvPort组高级属性（如端口名称格式和替代设置）。
步骤1从“清单”菜单中，选择网络>编辑设置。
2选择高级以编辑dvPort组属性。
a选择允许替代端口策略以允许替代每个端口上的dvPort组策略。
b单击编辑替代设置以选择可以替代哪些策略。
c选择是否允许实时移动端口。
d选择断开连接时配置重置以在从虚拟机断开dvPort时放弃每个端口的配置。
e选择允许在主机上绑定以指定当vCenterServer系统关闭时，ESX可以将dvPort分配给虚拟机。
f选择端口名称格式，以提供用来向该组中的dvPort分配名称的模板。
3单击确定。
配置dvPort设置使用“端口设置”对话框可以配置常规dvPort属性（如端口名称和描述）。
步骤1登录到vSphereClient，此时会显示vNetwork分布式交换机。
2在端口选项卡上，右键单击要修改的端口，然后选择编辑设置。
3单击常规。
4修改端口名称和描述。
5单击确定。
专用VLAN 专用VLAN用于解决某些网络设置的VLANID限制和IP地址浪费。
专用VLAN由其主专用VLANID标识。
主专用VLANID可以拥有多个与其关联的次专用VLANID。
主专用VLAN为杂乱模式，以便专用VLAN上的端口可以与配置为主专用VLAN的端口通信。
次专用VLAN上的端口可以是已隔离（仅与杂乱模式端口通信），也可以是团体（与同一次专用VLAN上的杂乱模式端口和其他端口通信）。
如果要在ESX主机和其余物理网络之间使用专用VLAN，则与ESX主机相连的物理交换机必须支持专用VLAN，而且需要用ESX所用的VLANID进行配置以获取专用VLAN功能。
对于使用基于动态MAC+VLANID进行学习的物理交换机，必须首先将所有相应的专用VLANID输入到交换机的VLAN数据库中。
为了配置dvPorts以使用专用VLAN功能，必须在与dvPorts连接的vNetwork分布式交换机上首先创建必要的专用VLAN。
VMware,Inc. 31 ESX配置指南创建专用VLAN 可以创建专用VLAN以便在vNetwork分布式交换机及其关联的dvPort上使用。
步骤1在vSphereClient中，显示“网络”清单视图，并选择vNetwork分布式交换机。
2从清单菜单中，选择vNetwork分布式交换机>编辑设置。
3选择专用VLAN选项卡。
4在“主专用VLANID”下面，单击[在此输入专用VLANID]，并输入主专用VLAN号。
5在对话框中的任何位置单击，然后选择刚才添加的主专用VLAN。
添加的主专用VLAN将出现在“次专用VLANID”下面。
6对于每个新的次专用VLAN，请单击“次专用VLANID”下的[在此输入专用VLANID]，然后输入次专用 VLAN号。
7在对话框中的任何位置单击，选择刚才添加的次专用VLAN，然后选择已隔离或团体端口类型。
8单击确定。
移除主专用VLAN 从vSphereClient的网络清单视图中移除未使用的主专用VLAN。
前提条件在移除专用VLAN之前，确保没有配置任何端口组使用它。
步骤1在vSphereClient中，显示“网络”清单视图，并选择vNetwork分布式交换机。
2从清单菜单中，选择vNetwork分布式交换机>编辑设置。
3选择专用VLAN选项卡。
4选择要移除的主专用VLAN。
5在“主专用VLANID”下单击移除，然后单击确定。
移除主专用VLAN还将移除所有关联的次专用VLAN。
移除次专用VLAN 从vSphereClient的网络清单视图中移除未使用的次专用VLAN。
前提条件在移除专用VLAN之前，确保没有配置任何端口组使用它。
步骤1在vSphereClient中，显示“网络”清单视图，并选择vNetwork分布式交换机。
2从清单菜单中，选择vNetwork分布式交换机>编辑设置。
3选择专用VLAN选项卡。
4选择主专用VLAN以显示其关联的次专用VLAN。
32 VMware,Inc. 第4章vNetwork分布式交换机的基本网络 5选择要移除的次专用VLAN。
6在“次专用VLANID”下单击移除，然后单击确定。
配置vNetwork分布式交换机网络适配器主机配置页面的“vNetwork分布式交换机”网络视图显示主机的关联vNetwork分布式交换机的配置，并允许配置vNetwork分布式交换机网络适配器和上行链路端口。
管理物理适配器对于与vNetwork分布式交换机相关联的每台主机，必须对vNetwork分布式交换机分配物理网络适配器或上行链路。
可以将每台主机上的一个上行链路分配给vNetwork分布式交换机的一个上行链路端口。
将上行链路添加到vNetwork分布式交换机必须将物理上行链路添加到vNetwork分布式交换机，以便连接到vNetwork分布式交换机的虚拟机和虚拟网络适配器能够连接到所驻留主机以外的网络。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择“vNetwork分布式交换机”视图。
4单击管理物理适配器。
5对于要向其添加上行链路的上行链路端口，单击单击以添加网卡。
6选择要添加的物理适配器。
如果选择已连接到其他交换机的适配器，它将从该交换机中移除并重新分配给此 vNetwork分布式虚拟机。
7单击确定。
从vNetwork分布式交换机中移除上行链路与vNetwork分布式交换机关联的上行链路无法添加到vSwitch或另一个vNetwork分布式交换机。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择“vNetwork分布式交换机”视图。
4单击管理物理适配器。
5单击与要移除的上行链路对应的移除。
6单击确定。
管理虚拟网络适配器虚拟网络适配器通过vNetwork分布式交换机处理主机网络服务。
可以通过关联的vNetwork分布式交换机（即通过创建新虚拟适配器或迁移现有虚拟适配器），为ESX主机配置服务控制台和VMkernel虚拟适配器。
VMware,Inc. 33 ESX配置指南在vNetwork分布式交换机上创建VMkernel网络适配器创建用作VMotion接口或IP存储端口组的VMkernel网络适配器。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择“vNetwork分布式交换机”视图。
4单击管理虚拟适配器。
5单击添加。
6选择新建虚拟适配器，然后单击下一步。
7选择VMkernel，然后单击下一步。
8在“网络连接”下，选择vNetwork分布式交换机及其关联的端口组，或选择要将该虚拟适配器添加到的独立端口。
9选择将此虚拟适配器用于VMotion以便允许此端口组对另一个ESX主机报告，其自身即为发送VMotion 流量的网络连接。
对于每台ESX来说，只能为其中一个VMotion和IP存储器端口组启用此属性。
如果没有为任何端口组启用此属性，则无法通过VMotion向此主机进行迁移。
10选择是否将此虚拟适配器用于容错日志记录。
11在“IP设置”下，指定IP地址和子网掩码。
12单击编辑以设置VMkernel服务（如VMotion、NAS和iSCSI）的VMkernel默认网关。
13默认情况下，DNS配置选项卡上已输入主机名称。
在安装期间指定的DNS服务器地址和域也预先选定。
14在路由选项卡中，服务控制台和VMkernel均需要其自身的网关信息。
如果要连接到与服务控制台或VMkernel不在同一个IP子网上的计算机，则需要网关。
静态IP设置为默认值。
15单击确定，然后单击下一步。
16单击完成。
在vNetwork分布式交换机上创建服务控制台网络适配器通过关联主机的配置页面，在vNetwork分布式交换机上创建服务控制台网络适配器。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择“vNetwork分布式交换机”视图。
4单击管理虚拟适配器。
5单击添加。
6选择新建虚拟适配器，然后单击下一步。
7选择服务控制台，然后单击下一步。
8在“网络连接”下，选择vNetwork分布式交换机及其关联的端口组，或选择要将该虚拟适配器添加到的独立端口。
34 VMware,Inc. 第4章vNetwork分布式交换机的基本网络 9输入IP地址和子网掩码，或选择自动获得IP设置。
10单击编辑，设置服务控制台默认网关。
11单击下一步。
12单击完成。
将现有的虚拟适配器迁移到vNetwork分布式交换机通过主机配置页面，将现有虚拟适配器从vNetwork标准交换机迁移到vNetwork分布式交换机。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择“vNetwork分布式交换机”视图。
4单击管理虚拟适配器。
5单击添加。
6选择迁移现有的虚拟适配器，然后单击下一步。
7在选择依据下拉菜单中，选择是将此虚拟适配器连接到端口组还是独立的dvPort。
8选择一个或多个要迁移的虚拟网络适配器。
9对于每个选定的适配器，请从选择端口组或选择端口下拉菜单中选择端口组或dvPort。
10单击下一步。
11单击完成。
将虚拟适配器迁移到vNetwork标准交换机可以使用迁移到虚拟交换机向导将现有虚拟适配器从vNetwork分布式交换机迁移到vNetwork标准交换机。
步骤1登录vSphereClient，在“清单”面板中选择主机。
此时将显示该服务器的硬件配置页面。
2依次单击配置选项卡和网络。
3选择vNetwork分布式交换机视图。
4单击管理虚拟适配器。
5选择要迁移的虚拟适配器，然后单击迁移到虚拟交换机。
此时将显示迁移虚拟适配器向导。
6选择适配器要迁移到的vSwitch，然后单击下一步。
7输入虚拟适配器的网络标签和VLANID（可选），然后单击下一步。
8单击完成迁移虚拟适配器并完成向导。
VMware,Inc. 35 ESX配置指南在vNetwork分布式交换机上编辑VMkernel配置可以从关联主机编辑vNetwork分布式交换机上现有VMkernel适配器的属性。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择“vNetwork分布式交换机”视图。
4单击管理虚拟适配器。
5选择要修改的VMkernel适配器，然后单击编辑。
6在“网络连接”下，选择vNetwork分布式交换机及其关联的端口组，或选择要将该虚拟适配器添加到的独立端口。
7选择将此虚拟适配器用于VMotion以便允许此端口组对另一个ESX主机报告，其自身即为发送VMotion 流量的网络连接。
对于每台ESX来说，只能为其中一个VMotion和IP存储器端口组启用此属性。
如果没有为任何端口组启用此属性，则无法通过VMotion向此主机进行迁移。
8选择是否将此虚拟适配器用于容错日志记录。
9在“IP设置”下，指定IP地址和子网掩码，或选择自动获得IP设置。
10单击编辑以设置VMkernel服务（如VMotion、NAS和iSCSI）的VMkernel默认网关。
11单击确定。
在vNetwork分布式交换机上编辑服务控制台配置从主机配置页面的网络视图中，编辑服务控制台虚拟适配器的属性。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择“vNetwork分布式交换机”视图。
4单击管理虚拟适配器。
5选择要修改的服务控制台适配器，然后单击编辑。
6在“网络连接”下，选择vNetwork分布式交换机及其关联的端口组，或选择要将该虚拟适配器添加到的独立端口。
7输入IP地址和子网掩码，或选择自动获得IP设置。
8单击编辑，设置服务控制台默认网关。
9单击确定。
移除虚拟适配器从“管理虚拟适配器”对话框中的vNetwork分布式交换机中移除虚拟网络适配器。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
36 VMware,Inc. 第4章vNetwork分布式交换机的基本网络 3选择vNetwork分布式交换机视图。
4单击管理虚拟适配器。
5选择要移除的虚拟适配器，然后单击移除。
此时会显示一个对话框，其中显示消息“您确定要移除<适配器名称>吗？”6单击是。
在vNetwork分布式交换机上配置虚拟机网络可以通过配置单个虚拟机网卡，或通过从vNetwork分布式交换机自身迁移多组虚拟机，将虚拟机连接到vNetwork分布式交换机。
通过将虚拟机的关联虚拟网络适配器连接到dvPort组，可以将虚拟机连接到vNetwork分布式交换机。
对于单个虚拟机，可以通过修改虚拟机的网络适配器配置来完成；对于虚拟机组，可以通过将虚拟机从现有虚拟网络迁移到vNetwork分布式交换机来完成。
将虚拟机迁入或迁出vNetwork分布式交换机除了在单个虚拟机级别将虚拟机连接到vNetwork分布式交换机以外，还可以在vNetwork分布式交换机网络和vNetwork标准交换机网络之间迁移一组虚拟机。
步骤1在vSphereClient中，显示“网络”清单视图，并选择vNetwork分布式交换机。
2从清单菜单中，选择分布式虚拟交换机>迁移虚拟机网络。
此时将显示迁移虚拟机网络向导。
3在选择源网络下拉菜单中，选择要从中进行迁移的虚拟网络。
4从选择目标网络下拉菜单中，选择要迁移到的虚拟网络。
5单击显示虚拟机。
与要从中进行迁移的虚拟网络相关联的虚拟机即会在选择虚拟机字段中显示。
6选择要迁移到目标虚拟网络的虚拟机，然后单击确定。
将单个虚拟机连接到dvPort组通过修改虚拟机的网卡配置，将单个虚拟机连接到vNetwork分布式交换机。
步骤1登录vSphereClient，在“清单”面板中选择虚拟机。
2在摘要选项卡中，单击编辑设置。
3在硬件选项卡上，选择虚拟网络适配器。
4从网络标签下拉菜单中，选择要迁移到的dvPort组，然后单击确定。
VMware,Inc. 37 ESX配置指南 38 VMware,Inc. 高级网络
5 以下主题将指导您学习ESX环境下的高级网络，并论述如何设置和更改高级网络配置选项。
本章讨论了以下主题：n第39页，“协议第6版”n第40页，“网络策略”n第51页，“更改DNS和路由配置”n第52页，“MAC地址”n第53页，“TCP分段清除和巨帧”n第56页，“NetQueue和网络性能”n第56页，“VMDirectPathGenI” 协议第6版 vSphere支持协议第4版(IPv4)和协议第6版(IPv6)环境。
工程任务组已将IPv6指定为IPv4的继承者。
采用IPv6（作为独立协议使用以及在具备IPv4的混合环境中使用）的系统数量迅速增加。
使用IPv6，可以在IPv6环境中使用诸如NFS这样的vSphere功能。
IPv4和IPv6之间的主要差异是地址长度。
IPv6使用128位地址，而IPv4使用32位地址。
这有助于缓解IPv4存在的地址耗尽问题并消除网络地址转换(NAT)的需要。
其他显著的差异包括：在初始化接口时出现的链路本地地址、由路由器通告功能设置的地址以及在一个接口上使用多个IPv6地址的能力。
vSphere中特定于IPv6的配置涉及到通过输入静态地址或通过使用DHCP为所有相关vSphere网络接口提供IPv6地址。
还可以使用由路由器通告发送的无状态自动配置对IPv6地址进行配置。
在ESX主机上启用IPv6支持可以在主机上启用或禁用IPv6支持。
步骤1单击导航栏中清单按钮旁边的箭头，然后选择主机和群集。
2选择主机，然后单击配置选项卡。
3单击“硬件”下方的网络链接。
4在“虚拟交换机”视图中，单击属性链接。
VMware,Inc. 39 ESX配置指南 5选择在该主机上启用IPv6支持，然后单击确定。
6重新引导主机。
网络策略在vSwitch或dvPort组级别设置的任何策略将适用于该dvPort组中vSwitch或dvPort上的所有端口组，除非在端口组或dvPort级别单独设置配置选项。
以下网络连接策略适用n负载平衡和故障切换nVLAN（仅限vNetwork分布式交换机）n安全n流量调整n端口阻止策略（仅vNetwork分布式交换机）负载平衡和故障切换策略负载平衡和故障切换策略允许您确定网络流量在适配器间如何分布，以及如何在适配器发生故障时重新路由流量。
通过配置以下参数，可以编辑负载平衡和故障切换策略：n负载平衡策略确定输出流量如何在分配给vSwitch的网络适配器之间分布。
注意输入流量由物理交换机上的负载平衡策略控制。
n故障切换检测控制链路状态和信标探测。
客户机VLAN标记不支持信标。
n网络适配器顺序可以处于活动或待机状态。
在vSwitch上编辑故障切换和负载平衡策略故障切换和负载平衡策略允许您确定网络流量在适配器间如何分布，以及如何在适配器发生故障时重新路由流量。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择vSwitch并单击属性。
4在“vSwitch属性”对话框中，单击端口选项卡。
5要编辑vSwitch的“故障切换和负载平衡”值，请选择vSwitch项目并单击属性。
6单击网卡绑定选项卡。
可以在端口组级别改写故障切换顺序。
默认情况下，新适配器对于所有策略都是活动的。
除非您另行指定，否则新的适配器将承载vSwitch及其端口组的流量。
40 VMware,Inc. 第5章高级网络 7在“策略异常”组中指定设置。
选项负载平衡网络故障切换检测通知交换机故障恢复故障切换顺序描述指定如何选择上行链路。
n基于源虚拟端口的路由-选择基于虚拟端口的上行链路，流量正是通过此端口进入虚拟交换机。
n基于IP哈希的路由-选择基于每个数据包的源和目标IP地址哈希值的上行链路。
对于非IP数据包，偏移量中的任何值都将用于计算哈希值。
n基于源MAC哈希的路由-选择基于源以太网哈希值的上行链路。
n使用明确故障切换顺序-始终使用“活动适配器”列表中顺序最靠前的上行链路，同时传递故障切换检测标准。
注意基于IP的绑定要求为物理交换机配置以太通道。
对于所有其他选项，应禁用以太通道。
指定用于故障切换检测的方法。
n仅链路状态–仅依靠网络适配器提供的链路状态。
该选项可检测故障（如拨掉线缆和物理交换机电源故障），但无法检测配置错误（如物理交换机端口受跨树阻止、配置到了错误的VLAN中或者拔掉了物理交换机另一端的线缆）。
n信标探测-发出并侦听网卡组中所有网卡上的信标探测，使用此信息并结合链路状态来确定链路故障。
该选项可检测上述许多仅通过链路状态无法检测到的故障。
选择是或否指定发生故障切换时是否通知交换机。
如果选择是，则每当虚拟网卡连接到vSwitch或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时，都将通过网络发送通知以更新物理交换机的查看表。
几乎在所有情况下，为了使出现故障切换以及通过VMotion迁移时的延迟最短，最好使用此过程。
注意当使用端口组的虚拟机正在以单播模式使用Microsoft网络负载平衡时，请勿使用此选项。
以多播模式运行网络负载平衡时不存在此问题。
选择是或否以禁用或启用故障恢复。
此选项确定物理适配器从故障恢复后如何返回到活动的任务。
如果故障恢复设置为是（默认值），则适配器将在恢复后立即返回到活动任务，并取代接替其位置的待机适配器（如果有）。
如果故障恢复设置为否，那么，即使发生故障的适配器已经恢复，它仍将保持非活动状态，直到当前处于活动状态的另一个适配器发生故障并要求替换为止。
指定如何分布上行链路的工作负载。
如果要使用一部分上行链路，保留另一部分来应对发生故障时的紧急情况，则可以通过将它们移到不同的组来设置此条件： n活动上行链路-当网络适配器连接正常且处于活动状态时继续使用该上行链路。
n待机上行链路-如果其中一个活动适配器的连接中断，则使用此上行链路。
n未使用的上行链路-不使用该上行链路。
8单击确定。
在端口组上编辑故障切换和负载平衡策略可以编辑端口组的故障切换和负载平衡策略配置。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3选择端口组并单击编辑。
4在“属性”对话框中，单击端口选项卡。
5要编辑vSwitch的故障切换和负载平衡值，请选择vSwitch项目并单击属性。
VMware,Inc. 41 ESX配置指南 6单击网卡绑定选项卡。
可以在端口组级别替代故障切换顺序。
默认情况下，新适配器对于所有策略都是活动的。
除非您另行指定，否则新的适配器将承载vSwitch及其端口组的流量。
7在“策略异常”组中指定设置。
选项负载平衡网络故障切换检测通知交换机故障恢复故障切换顺序描述指定如何选择上行链路。
n基于源虚拟端口的路由-选择基于虚拟端口的上行链路，流量正是通过此端口进入虚拟交换机。
n基于IP哈希的路由-选择基于每个数据包的源和目标IP地址哈希值的上行链路。
对于非IP数据包，偏移量中的任何值都将用于计算哈希值。
n基于源MAC哈希的路由-选择基于源以太网哈希值的上行链路。
n使用明确故障切换顺序-始终使用“活动适配器”列表中顺序最靠前的上行链路，同时传递故障切换检测标准。
注意基于IP的绑定要求为物理交换机配置以太通道。
对于所有其他选项，应禁用以太通道。
指定用于故障切换检测的方法。
n仅链路状态–仅依靠网络适配器提供的链路状态。
该选项可检测故障（如拨掉线缆和物理交换机电源故障），但无法检测配置错误（如物理交换机端口受跨树阻止、配置到了错误的VLAN中或者拔掉了物理交换机另一端的线缆）。
n信标探测-发出并侦听网卡组中所有网卡上的信标探测，使用此信息并结合链路状态来确定链路故障。
该选项可检测上述许多仅通过链路状态无法检测到的故障。
选择是或否指定发生故障切换时是否通知交换机。
如果选择是，则每当虚拟网卡连接到vSwitch或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时，都将通过网络发送通知以更新物理交换机的查看表。
几乎在所有情况下，为了使出现故障切换以及通过VMotion迁移时的延迟最短，最好使用此过程。
注意当使用端口组的虚拟机正在以单播模式使用Microsoft网络负载平衡时，请勿使用此选项。
以多播模式运行网络负载平衡时不存在此问题。
选择是或否以禁用或启用故障恢复。
此选项确定物理适配器从故障恢复后如何返回到活动的任务。
如果故障恢复设置为是（默认值），则适配器将在恢复后立即返回到活动任务，并取代接替其位置的待机适配器（如果有）。
如果故障恢复设置为否，那么，即使发生故障的适配器已经恢复，它仍将保持非活动状态，直到当前处于活动状态的另一个适配器发生故障并要求替换为止。
指定如何分布上行链路的工作负载。
如果要使用一部分上行链路，保留另一部分来应对发生故障时的紧急情况，则可以通过将它们移到不同的组来设置此条件： n活动上行链路-当网络适配器连接正常且处于活动状态时继续使用该上行链路。
n待机上行链路-如果其中一个活动适配器的连接中断，则使用此上行链路。
n未使用的上行链路-不使用该上行链路。
8单击确定。
在dvPort组上编辑绑定和故障切换策略绑定和故障切换策略允许您确定网络流量在适配器间如何分布，以及如何在适配器发生故障时重新路由流量。
步骤1在vSphereClient中，显示“网络”清单视图，并选择dvPort组。
2从“清单”菜单中，选择网络>编辑设置。
42 VMware,Inc. 第5章高级网络 3选择策略。
4在“绑定和故障切换”组中，指定以下内容。
选项负载平衡网络故障切换检测通知交换机故障恢复故障切换顺序描述指定如何选择上行链路。
n基于源虚拟端口的路由-选择基于虚拟端口的上行链路，流量正是通过此端口进入虚拟交换机。
n基于IP哈希的路由-选择基于每个数据包的源和目标IP地址哈希值的上行链路。
对于非IP数据包，偏移量中的任何值都将用于计算哈希值。
n基于源MAC哈希的路由-选择基于源以太网哈希值的上行链路。
n使用明确故障切换顺序-始终使用“活动适配器”列表中顺序最靠前的上行链路，同时传递故障切换检测标准。
注意基于IP的绑定要求为物理交换机配置以太通道。
对于所有其他选项，应禁用以太通道。
指定用于故障切换检测的方法。
n仅链路状态–仅依靠网络适配器提供的链路状态。
该选项可检测故障（如拨掉线缆和物理交换机电源故障），但无法检测配置错误（如物理交换机端口受跨树阻止、配置到了错误的VLAN中或者拔掉了物理交换机另一端的线缆）。
n信标探测-发出并侦听网卡组中所有网卡上的信标探测，使用此信息并结合链路状态来确定链路故障。
该选项可检测上述许多仅通过链路状态无法检测到的故障。
注意不要使用包含IP哈希负载平衡的信标探测。
选择是或否指定发生故障切换时是否通知交换机。
如果选择是，则每当虚拟网卡连接到vSwitch或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时，都将通过网络发送通知以更新物理交换机的查看表。
几乎在所有情况下，为了使出现故障切换以及通过VMotion迁移时的延迟最短，最好使用此过程。
注意当使用端口组的虚拟机正在以单播模式使用Microsoft网络负载平衡时，请勿使用此选项。
以多播模式运行网络负载平衡时不存在此问题。
选择是或否以禁用或启用故障恢复。
此选项确定物理适配器从故障恢复后如何返回到活动的任务。
如果故障恢复设置为是（默认值），则适配器将在恢复后立即返回到活动任务，并取代接替其位置的待机适配器（如果有）。
如果故障恢复设置为否，那么，即使发生故障的适配器已经恢复，它仍将保持非活动状态，直到当前处于活动状态的另一个适配器发生故障并要求替换为止。
指定如何分布上行链路的工作负载。
如果要使用一部分上行链路，保留另一部分来应对发生故障时的紧急情况，则可以通过将它们移到不同的组来设置此条件： n活动上行链路-当网络适配器连接正常且处于活动状态时继续使用该上行链路。
n待机上行链路-如果其中一个活动适配器的连接中断，则使用此上行链路。
n未使用的上行链路-不使用该上行链路。
注意当使用IP哈希负载平衡时，不要配置待机上行链路。
5单击确定。
编辑dvPort绑定和故障切换策略绑定和故障切换策略允许您确定网络流量在适配器间如何分布，以及如何在适配器发生故障时重新路由流量。
前提条件若要在单个dvPort上编辑绑定和故障切换策略，必须设置关联dvPort组以便允许策略替代。
VMware,Inc. 43 ESX配置指南步骤1登录到vSphereClient，此时会显示vNetwork分布式交换机。
2在端口选项卡上，右键单击要修改的端口，然后选择编辑设置。
此时将显示端口设置对话框。
3单击策略以查看和修改端口网络策略。
4在“绑定和故障切换”组中，指定以下内容。
选项负载平衡网络故障切换检测通知交换机故障恢复故障切换顺序描述指定如何选择上行链路。
n基于源虚拟端口的路由-选择基于虚拟端口的上行链路，流量正是通过此端口进入虚拟交换机。
n基于IP哈希的路由-选择基于每个数据包的源和目标IP地址哈希值的上行链路。
对于非IP数据包，偏移量中的任何值都将用于计算哈希值。
n基于源MAC哈希的路由-选择基于源以太网哈希值的上行链路。
n使用明确故障切换顺序-始终使用“活动适配器”列表中顺序最靠前的上行链路，同时传递故障切换检测标准。
注意基于IP的绑定要求为物理交换机配置以太通道。
对于所有其他选项，应禁用以太通道。
指定用于故障切换检测的方法。
n仅链路状态–仅依靠网络适配器提供的链路状态。
该选项可检测故障（如拨掉线缆和物理交换机电源故障），但无法检测配置错误（如物理交换机端口受跨树阻止、配置到了错误的VLAN中或者拔掉了物理交换机另一端的线缆）。
n信标探测-发出并侦听网卡组中所有网卡上的信标探测，使用此信息并结合链路状态来确定链路故障。
该选项可检测上述许多仅通过链路状态无法检测到的故障。
注意不要使用包含IP哈希负载平衡的信标探测。
选择是或否指定发生故障切换时是否通知交换机。
如果选择是，则每当虚拟网卡连接到vSwitch或虚拟网卡的流量因故障切换事件而由网卡组中的其他物理网卡路由时，都将通过网络发送通知以更新物理交换机的查看表。
几乎在所有情况下，为了使出现故障切换以及通过VMotion迁移时的延迟最短，最好使用此过程。
注意当使用端口组的虚拟机正在以单播模式使用Microsoft网络负载平衡时，请勿使用此选项。
以多播模式运行网络负载平衡时不存在此问题。
选择是或否以禁用或启用故障恢复。
此选项确定物理适配器从故障恢复后如何返回到活动的任务。
如果故障恢复设置为是（默认值），则适配器将在恢复后立即返回到活动任务，并取代接替其位置的待机适配器（如果有）。
如果故障恢复设置为否，那么，即使发生故障的适配器已经恢复，它仍将保持非活动状态，直到当前处于活动状态的另一个适配器发生故障并要求替换为止。
指定如何分布上行链路的工作负载。
如果要使用一部分上行链路，保留另一部分来应对发生故障时的紧急情况，则可以通过将它们移到不同的组来设置此条件： n活动上行链路-当网络适配器连接正常且处于活动状态时继续使用该上行链路。
n待机上行链路-如果其中一个活动适配器的连接中断，则使用此上行链路。
n未使用的上行链路-不使用该上行链路。
注意当使用IP哈希负载平衡时，不要配置待机上行链路。
5单击确定。
44 VMware,Inc. 第5章高级网络 VLAN策略 VLAN策略允许虚拟网络加入物理VLAN。
在dvPort组上编辑VLAN策略可以在dvPort组上编辑VLAN策略配置。
步骤1在vSphereClient中，显示“网络”清单视图，并选择dvPort组。
2从“清单”菜单中，选择网络>编辑设置。
3选择VLAN。
4选择要使用的VLAN类型。
选项无VLANVLAN中继专用VLAN 描述不使用VLAN。
在VLANID字段中，输入一个介于1和4094之间的数字。
输入VLAN中继范围。
选择可供使用的专用VLAN。
编辑dvPortVLAN策略在dvPort级别设置的VLAN策略允许单个dvPort替代在dvPort组级别设置的VLAN策略。
前提条件若要在单个dvPort上编辑VLAN策略，必须设置关联dvPort组以便允许策略替代。
步骤1登录到vSphereClient，此时会显示vNetwork分布式交换机。
2在端口选项卡上，右键单击要修改的端口，然后选择编辑设置。
3单击策略。
4选择要使用的VLAN类型。
选项无VLANVLAN中继专用VLAN 操作不使用VLAN。
对于VLANID，输入一个介于1和4095之间的数字。
输入VLAN中继范围。
选择可供使用的专用VLAN。
5单击确定。
安全策略网络安全策略确定适配器如何筛选入站和出站帧。
第2层是数据链路层。
安全策略的三大要素是杂乱模式、MAC地址更改和伪信号。
在非杂乱模式下，客户机适配器将仅侦听转发到其自身MAC地址上的流量。
在杂乱模式下，它可以侦听所有帧。
默认情况下，客户机适配器设置为非杂乱模式。
VMware,Inc. 45 ESX配置指南在vSwitch上编辑第2层安全策略通过编辑第2层安全策略，控制如何处理入站和出站帧。
步骤1登录VMwarevSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3单击vSwitch的属性，以进行编辑。
4在“属性”对话框中，单击端口选项卡。
5选择vSwitch项目，并单击编辑。
6在“属性”对话框中，单击安全选项卡。
默认情况下，杂乱模式设置为拒绝，而MAC地址更改和伪信号则设置为接受。
策略将应用到vSwitch上的所有虚拟适配器，除非虚拟适配器的端口组指定了策略异常。
7在“策略异常”窗格中，选择是拒绝还是接受安全策略异常。
模式杂乱模式MAC地址更改伪信号拒绝将客户机适配器置于杂乱模式不会对适配器接收哪些帧产生任何影响。
如果客户机操作系统将适配器的MAC地址更改为不同于.vmx配置文件的其他任何内容，则将丢失所有入站帧。
如果客户机操作系统将MAC地址重新更改为与.vmx配置文件中的MAC地址匹配的地址，入站帧可以再次发送。
对于出站帧，如果源MAC地址与适配器上设置的地址不同，则将丢失这些帧。
接受将客户机适配器置于杂乱模式会使其检测经过vSwitch且由适配器所连接到的端口组的VLAN策略允许的所有帧。
如果客户机操作系统的MAC地址发生了变化，则将接收传入新MAC地址的帧。
不执行筛选，所有出站帧均可通过。
8单击确定。
在端口组上编辑第2层安全策略异常通过编辑第2层安全策略，控制如何处理入站和出站帧。
步骤1登录VMwarevSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3单击端口组的属性以进行编辑。
4在“属性”对话框中，单击端口选项卡。
5选择端口组项并单击编辑。
6在端口组的“属性”对话框中，单击安全选项卡。
默认情况下，杂乱模式设置为拒绝。
MAC地址更改和伪信号设置为接受。
策略异常将替代在vSwitch级别上设置的任何策略。
46 VMware,Inc. 第5章高级网络 7在“策略异常”窗格中，选择是拒绝还是接受安全策略异常。
模式杂乱模式MAC地址更改伪信号拒绝将客户机适配器置于杂乱模式不会对适配器接收哪些帧产生任何影响。
如果客户机操作系统将适配器的MAC地址更改为不同于.vmx配置文件的其他任何内容，则将丢失所有入站帧。
如果客户机操作系统将MAC地址重新更改为与.vmx配置文件中的MAC地址匹配的地址，入站帧可以再次发送。
对于出站帧，如果源MAC地址与适配器上设置的地址不同，则将丢失这些帧。
接受将客户机适配器置于杂乱模式会使其检测经过vSwitch且由适配器所连接到的端口组的VLAN策略允许的所有帧。
如果客户机操作系统的MAC地址发生了变化，则将接收传入新MAC地址的帧。
不执行筛选，所有出站帧均可通过。
8单击确定。
在dvPort组上编辑安全策略通过编辑安全策略，控制如何处理dvPort组的入站和出站帧。
步骤1在vSphereClient中，显示“网络”清单视图，并选择dvPort组。
2从“清单”菜单中，选择网络>编辑设置。
3在端口组的“属性”对话框中，单击安全选项卡。
默认情况下，杂乱模式设置为拒绝。
MAC地址更改和伪信号设置为接受。
策略异常将替代在vSwitch级别上设置的任何策略。
4在“策略异常”窗格中，选择是拒绝还是接受安全策略异常。
模式杂乱模式MAC地址更改伪信号拒绝将客户机适配器置于杂乱模式不会对适配器接收哪些帧产生任何影响。
如果客户机操作系统将适配器的MAC地址更改为不同于.vmx配置文件的其他任何内容，则将丢失所有入站帧。
如果客户机操作系统将MAC地址重新更改为与.vmx配置文件中的MAC地址匹配的地址，入站帧可以再次发送。
对于出站帧，如果源MAC地址与适配器上设置的地址不同，则将丢失这些帧。
接受将客户机适配器置于杂乱模式会使其检测经过vSwitch且由适配器所连接到的端口组的VLAN策略允许的所有帧。
如果客户机操作系统的MAC地址发生了变化，则将接收传入新MAC地址的帧。
不执行筛选，所有出站帧均可通过。
5单击确定。
VMware,Inc. 47 ESX配置指南编辑dvPort安全策略通过编辑安全策略，控制如何处理dvPort的入站和出站帧。
前提条件若要在单个dvPort上编辑安全策略，必须设置关联dvPort组以便允许策略替代。
步骤1登录到vSphereClient，此时会显示vNetwork分布式交换机。
2在端口选项卡上，右键单击要修改的端口，然后选择编辑设置。
3单击策略。
默认情况下，杂乱模式设置为拒绝，而MAC地址更改和伪信号则设置为接受。
4在“安全”组中，选择是拒绝还是要接受安全策略异常：模式杂乱模式MAC地址更改伪信号拒绝将客户机适配器置于杂乱模式不会对适配器接收哪些帧产生任何影响。
如果客户机操作系统将适配器的MAC地址更改为不同于.vmx配置文件的其他任何内容，则将丢失所有入站帧。
如果客户机操作系统将MAC地址重新更改为与.vmx配置文件中的MAC地址匹配的地址，入站帧可以再次发送。
对于出站帧，如果源MAC地址与适配器上设置的地址不同，则将丢失这些帧。
接受将客户机适配器置于杂乱模式会使其检测经过vSwitch且由适配器所连接到的端口组的VLAN策略允许的所有帧。
如果客户机操作系统的MAC地址发生了变化，则将接收传入新MAC地址的帧。
不执行筛选，所有出站帧均可通过。
5单击确定。
流量调整策略流量调整策略由三个特性定义：平均带宽、带宽峰值和突发大小。
可以为每个端口组和每个dvPort或dvPort组建立流量调整策略。
ESX调整vSwitch上的出站网络流量以及vNetwork分布式交换机上的进站和出站流量。
流量调整功能会限制可用于任何端口的网络带宽，但是也可以将其配置为允许流量“突发”，使流量以更高的速度通过端口。
平均带宽带宽峰值突发大小可设置某段时间内允许通过端口的平均每秒传输位数-即允许的平均负载。
当端口正在发送或接收流量突发时为了通过端口而允许采用的平均每秒最大传输位数。
此数值是端口使用额外突发时所能使用的最大带宽。
突发中所允许的最大字节数。
如果设置了此参数，则在端口没有使用为其分配的所有带宽时可能会获取额外的突发。
当端口所需带宽大于平均带宽所指定的值时，如果有额外突发可用，则可能会临时允许以更高的速度传输数据。
此参数为额外突发中已累积的最大字节数，使数据能以更高速度传输。
48 VMware,Inc. 第5章高级网络在vSwitch上编辑流量调整策略使用流量调整策略以在vSwitch上控制带宽和突发大小。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3单击vSwitch的属性，以进行编辑。
4在“属性”对话框中，单击端口选项卡。
5选择vSwitch项目，并单击编辑。
6在“属性”对话框中，单击流量调整选项卡。
当流量调整处于禁用状态时，这些选项会显示为灰色。
如果启用流量调整，可以选择性地在端口组级别覆盖所有流量调整功能。
此策略将应用到与端口组相连的各个虚拟适配器，而不是整个vSwitch。
注意带宽峰值不能小于指定的平均带宽。
选项状态平均带宽带宽峰值突发大小描述如果在状态字段中启用策略异常，将为与该特定端口组关联的每个虚拟适配器设置网络带宽分配量的限制。
如果禁用策略，则在默认情况下，服务将能够自由、顺畅地连接到物理网络。
一段特定时间内的测量值。
限制突发期间的最大带宽。
它永远不能小于平均带宽。
指定突发大小的值，以千字节(KB)为单位。
在端口组上编辑流量调整策略使用流量调整策略以在端口组上控制带宽和突发大小。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3单击端口组的属性以进行编辑。
4在“属性”对话框中，单击端口选项卡。
5选择端口组项并单击编辑。
6在端口组的“属性”对话框中，单击流量调整选项卡。
当流量调整处于禁用状态时，这些选项会显示为灰色。
选项状态平均带宽带宽峰值突发大小描述如果在状态字段中启用策略异常，将为与该特定端口组关联的每个虚拟适配器设置网络带宽分配量的限制。
如果禁用策略，则在默认情况下，服务将能够自由、顺畅地连接到物理网络。
一段特定时间内的测量值。
限制突发期间的最大带宽。
它永远不能小于平均带宽。
指定突发大小的值，以千字节(KB)为单位。
VMware,Inc. 49 ESX配置指南在dvPort组上编辑流量调整策略可以调整vNetwork分布式交换机上的输入和输出流量。
可以限制端口的可用网络带宽，但也可以临时允许流量突发，使流量以更高的速度通过端口。
步骤1在vSphereClient中，显示“网络”清单视图，并选择dvPort组。
2从“清单”菜单中，选择网络>编辑设置。
3选择流量调整。
4在端口组的“属性”对话框中，单击流量调整选项卡。
可以配置输入流量调整和输出流量调整。
当流量调整处于禁用状态时，这些选项会显示为灰色。
注意带宽峰值不能小于指定的平均带宽。
选项状态平均带宽带宽峰值突发大小描述如果在状态字段中启用策略异常，将为与该特定端口组关联的每个虚拟适配器设置网络带宽分配量的限制。
如果禁用策略，则在默认情况下，服务将能够自由、顺畅地连接到物理网络。
一段特定时间内的测量值。
限制突发期间的最大带宽。
它永远不能小于平均带宽。
指定突发大小的值，以千字节(KB)为单位。
编辑dvPort流量调整策略可以调整vNetwork分布式交换机上的输入和输出流量。
可以限制端口的可用网络带宽，但也可以临时允许流量突发，使流量以更高的速度通过端口。
流量调整策略由三个特性定义：平均带宽、带宽峰值和突发大小。
前提条件若要在单个dvPort上编辑流量调整策略，必须设置关联dvPort组以便允许策略替代。
步骤1登录到vSphereClient，此时会显示vNetwork分布式交换机。
2在端口选项卡上，右键单击要修改的端口，然后选择编辑设置。
3单击策略。
4在“流量调整”组中，您可以配置输入流量调整和输出流量调整。
当流量调整处于禁用状态时，这些选项会显示为灰色。
选项状态平均带宽带宽峰值突发大小描述如果在状态字段中启用策略异常，将为与该特定端口组关联的每个虚拟适配器设置网络带宽分配量的限制。
如果禁用策略，则在默认情况下，服务将能够自由、顺畅地连接到物理网络。
一段特定时间内的测量值。
限制突发期间的最大带宽。
它永远不能小于平均带宽。
指定突发大小的值，以千字节(KB)为单位。
5单击确定。
50 VMware,Inc. 第5章高级网络端口阻止策略从“其他策略”对话框中设置dvPorts的阻止策略。
在dvPort组上编辑端口阻止策略在其他策略下设置dvPort组的端口阻止策略。
步骤1在vSphereClient中，显示“网络”清单视图，并选择dvPort组。
2从“清单”菜单中，选择网络>编辑设置。
3选择其他。
4选择是否在此dvPort组上阻止所有端口。
编辑dvPort端口阻止策略“其他策略”对话框允许您配置dvPort的端口阻止策略。
步骤1登录到vSphereClient，此时会显示vNetwork分布式交换机。
2在端口选项卡上，右键单击要修改的端口，然后选择编辑设置。
3单击策略。
4在其他组中，选择是否阻止所有端口。
5单击确定。
更改DNS和路由配置可以在vSphereClient中的“主机配置”页面更改安装期间提供的DNS服务器和默认网关信息。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和DNS和路由。
3在窗口的右侧，单击属性。
4在DNS配置选项卡中，输入名称和域。
5选择是自动获取DNS服务器地址，还是使用DNS服务器地址。
注意仅当服务控制台可访问DHCP服务器时，DHCP才是受支持的。
服务控制台必须配置了虚拟界面(vswif)并且附加至DHCP服务器所在的网络。
6指定用于查找主机的域。
7在路由选项卡中，根据需要更改默认的网关信息。
只有当将服务控制台配置为连接到多个子网时才选择网关设备。
8单击确定。
VMware,Inc. 51 ESX配置指南 MAC地址 MAC地址是为服务控制台、VMkernel和虚拟机所使用的虚拟网络适配器而生成的。
大多数情况下，生成的MAC地址都是合适的。
但是，在以下情况下，可能需要为虚拟网络适配器设置MAC地址：n不同物理主机上的虚拟网络适配器由于共享同一子网且分配了相同的MAC地址而发生冲突。
n在这种情况下，请确保虚拟网络适配器始终拥有同一个MAC地址。
要规避每个物理机256个虚拟网络适配器的限制，以及在虚拟机之间可能发生的冲突，系统管理员可以手动分配MAC地址。
VMware将组织唯一标识符(OUI)00:50:56用于手动生成的地址。
MAC地址的范围是00:50:56:00:00:00-00:50:56:3F:FF:FF。
可以通过将下面的行添加到虚拟机配置文件中以设置地址：.address=00:50:56:XX:YY:ZZ 其中，表示以太网适配器的数量，XX是00至3F间有效的十六进制数字，而YY和ZZ是00和FF之间有效的十六进制数字。
但XX的值不得大于3F，以避免与VMwareWorkstation和VMwareServer产品生成的MAC地址冲突。
对于手动生成的MAC地址，其最大值为：.address=00:50:56:3F:FF:FF同时，必须在虚拟机配置文件中设置选项：.addressType="static" 由于VMwareESX虚拟机不支持任意MAC地址，因此必须使用以上格式。
只要在硬编码的地址中为XX:YY:ZZ选择了唯一值，则在自动分配的MAC地址与手动分配的地址之间应该绝不会发生冲突。
MAC地址生成虚拟机中的每个虚拟网络适配器都被分配一个唯一的MAC地址。
每一家网络适配器的制造商都分配了一个唯一的名为组织唯一标识符(OUI)的3字节前缀，此标识符可用于生成唯一的MAC地址。
VMware有以下OUI：n生成的MAC地址n手动设置MAC地址n对于旧版虚拟机，ESX已经不再使用。
为每个虚拟网络适配器生成的MAC地址的前3个字节由该OUI组成。
此MAC地址生成算法将计算其余3个字节。
此算法保证MAC地址在计算机中是唯一的，并尝试在计算机之间提供唯一的MAC地址。
在同一子网中，每个虚拟机的网络适配器都拥有唯一的MAC地址。
否则，网络适配器会行为异常。
该算法会随机地为任何给定主机上的运行的虚拟机和挂起的虚拟机设置一个限制值。
当不同物理机上的虚拟机共享一个子网时，该算法也不会处理所有地址。
VMware通用唯一标识符(UUID)生成的MAC地址已经通过冲突检查。
所生成的MAC地址是使用三个部分创建的：VMwareOUI、ESX物理机的SMBIOSUUID，以及基于（为其生成MAC地址）实体名称的哈希值。
在生成MAC地址后，除非虚拟机移动到其他位置（例如移动到同一服务器上的其他路径），否则地址不会更改。
虚拟机配置文件中的MAC地址将被保存。
在特定物理机上，已分配给运行中和已挂起虚拟机的网络适配器的所有MAC地址不会被跟踪。
已关闭虚拟机的MAC地址不会对照运行中或已挂起虚拟机的MAC地址进行检查。
虚拟机再次启动后，有可能获得不同的MAC地址。
获取不同地址的原因在于，与在该虚拟机此前关闭时已启动的虚拟机发生了冲突。
52 VMware,Inc. 第5章高级网络设置MAC地址可以更改已关闭虚拟机的虚拟网卡来使用静态分配的MAC地址。
步骤1登录vSphereClient，在“清单”面板中选择虚拟机。
2单击摘要选项卡，然后单击编辑设置。
3从“硬件”列表中选择网络适配器。
4在“MAC地址”组中，选择手动。
5输入所需的静态MAC地址，然后单击确定。
TCP分段清除和巨帧必须使用命令行界面在主机级别启用巨帧才能配置每个vSwitch的MTU大小。
TCP分段清除(TSO)在Vmkernel接口上默认启用，但必须在虚拟机级别启用。
启用TSO 要在虚拟机级别启用TSO，必须将现有或可变虚拟网络适配器替换为增强型虚拟网络适配器。
这可能会导致虚拟网络适配器的MAC地址发生变化。
通过增强型网络适配器实现的TSO支持可用于那些运行以下客户机操作系统的虚拟机：n带ServicePack2的MicrosoftWindows2003EnterpriseEdition（32位和64位）nRedHatEnterpriseLinux4（64位）nRedHatEnterpriseLinux5（32位和64位）nSuSELinuxEnterpriseServer10（32位和64位）为虚拟机启用TSO支持通过使用虚拟机的增强型适配器，可以在该虚拟机上启用TSO支持。
步骤1登录vSphereClient，在“清单”面板中选择虚拟机。
2单击摘要选项卡，然后单击编辑设置。
3从“硬件”列表中选择网络适配器。
4记录网络适配器所使用的网络设置和MAC地址。
5单击移除将该网络适配器从虚拟机中移除。
6单击添加。
7选择以太网适配器，然后单击下一步。
8在“适配器类型”组中，选择(增强型)。
9选择旧网络适配器所使用的网络设置和MAC地址，然后单击下一步。
VMware,Inc. 53 ESX配置指南 10单击完成，然后单击确定。
11如果未将虚拟机设置为在每次开机时都升级VMwareTools，则必须手动升级VMwareTools。
TSO在VMkernel接口上处于启用状态。
如果对特定VMkernel接口禁用了TSO，则启用TSO的唯一方式是删除此VMkernel接口，然后重新创建已启用TSO的VMkernel接口。
检查是否已在VMkernel接口上启用TSO可以检查是否在特定的VMkernel网络接口上启用了TSO。
步骤1登录ESX主机的控制台。
2使用esxcfg-vmknic-l命令显示VMkernel接口的列表。
列表显示每个已启用TSO且TSOMSS设置为65535的VMkernel接口。
下一步如果未对特定的VMkernel接口启用TSO，则启用TSO的唯一方式就是删除并重新创建该VMkernel接口。
启用巨帧巨帧允许ESX将较大的帧发送到物理网络上。
网络必须端到端支持巨帧。
最大可支持9KB（9000字节）的巨帧。
必须在ESX主机上通过命令行界面对每个vSwitch或VMkernel接口启用巨帧。
在启用巨帧之前，请与硬件供应商核对，确保您的物理网络适配器支持巨帧。
创建已启用巨帧的vSwitch通过更改vSwitch的MTU大小将该vSwitch配置为使用巨帧。
步骤1使用VMwarevSphereCLI中的vicfg-vswitch-m命令为vSwitch设置MTU大小。
通过此命令，可为此vSwitch上的所有上行链路设置MTU。
将MTU大小设置为在与vSwitch相连的所有虚拟网络适配器中是最大的。
2使用vicfg-vswitch-l命令在主机上显示vSwitch列表，并检查vSwitch的配置是否正确。
在vNetwork分布式交换机上启用巨帧通过更改vNetwork分布式交换机的MTU大小为vNetwork分布式交换机启用巨帧。
步骤1在vSphereClient中，显示“网络”清单视图，并选择vNetwork分布式交换机。
2从“清单”菜单中，选择分布式虚拟交换机>编辑设置。
3在属性选项卡上，选择高级。
4将最大MTU设置为连接到vNetwork分布式交换机的所有虚拟网络适配器中最大的MTU大小，然后单击确定。
54 VMware,Inc. 第5章高级网络在虚拟机上启用巨帧支持要在虚拟机上启用巨帧支持，该虚拟机需要增强型适配器。
步骤1登录vSphereClient，在“清单”面板中选择虚拟机。
2单击摘要选项卡，然后单击编辑设置。
3从“硬件”列表中选择网络适配器。
4记录网络适配器所使用的网络设置和MAC地址。
5单击移除将该网络适配器从虚拟机中移除。
6单击添加。
7选择以太网适配器，然后单击下一步。
8在“适配器类型”组中，选择(增强型)。
9选择旧网络适配器所使用的网络并单击下一步。
10单击完成。
11在“硬件”列表中选择新网络适配器。
12在“MAC地址”下，选择手动，并输入旧网络适配器使用的MAC地址。
13单击确定。
14检查增强型适配器是否已连接到支持巨帧的vSwitch。
15在客户机操作系统中，配置网络适配器以允许巨帧。
有关详细信息，请参见客户机操作系统的文档。
16将所有的物理交换机以及与该虚拟机相连的任何物理机或虚拟机配置为支持巨帧。
创建已启用巨帧的VMkernel接口可以创建启用巨帧的VMkernel网络接口。
步骤1直接登录ESX主机的控制台。
2使用esxcfg-vmknic-a-i-nmask>-m命令创建支持巨帧的 VMkernel连接。
3使用esxcfg-vmknic-l命令显示VMkernel接口列表，检查启用了巨型帧的接口的配置是否正确。
4检查VMkernel接口是否已连接启用巨帧的vSwitch。
5将所有的物理交换机以及与该VMkernel接口相连的任何物理机或虚拟机配置为支持巨帧。
VMware,Inc. 55 ESX配置指南 NetQueue和网络性能 ESX中的NetQueue会利用一些网络适配器的功能，以多个可分别处理的接收队列的形式将网络流量传输到系统。
这样可以使处理扩展到多个CPU，从而提高网络的接收端性能。
在ESX主机上启用NetQueue NetQueue在默认情况下处于启用状态。
为了在禁用NetQueue之后使用NetQueue，必须重新启用它。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2单击配置选项卡，然后单击软件菜单下的高级设置。
3选择VMkernel。
4选择NetQueueEnable并单击确定。
5通过VMwarevSphereCLI将网卡驱动程序配置为使用NetQueue。
请参见《VMwarevSphere命令行界面安装和参考指南》。
6重新引导ESX主机。
在ESX主机上禁用NetQueue NetQueue在默认情况下处于启用状态。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2单击配置选项卡，然后单击高级设置。
3取消选中NetQueueEnable并单击确定。
4要在网卡驱动程序上禁用NetQueue，请使用vicfg-module-s""[modulename]命令。
例如，如果您使用的是s2io网卡驱动程序，请使用vicfg-module-s""s2io有关VMwarevSphereCLI的信息，请参见《VMwarevSphere命令行界面安装和参考指南》。
5重新引导主机。
VMDirectPathGenI 借助vSphere4，ESX支持运行于IntelNehalem平台上的虚拟机直接与PCI设备连接。
每个虚拟机最多可连接两台直通设备。
配置了VMDirectPath的虚拟机不具有以下功能：nVMotionn虚拟设备的热添加和热移除n挂起和恢复n记录和重放n容错n高可用性nDRS（受限可用性；虚拟机可以属于某个群集，但是不能在主机之间迁移） 56 VMware,Inc. 第5章高级网络在主机上配置直通设备可以在主机上配置直通网络连接设备。
步骤1从vSphereClient的“清单”面板中，选择主机。
2在配置选项卡中，单击高级设置。
此时将显示“直通配置”页面，其中会列出所有可用的直通设备。
绿色图标表示设备已启用且处于活动状态。
橙色图标表示设备状况已发生变更，并且在使用设备前必须重新引导主机。
3单击编辑。
4选择要用于直通的设备，然后单击确定。
在虚拟机上配置PCI设备可以在虚拟机上配置直通PCI设备。
步骤1从vSphereClient的“清单”面板中选择虚拟机。
2从清单菜单中，选择虚拟机>编辑设置。
3在硬件选项卡上，单击添加。
4选择PCI设备，然后单击下一步。
5选择要使用的直通设备，然后单击下一步。
6单击完成。
将VMDirectPath设备添加到虚拟机可将内存预留设置为虚拟机的内存大小。
VMware,Inc. 57 ESX配置指南 58 VMware,Inc. 网络最佳做法、场景和故障排除
6 这些主题介绍网络最佳做法和常见的网络配置和故障排除方案。
本章讨论了以下主题： n第59页，“网络最佳做法” n第60页，“挂载NFS卷” n第60页，“软件iSCSI存储器的网络配置” n第61页，“在刀片服务器上配置网络” n第62页，“故障排除” 网络最佳做法在配置网络时，请考虑这些最佳做法。
n将网络服务彼此分开，以获得更好的安全性或更佳的性能。
要使一组特定的虚拟机能够发挥最佳性能，请将它们置于单独的物理网卡上。
这种分离方法可以使总网络工作负载的一部分更平均地分摊到多个CPU上。
例如，隔离的虚拟机可更好地服务于来自Web客户端的流量。
n通过使用VLAN对单个物理网络分段，或者使用单独的物理网络（后者为首选）可以满足以下推荐的操作。
n使服务控制台处于其自己的网络中是确保ESX系统安全的一个重要部分。
由于服务控制台的安全漏洞将使得攻击者能够完全控制系统上运行的所有虚拟机，因此考虑服务控制台的网络连接性时应采取与考虑主机中的远程访问设备相同的方式。
n保证VMotion连接处于专用且单独的网络中是非常重要的，因为通过VMotion迁移时，客户机操作系统内存中的内容将通过网络进行传输。
n当将直通设备与Linux内核2.6.20或更低版本配合使用时，请避免使用MSI和MSI-X模式，因为这会明显影响性能。
n要以物理方式分离网络服务并且专门将一组特定的网卡用于特定的网络服务，请为每种服务创建vSwitch。
如果无法实现，可以使用不同的VLANID将网络服务附加到端口组，以便在一个vSwitch上将它们分离开。
与此同时，与网络管理员确认所选的网络或VLAN与环境中的其他部分是隔离开的，即没有与其相连的路由器。
n可以在不影响虚拟机或运行于vSwitch后端的网络服务的前提下，在vSwitch中添加或移除网卡。
如果移除所有正在运行的硬件，虚拟机仍可互相通信。
而且，如果保留一个网卡原封不动，所有的虚拟机仍然可以与物理网络相连。
n为了保护大部分敏感的虚拟机，请在虚拟机中部署防火墙，以便在带有上行链路（连接物理网络）虚拟网络和无上行链路的纯虚拟网络之间路由。
VMware,Inc. 59 ESX配置指南挂载NFS卷在ESX中，ESX访问ISO映像（用作虚拟机的虚拟CD-ROM）的NFS存储器的模型与ESXServer2.x中所用的模型是不同的。
ESX支持基于VMkernel的NFS挂载。
新模型将通过VMkernelNFS功能将NFS卷与ISO映像一起挂载。
以这种方式挂载的所有NFS卷均显示为vSphereClient中的数据存储。
虚拟机配置编辑器允许您浏览服务控制台文件系统，来查找用作虚拟CD-ROM设备的ISO映像。
软件iSCSI存储器的网络配置为ESX主机配置的存储器可能包括一个或多个使用iSCSI存储器的存储区域网络(SAN)，而iSCSI是一种使用TCP/IP通过网络端口（而不是通过直接连接到SCSI设备）来访问SCSI设备和交换数据记录的方法。
在iSCSI事务中，原始SCSI数据块被封装在iSCSI记录中并传输至请求数据的设备或用户。
注意软件启动的iSCSI不能在ESX中的10GigE网络适配器上使用。
为软件iSCSI创建VMkernel端口在配置iSCSI存储器之前，必须创建一个或多个VMkernel端口来处理iSCSI网络。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3单击添加网络。
4选择VMkernel，然后单击下一步。
在“网络访问”页面上，将物理网络连接到为iSCSI存储器运行服务的VMkernel。
5选择要使用的vSwitch，或单击创建虚拟交换机。
6选中与vSwitch的网络适配器相对应的复选框。
为每个vSwitch选择适配器，以便使通过适配器连接的虚拟机或其他设备可访问正确的以太网分段。
如果“创建新的虚拟交换机组”中未出现适配器，则表明所有的适配器均被现有的vSwitch使用。
您选择的内容将显示在“预览”窗格中。
注意不要在100Mbps或更慢的适配器上使用iSCSI。
7单击下一步。
8在“端口组属性”组中，选择或输入网络标签和VLANID（可选）。
输入网络标签以标识正在创建的端口组。
当配置iSCSI存储器时，请指定此标签。
输入VLANID以标识端口组网络流量将使用的VLAN。
不需要VLANID。
如果您不确定是否需要它们，请向网络管理员咨询。
9在“IP设置”组中，单击编辑以便为iSCSI设置VMkernel默认网关。
在路由选项卡中，服务控制台和VMkernel均需要其自身的网关信息。
注意为所创建的端口设置默认网关。
必须使用有效的静态IP地址配置VMkernel堆栈。
10单击确定，然后单击下一步。
60 VMware,Inc. 第6章网络最佳做法、场景和故障排除 11单击上一步进行更改。
12检查在“即将完成”页面上做出的更改，然后单击完成。
在刀片服务器上配置网络由于刀片服务器的网络适配器数量可能有限，因此，可能需要使用VLAN来分离服务控制台、vMotion、IP存储器和各组虚拟机的流量。
为安全起见，VMware最佳做法建议为服务控制台和vMotion配备各自的网络。
如果出于此目的将物理适配器专用于分离vSwitch，则可能需要放弃冗余（绑定）连接，停止隔离各个网络客户端，或同时执行二者。
借助VLAN，不必使用多个物理适配器即可实现网络分段。
要使刀片服务器的网络刀片支持ESX端口组进行带标记的VLAN通信，必须将此刀片服务器配置为支持802.1Q，将端口配置为带标记端口。
将端口配置为标记端口的方法因服务器而异。
下表描述如何在三个最常用的刀片服务器上配置带标记的端口。
服务器类型HP刀片DellPowerEdgeIBMeServer刀片中心配置选项将VLAN标记设置为已启用。
将端口设置为已标记。
在端口配置中选择标记。
通过刀片服务器上的VLAN配置虚拟机端口组在刀片服务器上配置虚拟机网络连接有一些特殊注意事项。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3在页面的右侧，单击与服务控制台相关联的vSwitch的属性。
4在端口选项卡上，单击添加。
5选择虚拟机连接类型（默认）。
6单击下一步。
7在“端口组属性”组中，输入用于标识所创建的端口组的网络标签。
网络标签用于标识两个或多个主机共有且与迁移兼容的连接。
8对于VLANID，输入一个介于1和4094之间的数字。
如果对要输入的内容不确定，请将此字段留空或向网络管理员咨询。
9单击下一步。
10确定vSwitch配置正确之后，单击完成。
通过刀片服务器上的VLAN配置VMkernel端口可以使用刀片服务器上的VLAN配置VMkernel网络接口。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
VMware,Inc. 61 ESX配置指南 3在页面的右侧，单击与服务控制台相关联的vSwitch的属性。
4在端口选项卡上，单击添加。
5选择VMkernel，然后单击下一步。
通过此选项，可以将物理网络连接到为vMotion和IP存储器（NFS或iSCSI）运行服务的VMkernel。
6在“端口组属性”组，选择或输入网络标签和VLANID。
输入网络标签以标识正在创建的端口组。
此标签是在配置VMkernel服务（如VMotion和IP存储器）的过程中，配置要连接到此端口组的虚拟适配器时指定的。
输入VLANID以标识端口组网络流量将使用的VLAN。
7选择将此端口组用于VMotion，以便允许此端口组对另一个ESX主机将其自身通告为应在其中发送vMotion流量的网络连接。
对于每个ESX主机来说，只能为其中一个vMotion和IP存储器端口组启用此属性。
如果没有为任何端口组启用此属性，则无法通过vMotion向此主机进行迁移。
8在“IP设置”组中，单击编辑以设置VMkernel服务（如vMotion、NAS和iSCSI）的VMkernel默认网关。
在DNS配置选项卡下方，默认情况下，在名称字段中输入主机名称。
在安装期间指定的DNS服务器地址和域也预先选定。
在路由选项卡中，服务控制台和VMkernel均需要其自身的网关信息。
连接与服务控制台或VMkernel位于不同IP子网上的计算机时，需要网关。
静态IP设置为默认值。
9单击确定，然后单击下一步。
10单击上一步进行更改。
11检查在“即将完成”页面上做出的更改，然后单击完成。
故障排除下列主题将指导您解决在ESX环境中可能遇到的常见网络问题。
服务控制台网络故障排除如果服务控制台网络的某些部分配置错误，则无法通过vSphereClient访问ESX主机。
如果主机的服务控制台丢失网络连接，则可以通过直接连接到服务控制台并使用以下服务控制台命令来重新配置网络：nesxcfg-vswif-l 提供服务控制台的当前网络接口的列表。
检查是否显示vswif0以及当前的IP地址和子网掩码是否正确。
nesxcfg-vswitch-l 提供当前虚拟交换机配置的列表。
检查为服务控制台配置的上行链路适配器是否连接合适的物理网络。
nexscfg-nics-l 提供当前网络适配器的列表。
检查为服务控制台配置的上行链路适配器是否为上行，且其速度和双工是否都正确。
nesxcfg-nics-s可更改网络适配器的速度。
62 VMware,Inc. 第6章网络最佳做法、场景和故障排除 nesxcfg-nics-d可更改网络适配器的双工。
nesxcfg-vswif-IvswifX可更改服务控制台的IP地址。
nesxcfg-vswif-nvswifX可更改服务控制台的子网掩码。
nesxcfg-vswitch-U可移除服务控制台的上行链路。
nesxcfg-vswitch-L可更改服务控制台的上行链路。
如果使用esxcfg-*命令时出现长时间等待现象，则可能表明DNS的配置有误。
esxcfg-*命令要求配置DNS，以便使localhost名称解析正常运行。
这要求/etc/hosts文件包含适用于已配置的IP地址和127.0.0.1localhost地址的条目。
通过使用服务控制台重命名网络适配器如果在添加新的网络适配器之后失去了服务控制台连接，则必须使用服务控制台重命名受影响的网络适配器。
添加新网络适配器可能导致无法使用vSphereClient对服务控制台进行连接和管理，这是因为网络适配器已重命名。
步骤1直接登录ESX主机的控制台。
2使用esxcfg-nics-l命令查看已分配至网络适配器的名称。
3使用esxcfg-vswitch-l命令查看与不再通过esxcfg-nics命令所显示的设备名称相关联的vSwitch。
4使用esxcfg-vswitch-U命令移除已重命名的任何网络适配器。
5使用esxcfg-vswitch-L命令再次添加并正确命名网络适配器。
物理交换机配置故障排除发生故障切换或故障恢复事件时，可能会丢失vSwitch连接。
这会导致与该vSwitch相关联的虚拟机所使用的MAC地址出现在其他交换机端口上。
为了避免此问题，请将物理交换机置于PortFast或PortFast中继模式。
端口组配置故障排除更改虚拟机所连接到的端口组的名称可能会引起已配置为连接到此端口组的虚拟机的网络配置无效。
虚拟网络适配器与端口组之间通过名称进行连接，此名称存储在虚拟机配置中。
更改端口组的名称不需要重新配置所有与该端口组连接的虚拟机。
已启动的虚拟机在关闭之前将继续运行，因为它们已与网络建立连接。
避免对使用中的网络进行重命名。
重命名端口组后，必须使用服务控制台重新配置每一个相关联的虚拟机，以反映新的端口组名称。
VMware,Inc. 63 ESX配置指南 64 VMware,Inc. 存储器 VMware,Inc. 65 ESX配置指南 66 VMware,Inc. 存储器简介
7 本简介介绍了ESX的可用存储选项，并对如何配置ESX系统以使其可使用和管理不同类型的存储器进行了论述。
本章讨论了以下主题：n第67页，“关于ESX存储器”n第67页，“物理存储器的类型”n第69页，“支持的存储适配器”n第69页，“目标和设备表示形式”n第71页，“关于ESX数据存储”n第73页，“比较存储器类型”n第74页，“在vSphereClient中查看存储器信息” 关于ESX存储器 ESX存储器是多种物理存储系统（本地或联网）上的存储空间，主机使用该存储器存储虚拟机磁盘。
虚拟机使用虚拟硬盘来存储其操作系统、程序文件以及与其活动有关的其他数据。
虚拟磁盘是一个大型物理文件或一组文件，可以像任何其他文件一样轻松地对其进行复制、移动、存档和备份。
为了存储虚拟磁盘文件并且能够操作文件，主机需要专用的存储空间。
主机将多种物理存储系统上的存储空间（包括主机的内部和外部设备或联网的存储器）专门用于特定任务（如存储数据和保护数据）。
主机可以发现它有权限访问的存储设备并将它们格式化为数据存储。
数据存储是一种特殊的逻辑容器，类似于逻辑卷上的文件系统；ESX在其中放置虚拟磁盘文件和用来封装虚拟机基本组件的其他文件。
数据存储部署在不同设备上，它将各个存储产品的特性隐藏起来，并提供一个统一的模型来存储虚拟机文件。
使用vSphereClient，可以在主机发现的任何存储设备上设置数据存储。
此外，可以使用文件夹创建数据存储的逻辑组，以便实现组织目的并在数据存储组之间设置权限和警示。
物理存储器的类型 ESX存储器管理过程以存储器管理员在不同存储系统上预先分配的存储空间开始。
ESX支持下列类型的存储器：本地存储器在直接连接到主机的内部或外部存储磁盘或阵列上存储虚拟机文件。
联网的存储器在位于主机之外的外部共享存储系统上存储虚拟机文件。
主机通过高速网络与联网设备进行通信。
VMware,Inc. 67 ESX配置指南本地存储器本地存储器可以是位于ESX主机内部的内部硬盘，也可以是位于主机之外并直接连接主机的外部存储系统。
本地存储不需要存储网络即可与主机进行通信。
所需的一切只是一根连接到存储单元的电缆；必要时，主机中需要有一个兼容的HBA。
通常，可以将多台主机连接到单个本地存储系统。
根据存储设备的类型和使用的拓扑，连接的实际主机数可能会有所不同。
许多本地存储系统支持冗余连接路径以确保容错性能。
当多个主机连接本地存储单元时，这些主机将以非共享模式访问存储设备。
非共享模式不允许多个主机同时访问同一个VMFS数据存储。
但是，一些SAS存储系统可向多个主机提供共享访问。
这种类型的访问允许多个主机访问LUN上的同一个VMFS数据存储。
ESX支持各种内部或外部本地存储设备，包括SCSI、IDE、SATA、USB和SAS存储系统。
无论使用何种存储器类型，主机都会向虚拟机隐藏物理存储器层。
设置本地存储器时，请记住以下几点： n不能使用IDE/ATA驱动器来存储虚拟机。
n只能以非共享模式使用内部和外部的本地SATA存储器。
SATA存储器不支持在多个主机之间共享相同的LUN，因此也无法共享相同的VMFS数据存储。
n某些SAS存储系统可向多个主机提供对相同LUN（以及相同VMFS数据存储）的共享访问。
联网的存储器联网的存储器由ESX主机用于远程存储虚拟机文件的外部存储系统组成。
主机通过高速存储器网络访问这些系统。
ESX支持以下网络存储技术：注意不支持通过不同的传输协议（如iSCSI和光纤通道）同时访问同一个存储。
光纤通道(FC)SCSI(iSCSI) 网络附加存储(NAS) 在FC存储区域网络(SAN)上远程存储虚拟机文件。
FCSAN是一种将主机连接到高性能存储设备的专用高速网络。
该网络使用光纤通道协议，将SCSI流量从虚拟机传输到FCSAN设备。
要连接FCSAN，主机应配有光纤通道主机总线适配器(HBA)，除非使用光纤通道直接连接存储器，否则主机还应配有光纤通道交换机以帮助路由存储器流量。
在远程iSCSI存储设备上存储虚拟机文件。
iSCSI将SCSI存储器流量打包在TCP/IP协议中，使其通过标准TCP/IP网络（而不是专用FC网络）传输。
通过iSCSI连接，主机可以充当与位于远程iSCSI存储系统的目标进行通信的启动器。
ESX提供下列iSCSI连接类型：硬件启动的iSCSI软件启动的iSCSI 主机通过第三方iSCSIHBA连接到存储器。
主机使用VMkernel中基于软件的iSCSI启动器连接到存储器。
通过这种iSCSI连接类型，主机只需要一个标准的网络适配器来进行网络连接。
在通过标准TCP/IP网络访问的远程文件服务器上存储虚拟机文件。
ESX中内置的NFS客户端使用网络文件系统(NFS)协议第3版来与NAS/NFS服务器进行通信。
为了进行网络连接，主机需要一个标准的网络适配器。
68 VMware,Inc. 第7章存储器简介支持的存储适配器存储适配器为ESX主机提供到特定存储单元或网络的连接。
根据所使用的存储器类型，可能需要在主机上安装或启用存储适配器。
ESX支持不同的适配器类别，包括SCSI、iSCSI、RAID、光纤通道和以太网。
ESX通过VMkernel中的设备驱动程序直接访问适配器。
目标和设备表示形式在ESX环境中，“目标”一词标识可以由主机访问的单个存储单元。
术语“设备”和“LUN”描述代表目标上的存储空间的逻辑卷。
通常，“设备”和“LUN”等词在ESX环境中表示通过存储器目标向主机呈现的SCSI卷，对于该卷可以格式化。
不同存储器供应商通过不同的方式向ESX主机呈现存储系统。
某些供应商在单个目标上呈现多个存储设备或LUN，而有些供应商则向多个目标各呈现一个LUN。
图7-
1。
目标和LUN表示形式目标 LUN LUN LUN 目标LUN 目标LUN 目标LUN 存储阵列存储阵列在此图示中，每种配置都有三个LUN可用。
在其中一个示例中，主机可以看到一个目标，但该目标具有三个可供使用的LUN。
每个LUN表示单个存储卷。
在另一个示例中，主机可以看到三个不同的目标，每个目标都拥有一个LUN。
通过网络访问的目标都有唯一的名称，该名称由存储系统提供。
iSCSI目标使用iSCSI名称，而光纤通道目标使用全球名称(WWN)。
注意ESX不支持通过不同传输协议（如iSCSI和光纤通道）访问相同的LUN。
设备或LUN由其UUID名称标识。
了解光纤通道命名在光纤通道SAN中，全球名称(WWN)对网络中的每个元素（如光纤通道适配器或存储设备）进行唯一标识。
WWN是一个由16个十六进制数字组成的64位地址，其格式如下：20:00:00:e0:8b:8b:38:7721:00:00:e0:8b:8b:38:77WWN由其制造商分配到每个光纤通道SAN元素。
VMware,Inc. 69 ESX配置指南了解iSCSI命名和寻址在iSCSI网络中，使用网络的每个iSCSI元素都有一个唯一的永久iSCSI名称，并分配有访问地址。
iSCSI名称标识特定的iSCSI元素，而不考虑其物理位置。
iSCSI名称可以使用IQN或EUI格式。
nIQN（iSCSI限定名）。
长度可达255个字符，其格式如下： iqn.yyyy-mm.naming-authority:uniquename nyyyy-mm是命名机构成立的年份和月份。
nnaming-authority通常是命名机构的域名的反向语法。
例如，命名机构的iSCSI限定名形式可能是iqn..vmware.iscsi。
此名称表示域名于1998年1月注册，iscsi是一个由维护的子域。
nuniquename是希望使用的任何名称，如主机的名称。
命名机构必须确保在冒号后面分配的任何名称都是唯一的，例如： n.vmware.iscsi:name1 n.vmware.iscsi:name2 n.vmware.iscsi:name999 nEUI（扩展的唯一标识符）。
包括eui.前缀，后跟16个字符长的名称。
对于IEEE分配的公司名称，此名称包括24位；对于诸如序列号之类的唯一ID，却包括40位。
例如， eui.0123456789ABCDEF iSCSI别名IP地址 iSCSI元素的一种更易管理且更便于记忆的名称，可代替iSCSI名称。
iSCSI别名不是唯一的，它只是一个与节点关联的友好名称。
地址与每个iSCSI元素都相关联，以便网络上的路由和交换设备可以在不同元素之间（如主机和存储器）建立连接。
这就像为了访问公司的网络或而分配给计算机的IP地址一样。
了解存储设备命名在vSphereClient中，每个存储设备或LUN均由多种名称（包括友好名称、UUID和运行时名称）标识。
名称 ESX主机根据存储器类型和制造商为设备分配的友好名称。
您可以使用vSphere Client修改名称。
当您在一台主机上修改设备的名称时，更改将在所有可以访问此设备的主机上生效。
标识符分配到设备的通用唯一标识符。
根据存储器类型的不同，将使用不同算法创建标识符。
标识符在重新引导后仍然存在，且在共享设备的所有主机中相同。
运行时名称设备第一条路径的名称。
运行时名称由主机创建，不是设备的可靠标识符，它并不永久存在。
70 VMware,Inc. 第7章存储器简介运行时名称具有以下格式：vmhba#:C#:T#:L#，其中 nvmhba#是存储适配器的名称。
此名称指的是主机上的物理适配器，而不是由虚拟机使用的SCSI控制器。
nC#是存储器通道号。
软件iSCSI启动器使用通道号来显示指向同一目标的多个路径。
nT#是目标号。
目标编号由主机决定，可能会在对于主机可见的目标的映射更改时发生变化。
由不同ESX主机共享的目标可能具有不同的目标号。
nL#是显示目标中LUN位置的LUN号。
LUN号由存储系统提供。
如果目标只有一个LUN，则LUN号始终为零
(0)。
例如，vmhba1:C0:T3:L1表示通过存储适配器vmhba1和通道0访问的目标3上的LUN1。
关于ESX数据存储数据存储是逻辑容器，类似于文件系统，它将各个存储设备的特性隐藏起来，并提供一个统一的模型来存储虚拟机文件。
数据存储还可以用来存储ISO映像、虚拟机模板和软盘映像。
可以使用vSphereClient来访问ESX主机发现的不同类型的存储设备，并在这些设备上部署数据存储。
根据所使用的存储器类型，数据存储可以支持下面的文件系统格式：虚拟机文件系统(VMFS)网络文件系统(NFS) 为存储虚拟机而优化的高性能文件系统。
主机可以将VMFS数据存储部署在任何基于SCSI的本地或联网存储设备（包括光纤通道和iSCSISAN设备）上。
除了使用VMFS数据存储之外，虚拟机还可以直接访问裸机并使用映射文件(RDM)作为代理。
NAS存储设备上的文件系统。
ESX支持TCP/IP上的NFS版本
3。
主机可以访问NAS服务器上的指定NFS卷，挂载该卷，并用该卷来满足存储需求。
如果使用服务控制台访问ESX主机，您会看到VMFS和NFS数据存储是位于/vmfs/volumes目录下的单独子目录。
VMFS数据存储 ESX可以将基于SCSI的存储设备格式化为VMFS数据存储。
VMFS数据存储主要充当虚拟机的存储库。
可以在同一个VMFS卷上存储多个虚拟机。
封装在一组文件中的各个虚拟机都会占用单独的一个目录。
对于虚拟机内的操作系统，VMFS会保留内部文件系统语义，这样可以确保正确的应用程序行为以及在虚拟机中运行的应用程序的数据完整性。
此外，还可以使用VMFS数据存储来存储其他文件，如虚拟机模板和ISO映像。
VMFS支持下面的文件和块大小，使得虚拟机甚至能够运行会占用大量数据的应用程序（包括虚拟机中的数据库、ERP和CRM）： n最大虚拟磁盘大小：2TB（块大小为8MB） n最大文件大小：2TB（块大小为8MB） n块大小：1MB（默认）、2MB、4MB和8MB VMware,Inc. 71 ESX配置指南创建和增加VMFS数据存储可以在ESX主机发现的基于SCSI的任何存储设备上设置VMFS数据存储。
创建VMFS数据存储以后，可以编辑它的属性。
每个系统最多可具有256个VMFS数据存储，这些数据存储的最小卷大小为1.2GB。
注意每个LUN始终只具有一个VMFS数据存储。
如果VMFS数据存储需要更多空间，则可以增加VMFS卷。
可以将新的数据区动态添加到任何VMFS数据存储，该数据存储最大可达64TB。
数据区是物理存储设备上的LUN或分区。
数据存储可以跨越多个数据区，但仍显示为单个卷。
另一个选项则是在数据存储所在的存储设备有可用空间时，增大现有的数据存储数据区。
数据区最大可达2TB。
在ESX主机间共享VMFS卷作为一个群集文件系统，VMFS允许多个ESX主机同时访问同一个VMFS数据存储。
最多可以将32个主机连接到单个VMFS卷。
图7-
2。
在主机间共享VMFS卷主机主机主机
A B
C VM1 VM2 VM3 VMFS卷磁盘1虚拟磁盘2磁盘文件磁盘
3 为了确保多台服务器不会同时访问同一个虚拟机，VMFS提供了磁盘锁定。
在多个主机间共享同一个VMFS卷具有以下好处： n可使用VMwareDistributedResourceScheduling和VMwareHighAvailability。
可以跨越不同的物理服务器分配虚拟机。
这意味着，每个服务器上会运行一组虚拟机，这样一来，所有服务器就不会同时在同一个区域面临很高的需求。
如果某台服务器发生故障，可以在另一台物理服务器上重新启动虚拟机。
万一发生故障，每个虚拟机的磁盘锁会被释放。
n可以使用VMotion将正在运行的虚拟机从一台物理服务器移动到另一台物理服务器。
n可以使用VMwareConsolidatedBackup，它可让一个称为VCB代理的代理服务器在虚拟机启动和读写存储器时备份虚拟机的快照。
72 VMware,Inc. 第7章存储器简介 NFS数据存储 ESX可以访问NAS服务器上的指定NFS卷，挂载该卷，并用该卷来满足存储器需求。
可以使用NFS卷来存储和引导虚拟机，这与使用VMFS数据存储相同。
ESX支持NFS卷上的以下共享存储器功能：nvMotionnVMwareDRS和VMwareHAn对于虚拟机显示为CD-ROM的ISO映像n虚拟机快照虚拟机如何访问存储器当虚拟机与存储在数据存储上的虚拟磁盘进行通信时，它会发出SCSI命令。
由于数据存储可以存在于各种类型的物理存储器上，因此，根据ESX主机用来连接存储设备的协议，这些命令会封装成其他形式。
ESX支持光纤通道(FC)、SCSI(iSCSI)和NFS协议。
无论主机使用何种类型的存储设备，虚拟磁盘始终会以挂载的SCSI设备形式呈现给虚拟机。
虚拟磁盘会向虚拟机操作系统隐藏物理存储器层。
这样可以在虚拟机内部运行未针对特定存储设备（如SAN）而认证的操作系统。
图7-3描绘了使用不同存储器类型的五个虚拟机，以说明各个类型之间的区别。
图7-
3。
访问不同类型存储器的虚拟机主机需要TCP/IP连接虚拟机虚拟机虚拟机虚拟机虚拟机 VMFS 本地以太网SCSI 光纤通道HBA SAN 图例物理磁盘 iSCSI硬件启动器 LAN 软件启动器以太网网卡 LAN 以太网网卡 LAN 数据存储虚拟磁盘 VMFS光纤阵列 VMFSiSCSI阵列 NFSNAS设备注意此图表仅用于展示概念。
它并非是推荐的配置。
比较存储器类型某些vSphere功能是否受支持可能取决于所用存储技术。
表7-1比较了ESX支持的网络存储技术。
VMware,Inc. 73 ESX配置指南表7-
1。
ESX支持的联网存储器技术协议光纤通道 FC/SCSI iSCSI IP/SCSI 传输数据/LUN的块访问数据/LUN的块访问 NAS IP/NFS 文件（无直接LUN访问）接口 FCHBAniSCSIHBA（硬件启动的iSCSI）n网卡（软件启动的iSCSI）网卡表7-2比较了不同类型存储器支持的vSphere功能。
表7-
2。
存储器支持的vSphere功能存储器类型本地存储器光纤通道iSCSINFS上的NAS 引导虚拟机是是是是 vMotion否是是是数据存储VMFSVMFSVMFSNFS RDM否是是否虚拟机群集否是是否 VMwareHA和DRS 否是是是 VCB是是是是在vSphereClient中查看存储器信息 vSphereClient显示有关存储适配器和设备以及任何可用数据存储的详细信息。
显示存储适配器主机使用存储适配器来访问不同的存储设备。
您可以显示可用的存储适配器，并查看其信息。
表7-3列出了在您显示每个适配器的详细信息时可以查看的信息。
某些适配器（例如iSCSI）需要对其进行配置或将其启用才能查看其适配器信息。
表7-
3。
存储适配器信息适配器信息描述型号适配器的型号。
目标（光纤通道和SCSI）通过适配器访问的目标数。
已连接的目标(iSCSI) iSCSI适配器上已连接的目标数。
WWN（光纤通道）根据用来唯一标识FC适配器的光纤通道标准形成的全球名称。
iSCSI名称(iSCSI) 根据用来标识iSCSI适配器的iSCSI标准形成的唯一名称。
iSCSI别名(iSCSI) 用以替代iSCSI名称的友好名称。
IP地址（硬件iSCSI）分配给iSCSI适配器的地址。
发现方法(iSCSI)设备路径 iSCSI适配器用于访问iSCSI目标的发现方法。
适配器可以访问的所有存储设备或LUN。
适配器用于访问存储设备的所有路径。
74 VMware,Inc. 第7章存储器简介查看存储适配器信息可以显示主机使用的存储适配器并查看它们的信息。
步骤1在“清单”中，选择主机和群集。
2选择主机，然后单击配置选项卡。
3在“硬件”中，选择存储适配器。
4要查看特定适配器的详细信息，请从“存储适配器”列表中选择适配器。
5要列出适配器可以访问的所有存储设备，请单击设备。
6要列出适配器使用的所有路径，请单击路径。
将存储适配器标识符复制到剪贴板如果存储适配器使用唯一标识符（如iSCSI名称或WWN），则可以将标识符从UI直接复制到剪贴板。
步骤1在“清单”中，选择主机和群集。
2选择主机，然后单击配置选项卡。
3在“硬件”中，选择存储适配器。
4从“存储适配器”列表中选择适配器。
5在“详细信息”面板中，右键单击名称字段中的值，并选择复制。
查看存储设备可以显示对主机可用的所有存储设备或LUN（包括所有的本地设备和联网设备）。
如果使用第三方多路径插件，则通过插件可用的存储设备也将出现在列表上。
对于每个存储适配器，可以显示仅此适配器可用的存储设备的单独列表。
通常，在检查存储设备的列表时，可以看到以下信息。
存储设备信息名称标识符运行时名称LUN类型传输容量所有者描述ESX主机根据存储器类型和制造商为设备分配的友好名称。
可以根据需要更改此名称。
通用唯一标识符是设备的固有名称。
设备第一条路径的名称。
显示目标中LUN位置的LUN号。
设备类型，例如，磁盘或CD-ROM。
主机用于访问设备的传输协议。
存储设备的总容量。
主机用于管理存储设备的插件（如NMP或第三方插件）。
每个存储设备的详细信息包括以下内容：n指向/vmfs/devices/目录中存储设备的路径。
n主分区和逻辑分区，包括VMFS数据存储（如果已配置）。
VMware,Inc. 75 ESX配置指南显示主机的存储设备可以显示对主机可用的所有存储设备或LUN。
如果使用任何第三方多路径插件，则通过插件可用的存储设备也将出现在列表上。
步骤1在“清单”中，选择主机和群集。
2选择主机，然后单击配置选项卡。
3在“硬件”中，选择存储器。
4单击设备。
5要查看有关特定设备的其他详细信息，请从列表中选择设备。
显示适配器的存储设备可以显示主机上的特定存储适配器可访问的存储设备的列表。
步骤1在“清单”中，选择主机和群集。
2选择主机，然后单击配置选项卡。
3在“硬件”中，选择存储适配器。
4从“存储适配器”列表中选择适配器。
5单击设备。
将存储设备标识符复制到剪贴板存储设备标识符是分配给存储设备或LUN的通用唯一ID。
根据不同存储器类型使用不同的算法来创建标识符，标识符可能较长且很复杂。
可以直接从UI复制存储设备标识符。
步骤1显示存储设备的列表。
2右键单击设备，然后选择将标识符复制到剪贴板。
显示数据存储可以显示对主机可用的所有数据存储，并分析其属性。
可使用以下方式将数据存储添加到vSphereClient中：n在可用存储设备上创建。
n当主机添加到清单时发现。
将主机添加到清单中时，vSphereClient将显示对主机可用的任何数据存储。
如果vSphereClient连接到vCenterServer系统，则可以在“数据存储”视图中查看数据存储信息。
此视图按数据中心显示清单中所有的数据存储。
通过此视图，可以将数据存储组织到文件夹层次结构中，创建新数据存储，编辑其属性，或移除现有数据存储。
此视图可全面显示数据存储的所有信息，包括使用数据存储的主机和虚拟机、存储报告信息、权限、警报、任务和事件、存储拓扑以及存储报告。
“数据存储”视图的“配置”选项卡上提供连接到此数据存储的所有主机上的每个数据存储的配置详细信息。
注意vSphereClient直接连接到主机时，“数据存储”视图不可用。
在这种情况下，通过主机存储配置选项卡检查数据存储信息。
76 VMware,Inc. 通常，可以查看以下数据存储配置详细信息：n数据存储所在的目标存储设备n数据存储使用的文件系统n数据存储的位置n总容量，包括已用空间和可用空间n数据存储跨越的各个数据区及其容量（仅VMFS数据存储）n用来访问存储设备（仅VMFS数据存储）的路径检查数据存储属性可以显示对主机可用的所有数据存储，并分析其属性。
步骤1显示清单中的主机。
2在清单中选择主机，然后单击配置选项卡。
3在“硬件”中，选择存储器。
4单击数据存储视图。
5要显示特定数据存储的详细信息，请从列表中选择数据存储。
第7章存储器简介 VMware,Inc. 77 ESX配置指南 78 VMware,Inc. 配置ESX存储器
8 下列主题包含有关配置本地SCSI存储设备、光纤通道SAN存储器、iSCSI存储器以及NFS存储器的信息。
本章讨论了以下主题：n第79页，“本地SCSI存储器”n第80页，“光纤通道存储器”n第80页，“iSCSI存储器”n第89页，“存储刷新和重新扫描操作”n第90页，“创建VMFS数据存储”n第91页，“网络附加存储”n第92页，“创建诊断分区” 本地SCSI存储器本地存储器使用基于SCSI的设备，如ESX主机的硬盘或与主机直接相连的外部专用存储系统。
图8-1描述了使用本地SCSI存储器的虚拟机。
图8-
1。
本地存储器主机虚拟机本地以太网 SCSI VMFS 在这个本地存储器拓扑示例中，ESX主机使用单一连接来插入磁盘。
可以在该磁盘上创建VMFS数据存储，以存储虚拟机磁盘文件。
VMware,Inc. 79 ESX配置指南虽然可以使用这种存储器配置拓扑，但不推荐使用。
如果在存储阵列和主机间使用单一连接，那么，在连接不稳定或出现故障时，会产生将导致中断的单一故障点(SPOF)。
为确保容错性能，部分DAS系统支持冗余连接路径。
光纤通道存储器 ESX支持光纤通道适配器，这些适配器允许主机连接到SAN并查看SAN上的存储设备。
安装光纤通道适配器之后，主机才能显示FC存储设备。
图8-2描述了使用光纤通道存储器的虚拟机。
图8-
2。
光纤通道存储器主机虚拟机光纤通道HBA SAN VMFS光纤阵列在该配置中，ESX主机通过光纤通道适配器连接到SAN结构（包括光纤通道交换机及存储阵列）。
此时，存储阵列的LUN变得对于主机可用。
您可以访问LUN并创建用于满足存储需求的数据存储。
数据存储采用VMFS格式。
有关设置FCSAN光纤和存储器阵列以便与ESX一起使用的特定信息，请参见《光纤通道SAN配置指南》。
iSCSI存储器 ESX支持iSCSI技术，通过该技术主机可使用IP网络访问远程存储器。
借助iSCSI，可将虚拟机向其虚拟磁盘发出的SCSI存储器命令转换为TCP/IP数据包，并将其传输至存储虚拟磁盘的远程设备或目标。
要访问远程目标，主机需要使用iSCSI启动器。
启动器在IP网络上的主机与目标存储设备之间传输SCSI请求和响应。
ESX支持基于硬件的和基于软件的iSCSI启动器。
必须配置iSCSI启动器以使主机能够访问和显示iSCSI存储设备。
图8-3描述了两台使用不同类型iSCSI启动器的虚拟机。
80 VMware,Inc. 图8-
3。
iSCSI存储器主机虚拟机 iSCSI硬件启动器 LAN 虚拟机软件启动器以太网网卡 LAN 第8章配置ESX存储器 VMFSiSCSI阵列在左侧示例中，主机使用硬件iSCSI适配器连接到iSCSI存储系统。
在右侧示例中，主机使用软件iSCSI启动器配置。
主机使用软件启动器，通过现有网络适配器连接到iSCSI存储器。
此时，存储系统中的iSCSI存储设备变得对于主机可用。
您可以访问存储设备并创建用于满足存储需求的VMFS数据存储。
有关设置iSCSISAN光纤以便与ESX一起使用的特定信息，请参见《iSCSISAN配置指南》。
设置硬件iSCSI启动器对于基于硬件的iSCSI存储器，您将使用可通过TCP/IP访问iSCSI存储器的专用第三方适配器。
此iSCSI启动器负责ESX系统的所有iSCSI以及网络处理和管理。
在设置驻留在iSCSI存储器设备上的数据存储之前，必须先安装和配置硬件iSCSI适配器。
查看硬件iSCSI启动器可以查看硬件iSCSI启动器以验证它是否已正确安装并准备好进行配置。
前提条件开始配置硬件iSCSI启动器之前，请确保iSCSIHBA已成功安装并显示在可供配置的启动器列表上。
如果启动器已安装，则可查看其属性。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2单击配置选项卡，然后在“硬件”面板中单击存储适配器。
硬件iSCSI启动器显示在存储适配器的列表上。
VMware,Inc. 81 ESX配置指南 3选择要查看的启动器。
此时会显示启动器的默认详细信息，包括型号、iSCSI名称、iSCSI别名、IP地址及目标和路径信息。
4单击属性。
此时将显示“iSCSI启动器属性”对话框。
常规选项卡显示了启动器的附加特性。
现在可配置硬件启动器或更改其默认特性。
更改硬件启动器的名称和IP地址在配置硬件iSCSI启动器时，请确保其名称和IP地址的格式正确。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2单击配置选项卡，然后在“硬件”面板中单击存储适配器。
3选择要配置的启动器，然后单击属性>配置。
4要更改启动器的默认iSCSI名称，请输入新的名称。
确保所输入的名称在整个环境中唯一且其格式正确；否则，某些存储设备可能无法识别硬件iSCSI启动器。
5（可选）输入iSCSI别名。
别名是用于标识硬件iSCSI启动器的名称。
6更改默认IP设置。
必须更改默认IP设置，以便IPSAN的IP设置正确无误。
与网络管理员一起确定HBA的IP设置。
7单击确定保存更改。
如果更改iSCSI名称，该名称会在新的iSCSI会话中使用。
但对于现有会话，直到注销并重新登录之后才能使用新设置。
设置软件iSCSI启动器借助所实现的基于软件的iSCSI，可使用标准网络适配器将ESX主机连接至IP网络上的远程iSCSI目标。
ESX中内置的软件iSCSI启动器为此连接提供了便利，可通过网络堆栈与网络适配器进行通信。
在配置软件iSCSI启动器之前，必须执行以下任务：1为物理网络适配器创建VMkernel端口。
2启用软件iSCSI启动器。
3如果使用多个网络适配器，则可以通过使用端口绑定技术在主机上激活多路径。
有关端口绑定的详细信息，请参见《iSCSISAN配置指南》。
4如有需要的话，请启用巨帧。
必须通过vSphereCLI为每个vSwitch启用巨帧。
此外，如果使用的是ESX 主机，则必须创建已启用巨帧的VMkernel网络接口。
有关详细信息，请参见“网络”部分。
82 VMware,Inc. 第8章配置ESX存储器软件iSCSI存储器的网络配置软件iSCSI的网络配置涉及到创建iSCSIVMkernel端口和将其映射到处理iSCSI流量的物理网卡。
根据要用于iSCSI流量的物理网卡的数量，网络设置可能不同：n如果有一个物理网卡，则在vSwitch上创建一个VMkernel端口，并将该端口映射到这个网卡。
VMware 建议为iSCSI指定完全独立的网络适配器。
不需要额外的网络配置步骤。
有关创建端口的详细信息，请参见第83页，“为软件iSCSI创建VMkernel端口”。
n如果有两个或更多的物理网卡用于iSCSI，则可以通过使用端口绑定技术创建软件iSCSI的多个路径。
有关端口绑定的详细信息，请参见《iSCSISAN配置指南》。
为软件iSCSI创建VMkernel端口使用此步骤可将运行iSCSI存储器服务的VMkernel连接至物理网络适配器。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2依次单击配置选项卡和网络。
3在“虚拟交换机”视图中，单击添加网络。
4选择VMkernel，然后单击下一步。
5选择创建虚拟交换机以创建新的vSwitch。
如果创建虚拟交换机下未显示任何适配器，则现有vSwitch正在使用系统中的所有网络适配器。
可以使用现有的vSwitch用于iSCSI流量。
6选择要用于iSCSI流量的适配器。
重要事项不要在100Mbps或更慢的适配器上使用iSCSI。
7单击下一步。
8在端口组属性下方，输入网络标签。
网络标签是用于识别所创建的VMkernel端口的友好名称。
9单击下一步。
10指定IP设置，然后单击下一步。
11检查信息，然后单击完成。
下一步现在可以启用软件启动器。
启用软件iSCSI启动器必须启用软件iSCSI启动器，以便ESX可以使用此启动器访问iSCSI存储。
步骤1登录vSphereClient，从“清单”面板中选择服务器。
2单击配置选项卡，然后在“硬件”面板中单击存储适配器。
此时将显示可用存储适配器的列表。
3选择要配置的iSCSI启动器，然后单击属性。
VMware,Inc. 83 ESX配置指南 4单击配置。
此时将打开常规属性对话框，显示启动器的状态、默认名称和别名。
5要启用启动器，请选择已启用。
6要更改启动器的默认iSCSI名称，请输入新的名称。
确保所输入的名称在整个环境中唯一且其格式正确；否则，某些存储设备可能无法识别软件iSCSI启动器。
7单击确定保存更改。
如果更改iSCSI名称，该名称会在新的iSCSI会话中使用。
但对于现有会话，直到注销并重新登录之后才能使用新设置。
配置iSCSI启动器的发现地址设置目标发现地址，以便iSCSI启动器确定网络上可供访问的存储资源。
ESX系统支持以下发现方法：动态发现也称为“发送目标”发现。
启动器每次与指定的iSCSI服务器联系时，都会向该服务器发送“发送目标”请求。
服务器通过向启动器提供一个可用目标的列表来做出响应。
这些目标的名称和IP地址显示在静态发现选项卡上。
如果移除了通过动态发现添加的静态目标，则该目标可在下次进行重新扫描、重置HBA或重新引导主机时返回到列表中。
静态发现启动器不必执行任何发现。
启动器拥有它可以联系的目标列表，并使用目标的IP地址和名称与这些目标进行通信。
设置动态发现使用动态发现，每次启动器联系指定的iSCSI服务器时，均会将“发送目标”请求发送到服务器。
服务器通过向启动器提供一个可用目标的列表来做出响应。
步骤1登录vSphereClient，在“清单”面板中选择服务器。
2单击配置选项卡，然后在“硬件”面板中单击存储适配器。
此时将显示可用存储适配器的列表。
3选择要配置的iSCSI启动器，然后单击属性。
4在“iSCSI启动器属性”对话框中，单击动态发现选项卡。
5要添加“发送目标”发现的地址，请单击添加。
此时将显示添加发送目标服务器对话框。
6输入存储系统的IP地址或DNS名称，然后单击确定。
在主机与此系统建立“发送目标”会话后，新发现的任何目标均将出现在“静态发现”列表中。
7要删除特定的“发送目标”服务器，请将其选中，然后单击移除。
在移除“发送目标”服务器之后，它可能仍作为静态目标的父目标出现在“继承”字段中。
此条目表示静态目标的发现位置且并不影响功能。
注意不能更改现有“发送目标”服务器的IP地址、DNS名称或端口号。
要进行更改，请删除现有服务器，并添加一台新服务器。
84 VMware,Inc. 第8章配置ESX存储器设置静态发现借助于iSCSI启动器以及动态发现方法，可以使用静态发现并手动输入目标的信息。
步骤1登录vSphereClient，在“清单”面板中选择服务器。
2单击配置选项卡，然后在“硬件”面板中单击存储适配器。
此时将显示可用存储适配器的列表。
3选择要配置的iSCSI启动器，然后单击属性。
4在“iSCSI启动器属性”对话框中，单击静态发现选项卡。
该选项卡将显示所有动态发现目标和已输入的所有静态目标。
5要添加目标，请单击添加，然后输入目标的信息。
6要删除特定目标，请选择目标，然后单击移除。
注意不能更改现有目标的IP地址、DNS名称、iSCSI目标名称或端口号。
要进行更改，请移除现有目标，然后添加一个新目标。
配置iSCSI启动器的CHAP参数由于iSCSI技术用于连接远程目标的IP网络不保护其传输的数据，因此必须确保连接的安全。
iSCSI要求网络上的所有设备均实现质询握手身份验证协议(CHAP)，该协议会验证访问网络上目标的启动器的合法性。
在主机和目标建立连接时，CHAP使用三路握手算法验证主机和iSCSI目标（如果适用的话）的身份。
系统根据启动器和目标共享的预定义的专用值或CHAP密钥进行验证。
ESX支持适配器级别的CHAP身份验证。
在这种情况下，所有目标从iSCSI启动器接收相同的CHAP名称和密钥。
对于软件iSCSI，ESX还支持每个目标的CHAP身份验证，此身份验证使您能够为每个目标配置不同凭据以实现更高级别的安全性。
选择CHAP身份验证方法 ESX对于硬件和软件iSCSI均支持单向CHAP身份验证，但仅对于软件iSCSI支持双向CHAP身份验证。
在配置CHAP前，请检查是否在iSCSI存储系统中启用了CHAP并检查系统所支持的CHAP身份验证方法。
如果已启用CHAP，请为启动器启用CHAP，并确保CHAP身份验证凭据与iSCSI存储器上的身份验证凭据相匹配。
ESX支持下列CHAP身份验证方法：单向CHAP 在单向CHAP身份验证中，目标需验证启动器，但启动器无需验证目标。
双向CHAP（仅限软件iSCSI）在双向CHAP身份验证中，其他安全级别会启用启动器对目标进行身份验证。
可以为每个启动器或在目标级别设置单向CHAP和双向CHAP（仅限软件iSCSI）。
硬件iSCSI仅支持启动器级别的CHAP。
设置CHAP参数时，请指定CHAP的安全级别。
VMware,Inc. 85 ESX配置指南表8-
1。
CHAP安全级别CHAP安全级别不使用CHAP 不使用CHAP，除非目标需要使用CHAP，除非已被目标禁止使用CHAP 描述受支持主机不使用CHAP身份验证。
如果当前已启用，则选择此选项禁用身份验证。
软件iSCSI硬件iSCSI 主机首选非CHAP连接，但如果目标要求可以使用CHAP软件iSCSI连接。
主机首选CHAP，但如果目标不支持CHAP，可以使用非CHAP连接。
软件iSCSI硬件iSCSI 主机需要成功的CHAP身份验证。
如果CHAP协商失败，软件iSCSI则连接失败。
设置iSCSI启动器的CHAP凭据为了提高安全性，可以在启动器级别将所有目标设置为从iSCSI启动器接收相同的CHAP名称和密钥。
默认情况下，所有发现地址或静态目标都继承在启动器级别设置的CHAP参数。
前提条件在设置软件iSCSI的CHAP参数之前，请先确定是要配置单向CHAP还是双向CHAP。
硬件iSCSI不支持双向CHAP。
n在单向CHAP中，目标会验证启动器。
n在双向CHAP中，目标和启动器会相互验证。
确保对CHAP和双向CHAP使用不同的密钥。
在配置CHAP参数时，确保它们与存储器端的参数相匹配。
对于软件iSCSI，CHAP名称不得超过511个字母数字字符，CHAP密钥不得超过255个字母数字字符。
对于硬件iSCSI，CHAP名称不得超过255个字母数字字符，CHAP密钥不得超过100个字母数字字符。
步骤1登录vSphereClient，在“清单”面板中选择服务器。
2单击配置选项卡，然后在“硬件”面板中单击存储适配器。
此时将显示可用存储适配器的列表。
3选择要配置的iSCSI启动器，然后单击属性。
4在常规选项卡上，单击CHAP。
5要配置单向CHAP，请在CHAP下指定以下项。
a选择下列选项之一：n不使用CHAP，除非目标需要（仅限软件iSCSI）n使用CHAP，除非已被目标禁止n使用CHAP（仅限软件iSCSI）。
要能够配置双向CHAP，必须选择此选项。
b指定CHAP名称。
确保指定的名称与在存储器端配置的名称相匹配。
n要将CHAP名称设置为iSCSI启动器名称，请选中使用启动器名称。
n要将CHAP名称设置为除iSCSI启动器名称之外的任何其他名称，请取消选中使用启动器名称，并在名称字段中输入名称。
c输入单向CHAP密钥以用作身份验证的一部分。
确保使用在存储器端输入的相同密钥。
86 VMware,Inc. 第8章配置ESX存储器 6要配置双向CHAP，请先按照步骤5中的说明配置单向CHAP。
确保为单向CHAP选择使用CHAP选项。
然后，在双向CHAP下，指定以下各项：a选择使用CHAP。
b指定双向CHAP名称。
c输入双向CHAP密钥。
确保对单向CHAP和双向CHAP使用不同的密钥。
7单击确定。
8重新扫描启动器。
如果更改了CHAP或双向CHAP参数，则它们会用于新的iSCSI会话。
但对于现有会话，直到注销并重新登录之后才能使用新设置。
设置目标的CHAP凭据对于软件iSCSI，可以为每个发现地址或静态目标配置不同CHAP凭据。
在配置CHAP参数时，确保它们与存储器端的参数相匹配。
对于软件iSCSI，CHAP名称不得超过511个字母数字字符，CHAP密钥不得超过255个字母数字字符。
前提条件在设置软件iSCSI的CHAP参数之前，请先确定是要配置单向CHAP还是双向CHAP。
n在单向CHAP中，目标会验证启动器。
n在双向CHAP中，目标和启动器会相互验证。
确保对CHAP和双向CHAP使用不同的密钥。
步骤1登录vSphereClient，在“清单”面板中选择服务器。
2单击配置选项卡，然后在“硬件”面板中单击存储适配器。
此时将显示可用存储适配器的列表。
3选择要配置的iSCSI软件启动器，然后单击属性。
4选择动态发现或静态发现选项卡。
5从可用目标的列表中，选择要配置的目标，然后单击设置>CHAP。
6要配置单向CHAP，请在CHAP下指定以下项。
a取消选中从父项继承。
b选择下列选项之一： n不使用CHAP，除非目标需要n使用CHAP，除非已被目标禁止n使用CHAP。
要能够配置双向CHAP，必须选择此选项。
c指定CHAP名称。
确保指定的名称与在存储器端配置的名称相匹配。
n要将CHAP名称设置为iSCSI启动器名称，请选中使用启动器名称。
n要将CHAP名称设置为除iSCSI启动器名称之外的任何其他名称，请取消选中使用启动器名称，并在名称字段中输入名称。
d输入单向CHAP密钥以用作身份验证的一部分。
确保使用在存储器端输入的相同密钥。
VMware,Inc. 87 ESX配置指南 7要配置双向CHAP，请先按照步骤6中的说明配置单向CHAP。
确保为单向CHAP选择使用CHAP选项。
然后，在双向CHAP下，指定以下各项：a取消选中从父项继承。
b选择使用CHAP。
c指定双向CHAP名称。
d输入双向CHAP密钥。
确保对单向CHAP和双向CHAP使用不同的密钥。
8单击确定。
9重新扫描启动器。
如果更改了CHAP或双向CHAP参数，则它们会用于新的iSCSI会话。
但对于现有会话，直到注销并重新登录之后才能使用新设置。
禁用CHAP如果存储系统不需要CHAP，则可以将其禁用。
如果在需要CHAP身份验证的系统上禁用CHAP，则现有iSCSI会话会保持活动状态，直到重新引导ESX主机或者存储系统强制注销为止。
在会话结束之后，您将不能再连接需要CHAP的目标。
步骤1打开“CHAP凭据”对话框。
2对于软件iSCSI，要仅禁用双向CHAP，请在双向CHAP下选择不使用CHAP。
3要禁用单向CHAP，请在CHAP下面选择不使用CHAP。
如果设置了双向CHAP，则在禁用单向CHAP时，双向CHAP将自动转换为不使用CHAP。
4单击确定。
配置iSCSI的其他参数可能需要为iSCSI启动器配置其他参数。
例如，有些iSCSI存储系统要求ARP（地址解析协议）重定向，以在端口间动态移动iSCSI流量。
在这种情况下，必须在主机上激活ARP重定向。
除非在与VMware支持团队进行合作，或拥有为设置所提供值的全面信息，否则不要对高级iSCSI设置进行任何更改。
表8-2列出了使用vSphereClient可以配置的高级iSCSI参数。
此外，可以使用vicfg-iscsivSphereCLI命令配置部分高级参数。
有关详细信息，请参见《VMwarevSphere命令行界面安装和参考指南》。
表8-
2。
iSCSI启动器的其他参数高级参数描述配置对象头摘要增加数据完整性。
启用头摘要后，系统会对每个iSCSI协议数据单元(PDU)的头部计算校验和，并使用CRC32C算法进行验证。
软件iSCSI 数据摘要增加数据完整性。
启用数据摘要后，系统会对每个PDU的数据部分计算校验和，并使用CRC32C算法进行验证。
注意使用IntelNehalem处理器的系统会清除软件iSCSI的iSCSI摘要计算，因此可以减少对性能的影响。
软件iSCSI 最大未完成R2T数初次突发长度定义在收到确认PDU前可转换的R2T（即将传输）PDU。
指定在执行单个SCSI命令期间iSCSI启动器可以发送到目标的未经请求的数据的最大数量，以字节为单位。
软件iSCSI软件iSCSI 88 VMware,Inc. 第8章配置ESX存储器表8-
2。
iSCSI启动器的其他参数（续）高级参数描述配置对象最大突发长度传入数据或请求的传出数据iSCSI序列中的最大SCSI数据负载，以字软件iSCSI节为单位。
最大接收数据段长度在iSCSIPDU中可以接收的最大数据段长度，以字节为单位。
软件iSCSI ARP重定向允许存储系统将iSCSI流量从一个端口动态移动到另一个端口。
ARP对执行基于阵列的故障切换的存储系统是必需的。
硬件iSCSI （可通过vSphereCLI配置）延迟的ACK 允许系统对接收的数据包进行延迟确认。
软件iSCSI 配置iSCSI的高级参数高级iSCSI设置控制如标头、数据摘要、ARP重定向、延迟的ACK等参数。
通常，不需要更改这些设置，因为ESX主机使用分配的预定义值能够正常运行。
小心除非在与VMware支持团队进行合作，或拥有为设置所提供值的全面信息，否则不要对高级iSCSI设置进行任何更改。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2单击配置选项卡，然后单击存储适配器。
3选择要配置的iSCSI启动器，然后单击属性。
4要在启动器级别配置高级参数，请在常规选项卡上，单击高级。
继续步骤
6。
5在目标级别配置高级参数。
在目标级别，只能为软件iSCSI配置高级参数。
a选择动态发现或静态发现选项卡。
b从可用目标的列表中，选择要配置的目标，然后单击设置>高级。
6为要修改的高级参数输入任何所需值，然后单击确定保存更改。
存储刷新和重新扫描操作刷新操作可更新vSphereClient中显示的数据存储列表和存储信息（例如数据存储容量）。
在ESX主机或SAN配置中进行更改时，可能需要使用重新扫描操作。
可以重新扫描主机上的所有适配器。
如果进行的更改只针对特定适配器，则只需重新扫描此适配器。
如果vSphereClient已连接到vCenterServer系统，则可以重新扫描由vCenterServer系统管理的所有主机上的适配器。
每次进行以下更改之一后请执行重新扫描：n在SAN上创建新LUN。
n更改主机上的路径屏蔽。
n重新连接线缆。
n对群集中的主机进行更改。
重要事项不要在路径不可用时重新扫描。
如果一条路径发生故障，将由另一条路径取代，系统的所有功能仍继续运行。
但是，如果在路径不可用时重新扫描，主机会将该路径从指向设备的路径列表中移除。
直到下次在该路径处于活动状态下执行重新扫描后，主机才能使用此路径。
VMware,Inc. 89 ESX配置指南重新扫描存储适配器在ESX主机或SAN配置中进行更改时，可能需要重新扫描存储适配器。
可以重新扫描主机上的所有适配器。
如果进行的更改只针对特定适配器，则只需重新扫描此适配器。
如果只需要重新扫描特定主机或特定主机上的适配器，请使用此步骤。
如果要重新扫描由vCenterServer系统管理的所有主机上的适配器，则可以通过右键单击包含这些主机的数据中心、群集或文件夹并选择重新扫描数据存储来执行此操作。
步骤 1在vSphereClient中，选择一台主机，然后单击配置选项卡。
2在“硬件”面板中，选择存储适配器，然后单击“存储适配器”面板上方的重新扫描。
也可右键单击一个适配器，并单击重新扫描只对该适配器进行重新扫描。
3要发现新的磁盘或LUN，请选择扫描新的存储设备。
新发现的LUN将显示在设备列表上。
4要发现新的数据存储或在其配置更改后更新数据存储，请选择扫描新的VMFS卷。
发现的新数据存储或VMFS卷将出现在数据存储列表上。
创建VMFS数据存储 VMFS数据存储充当虚拟机的存储库。
可以在主机发现的基于SCSI的任何存储设备上设置VMFS数据存储。
前提条件创建数据存储之前，必须安装和配置存储器所需的全部适配器。
重新扫描适配器以发现新增的存储设备。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2单击配置选项卡，然后在“硬件”面板中单击存储器。
3依次单击数据存储和添加存储器。
4选择磁盘/LUN存储器类型，然后单击下一步。
5选择要用于数据存储的设备，然后单击下一步。
注意选择没有在“VMFS标签”列中显示数据存储名称的设备。
如果该名称存在，则设备包含现有VMFS数据存储的副本。
如果要格式化的磁盘是空白磁盘，则“当前磁盘布局”页面将自动显示整个磁盘空间，以进行存储器配置。
6如果磁盘不为空，请在“当前磁盘布局”页面的顶部面板中检查当前磁盘布局，并从底部面板中选择配置选项。
选项使用所有可用分区使用可用空间描述将整个磁盘或LUN专门用于单个VMFS数据存储。
如果选择此选项，则当前在此设备上存储的任何文件系统和数据将被删除。
在剩余的可用磁盘空间中部署VMFS数据存储。
7单击下一步。
8在属性页面中，输入数据存储名称并单击下一步。
90 VMware,Inc. 第8章配置ESX存储器 9如果需要，请调整文件系统和容量值。
默认情况下，存储设备上的全部可用空间均可供使用。
10单击下一步。
11在“即将完成”页面，检查数据存储配置信息，然后单击完成。
即会在基于SCSI的存储设备上创建数据存储。
如果使用vCenterServer系统管理主机，则新创建的数据存储会自动添加到所有主机。
网络附加存储 ESX支持通过NFS协议使用NAS。
NFS协议可以实现NFS客户端和NFS服务器之间的通信。
ESX中内置的NFS客户端可让您访问NFS服务器并使用NFS卷进行存储。
ESX仅支持TCP上的NFS版本
3。
可使用vSphereClient将NFS卷配置为数据存储。
已配置的NFS数据存储会显示在vSphereClient中，可将其用来存储虚拟磁盘文件，使用方式与基于VMFS的数据存储相同。
注意ESX不支持借助于非根凭据启用对NFS卷访问权的委派用户功能。
图8-4描述了使用NFS卷存储其文件的虚拟机。
在此配置中，主机连接到NFS服务器，此服务器通过常规网络适配器存储虚拟磁盘文件。
图8-
4。
NFS存储器主机虚拟机以太网网卡 LAN NFSNAS设备 VMware,Inc. 91 ESX配置指南在基于NFS的数据存储上创建的虚拟磁盘采用由NFS服务器规定的磁盘格式，通常为精简格式，要求按需分配空间。
如果在向该磁盘写入数据时出现虚拟机空间不足的情况，vSphereClient会通知您需要更多空间。
这时您有以下选择：n在卷上释放更多空间，以便虚拟机能继续写入磁盘。
n终止虚拟机会话。
终止会话将关闭虚拟机。
小心当主机访问基于NFS的数据存储上的虚拟机磁盘文件时，会在该磁盘文件所驻留的同一目录中生成一个.lck-XXX锁定文件，以阻止其他主机访问该虚拟磁盘文件。
不要移除.lck-XXX锁定文件，因为如果没有该文件，正在运行的虚拟机将无法访问其虚拟磁盘文件。
作为常用文件的存储库的NFS数据存储除了在NFS数据存储上存储虚拟磁盘以外，还可以使用NFS作为ISO映像、虚拟机模板等的中央存储库。
若要将NFS用作共享存储库，可以在NFS服务器上创建目录，然后在所有主机上将它作为数据存储挂载。
如果使用ISO映像的数据存储，可以将虚拟机的CD-ROM设备连接到数据存储上的ISO文件，并从ISO文件安装客户机操作系统。
有关配置虚拟机的信息，请参见《基本系统管理》。
注意如果存储文件的基础NFS卷是只读的，则应确保该卷由NFS服务器导出为只读共享，或在ESX主机上将它配置为只读数据存储。
否则，主机会认为该数据存储可以读写，并可能无法打开文件。
创建基于NFS的数据存储可以使用添加存储器向导挂载NFS卷并将其用作VMFS数据存储。
前提条件因为NFS需要网络连接来访问存储在远程服务器上的数据，因此在配置NFS之前，必须首先配置VMkernel网络。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2单击配置选项卡，然后在“硬件”面板中单击存储器。
3依次单击数据存储和添加存储器。
4选择网络文件系统作为存储器类型，然后单击下一步。
5输入服务器名称、挂载点文件夹名称以及数据存储名称。
注意当在不同主机上挂载相同NFS卷时，确保各主机之间的服务器名称和文件夹名称相同。
如果名称不完全匹配，例如，如果您在一台主机上输入share作为文件夹名称，而在另一台主机上使用/share作为文件夹名称，则主机会将同一NFS卷视为两个不同的数据存储。
这可能导致诸如vMotion之类的功能失效。
6（可选）如果NFS服务器将卷作为只读导出，则选择挂载只读NFS。
7单击下一步。
8在“网络文件系统摘要”页面中，检查配置选项，然后单击完成。
创建诊断分区要成功运行，主机必须具有用于存储核心转储的诊断分区或转储分区来提供调试和技术支持持。
可在本地磁盘、专用SANLUN或共享SANLUN上创建诊断分区。
诊断分区不能位于通过软件iSCSI启动器访问的iSCSILUN上。
92 VMware,Inc. 第8章配置ESX存储器每台主机均必须拥有一个100MB的诊断分区。
如果多台主机共享一个SAN，请为每台主机配置一个100MB大小的诊断分区。
小心如果两个共享诊断分区的主机出现故障，并将核心转储保存到相同插槽，则核心转储可能丢失。
若要收集核心转储数据，在主机出现故障之后，请立即重新引导主机，并提取日志文件。
但是，在收集第一个主机的诊断数据之前，如果另一个主机出现故障，第二个主机将无法保存核心转储。
如果使用的是ESX主机，通常在安装ESX时，通过选择建议的分区来创建诊断分区。
安装程序将自动为主机创建诊断分区。
如果选择高级分区并选择在安装期间不指定诊断分区，则可以使用添加存储器向导配置诊断分区。
创建诊断分区可以在主机上创建诊断分区。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2单击配置选项卡，然后在“硬件”面板中单击存储器。
3依次单击数据存储和添加存储器。
4选择诊断并单击下一步。
如果看不到诊断选项，则表示主机已拥有诊断分区。
可使用vSphereCLI上的vicfg-dumppart-l命令查询和扫描主机的诊断分区。
5指定诊断分区的类型。
选项本地专用存储器SAN专用存储器SAN共享存储器描述在本地磁盘上创建诊断分区。
此分区将仅存储主机的故障信息。
在非共享SANLUN上创建诊断分区。
此分区将仅存储主机的故障信息。
在共享SANLUN上创建诊断分区。
此分区将由多个主机访问并且可以存储多个主机的故障信息。
6单击下一步。
7选择要用于诊断分区的设备，然后单击下一步。
8检查分区配置信息，然后单击完成。
VMware,Inc. 93 ESX配置指南 94 VMware,Inc. 管理存储器
9 在创建数据存储之后，可以更改其属性，使用文件夹根据业务需求对数据存储进行分组，或删除未使用的数据存储。
也可能需要为存储器设置多路径或对数据存储副本进行再签名。
本章讨论了以下主题：n第95页，“管理数据存储”n第97页，“更改VMFS数据存储属性”n第99页，“管理重复VMFS数据存储”n第101页，“在ESX中使用多路径”n第108页，“精简置备” 管理数据存储 ESX系统使用数据存储来存储与其虚拟机关联的所有文件。
在创建数据存储之后，可以通过执行多个任务对其进行管理。
数据存储是一个逻辑存储单元，它可以使用一个物理设备、一个磁盘分区或若干个物理设备上的磁盘空间。
数据存储可以存在于不同类型的物理设备（包括SCSI、iSCSI、光纤通道SAN或NFS）上。
可使用以下方式之一将数据存储添加到vSphereClient中：n当主机添加到清单时发现。
vSphereClient显示能够由主机识别的任何数据存储。
n使用添加存储器命令在可用存储设备上创建。
创建数据存储之后，可以使用它们来存储虚拟机文件。
通过重命名、移除和设置访问控制权限，可以对其进行管理。
此外，可以对数据存储进行分组以便于组织，以及一次对多个组设置相同权限。
有关设置数据存储的访问控制权限的信息，请参见vSphereClient帮助。
重命名数据存储可更改现有数据存储的名称。
步骤1显示数据存储。
2右键单击要重命名的数据存储，然后选择重命名。
3键入新的数据存储名称。
如果使用vCenterServer系统管理主机，则新名称将显示在所有可访问数据存储的主机上。
VMware,Inc. 95 ESX配置指南为数据存储分组如果您使用vCenterServer系统管理主机，则可以将数据存储分组到文件夹中。
这允许您根据业务实践组织数据存储，并对组中的数据存储一次性分配相同权限和警报。
步骤1登录vSphereClient。
2如有必要，创建数据存储。
有关详细信息，请参见vSphereClient帮助。
3在”清单“面板中，选择数据存储。
4选择包含要分组的数据存储的数据中心。
5在快捷方式菜单中，单击新建文件夹图标。
6为该文件夹提供一个描述性名称。
7单击各个数据存储，然后将其拖动到该文件夹中。
删除数据存储可以删除任何类型的VMFS数据存储（包括已挂载但未再签名的副本）。
删除数据存储时，会对其造成损坏，而且它将从具有数据存储访问权限的所有主机中消失。
前提条件在删除数据存储之前，从数据存储中移除所有虚拟机。
确保没有任何其他主机正在访问该数据存储。
步骤1显示数据存储。
2右键单击要删除的数据存储并单击删除。
3确认要删除数据存储。
卸载数据存储卸载数据存储时，它会保持原样，但是在指定的主机上再也看不到该存储。
它继续出现在其他主机上并在这些主机上它保持挂载状态。
只能卸载以下类型的数据存储：nNFS数据存储n已挂载却没有再签名的VMFS数据存储副本步骤1显示数据存储。
2右键单击要卸载的数据存储，然后选择卸载。
96 VMware,Inc. 第9章管理存储器 3如果数据存储已共享，请指定不应再访问该数据存储的主机。
a如果需要，请取消选中要使其中的数据存储保持挂载状态的主机。
默认情况下，会选中所有主机。
b单击下一步。
c检查要从中卸载数据存储的主机列表，然后单击完成。
4确认要卸载数据存储。
更改VMFS数据存储属性创建基于VMFS的数据存储以后，可以进行修改。
例如，如果您需要更多空间，则可以增加数据存储容量。
如果有VMFS-2数据存储，可将其升级到VMFS-3格式。
使用VMFS格式的数据存储部署在基于SCSI的存储设备上。
无法重新格式化远程主机正在使用的VMFS数据存储。
如果尝试这样做，则会出现一条警告，该警告会指出正在使用的数据存储的名称和正在使用该数据存储的主机的名称。
此警告也会出现在VMkernel和VMkwarning日志文件中。
根据vSphereClient是连接到vCenterServer系统还是直接连接到主机，“数据存储属性”对话框的访问方式会有所不同。
n仅适用于vCenterServer。
要访问“数据存储属性”对话框，请从清单中选择数据存储，单击配置选项卡，然后单击属性。
nvCenterServer和ESX/ESXi主机。
要访问“数据存储属性”对话框，请从清单中选择主机，单击配置选项卡，然后单击存储器。
从“数据存储”视图中，选择要修改的数据存储，然后单击属性。
增加VMFS数据存储需要在数据存储上创建新虚拟机时，或者此数据存储上运行的虚拟机需要更多空间时，可以动态增加VMFS数据存储的容量。
使用下列方法之一：n添加新数据区。
数据区是LUN上的分区。
可以将新数据区添加到现有的任何VMFS数据存储。
数据存储可以跨越多个数据区，最多可达32个。
注意不能将本地数据区添加到位于SANLUN上的数据存储。
n在现有VMFS数据存储中增加数据区。
只有紧随其后就有可用空间的数据区才是可扩展的。
因此，可以增加现有数据区，而不是添加新的数据区，以便它填满可用的相邻容量。
注意如果共享数据存储有启动的虚拟机并被100%占用，则仅可以从注册了已启动虚拟机的主机增加数据存储的容量。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2单击配置选项卡，然后单击存储器。
3从“数据存储”视图中，选择要增加的数据存储，然后单击属性。
4单击增加。
VMware,Inc. 97 ESX配置指南 5从存储设备列表中选择设备，然后单击下一步。
n如果要添加新数据区，请选择“可扩展的”列显示为“否”的设备。
n如果要展开现有数据区，请选择“可扩展的”列显示为“是”的设备。
6从底部面板选择配置选项。
根据磁盘的当前布局和以前的选择，您看到的选项可能有所不同。
选项使用可用空间添加新数据区使用可用空间扩展现有数据区使用可用空间使用所有可用分区描述在该磁盘上增加可用空间作为新的数据存储数据区。
将现有数据区增加到所需容量。
在剩余的可用磁盘空间中部署数据区。
此选项仅在添加数据区时可用。
将整个磁盘专用于单个数据存储数据区。
此选项仅在添加数据区并且所格式化的磁盘非空白时可用。
磁盘将被重新格式化，其中所包含的数据存储和任何数据将被擦除。
7设置数据区的容量。
默认情况下，存储设备上的全部可用空间均可供使用。
8单击下一步。
9检查推荐的数据区布局和数据存储的新配置，然后单击完成。
下一步在增加了共享VMFS数据存储中的数据区之后，在可以访问此数据存储的每个主机上刷新数据存储，以便vSphereClient可以显示所有主机的正确数据存储容量。
升级数据存储 ESX包括VMFS第3版(VMFS-3)。
如果数据存储使用VMFS-2格式化，则可以读取以VMFS-2格式存储的文件，但不能对其进行写入。
要拥有对文件的完整访问权限，请将VMFS-2升级为VMFS-
3。
将VMFS-2升级为VMFS-3时，ESX文件锁定机制可确保无远程主机或本地进程访问转换中的VMFS数据存储。
主机保留数据存储上的所有文件。
使用升级选项之前，请考虑以下注意事项：n提交或放弃对要升级的VMFS-2卷中虚拟磁盘的任何更改。
n备份VMFS-2卷。
n确保没有已启动的虚拟机在使用此VMFS-2卷。
n确保无其他ESX主机在访问此VMFS-2卷。
VMFS-2至VMFS-3的转换是一种单向过程。
将基于VMFS的数据存储转换成VMFS-3后，不能将其恢复为VMFS-
2。
要升级VMFS-2文件系统，其文件块大小不得超过8MB。
步骤1登录vSphereClient，在“清单”面板中选择主机。
2单击配置选项卡，然后单击存储器。
3选择一个使用VMFS-2格式的数据存储。
4单击升级到VMFS-
3。
5在可以看到数据存储的所有主机上执行重新扫描。
98 VMware,Inc. 第9章管理存储器管理重复VMFS数据存储当LUN包含VMFS数据存储副本时，您可以使用现有签名或通过分配新签名来挂载该数据存储。
在LUN中创建的每个VMFS数据存储都有一个唯一的UUID，该UUID存储在文件系统超级块中。
对LUN进行复制或生成快照后，生成的LUN副本的每个字节都与原始LUN完全相同。
因此，如果原始LUN包含具有UUIDX的VMFS数据存储，则LUN副本会显示包含具有完全相同UUIDX的相同的VMFS数据存储或VMFS数据存储副本。
ESX可以确定LUN是否包含VMFS数据存储副本，并使用其原始UUID挂载数据存储副本，或更改UUID从而对该数据存储进行再签名。
使用现有签名挂载VMFS数据存储可能无需再签名VMFS数据存储副本。
可以挂载VMFS数据存储副本，而不更改其签名。
例如，作为灾难恢复计划的一部分，可以在辅助站点上维护虚拟机的同步副本。
在主站点发生灾难时，可以在辅助站点上挂载数据存储副本并启动虚拟机。
重要事项仅当与具有相同UUID的已挂载VMFS数据存储不冲突时，才可以挂载VMFS数据存储。
挂载VMFS数据存储时，ESX允许对驻留在LUN副本上的数据存储执行读取和写入操作。
LUN副本必须为可写入状态。
在系统重新引导后，数据存储挂载也是持久有效的。
由于ESX不允许对挂载的数据存储进行再签名，所以请在进行再签名之前卸载数据存储。
使用现有签名挂载VMFS数据存储如果不需要对VMFS数据存储副本进行再签名，则无需更改其签名即可挂载。
前提条件在挂载VMFS数据存储之前，请在主机上执行存储重新扫描，以便更新为其显示的LUN视图。
步骤1登录vSphereClient，然后在“清单”面板中选择服务器。
2依次单击配置选项卡和“硬件”面板中的存储器。
3单击添加存储器。
4选择磁盘/LUN存储器类型，然后单击下一步。
5从LUN列表中，选择数据存储名称显示在“VMFS标签”列中的LUN，然后单击下一步。
“VMFS标签”列中显示的名称表示LUN包含现有VMFS数据存储的副本。
6在“挂载选项”下面，选择保留现有的签名。
7在“即将完成”页面，检查数据存储配置信息，然后单击完成。
下一步如果稍后要对挂载的数据存储进行再签名，则必须先将其卸载。
VMware,Inc. 99 ESX配置指南对VMFS副本进行再签名使用数据存储再签名保留VMFS数据存储副本上所存储的数据。
对VMFS副本进行再签名时，ESX会为副本分配新的UUID和新的标签，并将副本挂载为与原始数据存储明显不同的数据存储。
分配到数据存储的新标签的默认格式是snap--，其中是整数并且是原始数据存储的标签。
在执行数据存储再签名时，请考虑以下几点：n数据存储再签名不可逆。
n不再将包含再签名的VMFS数据存储的LUN副本视为LUN副本。
n仅当跨区数据存储的所有数据区联机时，才可对其进行再签名。
n再签名过程是应急过程，并具有容错性。
如果过程中断，可以稍后恢复。
n可以挂载新的VMFS数据存储，而无需承担其UUID与其他任何数据存储UUID相冲突的风险，如LUN 快照层次结构中的祖先或子项。
对VMFS数据存储副本进行再签名如果要保留VMFS数据存储副本上所存储的数据，请使用数据存储再签名。
前提条件要对挂载的数据存储副本进行再签名，请先将其卸载。
对VMFS数据存储进行再签名之前，请在主机上执行存储重新扫描，以便主机更新为其显示的LUN视图并发现所有LUN副本。
步骤1登录vSphereClient，然后在“清单”面板中选择服务器。
2依次单击配置选项卡和“硬件”面板中的存储器。
3单击添加存储器。
4选择磁盘/LUN存储器类型，然后单击下一步。
5从LUN列表中，选择数据存储名称显示在“VMFS标签”列中的LUN，然后单击下一步。
“VMFS标签”列中显示的名称表示LUN包含现有VMFS数据存储的副本。
6在“挂载选项”下，选择分配新签名，并单击下一步。
7在“即将完成”页面，检查数据存储配置信息，然后单击完成。
下一步进行再签名之后，可能需要执行以下操作：n如果再签名的数据存储包含虚拟机，则在虚拟机文件中更新对原始VMFS数据存储的引用，这些虚拟机文件包括.vmx、.vmdk、.vmsd和.vmsn。
n要启动虚拟机，请在vCenterServer中注册它们。
100 VMware,Inc. 第9章管理存储器在ESX中使用多路径要维护ESX主机及其存储器之间的持续连接，ESX必须支持多路径。
通过多路径技术，可以使用多个物理路径，这些路径在ESX主机和外部存储设备之间传输数据。
如果SAN网络中的某个元素（如HBA、交换机或光缆）发生故障，则ESX可以故障切换到另一物理路径。
除了路径故障切换以外，多路径还提供负载平衡，它在多路径之间重新分配I/O负载，以减少或免除潜在的瓶颈。
管理多路径为管理存储多路径，ESX使用特殊的VMkernel层（即，可插入存储架构(PSA)）。
PSA是一个协调多个多路径插件(MPP)的同时操作的开放式模块框架。
ESX默认情况下提供的VMkernel多路径插件是VMware本机多路径插件(NMP)。
NMP是管理子插件的可扩展模块。
NMP子插件有两种类型，即存储阵列类型插件(SATP)和路径选择插件(PSP)。
SATP和PSP可以是VMware提供的内置插件，也可以由第三方提供。
如果需要更多多路径功能，第三方还可以提供MPP以作为默认NMP的附属或替代运行。
当协调VMwareNMP和所安装的任何第三方MPP时，PSA将执行以下任务：n加载和卸载多路径插件。
n对特定插件隐藏虚拟机细节。
n将特定逻辑设备的I/O请求路由到管理该设备的MPP。
n处理逻辑设备的I/O排队操作。
n在虚拟机之间实现逻辑设备带宽共享。
n处理物理存储HBA的I/O排队操作。
n处理物理路径发现和移除。
n提供逻辑设备和物理路径I/O统计信息。
如图9-1所示，多个第三方MPP可以与VMwareNMP并行运行。
第三方MPP将替代NMP的行为，并且完全控制指定存储设备的路径故障切换和负载平衡操作。
图9-
1。
可插入存储架构 VMkernel 可插入存储架构第三方MPP 第三方MPP VMwareNMP VMwareSATPVMwareSATPVMwareSATP第三方SATP VMwarePSPVMwarePSP 第三方PSP 多路径模块执行以下操作：n管理物理路径声明和取消声明。
n管理逻辑设备的创建、注册和取消注册。
n将物理路径与逻辑设备关联。
VMware,Inc. 101 ESX配置指南 n处理逻辑设备的I/O请求：n为请求选择最佳物理路径。
n根据存储设备，执行处理路径故障和I/O命令重试所需的特定操作。
n支持管理任务，如中止或重置逻辑设备。
VMware多路径模块默认情况下，ESX提供名为本机多路径插件(NMP)的可扩展多路径模块。
一般来说，VMwareNMP支持VMware存储HCL上列出的所有存储阵列，并基于阵列类型提供默认的路径选择算法。
还将一组物理路径与特定存储设备或LUN关联。
存储阵列类型插件(SATP)负责处理给定存储阵列的路径故障切换。
路径选择插件(PSP)负责确定哪个物理路径用于向存储设备发出I/O请求。
SATP和PSP是NMP模块中的子插件。
VMwareSATP 存储阵列类型插件(SATP)与VMwareNMP一起运行，负责特定于阵列的操作。
ESX为VMware支持的各种类型阵列提供SATP。
这些SATP包括适于非指定存储阵列的主动/主动SATP和主动/被动SATP，以及适于直接连接存储器的本地SATP。
每个SATP适合特定类别的存储阵列的特殊特性，并可以执行检测路径状况和激活被动路径所需的特定于阵列的操作。
因此，NMP模块可以使用多个存储阵列，而无需了解存储设备的特性。
在NMP确定要为特定存储设备调用哪个SATP并将该SATP与存储设备的物理路径相关联之后，该SATP会执行以下任务： n监控每个物理路径的健康状况。
n报告每个物理路径的状况变化。
n执行存储器故障切换所需的特定于阵列的操作。
例如，对于主动/被动设备，它可以激活被动路径。
VMwarePSP路径选择插件(PSP)与VMwareNMP一起运行，负责选择I/O请求的物理路径。
VMwareNMP根据与每个逻辑设备的物理路径关联的SATP为其分配默认PSP。
可以替代默认PSP。
默认情况下，VMwareNMP支持以下PSP：最近使用(MRU)固定选择ESX主机最近用于访问指定设备的路径。
如果此路径不可用，则主机会切换到替代路径并在该新路径可用时继续使用它。
使用指定首选路径（如果已配置）。
否则，它将使用在系统引导时间发现的第一个工作路径。
如果主机不能使用首选路径，则它会选择随机替代可用路径。
一旦首选路径可用，主机就会自动恢复到首选路径。
注意对于具有固定路径策略的主动-被动阵列，路径颠簸可能是个问题。
循环(RR) 使用路径选择算法轮流选择所有可用的路径，并在路径之间启用负载平衡。
VMwareNMPI/O流当虚拟机向NMP管理的存储设备发出I/O请求时，将发生以下过程。
1NMP调用分配给此存储设备的PSP。
2PSP将选择要通过其发出I/O的相应物理路径。
3如果I/O操作成功，则NMP报告其完成。
102 VMware,Inc. 第9章管理存储器 4如果I/O操作报告错误，则NMP调用适当的SATP。
5SATP解释I/O命令错误，并在适当时激活非活动路径。
6此时将调用PSP以选择要通过其发出I/O的新路径。
本地存储器和光纤通道SAN中的多路径在简单的多路径本地存储器拓扑中，可以使用一台具有两个HBA的ESX主机。
ESX主机通过两根电缆连接到双端口本地存储系统。
使用这种配置时，如果ESX主机和本地存储系统之间的某个连接元素发生故障，可以确保实现容错。
为了支持FCSAN中的路径切换，ESX主机通常具有两个或更多个可用的HBA，使用一个或多个交换机可以从这些HBA访问存储阵列。
或者，该设置可以包括一个HBA和两个存储处理器，以便HBA可以使用其他路径访问磁盘阵列。
在图9-2中，多条路径将每台服务器与存储设备相连。
例如，如果HBA1或HBA1与交换机之间的链路发生故障，HBA2会取代HBA1并提供服务器和交换机之间的连接。
一个HBA取代另一个HBA的过程称为HBA故障切换。
图9-
2。
光纤通道多路径主机
1 主机
2 HBA2 HBA1 HBA3 HBA4 交换机SP1 交换机SP2 存储阵列同样，如果SP1或SP1与交换机之间的链路中断，SP2会取代SP1并提供交换机和存储设备之间的连接。
此过程称为SP故障切换。
ESX通过多路径功能支持HBA和SP故障切换。
iSCSISAN中的多路径在iSCSI存储器中，您可以利用IP网络提供的多路径支持。
此外，ESX支持硬件和软件iSCSI启动器的基于主机的多路径。
ESX可以使用IP网络中内置的多路径支持，该支持允许网络执行路由操作。
通过动态发现，iSCSI启动器获得目标地址列表，启动器可以使用这些地址作为通往iSCSILUN的多条路径来实现故障切换目的。
ESX还支持基于主机的多路径。
借助硬件iSCSI，主机可以有两个或更多硬件iSCSI适配器，并将它们用作到达存储系统的不同路径。
VMware,Inc. 103 ESX配置指南如图9-3所示，主机有两个硬件iSCSI适配器（HBA1和HBA2），它们提供两个到存储系统的物理路径。
主机上的多路径插件，不论是VMkernelNMP还是任何第三方MPP，在默认情况下都能够访问路径，并能够监视每个物理路径的健康状况。
例如，如果HBA1或HBA1与网络之间的链路发生故障，多路径插件可以将路径切换到HBA2。
图9-
3。
硬件iSCSI和故障切换 ESX/ESXi HBA2 HBA1 IP网络SP iSCSI存储器如图9-4所示，借助软件iSCSI，可以使用多个网卡为主机和存储系统之间的iSCSI连接提供故障切换和负载平衡功能。
对于此设置，由于多路径插件没有主机上物理网卡的直接访问权，因此，必须首先将每个物理网卡连接到单独的VMkernel端口，然后使用端口绑定技术将所有的VMkernel端口与软件iSCSI启动器相关联。
因此，连接到单独网卡的每个VMkernel端口将成为iSCSI存储堆栈和其存储感知多路径插件可使用的另一条路径。
有关此设置的详细信息，请参见《iSCSISAN配置指南》。
104 VMware,Inc. 图9-
4。
软件iSCSI和故障切换 ESX/ESXi 网卡
2 软件启动器网卡
1 IP网络SP 第9章管理存储器 iSCSI存储器路径扫描和声明启动ESX主机或重新扫描存储适配器时，主机会发现它可以使用的存储设备的所有物理路径。
根据/etc/vmware/esx.conf文件中所定义的一组声明规则，主机会确定应声明特定设备路径并负责管理该设备的多路径支持的多路径插件(MPP)。
默认情况下，主机每5分钟执行一次定期路径评估，从而促使相应MPP声明任何尚未声明的路径。
对声明规则进行了编号。
对于每个物理路径，主机都通过声明规则运行，首先从最小编号开始。
然后，会将物理路径的属性与声明规则中的路径规范进行比较。
如果二者匹配，主机会分配声明规则中指定的一个MPP来管理物理路径。
此过程将持续到所有物理路径均由相应MPP（第三方多路径插件或本机多路径插件(NMP)）声明后才结束。
对于由NMP模块管理的路径，将应用第二组声明规则。
这些规则确定哪些SATP应当用于管理特定阵列类型的路径，以及哪些PSP用于各个存储设备。
例如，对于属于EMCCLARiiONCX存储系列的存储设备，默认SATP是VMW_SATP_CX，默认PSP是“最近使用”。
使用vSphereClient查看主机用于特定存储设备的SATP和PSP，以及该存储设备的所有可用路径的状态。
如果需要，可以使用vSphereClient更改默认VMwarePSP。
要更改默认SATP，需要使用vSphereCLI修改声明规则。
有关可用于管理PSA的命令的详细信息，请参见《vSphere命令行界面安装和参考指南》。
VMware,Inc. 105 ESX配置指南查看路径信息使用vSphereClient确定ESX主机用于特定存储设备的SATP和PSP，以及该存储设备的所有可用路径的状态。
可以从“数据存储”和“设备”视图访问路径信息。
对于数据存储，请检查与部署了数据存储的设备相连的路径。
路径信息包括分配用来管理设备的SATP、路径选择策略(PSP)、路径及其物理特性的列表（如适配器和各条路径使用的目标）以及各条路径的状态。
其中会显示以下路径状态信息：活动可用于对LUN发出I/O的路径。
目前用于传输数据的单个或多个工作路径标记为“活动”(I/O)。
注意对于运行ESX3.5或更低版本的主机，术语“主动”意为只有一条路径被主机用来向LUN发出I/O。
备用路径处于工作状态，并且在活动路径发生故障时可用于I/O。
禁用路径已禁用，无法传输数据。
中断软件无法通过此路径连接磁盘。
如果正在使用固定路径策略，就可以看到哪一条路径是首选路径。
首选路径的“首选”列标有一个星号(*)。
查看数据存储路径使用vSphereClient检查连接到部署了数据存储的存储设备的路径。
步骤1登录vSphereClient，在“清单”面板中选择服务器。
2依次单击配置选项卡和“硬件”面板中的存储器。
3在“查看”下方单击数据存储。
4在已配置的数据存储列表中，选择要查看或配置其路径的数据存储。
“详细信息”面板显示用来访问设备的路径总数，以及是否有任何路径已中断或已禁用。
5单击属性>管理路径以打开“管理路径”对话框。
可以使用“管理路径”对话框来启用或禁用路径、设置多路径策略，以及指定首选路径。
查看存储设备路径使用vSphereClient查看主机用于特定存储设备的SATP和PSP，以及该存储设备的所有可用路径的状态。
步骤1登录vSphereClient，在“清单”面板中选择服务器。
2依次单击配置选项卡和“硬件”面板中的存储器。
3在“查看”下方单击设备。
4单击管理路径以打开“管理路径”对话框。
106 VMware,Inc. 第9章管理存储器设置路径选择策略对于每个存储设备，ESX主机都将根据/etc/vmware/esx.conf文件中所定义的声明规则来设置路径选择策略。
默认情况下，VMware支持以下路径选择策略。
如果在主机上安装了第三方的PSP，其策略也将显示于列表中。
固定(VMware)最近使用(VMware) 循环(VMware) 当通往磁盘的首选路径可用时，主机将始终使用此路径。
如果主机无法通过首选路径访问磁盘，它会尝试替代路径。
“固定”是主动-主动存储设备的默认策略。
主机使用磁盘的路径，直到路径不可用为止。
当路径不可用时，主机将选择替代路径之
一。
当该路径再次可用时，主机不会恢复到原始路径。
没有MRU策略的首选路径设置。
MRU是主动-被动存储设备的默认策略并且对于这些设备是必需的。
主机使用自动路径选择算法轮流选择所有可用路径。
这样可跨所有可用物理路径实现负载平衡。
负载平衡即是将服务器I/O请求分散于所有可用主机路径的过程。
目的是针对吞吐量（每秒I/O流量、每秒兆字节数或响应时间）实现最佳性能。
表9-1总结了主机的行为随不同阵列类型和故障切换策略变化的情况。
表9-
1。
路径策略影响策略/控制器主动-主动主动-被动最近使用发生路径故障后进行故障恢复需要管理员操作。
发生路径故障后进行故障恢复需要管理员操作。
固定连接恢复后，VMkernel继续使用首选路径。
VMkernel尝试继续使用首选路径。
这会导致路径抖动或故障，因为另一SP现拥有LUN 的所有权。
循环无故障恢复。
选择了循环调度中的下一路径。
更改路径选择策略通常，不需要更改主机用于特定存储设备的默认多路径设置。
但是，如果要进行任何更改，可以使用“管理路径”对话框修改路径选择策略并指定“固定”策略的首选路径。
步骤1从“数据存储”视图或“设备”视图打开“管理路径”对话框。
2选择路径选择策略。
默认情况下，VMware支持以下路径选择策略。
如果在主机上安装了第三方的PSP，其策略也将显示于列表中。
n固定(VMware)n最近使用(VMware)n循环(VMware)3对于“固定”策略，请指定首选路径，方法是：右键单击要作为首选路径分配的路径并选择首选。
4单击确定以保存设置并退出对话框。
VMware,Inc. 107 ESX配置指南禁用路径由于维护或其他原因，可以暂时禁用路径。
您可以使用vSphereClient完成此操作。
步骤1从“数据存储”视图或“设备”视图打开“管理路径”对话框。
2在“路径”面板中，右键单击要禁用的路径，然后选择禁用。
3单击确定以保存设置并退出对话框。
还可以通过右键单击列表中的路径，然后选择禁用来从适配器的“路径”视图禁用路径。
精简置备创建虚拟机时，会在数据存储上置备一定量的存储空间，或为虚拟磁盘文件分配一定量的存储空间。
默认情况下，当您在创建期间估计虚拟机在其整个生命周期所需的存储空间、为其虚拟磁盘置备固定量的存储空间，并将整个置备空间提交到虚拟磁盘时，ESX会提供传统的存储置备方法。
立即占据整个置备空间的虚拟磁盘叫做厚磁盘。
以厚格式创建虚拟磁盘会导致无法充分利用数据存储容量，因为预分配给各个虚拟机的大量存储空间可能仍然未被使用。
为了帮助您避免超额分配存储空间并节省空间，ESX支持精简置备，它允许您在开始时使用当前所需大小的存储空间，并在以后添加所需的存储空间量。
使用ESX精简置备功能，可以采用精简格式创建虚拟磁盘。
对于精简虚拟磁盘，ESX会为磁盘当前和未来的活动置备所需的整个空间，但是开始时仅提供磁盘初始操作所需的存储空间大小。
关于虚拟磁盘格式当执行某些虚拟机管理操作（如创建虚拟磁盘，将虚拟机克隆到模板，或迁移虚拟机）时，可以指定虚拟磁盘文件的格式。
支持以下磁盘格式。
如果磁盘驻留在NFS数据存储上，则不能指定磁盘格式。
NFS服务器会确定磁盘的分配策略。
精简置备格式使用此格式可节省存储空间。
对于精简磁盘，可以根据所输入的磁盘大小值置备磁盘所需的任意数据存储空间。
但是，精简磁盘开始时很小，只使用与初始操作实际所需的大小完全相同的存储空间。
厚格式注意如果虚拟磁盘支持群集解决方案（如容错），则不能将磁盘设置为精简格式。
如果精简磁盘以后需要更多空间，它可以增长到其最大容量，并占据为其置备的整个数据存储空间。
而且，您可以将精简磁盘手动转换为厚磁盘。
这是默认的虚拟磁盘格式。
厚虚拟磁盘不更改大小，并且一开始就占据为其配置的整个数据存储空间。
厚格式不会将已分配空间中的块置零。
不能将厚磁盘转换为精简磁盘。
创建精简置备虚拟磁盘当需要节省存储空间时，可以创建精简置备格式的虚拟磁盘。
精简置备虚拟磁盘开始时很小，它会在需要更多磁盘空间时增长。
此过程假定您正在使用新建虚拟机向导创建典型或自定义虚拟机。
前提条件只能在支持精简置备的数据存储上创建精简磁盘。
如果磁盘驻留在NFS数据存储上，则无法指定磁盘格式，因为NFS服务器确定了磁盘的分配策略。
108 VMware,Inc. 第9章管理存储器步骤u在“创建磁盘”对话框中，选择按需分配和提交空间(精简置备)。
将创建精简格式的虚拟磁盘。
如果未选择“精简置备”选项，则虚拟磁盘将使用默认的厚格式。
下一步如果创建了精简格式的虚拟磁盘，则以后可以将其增加到最大大小。
查看虚拟机存储资源可以查看虚拟机的数据存储存储空间的分配方式。
步骤1在清单中选择虚拟机。
2单击摘要选项卡。
3在“资源”部分中检查空间分配信息。
n置备的存储–保证分配给虚拟机的数据存储空间。
如果虚拟机具有精简置备格式的磁盘，则虚拟机可能未使用全部磁盘空间。
其他虚拟机可以占用任何未使用的空间。
n未共享的存储–显示由虚拟机占用且不与其他任何虚拟机共享的数据存储空间。
n已使用的存储–显示虚拟机文件（包括配置文件、日志文件、快照、虚拟磁盘等等）实际占用的数据存储空间。
当虚拟机正在运行时，使用的存储空间还包括交换文件。
确定虚拟机的磁盘格式可以确定虚拟磁盘是厚格式还是精简格式。
步骤1在清单中选择虚拟机。
2单击编辑设置以显示“虚拟机属性”对话框。
3单击硬件选项卡，然后在“硬件”列表中选择相应的硬盘。
右侧的“磁盘置备”区域将显示虚拟磁盘的类型，可能是“精简”或“厚”。
4单击确定。
下一步如果虚拟磁盘为精简格式，则可以将其扩充到其最大容量。
将虚拟磁盘从精简磁盘转换为厚磁盘如果创建的是精简格式的虚拟磁盘，可以将该磁盘转换为厚磁盘。
步骤1在清单中选择虚拟机。
2单击摘要选项卡，然后在“资源”下，双击虚拟机的数据存储以打开“数据存储浏览器”对话框。
3单击虚拟机文件夹以找到要转换的虚拟磁盘文件。
虚拟磁盘文件的扩展名为.vmdk。
4右键单击虚拟磁盘文件，然后选择扩充。
厚格式的虚拟磁盘将占据最初为其置备的整个数据存储空间。
VMware,Inc. 109 ESX配置指南处理数据存储超额订购由于为精简磁盘置备的空间可能大于提交的空间，因此可能发生数据存储超额订购，从而导致数据存储上的虚拟机磁盘总置备空间超过实际容量。
通常，所有附带精简磁盘的虚拟机不会同时需要整个置备数据存储空间，因此可能发生超额订购。
但是，如果要避免数据存储超额订购，则可以设置警报，它会在置备空间达到特定阈值时通知您。
有关设置警报的信息，请参见《基本系统管理》。
如果虚拟机需要更多空间，则根据先来先服务的原则分配数据存储空间。
当数据存储空间不足时，可以添加更多的物理存储器，并增加数据存储空间。
请参见第97页，“增加VMFS数据存储”。
110 VMware,Inc. 裸机映射 10 裸机映射(RDM)为虚拟机提供了一种机制，来直接访问物理存储子系统（仅限光纤通道或iSCSI）上的LUN。
以下主题包含RDM的相关信息，并且说明如何创建和管理RDM。
本章讨论了以下主题：n第111页，“关于裸机映射”n第114页，“裸机映射特性”n第117页，“管理映射的LUN” 关于裸机映射 RDM是独立VMFS卷中的映射文件，它可充当物理裸机的代理，即直接由虚拟机使用的SCSI设备。
RDM包含用于管理和重定向对物理设备进行磁盘访问的元数据。
该文件具有直接访问物理设备的一些优点，同时保留了VMFS中虚拟磁盘的一些优点。
因此，它可以将VMFS易管理性结合到裸机访问中。
RDM可以用“将裸设备映射到数据存储”、“映射系统LUN”或“将磁盘文件映射到物理磁盘卷”等短语来描述。
所有这些短语均指RDM。
图10-
1。
裸机映射虚拟机打开读取，写入 VMFS卷映射文件地址解析映射设备尽管VMware建议针对大多数虚拟磁盘存储器使用VMFS数据存储，但在特定情况下，您可能需要使用原始LUN，或者使用位于SAN中的逻辑磁盘。
VMware,Inc. 111 ESX配置指南例如，在以下情况下，需要使用原始LUN处理RDM：n当在虚拟机中运行SAN快照或其他分层应用程序时。
RDM通过使用SAN特有功能可以更好地启用可扩展备份卸载系统。
n在任何跨物理主机的MSCS群集情况下—虚拟到虚拟群集以及物理到虚拟群集。
在此情况下，群集数据和仲裁磁盘应配置为RDM而非共享VMFS上的文件。
将RDM视为从VMFS卷到原始LUN的符号链接。
映射使LUN显示为VMFS卷中的文件。
在虚拟机配置中引用RDM而非原始LUN。
RDM包含对原始LUN的引用。
使用RDM，可以：n使用vMotion迁移具有原始LUN的虚拟机。
n使用vSphereClient将原始LUN添加到虚拟机。
n使用分布式文件锁定、权限和命名等文件系统功能。
RDM有两种可用兼容模式：n虚拟兼容模式允许RDM的功能与虚拟磁盘文件完全相同，包括使用快照。
n对于需要较低级别控制的应用程序，物理兼容模式允许直接访问SCSI设备。
裸机映射的优点 RDM具有许多优点，但并非在每种情况下都适用。
通常，对于易管理性而言，虚拟磁盘文件优于RDM。
但是，当需要裸机时，必须使用RDM。
RDM提供几个好处。
用户友好的持久名称为所映射的设备提供用户友好的名称。
使用RDM时，不必通过设备名称引用设备。
可以根据映射文件的名称来引用设备，例如： /vmfs/volumes/myVolume/myVMDirectory/myRawDisk.vmdk 动态名称解析为各个映射设备存储唯一的标识信息。
VMFS将每个RDM与其当前的SCSI设备相关联，而不考虑由于适配器硬件更改、路径更改、设备重定位等所引起的服务器物理配置的变化。
分布式文件锁定文件权限使为SCSI裸机使用VMFS分布式锁定成为可能。
当位于不同服务器上的两个虚拟机试图访问同一LUN时，RDM上的分布式锁定使其能够安全使用共享原始LUN而不会丢失数据。
使文件权限成为可能。
在文件打开时，强制执行映射文件权限，以保护映射的卷。
文件系统操作通过将映射文件作为代理，可以实现使用文件系统实用程序处理映射的卷。
对普通文件有效的大部分操作都可应用于映射文件，并且可重定向在映射设备上进行操作。
快照使在映射的卷上使用虚拟机快照成为可能。
在物理兼容模式下使用RDM时，快照不可用。
vMotion 允许通过vMotion迁移虚拟机。
映射文件可充当代理，允许vCenterServer使用与迁移虚拟磁盘文件相同的机制迁移虚拟机。
112 VMware,Inc. 图10-
2。
使用裸机映射的虚拟机的vMotion 主机
1 主机
2 VM1 VMotion VM2 VMFS卷映射文件地址解析第10章裸机映射映射设备 SAN管理代理N-PortID虚拟化(NPIV) 使在虚拟机内运行某些SAN管理代理成为可能。
与此相似，可以在虚拟机内运行需要使用硬件特定SCSI命令访问设备的任何软件。
这种软件称为基于SCSI目标的软件。
使用SAN管理代理时，需要为RDM选择物理兼容模式。
令使用NPIV技术成为可能，通过该技术，单一光纤通道HBA端口可使用多个全球端口名称(WWPN)向光纤通道架构注册。
通过此功能，HBA端口可显示为多个虚拟端口，每个端口均有其自身的ID和虚拟端口名称。
因此，虚拟机就可声明其中每个虚拟端口，并将其用于所有RDM流量。
注意只能将NPIV用于具备RDM磁盘的虚拟机。
VMware与存储器管理软件的供应商合作，确保他们的软件能够在包括ESX的环境下正常工作。
下面是一些这种类型的应用程序： nSAN管理软件 n存储资源管理(SRM)软件n快照软件 n复制软件此类软件将物理兼容模式用于RDM，以便能够直接访问SCSI设备。
各种管理产品都可以完美地集中运行（而不是在ESX计算机上运行），而其他产品则可以在服务控制台或虚拟机中良好运行。
VMware未正式认可这些应用程序，也未提供兼容性列表。
要了解在ESX环境中是否支持某个SAN管理应用程序，请与该SAN管理软件的提供商联系。
VMware,Inc. 113 ESX配置指南裸机映射的限制在使用RDM时存在一定的限制。
n不适用于块设备或某些RAID设备-RDM使用SCSI序列号标识映射设备。
由于块设备和某些直连RAID 设备不能导出序列号，因此不能将其用于RDM。
n仅适用于VMFS-2和VMFS-3卷–RDM需要VMFS-2或VMFS-3格式。
在ESX中，VMFS-2文件系统为只读。
要使用VMFS-2所存储的文件，请将其升级到VMFS-
3。
n物理兼容模式下无快照–如果在物理兼容模式下使用RDM，则不能使用磁盘快照。
物理兼容模式允许虚拟机管理自己的快照或镜像操作。
在虚拟模式下，可以使用快照。
n无分区映射–RDM要求映射设备是完整的LUN。
不支持映射到分区。
裸机映射特性 RDM是VMFS卷中管理映射设备元数据的一种特殊映射文件。
管理软件将映射文件视作普通磁盘文件，可用于常规文件系统操作。
对于虚拟机，存储器虚拟化层将映射设备显示为虚拟SCSI设备。
映射文件中元数据的主要内容包括映射设备的位置（名称解析）、映射设备的锁定状况和权限，等等。
RDM虚拟兼容模式和物理兼容模式可以在虚拟兼容或物理兼容模式中使用RDM。
虚拟模式指定映射设备的完整虚拟化。
物理模式指定映射设备的最小SCSI虚拟化，实现了SAN管理软件的最大灵活性。
在虚拟模式中，映射设备在客户机操作系统中的出现形式与虚拟磁盘文件在VMFS卷中的形式完全相同。
隐藏真正的硬件特性。
如果您正在虚拟模式中使用裸磁盘，您能够认识到VMFS的优点，例如，用于保护数据的高级文件锁定和用于简化开发流程的快照等。
虚拟模式比物理模式在存储硬件上的移植性更强，表现出来的行为与虚拟磁盘文件相同。
在物理模式下，Vmkernel将所有SCSI命令传递至设备。
例外：REPORTLUN命令被虚拟化，以便VMkernel可以将虚拟机与LUN隔离。
否则，基础硬件的所有物理特性都将显示出来。
物理模式对于在虚拟机中运行SAN管理代理或其他基于SCSI目标的软件非常有用。
物理模式还允许虚拟到物理群集，实现具有成本效益的高可用性。
114 VMware,Inc. 图10-
3。
虚拟兼容模式和物理兼容模式虚拟机
1 虚拟化VMFS 虚拟模式第10章裸机映射映射文件VMFS卷虚拟机1虚拟化VMFS 映射设备物理模式映射文件VMFS卷映射设备动态名称解析借助RDM，您可以通过引用/vmfs子树中映射文件的名称，为设备提供永久名称。
图10-4中的示例表示三个LUN。
LUN1根据其设备名称进行访问，与第一个可见LUN相关。
LUN2是映射设备，由LUN3上的RDM进行管理。
RDM根据/vmfs子树中的名称进行访问，该名称固定不变。
VMware,Inc. 115 ESX配置指南图10-
4。
名称解析示例主机虚拟机1 scsi0:0.name=vmhba0:0:1:0:mydiskdir/mydiskname.vmdk 虚拟机2scsi0:0.name=mymapfile (vmhba0:0:1:0) HBA01:0:1:0) hba(vmLUN1 vmhba0:0:1:
0 HBA1(/vmfs/volumes/myVolume/myVMDirectory/mymapfile) LUN3 映射文件VMFSvmhba0:0:3:
0 LUN2 映射设备 vmhba0:0:2:
0 所有映射的LUN都由VMFS进行唯一标识，并且标识存储在其内部数据结构中。
SCSI路径中的任何更改（如光纤通道交换机发生故障或添加新主机总线适配器）都可以造成设备名称发生变化。
动态名称解析可通过调整数据结构，使LUN与其新的设备名称重新对应，从而弥补这些更改。
116 VMware,Inc. 第10章裸机映射虚拟机群集的裸机映射对需要访问同一原始LUN以实施故障切换方案的虚拟机群集执行RDM。
其设置与访问同一虚拟磁盘文件的虚拟机群集的设置相同，但RDM会替换虚拟磁盘文件。
图10-
5。
从群集虚拟机进行访问主机
3 主机
4 VM3“共享”访问 VM4 映射文件VMFS卷地址解析映射设备比较可用的SCSI设备访问模式访问基于SCSI的存储设备的方法包括VMFS数据存储上的虚拟磁盘文件、虚拟模式RDM和物理模式RDM。
为了帮助您在SCSI设备的可用访问模式之间进行选择，表10-1提供了对不同模式可用功能的快速比较。
表10-
1。
虚拟磁盘和裸机映射的可用功能 ESX功能虚拟磁盘文件虚拟模式RDM 物理模式RDM SCSI命令已传递否否是不传递REPORTLUN vCenterServer支持是是是快照是是否分布式锁定是是是群集仅限机箱内群集机箱内群集和机箱间群集物理到虚拟群集基于SCSI目标的软件否否是 VMware建议将虚拟磁盘文件用于群集中的机箱内群集类型。
如果计划将机箱内群集重新配置为机箱间群集，请为机箱内群集采用虚拟模式RDM。
管理映射的LUN 使用vSphereClient，可以将SANLUN映射到数据存储，并管理指向映射LUN的路径。
其他可用于管理映射LUN及其RDM的工具包括vmkfstools实用程序以及由vSphereCLI使用的其他命令。
可以使用vmkfstools实用程序来执行vSphereClient可用的许多相同操作。
还可以在服务控制台中使用常用文件系统命令。
VMware,Inc. 117 ESX配置指南使用RDM创建虚拟机授予虚拟机对原始SANLUN的直接访问权限时，创建驻留在VMFS数据存储上并指向LUN的映射文件(RDM)。
尽管映射文件与常规虚拟磁盘文件的扩展名均为.vmdk，但RDM文件仅包括映射信息。
实际虚拟磁盘数据直接存储在LUN上。
您可创建RDM作为新虚拟机的初始磁盘，或将其添加到现有虚拟机中。
创建RDM时，可以指定要映射的LUN以及要用来放置RDM的数据存储。
步骤1遵循在创建自定义虚拟机时所需的全部步骤。
2在“选择磁盘”页面中，选择裸机映射，然后单击下一步。
3在SAN磁盘或LUN列表中，选择您的虚拟机可直接访问的原始LUN。
4为RDM映射文件选择数据存储。
可以将RDM文件置于虚拟机配置文件所驻留的同一数据存储上，也可以选择不同的数据存储。
注意要将VMotion用于启用了NPIV的虚拟机，请确保该虚拟机的RDM文件位于同一数据存储上。
启用NPIV后，无法在数据存储之间执行StoragevMotion或VMotion。
5选择兼容模式。
选项描述物理允许客户机操作系统直接访问硬件。
如果正在虚拟机中使用SAN感知应用程序，则物理兼容模式非常有用。
但是，带有物理兼容RDM的虚拟机不能克隆，不能制作成模板，也不能迁移（如果迁移涉及复制磁盘）。
虚拟允许RDM像虚拟磁盘一样工作，因此您可以使用快照和克隆之类的功能。
6选择虚拟设备节点。
7如果选择独立模式，则选择下列一项：选项持久非持久描述更改会立即永久性地写入磁盘。
关闭电源或恢复快照时，会放弃对该磁盘的更改。
8单击下一步。
9在“即将完成新建虚拟机”页面上，检查您所做的选择。
10单击完成完成虚拟机。
管理映射的原始LUN的路径可以管理映射的原始LUN的路径。
步骤1以管理员或映射磁盘所属的虚拟机的所有者身份登录。
2在“清单”面板中选择虚拟机。
3在摘要选项卡中，单击编辑设置。
118 VMware,Inc. 4在硬件选项卡上，选择硬盘，然后单击管理路径。
5使用“管理路径”对话框启用或禁用路径、设置多路径策略并指定首选的路径。
有关管理路径的信息，请参见第101页，“在ESX中使用多路径”。
第10章裸机映射 VMware,Inc. 119 ESX配置指南 120 VMware,Inc. 安全 VMware,Inc. 121 ESX配置指南 122 VMware,Inc. ESX系统的安全 11 ESX的开发注重于加强安全性。
VMware从安全角度出发，确保ESX环境和地址系统架构中的安全。
本章讨论了以下主题：n第123页，“ESX架构和安全功能”n第129页，“安全资源和信息” ESX架构和安全功能 ESX的组件和整体架构专用于确保ESX系统的整体安全性。
从安全角度而言，ESX主要由四个组件组成：虚拟化层、虚拟机、服务控制台和虚拟网络连接层。
图11-1提供这些组件的概述。
图11-
1。
ESX架构虚拟机虚拟机 ESX虚拟机虚拟机服务控制台 VMware虚拟化层(VMkernel) 虚拟网络层 CPU 内存硬件网络适配器存储器 VMware,Inc. 123 ESX配置指南安全和虚拟化层虚拟化层（或Vmkernel）是VMware用来运行虚拟机的内核。
它控制着主机所使用的硬件，并调度虚拟机之间的硬件资源分配。
由于VMkernel专用于支持虚拟机而不用于其他用途，因此其接口严格限制在管理虚拟机所需的API。
ESX提供具有以下功能的附加VMkernel保护：内存强化安全将ESX内核、用户模式应用程序及可执行组件（如驱动程序和库）位于无法预测的随机内存地址中。
在将该功能与微处理器提供的不可执行的内存保护结合使用时，可以提供保护，使恶意代码很难通过内存漏洞来利用系统漏洞。
内核模块完整性数字签名确保由VMkernel加载的模块、驱动程序及应用程序的完整性和真实性。
模块签名允许ESX识别模块、驱动程序或应用程序的提供商以及它们是否通过VMware认证。
安全和虚拟机虚拟机是运行应用程序和客户机操作系统的容器。
在设计上，所有的VMware虚拟机均互相隔离。
通过此隔离，多个虚拟机就可在共享硬件的同时安全地运行，既确保能够访问硬件，又保证运行不受干扰。
如果没有ESX系统管理员明确授予的特权，即使是在虚拟机的客户机操作系统上具有系统管理员特权的用户，也无法突破该隔离层来访问另一台虚拟机。
如果某个虚拟机上的客户机操作系统运行时发生故障，则虚拟机隔离将确保同一台主机上的其他虚拟机可以继续运行。
客户机操作系统故障不影响： n用户访问其他虚拟机的能力 n正常运行的虚拟机访问其所需资源的能力 n其他虚拟机的性能同一硬件上运行的虚拟机互相隔离。
虽然虚拟机共享诸如CPU、内存及I/O设备之类的物理资源，但单一虚拟机上的客户机操作系统可检测到的设备仅限于可供其使用的虚拟设备，如图11-2中所示。
图11-
2。
虚拟机隔离虚拟机应用程序应用程序应用程序应用程序应用程序操作系统虚拟机资源 CPU 内存磁盘网络和视频卡 SCSI控制器鼠标 CD/DVD 键盘由于VMkernel可调节物理资源及通过其对物理硬件进行的所有访问，因此虚拟机无法阻止此层隔离。
如同物理机通过网卡就可与网络中其他计算机进行通信一样，虚拟机也可以通过虚拟交换机与同一台主机上运行的其他虚拟机进行通信。
而且，虚拟机可通过物理网络适配器与物理网络（包括其他ESX主机上的虚拟机）进行通信，如图11-3中所示。
124 VMware,Inc. 图11-
3。
通过虚拟交换机进行虚拟网络连接 ESX 虚拟机虚拟机虚拟网络适配器虚拟网络适配器 VMkernel 虚拟网络层虚拟交换机将虚拟机链接在一起第11章ESX系统的安全硬件网络适配器将虚拟机链接至物理网络物理网络这些特性适用于网络环境中的虚拟机隔离： n如果某个虚拟机未与任何其他虚拟机共享虚拟交换机，则该虚拟机与主机中的虚拟网络完全隔离。
n如果没有为某个虚拟机配置物理网络适配器，则该虚拟机与任何物理网络完全隔离。
n如果使用了与保护物理机相同的保护措施（防火墙和防毒软件等）来保护网络中的虚拟机，该虚拟机则与物理机一样安全。
在主机上设置资源预留和限制，可进一步保护虚拟机。
例如，通过ESX中可用的详细资源控制配置虚拟机，以便其获得的主机CPU资源始终不少于10%，但也决不超过20%。
资源预留和限制可防止虚拟机的性能因其他虚拟机消耗过多的共享硬件资源而降低。
例如，如果主机上的一台虚拟机由于受到拒绝服务(DoS)攻击而出现故障，该虚拟机上的资源限制就会阻止该攻击占据太多硬件资源，否则其他虚拟机也会受到影响。
与此相似，每台虚拟机上的资源预留可在受到DoS攻击的虚拟机需要较多资源的情况下确保所有其他虚拟机仍有足够的资源可供使用。
默认情况下，ESX通过应用分布式算法而强制实行一种形式的资源预留，该分布算法将可用主机资源均匀分布于虚拟机之间，同时保留一定百分比的资源供其他系统组件（如服务控制台）使用。
此默认行为在一定程度上为防止DoS和分布式拒绝服务(DDoS)攻击提供了自然保护。
要自定义默认行为，以避免在虚拟机配置之间均匀分布资源预留和限制，可逐一指定资源预留和限制。
安全和虚拟网络连接层虚拟网络连接层包括虚拟网络适配器和虚拟交换机。
ESX依赖于虚拟网络连接层来支持虚拟机及其用户之间的通信。
此外，主机可使用虚拟网络连接层与iSCSISAN和NAS存储器等进行通信。
可确保虚拟机网络安全的方法取决于所安装的客户机操作系统、虚拟机是否运行于可信环境及各种其他因素。
与其他常见安全措施（例如，安装防火墙）结合使用时，虚拟交换机的保护作用会大大加强。
ESX还支持可用于为虚拟机网络、服务控制台或存储器配置提供进一步保护的IEEE802.1qVLAN。
通过VLAN，可对物理网络进行分段，以便使同一物理网络中的两台计算机无法互相收发数据包，除非它们位于同一VLAN上。
在单台ESX主机上创建网络DMZ 在单台主机上创建网络隔离区(DMZ)是使用ESX隔离和虚拟网络功能配置安全环境的一个示例。
图11-4显示了配置。
VMware,Inc. 125 ESX配置指南图11-
4。
在单台ESX主机上配置的DMZ ESX 虚拟机
1 虚拟机
2 虚拟机
3 防火墙服务器 web服务器应用程序服务器虚拟机4防火墙服务器虚拟交换机
1 虚拟交换机
2 虚拟交换机
3 硬件网络适配器
1 硬件网络适配器
2 外部网络内部网络在此示例中，将四台虚拟机配置为在虚拟交换机2上创建虚拟DMZ： n虚拟机1和虚拟机4运行防火墙，并通过虚拟交换机连接虚拟适配器。
这两个虚拟机都是多址的。
n虚拟机2运行Web服务器，同时虚拟机3作为应用程序服务器运行。
这两个虚拟机都是单址的。
Web服务器和应用程序服务器占用两个防火墙之间的DMZ。
这两个元素之间的媒介是用来连接防火墙和服务器的虚拟交换机
2。
此交换机未与DMZ之外的任何元素进行直接连接，且通过两个防火墙与外部流量相隔离。
从运行角度来看，外部流量通过硬件网络适配器1（由虚拟交换机1路由）从进入虚拟机
1，并由此虚拟机上安装的防火墙进行验证。
如果经防火墙授权，流量可路由至DMZ中的虚拟交换机，即虚拟交换机
2。
由于Web服务器和应用程序服务器也连接至此交换机，因此，它们可以满足外部请求。
虚拟交换机2还与虚拟机4相连。
此虚拟机在DMZ和内部企业网络之间提供防火墙。
此防火墙对来自Web服务器和应用程序服务器的数据包进行筛选。
验证后的数据包将通过虚拟交换机3路由至硬件网络适配器
2。
硬件网络适配器2与内部企业网络相连。
在单台主机上创建DMZ时，可使用相当轻量的防火墙。
尽管此配置中的虚拟机无法直接控制其他虚拟机或访问其内存，但是所有虚拟机仍然通过虚拟网络处于连接状态。
此网络可能会传播病毒，或成为其他类型攻击的对象。
DMZ中虚拟机的安全性等同于连接到同一网络的独立物理机。
126 VMware,Inc. 第11章ESX系统的安全在单台ESX主机中创建多个网络 ESX系统的设计可让您将一些虚拟机组连接至内部网络，将一些虚拟机组连接至外部网络，再将另一些虚拟机组同时连接至外部网络和内部网络—这一切都在同一主机上进行。
此功能是由对虚拟机的基本隔离和对虚拟网络连接功能的有计划使用组合而成的。
图11-
5。
单台ESX主机上配置的外部网络、内部网络和DMZ ESX 外部网络内部网络 VM2 DMZ 内部用户VM3 VM6 内部用户VM4 防火墙服务器 VM7 VM1 内部用户VM5 Web服务器VM8 FTP服务器物理网络适配器内部用户防火墙服务器外部网络
1 内部网络
2 外部网络2内部网络
1 在图11-5中，系统管理员将主机配置到三个不同的虚拟机区域中：FTP服务器、内部虚拟机和DMZ。
每个区域均提供唯一功能。
FTP服务器虚拟机1是使用FTP软件配置的，可作为从外部资源（例如，由供应商本地化的表单和辅助材料）发出及向其发送的数据的存储区域。
此虚拟机仅与外部网络相关联。
它自身拥有可用来与外部网络1相连接的虚拟交换机和物理网络适配器。
此网络专用于公司在从外部来源接收数据时所使用的服务器。
例如，公司使用外部网络1从供应商接收FTP流量，并允许供应商通过FTP访问存储在外部可用服务器上的数据。
除了服务于虚拟机
1，外部网络1也服务于在整个站点内不同ESX主机上配置的FTP服务器。
VMware,Inc. 127 ESX配置指南内部虚拟机DMZ 由于虚拟机1不与主机中的任何虚拟机共享虚拟交换机或物理网络适配器，因此，其他驻留的虚拟机无法通过虚拟机1网络收发数据包。
此限制可防止嗅探攻击（嗅探攻击需向受害者发送网络流量）。
更为重要的是，攻击者再也无法使用FTP固有的漏洞来访问任何主机的其他虚拟机。
虚拟机2至5仅供内部使用。
这些虚拟机用来处理和存储公司机密数据（例如，医疗记录、法律裁决和欺诈调查）。
因此，系统管理员必须确保为这些虚拟机提供最高级别的保护。
这些虚拟机通过其自身的虚拟交换机和网络适配器连接到内部网络
2。
内部网络2仅供内部人员使用（例如，索赔专员、内部律师或调解员）。
虚拟机2至5可通过虚拟交换机与另一个虚拟机进行通信，也可通过物理网络适配器与内部网络2上其他位置的内部虚拟机进行通信。
它们不能与对外计算机进行通信。
如同FTP服务器一样，这些虚拟机不能通过其他虚拟机网络收发数据包。
同样，主机的其他虚拟机不能通过虚拟机2至5收发数据包。
虚拟机6至8配置为可供营销小组用于发布公司外部网站的DMZ。
这组虚拟机与外部网络2和内部网络1相关联。
公司使用外部网络2来支持营销部门和财务部门用来托管公司网站的Web服务器及公司为外部用户托管的其他Web设施。
内部网络1是营销部门用于向公司网站发布内容、张贴下载内容及维护服务（例如，用户论坛）的媒介。
由于这些网络与外部网络1和内部网络2相隔离，因此虚拟机无任何共享联络点（交换机或适配器），FTP服务器或内部虚拟机组也不存在任何攻击风险。
通过利用虚拟机隔离、正确配置虚拟交换机及维护网络独立，系统管理员可在同一ESX主机上容纳全部三个虚拟机区域，而且不用担心数据或资源受到破坏。
公司使用多个内部和外部网络，并确保每组的虚拟交换机和物理网络适配器与其他组的虚拟交换机和物理网络适配器完全独立，从而在虚拟机组中强制实施隔离。
由于没有任何虚拟交换机横跨虚拟机区域，因此系统管理员可成功地消除虚拟机区域之间的数据包泄漏风险。
虚拟机本身无法向另一个虚拟交换机直接泄漏数据包。
仅在以下情况下，数据包才会在虚拟交换机之间移动： n这些虚拟交换机连接到同一物理LAN。
n这些虚拟交换机连接到可用于传输数据包的公用虚拟机。
这些条件均未出现在样本配置中。
如果系统管理员要确认不存在公用虚拟交换机路径，可通过在vSphereClient或vSphereWebess中查看网络交换机布局，以检查是否可能存在共享联系点。
为了保护虚拟机的资源，系统管理员为每台虚拟机配置了资源预留和限制，从而降低了DoS和DDoS攻击的风险。
系统管理员在DMZ的前后端安装了软件防火墙，确保主机受到物理防火墙的保护，并配置了服务控制台和联网的存储器资源以使每个资源均有其自己的虚拟交换机，从而为ESX主机和虚拟机提供进一步保护。
安全和服务控制台 ESX服务控制台是基于RedHatEnterpriseLinux5(RHEL5)的Linux有限版本。
服务控制台为监控和管理整个ESX主机提供了执行环境。
如果服务控制台因某种原因受到威胁，与其进行交互的虚拟机也可能受到威胁。
为了使通过服务控制台进行攻击的风险最小化，VMware使用防火墙对服务控制台进行保护。
除了实施服务控制台防火墙外，VMware还使用其他方法降低服务控制台的风险。
nESX仅运行管理其功能所不可或缺的服务，而且分发仅限于运行ESX所需的功能。
n默认情况下，ESX安装时的设置为高安全性设置。
所有出站端口都已关闭，只有打开的入站端口是与客户端（如vSphereClient）进行交互所需的端口。
保留此安全设置，除非服务控制台连接到可信网络。
128 VMware,Inc. 第11章ESX系统的安全 n默认情况下，并非专用于对服务控制台进行管理访问的所有端口均处于关闭状态。
如果需要其他服务，则必须专门打开相应的端口。
n默认情况下，弱密码被禁用，来自客户端的所有通信都通过SSL进行保护。
用于保护通道安全的确切算法取决于SSL握手。
在ESX上创建的默认证书使用带有RSA加密的SHA-1作为签名算法。
nESX在内部使用TomcatWeb服务来支持Web客户端（如vSphereWebess）对服务控制台进行的访问。
经过修改，TomcatWeb服务仅运行Web客户端进行管理和监控所需的功能。
因此，ESX不易遇到在广泛使用中所发现的Tomcat安全问题。
nVMware监控可能影响服务控制台安全性的所有安全警示，并在必要时提供安全修补程序，就如同为可能影响ESX主机的任何其他安全漏洞提供该安全修补程序一样。
VMware为RHEL5和更高版本提供安全修补程序（如果可用的话）。
n未安装诸如FTP和之类的不安全服务，且这些服务的端口在默认情况下是关闭的。
由于SSH和SFTP之类较为安全的服务易于获取，因此，请始终避免使用这些不安全的服务来支持更为安全的替代方案。
如果必须使用不安全的服务，且已为服务控制台实施了充分的保护措施，则必须明确打开相应端口才能支持这些服务。
n使用setuid或setgid标记的应用程序数量已最小化。
可以禁用ESX操作可选的任何setuid或setgid应用程序。
尽管可以在服务控制台上安装和运行专用于RHEL5的某些类型的程序，但这一用法不受支持，除非VMware另有明确说明。
如果在受支持的配置中发现安全漏洞，VMware会主动通知已签署有效支持和订购合同的所有客户，并提供所有必要的修补程序。
注意请仅执行/security/中的VMware安全建议。
不要执行由RedHat发布的安全建议。
安全资源和信息可以在VMware网站上查找其他的安全相关信息。
表11-1列出了安全主题以及这些主题的其他信息的所在位置。
表11-
1。
Web上的VMware安全资源主题资源 VMware安全策略、最新安全预警、安全下载及/security/安全主题重点讨论公司安全响应策略 /support/policies/security_response.html VMware致力于帮助维护安全的环境。
安全问题是需要及时更正的。
VMware安全响应策略中作出了解决其产品中可能存在的漏洞之承诺。
第三方软件支持策略 /support/policies/VMware支持各种存储系统和软件代理（如备份代理及系统管理代理等）。
可以通过在/vmtn/resources/上搜索ESX兼容性指南，找到支持ESX的代理、工具及其他软件的列表。
VMware不可能对此行业中的所有产品和配置进行测试。
如果VMware未在兼容性指南中列出某种产品或配置，其技术支持人员将尝试帮助解决任何相关问题，但不能保证该产品或配置的可用性。
请始终对不受支持的产品或配置进行安全风险评估。
VMware产品认证 /security/certifications/ VMware,Inc. 129 ESX配置指南 130 VMware,Inc. 确保ESX配置的安全 12 可以采取一些措施为ESX主机、虚拟机和iSCSISAN创造安全的环境。
从安全角度考虑网络配置规划，还要考虑为了保护配置中的组件免遭攻击而执行的步骤。
本章讨论了以下主题： n第131页，“使用防火墙确保网络安全” n第138页，“通过VLAN确保虚拟机安全” n第142页，“确保虚拟交换机端口安全” n第143页，“确保iSCSI存储器安全” 使用防火墙确保网络安全安全管理员使用防火墙保护网络或网络中的选定组件免遭侵袭。
防火墙可控制对其保护范围内的设备的访问，方法是关闭除管理员显式或隐式指定的授权路径之外的所有通信路径。
管理员在防火墙打开的路径或端口允许防火墙内外设备间的流量。
在虚拟机环境中，可以为组件之间的防火墙规划布局。
n物理计算机（如vCenterServer主机和ESX主机之间）。
n一个虚拟机与另一个虚拟机（例如在作为外部Web服务器的虚拟机与连接公司内部网络的虚拟机之间）。
n物理机与虚拟机（例如在物理网络适配器卡和虚拟机之间设立防火墙）。
防火墙在ESX配置中的使用方式取决于您打算如何使用网络以及如何为给定的组件提供所需的安全。
例如，如果在您创建的虚拟网络中的每个虚拟机专用于运行同一部门的不同基准测试套件，那么从一个虚拟机对另一个虚拟机进行不利访问的风险极小。
因此，防火墙存在于虚拟机之间的配置不是必需的。
但是，为了防止干扰外部主机的测试运行，可对所用配置进行设置，以便在虚拟网络的入口点设有防火墙来保护整组虚拟机。
针对有vCenterServer的配置设立防火墙如果通过vCenterServer访问ESX主机，则通常使用防火墙保护vCenterServer。
该防火墙可为网络提供基本保护。
防火墙可能位于客户端和vCenterServer之间。
或者，vCenterServer和客户端可以均受防火墙的保护，这取决于您的部署。
重点是确保在您认为的系统入口点有防火墙。
如果使用vCenterServer，可在图12-1中所示的任何位置安装防火墙。
根据配置不同，可能无需图中所有防火墙，也可能需要在其他位置安装防火墙。
此外，您的配置可能包括可选模块，例如VMwarevCenterUpdateManager（此处没有显示）。
请参考特定于产品的防火墙设置信息文档，如UpdateManager文档。
有关TCP和UDP端口的完整列表，包括VMwareVMotion™和VMware容错，请参见第137页，“用于管理访问的TCP和UDP端口”。
VMware,Inc. 131 ESX配置指南图12-
1。
22427443902902(UDP)9032050–225059898042-8045 vSphere网络配置和流量示例 SSHSLPv2HTTPSd/vmware-authdESX/ESXi状态更新d/vmware-authd-mksHACIM事务HA vSphereClient 第三方网络管理工具 vSphereWebess 端口443防火墙 vCenterServer 端口427、443、902、5989 902UDP ESXi 端口443端口902防火墙端口443、902、2050-2250和8042-8045防火墙端口22、427、443、902、903、5989 902UDP 端口443 ESX 存储器配置了vCenterServer的网络可通过几种客户端接收通信：vSphereClient、vSphereWebess或使用SDK与主机相连接的第三方网络管理客户端。
在正常操作期间，vCenterServer在指定的端口上侦听其受管主机和客户端的数据。
vCenterServer还假设其受管主机在指定的端口上侦听vCenterServer的数据。
如果任何这些元素之间有防火墙，必须确保防火墙中有打开的端口以支持数据传输。
视您计划如何使用网络及各种设备所需安全级别而定，可能还需要在网络中的许多其他访问点设立防火墙。
根据为网络配置确定的安全风险选择防火墙位置。
下面列出了ESX实施中常用的防火墙位置。
列表和图12-1中显示的许多防火墙位置都是可选的。
nWeb浏览器与vSphereWebessHTTP和HTTPS代理服务器之间。
nvSphereClient、vSphereWebessClient或第三方网络管理客户端与vCenterServer之间。
nvSphereClient与ESX主机之间（如果用户通过vSphereClient访问虚拟机）。
此连接是vSphereClient与vCenterServer之间的附加连接，且需要一个不同的端口。
nWeb浏览器与ESX主机之间（如果用户通过Web浏览器访问虚拟机）。
此连接是vSphereWebessClient与vCenterServer之间的附加连接，且需要一个不同的端口。
nvCenterServer与ESX主机之间。
n网络中的ESX主机之间。
尽管主机之间的流量通常被认为是可信的，但是，如果您关注计算机的安全漏洞，可在主机间添加防火墙。
如果在ESX主机间添加防火墙并打算在服务器间迁移虚拟机、执行克隆操作或使用VMotion，还必须在用来将源主机和目标主机隔开的防火墙中打开端口，以便源主机与目标主机进行通信。
nESX主机和网络存储器（例如NFS或iSCSI存储器）之间。
这些端口并非专用于VMware，您可以根据网络规范进行配置。
132 VMware,Inc. 第12章确保ESX配置的安全针对没有vCenterServer的配置设立防火墙如果将客户端直接连接到ESX网络，而不是使用vCenterServer，则防火墙的配置略为简单。
可在图12-2中显示的任何位置安装防火墙。
注意根据配置不同，可能无需图中所有防火墙，也可能需在未显示的位置安装防火墙。
图12-
2。
客户端直接管理的ESX网络的防火墙配置第三方网络管理工具vSphereClient vSphereWebess 标准http/https端口端口902端口903 防火墙端口902端口903防火墙端口443 ESXi 端口902、2050-2250、8000、8042-8045、8100、8200 防火墙存储器 ESX 无论网络有没有配置vCenterServer，均通过相同类型的客户端接收通信：vSphereClient、第三方网络管理客户端或vSphereWebessClient。
防火墙需求基本相同，但有一些重要区别。
n与包含vCenterServer的配置一样，应确保有防火墙保护ESX层，或保护客户端及ESX层，具体取决于您的配置。
该防火墙可为网络提供基本保护。
所使用的防火墙端口与配置了vCenterServer的情况相同。
n此类配置中的许可证是您在每台主机上安装的ESX包的一部分。
由于许可功能驻留在服务器上，因此不需要单独的许可证服务器。
这就免除了在LicenseServer与ESX网络间设立防火墙的需要。
通过防火墙连接到vCenterServer vCenterServer使用端口443侦听其客户端的数据传输。
如果vCenterServer及其客户端之间设有防火墙，则必须配置一个可供vCenterServer接收其客户端数据的连接。
要使vCenterServer接收来自于vSphereClient的数据，请在防火墙中打开端口443，以允许数据从vSphereClient传输到vCenterServer。
有关在防火墙中配置端口的其他信息，请联系防火墙系统管理员。
如果正在使用vSphereClient且不希望将端口443用作vSphereClient与vCenterServer的通信端口，可通过在vSphereClient中更改vCenterServer设置来切换到另一个端口。
要了解如何更改这些设置，请参见《基本系统管理指南》。
VMware,Inc. 133 ESX配置指南通过防火墙连接到虚拟机控制台无论是通过vCenterServer将客户端连接到ESX主机，还是将其直接连接到主机，用户和管理员与虚拟机控制台的通信都需要某些端口。
这些端口支持不同的客户端功能，与ESX上的不同层相连接，并使用不同身份验证协议。
端口902端口443端口903 vCenterServer使用此端口将数据发送给vCenterServer受管主机。
端口902是vCenterServer向ESX主机发送数据时假设可用的端口。
端口902通过VMware授权守护进程(vmware-authd)将vCenterServer连接至主机。
此守护进程将端口902的数据分多路传输到适当的接收方进行处理。
VMware不支持为该连接配置其他端口。
vSphereClient、vSphereWebessClient和SDK使用此端口向vCenterServer受管主机发送数据。
当直接连接到ESX主机时，vSphereClient、vSphereWebessClient和SDK还使用此端口支持与服务器及其虚拟机相关的任何管理功能。
端口443是客户端向ESX主机发送数据时假设可用的端口。
VMware不支持为这些连接配置其他端口。
端口443通过TomcatWeb服务或SDK将客户端连接至ESX主机。
vmware-hostd将端口443的数据分多路传输到适当的接收方进行处理。
vSphereClient和vSphereWebess使用此端口为虚拟机上客户机操作系统的MKS活动提供连接。
用户正是通过此端口与虚拟机的客户机操作系统及应用程序交互。
端口903是vSphereClient和vSphereWebess与虚拟机交互时假设可用的端口。
VMware不支持为此功能配置不同端口。
端口903将vSphereClient连接到ESX上所配置的指定虚拟机。
图12-3显示了vSphereClient功能、端口及ESX进程间的关系。
vSphereWebessClient使用相同的基本映射与ESX主机交互。
图12-
3。
vSphereClient与ESX通信的端口使用情况 vSphereClient 虚拟机管理功能虚拟机控制台端口443 防火墙端口903 服务控制台vmware-hostd ESX vmware-authd VMkernel虚拟机 vmkauthd 134 VMware,Inc. 第12章确保ESX配置的安全如果在vCenterServer系统和vCenterServer受管主机间设有防火墙，请打开防火墙中的端口443和903以允许数据从vCenterServer传输到ESX主机和直接从vSphereClient传输到ESX主机。
有关配置端口的其他信息，请咨询防火墙系统管理员。
通过防火墙连接到ESX主机如果在两台ESX主机间设有防火墙，并希望允许主机间的事务或使用vCenterServer执行任何源或目标活动（例如VMwareHighAvailability(HA)流量、迁移、克隆或VMotion），则必须配置一个可供受管主机接收数据的连接。
要配置用于接收数据的连接，请打开以下范围中的端口：n443（服务器到服务器的迁移和置备流量）n2050–2250（用于HA流量）n8000（用于VMotion）n8042–8045（用于HA流量）有关配置端口的其他信息，请咨询防火墙系统管理员。
为支持的服务和管理代理配置防火墙端口必须在您的环境中配置防火墙，以接受普遍支持的服务和已安装的管理代理。
使用vSphereClient配置服务控制台防火墙。
在vCenterServer中配置ESX主机安全配置文件时，添加或移除这些服务或代理会自动打开或关闭防火墙中的预定端口以允许或禁止与这些服务或代理通信。
下面是vSphere环境中常见的服务和代理：nNFS客户端（不安全服务）nNTP客户端niSCSI软件客户端nCIMHTTP服务器（不安全服务）nCIMHTTPS服务器nSyslog客户端nNFS服务器（不安全服务）nNIS客户端nSMB客户端（不安全服务）nFTP客户端（不安全服务）nSSH客户端n客户端（不安全服务）nSSH服务器n服务器（不安全服务）nFTP服务器（不安全服务） VMware,Inc. 135 ESX配置指南 nSNMP服务器n您安装的其他受支持的管理代理注意此列表可能会更改，因此您可能会发现vSphereClient提供的服务和代理在该列表中找不到。
此外，并非列表中的所有服务都将默认安装。
可能需要执行其他任务来配置和启用这些服务。
如果安装列表中没有的设备、服务或代理，请从命令行打开服务控制台防火墙中的端口。
允许服务或管理代理访问ESX可以配置防火墙属性以允许服务或管理代理进行访问。
步骤1使用vSphereClient登录到vCenterServer系统。
2在“清单”面板中选择主机。
3依次单击配置选项卡和安全配置文件。
vSphereClient将显示与相应防火墙端口连接的入站和出站活动列表。
4单击属性，打开“防火墙属性”对话框。
“防火墙属性”对话框列出了可为主机配置的所有服务和管理代理。
5选择要启用的服务和代理。
“输入端口”和“输出端口”列表示vSphereClient为该服务打开的端口。
“协议”列表示该服务使用的协议。
“守护进程”列表示与该服务关联的守护进程的状态。
6单击确定。
根据防火墙设置自动执行服务行为ESX可对服务是否随防火墙端口状态启动的行为进行自动化。
自动化功能有助于确保当环境配置为启用服务功能时启动服务。
例如，仅当某些端口打开时启动某网络服务可帮助避免这样的情况，即服务已启动，但无法完成实现预定目的所需的通信。
另外，某些协议（如Kerberos）要求获取有关当前时间的准确信息。
NTP服务是获取准确时间信息的一种方式，但此服务只能在所需防火墙端口打开的情况下运作。
如果所有端口均处于关闭状态，此服务将无法实现其目标。
NTP服务提供一个选项，可配置启动或停止此服务的条件。
此配置包括一些选项，指定是否打开防火墙端口，然后是否根据这些条件启动或停止NTP服务。
有多个可能的配置选项，所有选项均同时适用于SSH服务器。
注意本节中说明的设置仅适用于通过vSphereClient或借助于vSphereWebServicesSDK创建的应用程序配置的服务设置。
通过其他方式（例如esxcfg-firewall实用程序或/etc/init.d/中的配置文件）进行的配置不会受这些设置的影响。
n如果任何端口打开则自动启动，如果所有端口关闭则停止-这是这些服务的默认设置，也是Vmware推荐的设置。
如果任何端口打开，则客户端会尝试联系与相关服务有关的网络资源。
如果某些端口已打开，但特定服务的端口已关闭，则该尝试将失败，但几乎不会对此类情况造成障碍。
当适用的出站端口打开时，此服务将开始完成其任务。
n与主机一起启动和停止–服务在主机启动后立即启动，并在主机关机之前不久关闭。
此选项与如果任何端口打开则自动启动，如果所有端口关闭则停止非常相似，都意味着此服务定期尝试完成其任务（例如尝试连接指定的NTP服务器）。
如果端口先是处于关闭状态，但随后又打开了，客户端将在此后不久开始完成其任务。
n手动启动和停止–主机保留用户指定的服务设置，无论端口打开与否。
当用户启动NTP服务后，只要主机仍然开启，该服务会一直运行。
如果服务已启动且主机已关闭，该服务将在关机过程中停止，但是，主机一启动，该服务将再次启动，保留用户确定的状况。
136 VMware,Inc. 第12章确保ESX配置的安全配置服务启动与防火墙配置的关系“启动策略”决定服务启动的条件。
可以通过编辑“启动策略”来配置服务启动与防火墙配置的关系。
步骤1使用vSphereClient登录到vCenterServer系统。
2在“清单”面板中选择主机。
3依次单击配置选项卡和安全配置文件。
vSphereClient将显示与相应防火墙端口连接的入站和出站活动列表。
4单击属性。
“防火墙属性”对话框列出了可为主机配置的所有服务和管理代理。
5选择要配置的服务，然后单击选项。
“启动策略”对话框决定服务启动的条件。
此对话框提供有关服务当前状况的信息，还提供手动启动、停止或重新启动服务的界面。
6从启动策略列表中选择策略。
7单击确定。
用于管理访问的TCP和UDP端口 vCenterServer、ESX主机及其他网络组件是使用预定的TCP和UDP端口进行访问的。
若要从防火墙外管理网络组件，可能需重新配置防火墙以允许在适当端口的访问。
表12-1列出了TCP和UDP端口以及每个端口的目的和类型。
除非另有指定，否则这些端口通过服务控制台接口建立连接。
表12-
1。
TCP和UDP端口端口用途流量类型 22 SSH服务器入站TCP 80 HTTP访问。
入站TCP 默认的非安全TCPWeb端口，通常与端口443一起用作从Web访问ESX网络的访问前端。
端口80将流量重定向到HTTPS登陆页面（端口443）。
从Web到vSphereWebess的连接 WS管理 123 NTP客户端出站UDP 427 CIM客户端使用服务位置协议版本2(SLPv2)查找CIM服务器。
入站和出站UDP 443 HTTPS访问入站TCP vCenterServer对ESX主机的访问默认SSLWeb端口 vSphereClient对vCenterServer的访问 vSphereClient对ESX主机的访问 WS管理 vSphereClient对vSphereUpdateManager的访问 vSphereConverter对vCenterServer的访问 vSphereWebess和第三方网络管理客户端与vCenterServer的连接 vSphereWebess和第三方网络管理客户端对主机的直接访问 VMware,Inc. 137 ESX配置指南表12-
1。
TCP和UDP端口（续）端口用途 902 主机对其他主机的访问以进行迁移和置备 ESX的身份验证流量(d/vmware-authd) vSphereClient对虚拟机控制台的访问 (UDP)从ESX到vCenterServer的状态更新（检测信号）连接 903 用户在特定ESX主机上访问虚拟机时生成的远程控制台流量。
vSphereClient对虚拟机控制台的访问 vSphereWebessClient对虚拟机控制台的访问 MKS事务(d/vmware-authd-mks) 2049 来自NFS存储设备的事务此端口用于VMkernel接口，而不是服务控制台接口。
2050–2250 ESX主机之间的流量，用于VMwareHighAvailability(HA)和EMC自动启动管理器 3260 到iSCSI存储设备的事务此端口用于VMkernel接口和服务控制台接口。
5900-5964 由VNC等管理工具使用的RFB协议 5989 通过HTTPS的CIMXML事务 8000 来自VMotion的请求此端口用于VMkernel接口，而不是服务控制台接口。
8042–8045 ESX主机之间的流量，用于HA和EMC自动启动管理器 8100,8200 ESX主机之间的流量，用于VMware容错流量类型入站TCP，出站UDP 入站TCP 入站和出站TCP 出站TCP，入站和出站UDP出站TCP 入站和出站TCP入站和出站TCP入站和出站TCP 出站TCP，入站和出站UDP出站TCP，入站和出站UDP 除表12-1中所列的TCP和UDP端口外，还可根据需要配置其他端口：n可使用vSphereClient为已安装的管理代理和支持的服务（例如NFS）打开端口。
n可以通过运行命令行脚本在服务控制台防火墙中为网络所需的其他服务和代理打开端口。
通过VLAN确保虚拟机安全网络可能是任何系统中最脆弱的环节之
一。
虚拟机网络需要的保护丝毫不应少于物理网络。
可以通过多种方式加强虚拟机网络安全。
如果将虚拟机网络连接到物理网络，则其遭到破坏的风险不亚于由物理机组成的网络。
即使虚拟机网络已与任何物理网络隔离，虚拟机也可能遭到网络中其他虚拟机的攻击。
用于确保虚拟机安全的要求通常与物理机相同。
虚拟机是相互独立的。
一个虚拟机无法读取或写入另一个虚拟机的内存、访问其数据、使用其应用程序等等。
但在网络中，任何虚拟机或虚拟机组仍可能遭到其他虚拟机的未授权访问，因此可能需要通过外部手段加强保护。
可以通过不同方式增加这层保护： n为虚拟网络增加防火墙保护，方法是在其中的部分或所有虚拟机上安装和配置软件防火墙。
138 VMware,Inc. 第12章确保ESX配置的安全为提高效率，可设置专用虚拟机以太网或虚拟网络。
有了虚拟网络，可在网络最前面的虚拟机上安装软件防火墙。
这可以充当物理网络适配器和虚拟网络中剩余虚拟机之间的保护性缓存。
在虚拟网络最前面的虚拟机上安装软件防火墙是一项不错的安全措施。
但是，软件防火墙会降低性能，因此请先对安全需求和性能进行权衡，然后再决定在虚拟网络中的其他虚拟机上安装软件防火墙。
n将主机中的不同虚拟机区域置于不同网络段上。
如果将虚拟机区域隔离在自己的网络段中，可以大大降低虚拟机区域间泄漏数据的风险。
分段可防止多种威胁，包括地址解析协议(ARP)欺骗，即攻击者操作ARP表以重新映射MAC和IP地址，从而访问进出主机的网络流量。
攻击者使用ARP欺骗生成拒绝服务，劫持目标系统并以其他方式破坏虚拟网络。
仔细计划分段可降低虚拟机区域间传输数据包的几率，从而防止嗅探攻击（此类攻击需向受害者发送网络流量）。
此外，攻击者无法使用一个虚拟机区域中的不安全服务访问主机中的其他虚拟机区域。
可以使用两种方法之一实施分段，每种方法具有不同优势。
n为虚拟机区域使用单独的物理网络适配器以确保将区域隔离。
为虚拟机区域使用单独的物理网络适配器可能是最安全的方法，并且更不容易在初次创建段之后出现配置错误。
n设置虚拟局域网(VLAN)以帮助保护网络。
VLAN几乎能够提供以物理方式实施单独网络所具有的所有安全优势，但省去了硬件开销，可为您节省部署和维护附加设备、线缆等硬件的成本，是一种可行的解决方案。
VLAN是一种IEEE标准的网络方案，通过特定的标记方法将数据包的传送限制在VLAN中的端口内。
若配置正确，VLAN将是您保护一组虚拟机免遭意外或恶意侵袭的可靠方法。
VLAN可让您对物理网络进行分段，以便只有属于相同VLAN的网络中的两个虚拟机才能相互传输数据包。
例如，会计记录和会计帐务是一家公司最敏感的内部信息。
如果公司的销售、货运和会计员工均使用同一物理网络中的虚拟机，可按图12-4所示设置VLAN以保护会计部门的虚拟机。
图12-
4。
VLAN布局示例主机
1 vSwitch 路由器 VM0VM1VM2 主机2VM3 VM4 VM5 VLANA广播域
A 交换机
1 vSwitchvSwitchVM6VM7VM8 主机
3 vSwitch VLANB广播域
B VM9VM10VM11 交换机
2 主机
4 vSwitch VM12VLAN
B VM13VLAN
A VM14VLAN
B 同一虚拟交换机上的多个VLAN 广播域A和
B 在此配置中，会计部门的所有员工均使用VLANA中的虚拟机，销售部门的员工使用VLANB中的虚拟机。
VMware,Inc. 139 ESX配置指南路由器将包含会计数据的数据包转发至交换机。
这些数据包将被标记为仅分发至VLANA。
因此，数据将被局限在广播域A内，无法传送到广播域
B，除非对路由器进行此配置。
该VLAN配置可防止销售人员截取传至会计部门的数据包。
还可防止会计部门接收传至销售组的数据包。
一个虚拟交换机可为不同VLAN中的虚拟机服务。
VLAN安全注意事项如何设置VLAN以确保网络组件安全取决于客户机操作系统以及网络设备的配置方式。
ESX配备完整的符合IEEE802.1q的VLAN实施。
VMware不能对如何设置VLAN提出具体建议，但当您使用VLAN部署作为安全执行策略一部分时，应考虑以下因素。
将VLAN视作更广的安全实施的一部分VLAN能够有效地控制数据在网络中的传输位置和范围。
如果攻击者可以访问网络，其攻击行为可能仅限于用作入口点的VLAN，从而降低了攻击整个网络的风险。
VLAN之所以能够提供保护，只是因为它可以控制数据在通过交换机并进入网络后的传送和包含方式。
可使用VLAN以帮助确保网络架构的第2层（数据链接层）安全。
但是，配置VLAN不能保护网络模型的物理层或任何其他层。
即使创建VLAN，也应通过确保硬件（路由器、集线器等等）安全和加密数据传输来提供额外保护。
VLAN不能代替虚拟机配置中的防火墙。
大多数包括VLAN的网络配置也同时包括软件防火墙。
如果虚拟网络中包括VLAN，请确保所安装的防火墙能够识别VLAN。
正确配置VLAN设备配置错误及网络硬件、固件或软件缺陷会导致VLAN容易遭到VLAN跳转攻击。
如果有权访问一个VLAN的攻击者创建了一些数据包，并用欺骗手段致使物理交换机将这些数据包传输到其无权访问的另一个VLAN，则将发生VLAN跳转。
容易受到此类攻击的原因通常是由于对本机VLAN操作进行了错误的交换机配置，从而导致交换机可以接收和传输未标记数据包。
为帮助防止VLAN跳转，请及时安装硬件和固件更新以确保设备是最新的。
同时请在配置设备时遵照供应商的最佳做法准则。
VMware虚拟交换机不支持本机VLAN的概念。
通过这些交换机的所有数据都会被适当地标记。
但是，网络中可能有其他为本机VLAN操作配置的交换机，因此配置了虚拟交换机的VLAN仍然容易遭受VLAN跳转。
如果计划使用VLAN执行网络安全，则应对所有交换机禁用本机VLAN功能，除非必须在本机模式中操作某些VLAN。
如果必须使用本机VLAN，请注意交换机供应商就此功能提供的配置准则。
在管理工具和服务控制台之间创建单独的通信无论是使用管理客户端还是命令行，ESX的所有配置任务均通过服务控制台来执行，这些任务包括配置存储器、控制虚拟机行为的各个方面及设置虚拟交换机或虚拟网络。
由于服务控制台是ESX的控制点，因此确保其免遭误用非常关键。
VMwareESX管理客户端使用身份验证和加密方法来防止对服务控制台进行未授权的访问，而其他服务可能不提供相同的保护。
如果攻击者可以访问服务控制台，便可以随意地重新配置ESX主机的许多属性，例如更改整个虚拟交换机配置或更改授权方法。
服务控制台的网络连接通过虚拟交换机建立。
要为这个关键的ESX组件提供更好的保护，可使用以下任一方法隔离服务控制台： n为管理工具与服务控制台之间的通信创建单独的VLAN。
n配置网络访问，以便通过一个虚拟交换机及一个或多个上行链路端口连接管理工具和服务控制台。
140 VMware,Inc. 第12章确保ESX配置的安全两种方法均可防止任何无法访问服务控制台VLAN或虚拟交换机的用户看到进出服务控制台的流量。
还可防止攻击者向服务控制台发送数据包。
您也可以选择在单独的物理网络段上配置服务控制台。
物理分段可提供一层额外的安全保护，因为其后期更不容易出现配置错误。
为VMotion和网络附加存储设置单独的VLAN或虚拟交换机。
虚拟交换机保护和VLAN 通过VMware虚拟交换机可阻止某些威胁VLAN安全的行为。
虚拟交换机的设计方式使其可以防御各种攻击，其中多种攻击均涉及VLAN跳转。
有了这层保护并不能保证您的虚拟机配置不会遭受其他类型的攻击。
例如，虚拟交换机只能保护虚拟网络免遭这些攻击，但不能保护物理网络。
虚拟交换机和VLAN可以抵御以下类型的攻击。
MAC洪水 802.1q和ISL标记攻击双重封装攻击多播暴力攻击跨树攻击随机帧攻击使交换机充满大量数据包，其中包含标记为来自不同源的MAC地址。
许多交换机使用内容可寻址内存(CAM)表了解和存储每个数据包的源地址。
当此表填满时，交换机可以进入完全打开状况，此时将在所有端口广播每个入站数据包，致使攻击者看到交换机的所有流量。
此状况可能导致VLAN间的数据包泄漏。
尽管VMware虚拟交换机存储MAC地址表，但不会获取来自可观测流量的MAC地址，因此不容易受到此类攻击。
强制交换机将帧从一个VLAN重定向至另一个VLAN，方法是通过欺骗手段致使交换机充当中继并向其他VLAN广播流量。
VMware虚拟交换机不执行此类攻击所需的动态中继，因此不会遭到攻击。
当攻击者创建一个双重封装数据包，其内部标记中的VLAN标识符与外部标记中的VLAN标识符不同时出现。
为实现向后兼容性，本机VLAN将去除传输数据包的外部标记，除非进行其他配置。
当本机VLAN交换机去除外部标记后，只剩下内部标记，它将把数据包路由到与所去除外部标记中标识的VLAN不同的VLAN。
VMware虚拟交换机会丢弃虚拟机尝试通过为特定VLAN配置的端口发送的任何双重封装帧。
因此，它们不容易遭到此类攻击。
涉及到将大量多播帧几乎同时发送到已知VLAN，使交换机过载，从而错误地允许向其他VLAN广播一些帧。
VMware虚拟交换机不允许帧离开其正确的广播域(VLAN)，因此不容易遭到此类攻击。
针对跨树协议(STP)，此协议用于控制LAN组件间的桥接。
攻击者发送网桥协议数据单元(BPDU)数据包，尝试更改网络拓扑，将攻击者自己建立成为根网桥。
作为根网桥，攻击者可以嗅探传输帧的内容。
VMware虚拟交换机不支持STP，因此不容易遭到此类攻击。
涉及发送大量数据包，这些数据包的源地址和目标地址保持不变，但字段的长度、类型或内容会随机变化。
此类攻击的目标是强制交换机错误地将数据包重新路由到不同VLAN。
VMware虚拟交换机不容易遭到此类攻击。
由于将来还会不断出现新的安全威胁，因此请勿将此视作有关攻击的详尽列表。
请定期查看网站上的VMware安全资源，了解安全警示、近期安全警示及VMware安全策略。
VMware,Inc. 141 ESX配置指南确保虚拟交换机端口安全与物理网络适配器一样，虚拟网络适配器也可以发送看上去来自不同计算机的帧或模拟另一台计算机，以便可以接收传至该计算机的网络帧。
此外，虚拟网络适配器也可以像物理网络适配器一样进行配置以接收传至其他计算机的帧。
当您为网络创建虚拟交换机时，会添加端口组，为附加到交换机的虚拟机和存储系统强加策略配置。
可通过vSphereClient创建虚拟端口。
在虚拟交换机中添加端口或端口组的过程中，vSphereClient会为端口配置安全配置文件。
此安全配置文件可用来确保ESX阻止其虚拟机的客户机操作系统模拟网络上的其他计算机。
实施此安全功能的目的在于使负责模拟的客户机操作系统检测不到模拟行为已被阻止。
安全配置文件决定您对虚拟机执行的防模拟和截断攻击保护强度。
为了正确使用安全配置文件中的设置，必须了解一些虚拟网络适配器如何控制传送及此级别的攻击如何进行的基础知识。
创建每个虚拟网络适配器时，都将向其分配自己的MAC地址。
此地址称为初始MAC地址。
尽管可以从客户机操作系统外部重新配置初始MAC地址，但不能由客户机操作系统进行更改。
此外，每个适配器具有一个有效MAC地址，可筛选目标MAC地址与该有效MAC不同的入站网络流量。
客户机操作系统负责设置有效MAC地址，并通常将有效MAC地址与初始MAC地址保持一致。
发送数据包时，操作系统通常将其网络适配器的有效MAC地址输入以太网帧的源MAC地址字段中。
它还将接收网络适配器的MAC地址输入目标MAC地址字段。
接收网络适配器仅在数据包的目标MAC地址与其自己的有效MAC地址匹配时才接受数据包。
网络适配器一经创建后，其有效MAC地址与初始MAC地址相同。
虚拟机的操作系统可随时将有效MAC地址更改为其他值。
如果操作系统更改了有效MAC地址，其网络适配器将接收传至新MAC地址的网络流量。
操作系统可随时发送带有模拟源MAC地址的帧。
这意味着操作系统便可通过模拟接收网络授权的网络适配器对网络中的设备进行恶意攻击。
可以使用ESX主机上的虚拟交换机安全配置文件设置三个选项以防止此类攻击。
如果更改端口的任何默认设置，必须在vSphereClient中通过编辑虚拟交换机设置来修改安全配置文件。
MAC地址更改 MAC地址更改选项的设置将影响虚拟机接收的流量。
当此选项设置为接受时，ESX主机接受将有效MAC地址更改为非初始MAC地址的请求。
当选项设置为拒绝时，ESX不接受将有效MAC地址更改为非初始MAC地址的请求，这会保护主机免受MAC模拟。
虚拟适配器用于发送请求的端口将被禁用，必须在它将有效MAC地址更改为初始MAC地址后才能再接收帧。
客户机操作系统检测不到MAC地址更改已被拒绝。
注意iSCSI启动器依赖于能够从某些类型的存储器获取MAC地址更改。
如果使用ESXiSCSI，并且有iSCSI存储器，则将MAC地址更改选项设置为接受。
有时您可能确实需要多个适配器在网络中使用同一MAC地址（例如在单播模式中使用Microsoft网络负载平衡时）。
在标准多播模式下使用Microsoft网络负载平衡时，适配器不能共享MAC地址。
伪信号伪信号选项的设置将影响从虚拟机传输的流量。
当选项设置为接受时，ESX不会比较源MAC地址和有效MAC地址。
142 VMware,Inc. 第12章确保ESX配置的安全要防止MAC模拟，可将此选项设置为拒绝。
这样，主机将对操作系统传输的源MAC地址与其适配器的有效MAC地址进行比较，以确认是否匹配。
如果地址不匹配，ESX将丢弃数据包。
客户机操作系统检测不到其虚拟网络适配器无法使用模拟MAC地址发送数据包。
ESX主机会在带有模拟地址的任何数据包递送之前将其截断，而客户机操作系统可能假设数据包已被丢弃。
杂乱模式运行杂乱模式会清除虚拟网络适配器执行的任何接收筛选，以便客户机操作系统接收在网络上观察到的所有流量。
默认情况下，虚拟网络适配器不能在杂乱模式中运行。
尽管杂乱模式对于跟踪网络活动很有用，但它是一种不安全的运行模式，因为杂乱模式中的任何适配器均可访问数据包，而与某些数据包是否仅由特定的网络适配器接收无关。
这意味着虚拟机中的管理员或root用户可以查看发往其他客户机或主机操作系统的流量。
注意有时您可能确实需要将虚拟交换机配置为在杂乱模式中运行（例如运行网络入侵检测软件或数据包嗅探器时）。
确保iSCSI存储器安全为ESX主机配置的存储器可能包括一个或多个使用iSCSI的存储区域网络(SAN)。
在ESX主机上配置iSCSI时，可采取几种措施降低安全风险。
iSCSI是一种使用TCP/IP协议通过网络端口（而不是通过直接连接SCSI设备）来访问SCSI设备和交换数据记录的方法。
在iSCSI事务中，原始SCSI数据块被封装在iSCSI记录中并传输至请求数据的设备或用户。
iSCSISAN可让您有效地利用现有以太网架构，为ESX主机提供对可供其动态共享的存储资源的访问。
iSCSISAN可为依赖公用存储池为多个用户提供服务的环境提供经济的存储解决方案。
与任何网络系统一样，iSCSISAN也可能遭到安全破坏。
注意用于确保iSCSISAN安全的要求和过程与可用于ESX主机的iSCSI硬件适配器和通过ESX主机直接配置的iSCSI相同。
通过身份验证确保iSCSI设备的安全确保iSCSI免遭不利入侵的一种方法就是，每当主机尝试访问目标LUN上的数据时都要求iSCSI设备（或称目标）对ESX主机（或称启动器）进行身份验证。
身份验证的目的是证明启动器具有访问目标的权利，这是在您配置身份验证时授予的权利。
ESX不对iSCSI支持Kerberos、安全远程协议(SRP)或公用密钥身份验证方法。
此外，它也不支持IPsec身份验证和加密。
使用vSphereClient可以确定当前是否在执行身份验证并配置身份验证方法。
为iSCSISAN启用挑战握手身份验证协议(CHAP)可将iSCSISAN配置为使用CHAP身份验证。
在CHAP身份验证中，当启动器联系iSCSI目标时，目标向启动器发送一个预定义ID值和一个随机值（或称键）。
启动器创建一个单向哈希值，并将其发送给目标。
此哈希值包含三个元素：目标发送的预定义ID值、随机值和一个由启动器和目标共享的专用值（或称CHAP密码）。
当目标收到启动器的哈希值后，将使用相同的元素创建自己的哈希值并将其与启动器的哈希值进行比较。
如果结果匹配，目标将对启动器进行身份验证。
ESX支持对iSCSI的单向和双向CHAP身份验证。
在单向CHAP身份验证中，目标需验证启动器，但启动器无需验证目标。
在双向CHAP身份验证中，提供了供启动器验证目标的附加安全级别。
VMware,Inc. 143 ESX配置指南当只有一组身份验证凭据可以从ESX主机发送到所有目标时，ESX支持适配器级别的CHAP身份验证。
还支持每个目标的CHAP身份验证，后者可让您为每个目标配置不同凭据以实现更好的目标优化。
有关如何处理CHAP的信息，请参见第85页，“配置iSCSI启动器的CHAP参数”。
禁用iSCSISAN身份验证可将iSCSISAN配置为不使用身份验证。
启动器与目标间的通信仍需经过初步身份验证，因为iSCSI目标设备通常会设置为仅与特定启动器通信。
如果您的iSCSI存储器位于一个位置且创建专用网络或VLAN为所有iSCSI设备提供服务，那么选择不执行更严格的身份验证可能有意义。
iSCSI配置是安全的，因为它与任何有害访问隔离，这与光纤通道SAN很相似。
通常，除非您愿意冒iSCSISAN被攻击的风险，或需处理因人为错误而造成的问题，否则请勿禁用身份验证。
ESX不对iSCSI支持Kerberos、安全远程协议(SRP)或公用密钥身份验证方法。
此外，它也不支持IPsec身份验证和加密。
使用vSphereClient可以确定当前是否在执行身份验证并配置身份验证方法。
有关如何处理CHAP的信息，请参见第85页，“配置iSCSI启动器的CHAP参数”。
保护iSCSISAN 计划iSCSI配置时，应采取一些措施提高iSCSISAN的整体安全。
iSCSI配置是否安全取决于IP网络，因此在设置网络时执行良好的安全标准可帮助保护iSCSI存储器。
下面是执行良好安全标准的一些具体建议。
保护传输数据iSCSISAN中的一个主要安全风险便是攻击者会嗅探传输的存储数据。
采取其他措施以防止攻击者能够轻易看见iSCSI数据。
无论是iSCSI硬件适配器还是ESX主机iSCSI启动器，均不会对其传输至目标和从目标接收的数据进行加密，这会造成数据更易遭到嗅探攻击。
通过iSCSI配置允许虚拟机共享虚拟交换机和VLAN可能导致iSCSI流量遭到虚拟机攻击者误用。
为帮助确保入侵者无法侦听iSCSI传送数据，请确保任何虚拟机都无法看到iSCSI存储网络。
如果使用的是iSCSI硬件适配器，则可以通过以下操作来实现这一目的：确保iSCSI适配器和ESX物理网络适配器没有因共享交换机或某种其他方式而无意地在主机外部连接。
如果直接通过ESX主机配置iSCSI，可通过虚拟机未使用的另一个虚拟交换机来配置iSCSI存储器，如图12-5中所示。
144 VMware,Inc. 图12-
5。
单独虚拟交换机上的iSCSI存储器第12章确保ESX配置的安全除了通过提供专用虚拟交换机来保护iSCSISAN外，还可以在iSCSISAN自己的VLAN上对其进行配置以提高性能和安全性。
将iSCSI配置放在单独的VLAN上可确保只有iSCSI适配器可以看到iSCSISAN内的传送数据。
此外，来自其他来源的网络拥堵不会影响iSCSI流量。
保护iSCSI端口安全当运行iSCSI设备时，ESX主机不会打开任何侦听网络连接的端口。
此措施可降低入侵者通过空闲端口侵入ESX主机并控制主机的几率。
因此，运行iSCSI不会在连接的ESX主机端产生任何额外安全风险。
您运行的任何iSCSI目标设备都必须具有一个或多个打开的TCP端口以侦听iSCSI连接。
如果iSCSI设备软件中存在任何安全漏洞，则数据遭遇的风险并非ESX所造成。
要降低此风险，请安装存储设备制造商提供的所有安全修补程序并对连接iSCSI网络的设备进行限制。
VMware,Inc. 145 ESX配置指南 146 VMware,Inc. 身份验证和用户管理 13 ESX处理用户身份验证，并支持用户和组权限。
此外，可以加密与vSphereClient和SDK的连接。
本章讨论了以下主题： n第147页，“通过身份验证和权限确保ESX的安全”n第153页，“ESX加密和安全证书” 通过身份验证和权限确保ESX的安全当vSphereClient或vCenterServer用户连接到ESX主机时，即会通过VMwareHostAgent进程建立连接。
该进程使用用户名和密码来进行验证。
ESX使用“可插入认证模块(PAM)”结构对使用vSphereClient、vSphereWebess或服务控制台访问ESX主机的用户进行身份验证。
VMware服务的PAM配置位于/etc/pam.d/vmware-authd，其中存储了身份验证模块的路径。
如同Linux一样，ESX的默认安装使用/etc/passwd身份验证，但可对ESX进行配置以使用另一个分布式身份验证机制。
如果要使用第三方身份验证工具，而不使用ESX默认实施，请参考供应商文档以查看说明。
在设置第三方身份验证的过程中，可能需要使用新的模块信息来更新/etc/pam.d文件夹中的文件。
VMware主机代理中的反向代理(vmware-hostd)进程侦听端口80和443。
vSphereClient或vCenterServer用户通过这些端口连接到主机代理。
vmware-hostd进程从客户端接收用户名和密码，并将它们转发至PAM模块以执行身份验证。
图13-1说明了ESX如何从vSphereClient对事务进行身份验证的一个基本示例。
注意在与vmware-hostd进程连接时，CIM事务还使用基于票证的身份验证。
VMware,Inc. 147 ESX配置指南图13-
1。
对vSphereClient与ESX之间的通信进行身份验证 vSphereClient管理功能控制台用户名/密码身份验证基于票证的身份验证服务控制台vmware-hostd ESX VMkernel虚拟机 vmkauthd 通过vSphereWebess和第三方网络管理客户端进行的ESX身份验证事务也会与vmware-hostd进程直接进行交互。
为了确保网站的身份验证能够高效工作，可执行一些基本任务，例如，设置用户、组、权限和角色；配置用户属性；添加自己的证书；确定是否要使用SSL等。
关于用户、组、权限和角色 vCenterServer和ESX主机使用用户名、密码和权限的组合来验证用户访问权限，并对活动进行授权。
通过分配权限，可以控制对主机、群集、数据存储、资源池、网络端口组和虚拟机的访问权限。
当具有适当权限的已知用户使用正确的密码登录主机时，系统会授予其对ESX主机及其资源的访问权限。
当确定是否对用户授予访问权限时，vCenterServer也使用类似方法。
vCenterServer和ESX主机在下列情况下拒绝授予访问权限：n非用户列表上的用户尝试登录。
n用户输入的密码不正确。
n用户在列表上但未分配有权限。
n已成功登录的用户尝试执行其不具有相应权限的操作。
在管理ESX主机和vCenterServer的过程中，您必须计划如何处理特定类型的用户和权限。
ESX和vCenterServer使用一组特权或角色来控制每个用户或组可执行的操作。
系统提供了预定义的角色，但还可以创建新角色。
分配给组的用户更易于管理。
在将角色应用到组时，组中的所有用户将继承该角色。
了解用户用户是经过授权可登录ESX主机或vCenterServer的个人。
ESX用户分为两类：可通过vCenterServer访问主机的用户，以及通过从vSphereClient、vSphereWebess、第三方客户端或CommandShell直接登录主机来访问主机的用户。
vCenterServer授权用户 vCenterServer授权用户包括在vCenterServer所引用的Windows域列表中，或者是vCenterServer主机上的本地Windows用户。
148 VMware,Inc. 第13章身份验证和用户管理直接访问用户不能使用vCenterServer手动创建、移除或以其他方式更改用户。
必须使用工具来管理Windows域。
所作的任何更改将在vCenterServer中反映出来。
但是，用户界面不提供用于检查的用户列表。
经授权直接在ESX主机上工作的用户是系统管理员添加到内部用户列表的用户。
管理员可以对这些用户执行各种管理操作，如更改密码、组成员资格和权限以及添加和移除用户。
由vCenterServer维护的用户列表与由主机维护的用户列表完全独立。
即使列表中似乎包含常见用户（例如，名为devuser的用户），也单独处理这些用户。
如果以devuser用户身份登录vCenterServer，则可能具有从数据存储查看和删除文件的权限，但是，如果以devuser用户身份登录ESX主机，则不具有这样的权限。
由于名称重复可能造成混乱，应在创建ESX主机用户之前对vCenterServer用户列表进行检查，以避免名称重复。
要检查vCenterServer用户，请查看Windows域列表。
了解组组是一组共享公用的规则和权限集的用户。
向某个组分配权限时，该组中的所有用户都将继承这些权限，而不必逐个处理用户配置文件。
管理员需要决定如何建立组结构，以达到安全和使用目标。
例如，三位兼职销售小组成员的工作时间各不相同，您希望他们共享一个虚拟机但不想让他们使用销售经理的虚拟机。
在这种情况下，可以创建一个名为SalesShare的组，该组包括三个销售人员，并授予仅与一个对象（即共享虚拟机）进行交互的组权限。
他们不能在销售经理的虚拟机上执行任何操作。
vCenterServer和ESX主机上组列表的来源与其各自用户列表的来源相同。
如果通过vCenterServer进行操作，则会从Windows域调用组列表。
如果直接登录至ESX主机，则会从该主机维护的表中调用组列表。
了解权限对于ESX和vCenterServer，将权限定义为访问角色，访问角色由用户以及为对象（如虚拟机或ESX主机）分配的用户角色组成。
大多数vCenterServer和ESX用户对于与主机相关联的对象的操作能力很有限。
具有管理员角色的用户对所有虚拟对象（如数据存储、主机、虚拟机和资源池）拥有完全访问权利和权限。
默认情况下，向root用户授予管理员角色。
如果主机由vCenterServer管理，则vpxuser也是管理员用户。
ESX和vCenterServer的特权列表相同，您可以使用相同方法配置权限。
可通过直接连接到ESX主机来创建角色并设置权限。
由于这些任务在vCenterServer中更广泛地执行，因此请参见《基本系统管理》获得有关处理权限和角色的信息。
分配root用户权限 root用户只能在其登录的特定ESX主机上执行操作。
为安全起见，您可能不想以管理员角色使用root用户。
在此情况下，可在安装后更改权限，以便使root用户不再拥有管理特权，也可通过vSphereClient一次性删除root用户的所有访问权限，请参见《基本系统管理》中的“管理用户、组、权限和角色”一章。
如果执行了此操作，必须首先在root级别创建可向另一个用户分配管理员角色的另一种权限。
向另一个用户分配管理员角色有助于通过可跟踪性维护安全。
vSphereClient将管理员角色用户启动的所有操作记录为事件，并为您提供审核记录。
如果所有管理员均以root用户身份登录主机，则不能分辨某项操作是哪个管理员执行的。
如果在root级别创建了多个权限，而且每个权限均与不同的用户或用户组相关联，则可对每个管理员或管理组的操作进行跟踪。
VMware,Inc. 149 ESX配置指南创建备用管理员用户后，就可以删除root用户的权限或更改角色以限制其特权。
将置于vCenterServer的管理之中时，必须使用所创建的新用户作为主机身份验证点。
注意vicfg命令不执行访问检查。
因此，即使限制root用户的特权，也不会影响用户可使用命令行界面命令执行的操作。
了解vpxuser权限当vCenterServer管理主机活动时，它使用vpxuser权限。
vpxuser在将ESX主机连接到vCenterServer时创建。
vCenterServer对其管理的主机拥有管理员特权。
例如，vCenterServer可将虚拟机移至和移离主机，并执行支持虚拟机所必需的配置更改。
vCenterServer管理员可在主机上执行可以由root用户执行的大多数任务，并调度任务和处理模板等。
但是，vCenterServer管理员不能为ESX主机直接创建、删除或编辑用户和组。
这些任务只能由具有管理员权限的用户直接在每台ESX主机上执行。
小心不要以任何方式更改vpxuser及其权限。
如果进行了更改，在通过vCenterServer处理ESX主机时可能会出现问题。
了解角色vCenterServer和ESX仅将对象的访问权限授予已针对该对象分配了权限的用户。
向用户或组分配与对象相关的权限时，可通过将用户或组与角色进行配对来操作。
角色是一组预定义的特权。
ESX主机可提供三种默认的角色，您不能更改与这些角色相关联的特权。
每个后续的默认角色均包括前一个角色的特权。
例如，管理员角色继承只读角色的特权。
您本人创建的角色不继承任何默认角色的特权。
可使用vSphereClient中的角色编辑功能创建自定义角色，以创建符合用户需求的特权组。
如果使用与vCenterServer相连的vSphereClient来管理ESX主机，则可在vCenterServer中选择其他角色。
同样，在vCenterServer中无法访问在ESX主机上直接创建的角色。
仅当您直接从vSphereClient登录主机时，才可使用这些角色。
如果通过vCenterServer管理ESX主机，则在主机和vCenterServer中维护自定义角色可能会引起混淆和误用。
在此类型配置中，应仅在vCenterServer中维护自定义角色。
可通过直接连接到ESX主机来创建角色并设置权限。
由于大多数用户在vCenterServer中创建角色并设置权限，因此请参见《基本系统管理》获取有关处理权限和角色的信息。
分配无权访问角色分配有无权访问角色的对象用户不能以任何方式查看或更改对象。
默认情况下向新用户和组分配此角色。
可以逐对象更改角色。
对特定对象拥有无权访问角色的用户，可选择与无权访问的对象相关联的vSphereClient选项卡，但该选项卡不显示任何内容。
默认情况下，root用户和vpxuser权限是未分配有无权访问角色的唯一用户。
相反，它们分配有管理员角色。
只要首先在root级别使用管理员角色创建替代权限并将此角色与另一个用户相关联，就可以完全删除root用户的权限或将其角色更改为无权访问。
分配只读角色分配有只读角色的对象用户可查看对象的状况和详细信息。
具有此角色的用户可查看虚拟机、主机和资源池属性。
该用户不能查看主机的远程控制台。
通过菜单和工具栏执行的所有操作均被禁止。
150 VMware,Inc. 第13章身份验证和用户管理分配管理员角色分配有管理员角色的对象用户可在对象上查看和执行所有操作。
此角色也包括只读角色固有的所有权限。
如果以管理员角色在ESX主机上执行操作，则可向该主机上的每个用户和组授予权限。
如果以管理员角色在vCenterServer中执行操作，则可向vCenterServer引用的Windows域列表中包括的任何用户或组授予权限。
vCenterServer通过分配权限这一过程对选定的任何Windows域用户或组进行注册。
默认情况下，向属于vCenterServer上本地WindowsAdministrators组的所有用户授予与分配至管理员角色的任何用户相同的访问权限。
属于Administrators组的用户可以以个人身份登录并具有完全访问权限。
为安全起见，可考虑从管理员角色中移除WindowsAdministrators组。
可以在安装之后更改权限。
此外，可以使用vSphereClient删除WindowsAdministrators组访问权限，但必须首先在root级别创建可向另一个用户分配管理员角色的另一种权限。
处理ESX主机上的用户和组如果通过vSphereClient直接连接ESX主机，则可创建、编辑和删除用户和组。
只要登录ESX主机，就会在vSphereClient中看到这些用户和组，但在登录vCenterServer时看不见。
查看和导出用户和组列表并对其进行排序可以查看ESX用户和组的列表，对其进行排序，并将其导出到HTML、XML、MicrosoftExcel或CSV格式的文件中。
步骤1通过vSphereClient登录主机。
2单击用户和组选项卡，然后单击用户或组。
3根据希望在导出文件中看到的信息，确定如何对表进行排序以及如何隐藏或显示列。
n要按任意列对表进行排序，请单击列标题。
n要显示或隐藏列，请右键单击任何列标题，并选择或取消选择要隐藏的列的名称。
n要显示或隐藏列，请右键单击任何列标题，并选择或取消选择要隐藏的列的名称。
4右键单击表中的任何位置，然后单击导出列表以打开“另存为”对话框。
5选择路径并输入文件名。
6选择文件类型，然后单击确定。
将用户添加到用户表将用户添加到用户表会更新由ESX维护的内部用户列表。
步骤1通过vSphereClient登录主机。
2单击用户和组选项卡，然后单击用户。
3右键单击“用户”表中的任何位置，然后单击添加以打开“新增用户”对话框。
4输入登录名、用户名、数字用户ID(UID)和密码。
对于用户名和UID的指定是可选操作。
如果未指定UID，vSphereClient将分配下一个可用的UID。
创建符合长度和复杂性要求的密码。
但是，ESX主机仅在您已切换至pam_passwdqc.so插件以进行身份验证时才检查密码的合规性。
并不强制执行默认身份验证插件pam_cracklib.so中的密码设置。
VMware,Inc. 151 ESX配置指南 5要允许用户通过CommandShell访问ESX主机，请选择授于该用户shell程序访问权限。
通常，不要向用户授予shell访问权限，除非确定其有必要通过shell访问主机。
仅通过vSphereClient访问主机的用户不需要具有Shell访问权限。
6要将用户添加到组，请从组下拉菜单选择组名称，然后单击添加。
7单击确定。
修改用户设置可以更改用户的用户ID、用户名、密码和组设置。
还可以向用户授予shell访问权限。
步骤1通过vSphereClient登录主机。
2单击用户和组选项卡，然后单击用户。
3右键单击用户，然后单击编辑以打开“编辑用户”对话框。
4要更改用户ID，请在UID文本框中输入数值用户ID。
vSphereClient在您首次创建用户时分配UID。
在大多数情况下，可以不更改此分配。
5请输入新的用户名。
6要更改用户密码，请选择更改密码，然后输入新密码。
7要更改用户通过CommandShell访问ESX主机的能力，请选择或取消选择授于该用户shell程序访问权限。
8要将用户添加到组，请从组下拉菜单选择组名称，然后单击添加。
9要从某个组中移除用户，请从组成员资格框中选择该组的名称，然后单击移除。
10单击确定。
移除用户或组可以从ESX主机中移除用户或组。
小心不要移除root用户。
步骤1通过vSphereClient登录主机。
2单击用户和组选项卡，然后单击用户或组。
3右键单击要移除的用户或组，然后单击移除。
将组添加到组表将组添加到ESX组表会更新由主机维护的内部组列表。
步骤1通过vSphereClient登录主机。
2单击用户和组选项卡，然后单击组。
3右键单击“组”表中的任何位置，然后单击添加以打开“创建新组”对话框。
4在组ID字段中输入组名称和数值组ID(GID)。
对于GID的指定是可选的。
如果未指定GID，vSphereClient将分配下一个可用的组ID。
152 VMware,Inc. 第13章身份验证和用户管理 5对于要添加为组成员的每个用户，从列表中选择用户名，然后单击添加。
6单击确定。
添加或移除组中的用户可以向组表的组中添加用户或从中移除用户。
步骤1通过vSphereClient登录主机。
2单击用户和组选项卡，然后单击组。
3右键单击要修改的组，然后单击属性以打开“编辑组”对话框。
4要将用户添加到组，请从组下拉菜单选择组名称，然后单击添加。
5要从某个组中移除用户，请从组成员资格框中选择该组的名称，然后单击移除。
6单击确定。
ESX加密和安全证书 ESX支持SSLv3和TLSv1（此处统称为SSL）。
如果启用了SSL，则数据将是专用的受保护数据，并且只要有人在传输过程中对其进行修改，就将被检测到。
只要以下条件成立，所有网络流量都会进行加密。
n未对Web代理服务作出更改以允许未加密的流量通过端口。
n服务控制台防火墙的安全性已配置为中和高。
默认情况下启用主机证书检查，并且使用SSL证书加密网络流量。
但是，ESX使用安装过程中自动生成的证书，并将此证书存储在主机上。
这些证书是唯一的，使用这些证书后便可以开始使用服务器，但它们是不可验证的，而且不是由公认的权威证书授权机构(CA)签署的。
这些默认证书容易受到中间人攻击的侵害。
若要享受证书检查的最大优势，特别是，如果您要使用加密的外部远程连接，则应安装由有效内部证书授权机构签署的新证书，或从您信任的安全授权机构那里购买新证书。
注意如果使用的是自签署证书，客户端就会收到关于证书的警告。
要解决此问题，请安装由公认的证书颁发机构签署的证书。
如果没有安装CA签署的证书，则将使用自签署证书加密vCenterServer和vSphereClient之间的所有通信。
这些证书不提供可能在生产环境中需要的身份验证安全性。
证书的默认位置是ESX主机上的/etc/vmware/ssl/。
证书由两个文件组成：证书本身(rui.crt)和专用密钥文件(rui.key)。
启用证书检查和验证主机指纹为防止中间人攻击并充分利用证书提供的安全性，会在默认情况下启用证书检查。
可以在vSphereClient中验证是否已启用证书检查。
注意vCenterServer证书在各次升级中均被保留。
步骤1使用vSphereClient登录到vCenterServer系统。
2选择系统管理>vCenterServer设置。
3在左窗格中单击SSL设置，然后验证检查主机证书是否已选中。
VMware,Inc. 153 ESX配置指南 4如果有需要手动验证的主机，则可以比较主机列出的指纹和主机控制台中的指纹。
要获得主机指纹，请在ESX主机上运行以下命令：opensslx509-in/etc/vmware/ssl/rui.crt-fingerprint-sha1-noout 5如果指纹匹配，则选中主机旁边的验证复选框。
单击确定之后，未选中的主机将断开连接。
6单击确定。
生成ESX主机的新证书 ESX主机在首次启动系统时生成证书。
在某些情况下，可能需要强制主机生成新的证书。
通常，只有当更改主机名称或意外删除证书时，才要生成新证书。
在每次重新启动vmware-hostd进程时，mgmt-vmware脚本都会搜索现有的证书文件（rui.crt和rui.key）。
如果未能找到这些文件，则将生成新证书文件。
步骤1在/etc/vmware/ssl目录中，备份现有证书，方法是使用以下命令对其进行重命名。
mvrui.crtorig.rui.crtmvrui.keyorig.rui.key 注意如果由于意外删除了证书而需要重新生成这些证书，则不必对其进行重命名。
2使用以下命令来重新启动vmware-hostd进程。
servicemgmt-vmwarerestart 3通过执行以下命令并将新证书文件的时间戳与orig.rui.crt和orig.rui.key进行比较，来确认ESX主机已成功生成新证书。
ls-la 用CA签署证书替换默认证书 ESX主机使用安装过程中自动生成的证书。
这些证书是唯一的，使用这些证书后便可以开始使用服务器，但它们是不可验证的，而且不是由公认的权威证书颁发机构(CA)签署的。
使用默认证书可能不符合您的组织的安全策略。
如果需要可信证书颁发机构颁发的证书，则可以替换默认证书。
步骤1登录服务控制台并获取root特权。
2在/etc/vmware/ssl目录中，使用以下命令重命名现有证书。
mvrui.crtorig.rui.crtmvrui.keyorig.rui.key3将新证书和密钥复制到/etc/vmware/ssl。
4将新证书和密钥重命名为rui.crt和rui.key。
5重新启动vmware-hostd进程使证书生效。
servicemgmt-vmwarerestart 154 VMware,Inc. 第13章身份验证和用户管理配置SSL超时可以为ESX配置SSL超时。
可以为两种类型的空闲连接设置超时期间：n读取超时设置应用于已完成与ESX的端口443的SSL握手进程的连接。
n握手超时设置应用于尚未完成与ESX的端口443的SSL握手进程的连接。
这两种连接超时设置均以毫秒为单位。
空闲连接在超过超时时间之后将断开。
默认情况下，完全建立的SSL连接没有超时限制。
步骤1登录服务控制台并获取root特权。
2将目录更改为/etc/vmware/hostd/。
3使用文本编辑器打开config.xml文件。
4输入值，以毫秒为单位。
例如，要将读取超时设置为20秒，请输入以下命令。
200005输入值，以毫秒为单位。
例如，要将握手超时设置为20秒，请输入以下命令。
200006保存更改并关闭文件。
7输入以下命令以重新启动vmware-hostd进程。
servicemgmt-vmwarerestart 示例13-
1。
配置文件文件/etc/vmware/hostd/config.xml的以下部分显示SSL超时设置的输入位置。
...20000......20000... VMware,Inc. 155 ESX配置指南修改ESXWeb代理设置当修改Web代理设置时，需要考虑若干加密和用户安全准则。
注意在更改主机目录或身份验证机制之后，通过输入命令servicemgmt-vmwarerestart，重新启动vmwarehostd进程。
n不要使用密码短语设置证书。
ESX不支持密码短语（也称为加密的密钥），如果设置了密码短语，ESX进程将无法正常启动。
n您可以配置Web代理，以便它在非默认位置中搜索证书。
对于倾向于将其证书集中在单台计算机上以便使多台主机可使用证书的公司而言，此功能相当有用。
小心如果证书不是存储在本地主机上（例如，存储在NFS共享主机上），则在ESX失去网络连接时主机将无法访问这些证书。
因此，连接到主机的客户端无法成功地参与同主机的安全SSL握手。
n为了支持对用户名、密码和数据包进行加密，将在默认情况下针对vSphereWebess和vSphereWebServicesSDK连接启用SSL。
要配置这些连接以使它们不对传输进行加密，请针对vSphereWebess连接或vSphereWebServicesSDK连接禁用SSL，方法是将连接从HTTPS切换至HTTP。
仅当为这些客户端创建了完全可信的环境时才可考虑禁用SSL，在这样的环境中，安装有防火墙，而且与主机之间的传输是完全隔离的。
禁用SSL可提高性能，因为省却了执行加密所需的开销。
n为了防止误用ESX服务（例如，用来托管vSphereWebess的内部Web服务器），只能通过用于HTTPS传输的端口443才能访问大多数内部ESX服务。
端口443用作ESX的反向代理。
通过HTTP欢迎使用页面可看到ESX上的服务列表，但如果没有相应的授权，则不能直接访问这些服务。
可对此配置进行更改，以便可通过HTTP连接直接访问各个服务。
除非是在完全可信的环境中使用ESX，否则不要进行此更改。
n在升级vCenterServer和vSphereWebess时，证书保持在原位。
如果移除vCenterServer和vSphereWebess，证书目录不会从服务控制台中移除。
将Web代理配置为在非默认位置中搜索证书您可以配置Web代理，以便它在非默认位置中搜索证书。
对于将其证书集中在单台计算机上以便使多台主机可使用证书的公司而言，此功能相当有用。
步骤1登录服务控制台并获取root特权。
2将目录更改为/etc/vmware/hostd/。
3使用文本编辑器打开proxy.xml文件，并找到以下XML分段。
--Theserverprivatekeyfile-->/etc/vmware/ssl/rui.key--Theserversidecertificatefile-->/etc/vmware/ssl/rui.crt4使用从受信任证书颁发机构接收的专用密钥文件的绝对路径来替换/etc/vmware/ssl/rui.key。
此路径可以位于ESX主机上，也可以位于用来存储贵公司的证书和密钥的集中式计算机上。
注意保持和XML标记不变。
156 VMware,Inc. 第13章身份验证和用户管理 5使用从可信证书颁发机构接收的证书文件的绝对路径来替换/etc/vmware/ssl/rui.crt。
小心不要删除原始rui.key和rui.crt文件。
ESX主机会使用这些文件。
6保存更改并关闭文件。
7输入以下命令以重新启动vmware-hostd进程。
servicemgmt-vmwarerestart 更改Web代理服务的安全设置可更改此安全配置，以便可通过HTTP连接直接访问各种服务。
步骤 1登录服务控制台并获取root特权。
2将目录更改为/etc/vmware/hostd/。
3使用文本编辑器打开proxy.xml文件。
文件内容通常如下所示： <_length>6<_type>vim.ProxyService.EndpointSpec[]<_type>vim.ProxyService.NamedPipeServiceSpecessMode>/var/run/vmware/proxy-webserver/<_type>vim.ProxyService.NamedPipeServiceSpecessMode>/var/run/vmware/proxy-sdk/sdk<_type>vim.ProxyService.LocalServiceSpecessMode>8080/ui<_type>vim.ProxyService.NamedPipeServiceSpecessMode>/var/run/vmware/proxy-vpxa/vpxa<_type>vim.ProxyService.NamedPipeServiceSpecessMode>/var/run/vmware/proxy-mob/mob VMware,Inc. 157 ESX配置指南 <_type>vim.ProxyService.LocalServiceSpec--Usethismodefor"secure"deployment-->--essMode>-->--Usethismodefor"insecure"deployment-->essMode>8889/wsman 4根据需要更改安全设置。
例如，您可能要修改与使用HTTPS的服务相对应的条目，以添加HTTP访问选项。
n是服务器IDXML标记的ID编号。
ID编号在HTTP区域中必须是唯一的。
n<_type>是正在移动的服务的名称。
n是服务允许的通信形式。
可接受的值包括： nhttpOnly-只能通过纯文本HTTP连接来访问服务。
nhttpsOnly-只能通过HTTPS连接来访问服务。
nhttpsWithRedirect-只能通过HTTPS连接来访问服务。
通过HTTP发出的请求将被重定向到相应的HTTPSURL。
nhttpAndHttps-可通过HTTP和HTTPS两种连接来访问服务。
n是分配给该服务的端口号。
可以为服务分配其他端口号。
n是提供此服务的服务器的命名空间，例如/sdk或/mob。
5保存更改并关闭文件。
6输入以下命令以重新启动vmware-hostd进程： servicemgmt-vmwarerestart 示例13-
2。
设置vSphereWebess以通过不安全的端口进行通信vSphereWebess通常通过安全端口(HTTPS,443)与ESX主机进行通信。
如果处在完全可信的环境中，则可决定几乎可以允许不安全的端口（例如，HTTP,80）。
要执行此操作，请在proxy.xml文件中更改Web服务器的essMode属性。
在下面的结果中，访问模式将从essMode>essMode>8080/ui 158 VMware,Inc. 服务控制台安全 14 VMware提供使用服务控制台的基本安全建议，包括如何使用服务控制台中内置的一些安全功能。
服务控制台是ESX的管理界面，因此其安全很关键。
为了避免服务控制台遭到未经授权的入侵和误用，VMware对几个服务控制台参数、设置和活动施加了一些限制。
本章讨论了以下主题：n第159页，“常规安全建议”n第160页，“登录到服务控制台”n第160页，“服务控制台防火墙配置”n第163页，“密码限制”n第168页，“密码强度”n第168页，“setuid和setgid标记”n第170页，“SSH安全”n第171页，“安全修补程序和安全漏洞扫描软件” 常规安全建议为了避免服务控制台遭到未经授权的入侵和误用，VMware对几个服务控制台参数、设置和活动施加了一些限制。
可以根据配置需求而放宽这些限制，但这样做之前，要确保在受信任的环境中工作且已经采取了足够的其他安全措施，以便保护整个网络和连接到ESX主机的设备。
评估服务控制台安全和管理服务控制台时请考虑以下建议：n限制用户访问。
VMware,Inc. 159 ESX配置指南为了改进安全性，可限制用户访问服务控制台，并实施访问安全策略，如设置密码限制（例如，字符长度、密码时效限制及使用grub密码引导主机）。
服务控制台具有访问ESX的某些部分的特权。
因此，只向信任的用户提供登录访问权限。
默认情况下，通过不允许SecureShell(SSH)作为根用户登录来限制根访问权限。
强烈建议保持此默认设置。
应要求ESX系统管理员作为常规用户登录，然后使用sudo命令来执行需要根特权的特定任务。
另外，请尝试在服务控制台上运行尽可能少的进程。
理想情况下，应力争只运行必需的进程、服务和代理，例如病毒检查器、虚拟机备份等等。
n使用vSphereClient管理ESX主机。
尽可能使用vSphereClient、vSphereWebess或第三方网络管理工具来管理ESX主机，而不是以root用户身份通过命令行界面工作。
通过vSphereClient，可以限制具有服务控制台访问权限的帐户，安全地委派职责，并设置角色以防止管理员和用户使用不必要的功能。
n仅使用VMware源来升级在服务控制台上运行的ESX组件。
服务控制台运行各种第三方软件包（例如TomcatWeb服务）来支持管理界面或必须执行的任务。
VMware不支持从VMware源以外的任何其他源升级这些软件包。
如果使用来自另一个源的下载文件或修补程序，就可能危及服务控制台的安全或功能。
定期查看第三方供应商站点和VMware知识库，以获知安全警示。
登录到服务控制台尽管可以通过vSphereClient执行大多数ESX配置活动，但在配置某些安全功能时也需使用服务控制台命令行界面。
使用命令行界面需登录主机。
步骤1使用以下方法之一登录ESX主机。
n如果具有主机的直接访问权限，请在主机的物理控制台上按Alt+F2打开登录页面。
n如果要远程连接到主机，请使用SSH或其他远程控制台连接在主机上启动会话。
2输入能够由ESX主机识别的用户名和密码。
如果所执行的活动需要root特权，请以可识别的用户身份登录服务控制台并通过sudo命令获取root特权，此命令与su命令相比，提供的安全性更高。
下一步除了特定于ESX的命令外，还可以使用服务控制台命令行界面运行许多Linux和UNIX命令。
有关服务控制台命令的详细信息，可使用manmand_name>命令查看手册页。
服务控制台防火墙配置 ESX在服务控制台和网络之间设有防火墙。
为了确保服务控制台的完整性，VMware已经减少了默认情况下打开的防火墙端口数目。
安装时，服务控制台防火墙配置为阻止除端口22、123、427、443、902、5989和5988之外的所有输入和输出流量，这些端口用于与ESX进行基本通信。
此设置强制了主机的高安全级别。
注意此防火墙还允许控制消息协议(ICMP)ping及与DHCP和DNS（仅UDP）客户端的通信。
在受信任的环境中，您可能认为可以接受较低的安全级别。
此时，可将防火墙设置为中等安全或低安全级别。
中等安全级别低安全级别除了默认端口以及明确打开的任何端口外，阻止其他所有输入流量。
不阻止输出流量。
不阻止输入流量和输出流量。
该设置等同于移除防火墙。
160 VMware,Inc. 第14章服务控制台安全由于默认情况下打开的端口受到严格的限制，因此安装之后可能需要打开其他端口。
有关可能要打开的常用端口列表，请参见第137页，“用于管理访问的TCP和UDP端口”。
当添加有效操作ESX所需的支持服务和管理代理时，需要打开服务控制台防火墙中的其他端口。
您可以通过vCenterServer添加服务和管理代理，如第135页，“为支持的服务和管理代理配置防火墙端口”中所述。
除了为这些服务和代理打开的端口之外，当配置某些设备、服务或代理（如存储设备、备份代理和管理代理等）时也可能需要打开其他端口。
例如，如果将VeritasNetBackup™4.5用作备份代理，则需要打开端口13720、13724、13782和13783，NetBackup将这些端口用于客户端介质事务、数据库备份、用户备份或恢复等。
要确定打开哪些端口，请参见设备、服务或代理的供应商规范。
确定服务控制台防火墙安全级别更改服务控制台的安全级别的过程分为两步：确定服务控制台防火墙安全级别和重置服务控制台防火墙设置。
为了避免不必要的步骤，请始终在更改防火墙设置之前对其进行检查。
步骤 1登录服务控制台并获取root特权。
2使用以下两条命令确定是阻止还是允许入站和出站流量。
esxcfg-firewall-qingesxcfg-firewall-qoutgoing 根据表14-1解释结果。
表14-
1。
服务控制台防火墙安全级别命令行响应默认情况下阻止入站端口。
默认情况下阻止出站端口。
默认情况下阻止入站端口。
默认情况下不阻止出站端口。
默认情况下不阻止入站端口。
默认情况下不阻止出站端口。
安全级别高中等低 VMware,Inc. 161 ESX配置指南设置服务控制台防火墙安全级别确定服务控制台的防火墙安全级别后，可以设置安全级别。
每次降低安全设置或打开其他端口时，都会提高网络中的入侵风险。
应在访问需求和网络安全控制程度之间寻求平衡。
步骤1登录服务控制台并获取root特权。
2运行以下命令之
一，设置服务控制台防火墙安全级别。
n将服务控制台防火墙设置为中等安全级别：esxcfg-firewall--allowOutgoinging n将虚拟防火墙设置为低安全级别：esxcfg-firewalling--allowOutgoing 小心使用上述命令将禁用所有防火墙保护。
n将服务控制台防火墙恢复为高安全级别：esxcfg-firewalling--blockOutgoing 3使用以下命令来重新启动vmware-hostd进程。
servicemgmt-vmwarerestart 更改服务控制台防火墙安全级别不会影响现有连接。
例如，如果防火墙设置为低安全级别且正在未明确打开的端口上运行备份，则将防火墙设置提升为高安全级别不会终止此备份。
备份随即完成，系统会释放连接，而且端口将不接受进一步的连接。
在服务控制台防火墙中打开端口安装第三方设备、服务和代理时，可以打开服务控制台防火墙端口。
打开端口以支持正在安装的项目之前，请参见供应商规范以确定必需的端口。
前提条件此过程仅用于打开不能通过vSphereClient配置的服务或代理的端口。
小心VMware仅支持通过vSphereClient或esxcfg-firewall命令打开和关闭防火墙端口。
使用任何其他方法或脚本打开防火墙端口可能会导致意外行为。
步骤1登录服务控制台并获取root特权。
2使用以下命令打开端口。
esxcfg-firewall--openPort,tcp|udp,in|out,n是供应商指定的端口号。
n对于TCP流量使用tcp，或者对于UDP流量使用udp。
162 VMware,Inc. 第14章服务控制台安全 n使用in为输入流量打开端口，或者使用out为输出流量打开端口。
n是一个描述性名称，有助于标识使用该端口的服务或代理。
唯一名称不是必需的。
例如：esxcfg-firewall--openPort6380,tcp,in,Navisphere3通过运行以下命令来重新启动vmware-hostd进程。
servicemgmt-vmwarerestart 在服务控制台防火墙中关闭端口可以在服务控制台防火墙中关闭特定端口。
在关闭某个端口时，不一定会断开与该端口关联的服务的活动会话。
例如，如果您在执行备份时关闭备份代理的端口，则备份将继续，直到备份完成及代理释放连接。
使用-closePort选项只能关闭借助于-openPort选项打开的端口。
如果端口是用其他方法打开的，则需要使用等效方法来关闭该端口。
例如，只能通过在vSphereClient中禁用SSH服务器入站连接和SSH客户端出站连接来关闭SSH端口(22)。
前提条件此过程仅用于关闭不能通过vSphereClient进行明确配置的服务或代理的端口。
小心VMware仅支持通过vSphereClient或esxcfg-firewall命令打开和关闭防火墙端口。
使用任何其他方法或脚本打开和关闭防火墙端口可能会导致意外行为。
步骤1登录服务控制台并获取root特权。
2使用以下命令关闭端口。
esxcfg-firewall--closePort,tcp|udp,in|out,为可选参数。
例如：esxcfg-firewall--closePort6380,tcp,in3使用以下命令来重新启动vmware-hostd进程。
servicemgmt-vmwarerestart 密码限制攻击者登录ESX主机的难易程度取决于是否可找到合法用户名/密码组合。
可以设置密码限制来帮助阻止攻击者获得用户密码。
恶意用户可以通过许多方式获得密码。
例如，攻击者可以嗅探不安全的网络流量（例如或FTP传输）来尝试成功登录。
另一种破解密码的常见方法是：通过运行密码生成器，尝试达到某一长度的每种字符组合或者使用实际单词和实际单词的简单变种。
实施用来管理密码长度、字符集和持续时间的限制可让密码生成器启动的攻击变得更加困难。
密码越长越复杂，攻击者就越难发现密码。
用户更改密码越频繁，就越难找到反复奏效的密码。
注意在决定如何实施密码限制时，要始终考虑到人因素。
如果这些限制使得密码难以记住或强制进行频繁的密码更改，用户可能倾向于写下自己的密码，导致事与愿违。
为了避免密码数据库遭到误用，启用了密码遮蔽，以便隐藏密码哈希值，使其无法访问。
此外，ESX使用MD5密码哈希值提供更强的密码安全，并让您将最小长度要求设置为八个字符以上。
VMware,Inc. 163 ESX配置指南密码时效可以施加密码时效限制，以确保用户密码不会长期保持活动状态。
默认情况下，ESX对用户登录施加以下密码时效限制。
最大天数最小天数警告时间用户可以保持密码的天数。
默认情况下，密码永不过期。
两次密码更改之间相隔的最小天数。
默认为0天，这意味着用户可以随时更改其密码。
在密码到期之前需要提前发送提醒的天数。
默认值为七天。
只有直接登录服务控制台或使用SSH时才会显示警告。
可以加强或放松以上任何设置。
还可以覆盖单个用户或组的默认密码时效设置。
更改主机的默认密码时效限制可以为主机施加比默认提供的更为严格或宽松的密码时效限制。
步骤1登录服务控制台并获取root特权。
2要更改用户可保留密码的最大天数，请使用以下命令。
esxcfg-auth--passmaxdays=3要对两次密码更改之间相隔的最小天数进行更改，请使用以下命令。
esxcfg-auth--passmindays=4要更改密码更改之前的警告时间，请使用以下命令。
esxcfg-auth--passwarnage= 更改用户的默认密码时效限制可以覆盖特定用户或组的默认密码时效限制。
步骤1登录服务控制台并获取root特权。
2要更改最大天数，请使用以下命令。
chage-M3要更改警告时间，请使用以下命令。
chage-W4要更改最小天数，请使用以下命令。
chage-m 密码复杂度默认情况下，ESX使用pam_cracklib.so插件来设置用户创建密码时必须遵守的规则并在创建过程中检查密码强度。
164 VMware,Inc. 第14章服务控制台安全通过pam_cracklib.so插件，可以确定所有密码必须达到的基本标准。
默认情况下，ESX不对根密码施加任何限制。
但是，当非root用户尝试更改密码时，所选择的密码必须符合pam_cracklib.so设定的基本标准。
此外，非root用户只能尝试特定次数的密码更改，此后pam_cracklib.so将开始发出消息并最终关闭密码更改页面。
ESX具有密码标准和重试限制的默认设置。
最小长度最小密码长度设置为九个字符。
这意味着如果用户仅使用一个字符类别（小写、大写、数字或其他），则必须输入至少八个字符。
如果用户输入字符类别的组合，则密码长度算法允许更短的密码。
要计算用户为针对给定最小长度设置形成有效密码而需输入的实际字符长度，请按如下方式应用密码长度算法： M–CC=
E 其中： nM是最小长度参数。
nCC是用户在密码中包括的字符类别数。
nE是用户必须输入的字符数。
表14-2显示在假定用户至少输入一个小写字符作为密码一部分时此算法的运作方式。
pam_cracklib.so插件不允许密码字符数少于六个，因此尽管四个字符级别的密码从数学角度讲其要求是五个字符，但实际的最终要求是六个字符。
表14-
2。
密码复杂度算法结果密码尝试中的字符类型有效密码的字符数小写字符大写字符数字其他字符
8 是
7 是是是是是是
6 是是是是是是是是是
5 是是是是重试次数 ESX系统的pam_cracklib.so重试参数设置为
三。
如果用户未在三次尝试中输入足够强的密码，pam_cracklib.so将关闭密码更改对话框。
用户必须打开新的密码更改会话重试。
pam_cracklib.so插件会检查所有密码更改尝试以确保密码满足下列强度标准：n新密码不得是回文，即密码字符围绕某个中心字母互相对称，例如radar或civic。
n新密码不得是旧密码的逆序。
n新密码不得通过旋转形成，即旧密码的一种变体，将旧密码的一个或多个字符旋转到密码字符串的前面或后面。
n新密码与旧密码的差异不能只是更改了大小写。
n新密码与旧密码的区别不能只是几个字符不同。
VMware,Inc. 165 ESX配置指南 n新密码不得在过去已经用过。
只有在配置了密码重用规则的情况下，pam_cracklib.so插件才会应用此标准。
默认情况下，ESX不强制实施任何密码重用规则，因此pam_cracklib.so插件通常决不会以这些理由拒绝密码更改尝试。
但是，您可以配置重用规则以确保用户不是轮流使用几个密码。
如果配置重用规则，旧密码会存储到pam_cracklib.so插件在每次密码更改尝试期间引用的文件内。
重用规则将确定ESX保留的旧密码数目。
当用户创建的密码达到了重用规则指定的值时，旧密码将按照新旧顺序从文件中移除。
n新密码必须具有足够的长度和复杂度。
通过使用esxcfg-auth命令更改pam_cracklib.so复杂度参数可配置这些要求，此命令可让您设置重试次数、最小密码长度和各种字符信用。
字符信用可让用户在密码中包括更多字符类型时输入更短的密码。
有关pam_cracklib.so插件的更多信息，请参见Linux文档。
注意用于Linux的pam_cracklib.so插件提供的参数多于ESX支持的参数。
您不能在esxcfg-auth中指定这些额外参数。
配置密码重用规则可以设置为每位用户存储的旧密码数目。
步骤1登录服务控制台并获取root特权。
2将目录更改到/etc/pam.d/。
3使用文本编辑器打开system-auth文件。
4查找以passwordsufficient/lib/security/$ISA/pam_unix.so开头的行。
5将以下参数添加到该行的末尾，其中，X是为每位用户存储的旧密码数。
remember=X在参数之间使用空格。
6保存更改并关闭文件。
7将目录更改为/etc/security/，并使用以下命令生成文件名为opasswd的零
(0)长度文件。
touchopasswd8输入下列命令：chmod0600opasswdchownroot:root/etc/security/opasswd 166 VMware,Inc. 第14章服务控制台安全更改pam_cracklib.so插件的默认密码复杂度可以为用户密码的复杂程度设置参数。
步骤1登录服务控制台并获取root特权。
2输入以下命令。
esxcfg-auth--usecrack=n是在锁定之前允许用户重试的次数。
n是用户为使密码可接受必须输入的最少字符数。
该数值是应用任何长度信用之前的总长度。
更改密码时始终会应用一个长度信用，因此密码长度实际上比指定的参数少一个字符。
由于pam_cracklib.so插件不接受少于六个字符的密码，因此计算参数时应使用户无法通过减去长度信用将密码长度减至六位字符以下。
n是用户在密码中至少包括一个小写字符时参数要减少的数值。
n是用户在密码中至少包括一个大写字符时参数要减少的数值。
n是用户在密码中至少包括一个数字时参数要减少的数值。
n是用户在密码中至少包括一个特殊字符（如下划线或短划线）时参数要减少的数值。
可将字符信用参数输入为正数，如果不希望插件为包括这种字符提供用户信用，可将其输入为零
(0)。
字符信用是可以叠加的。
用户输入的字符类型越多，形成有效密码所需的字符就越少。
例如，您发出以下命令：esxcfg-auth--usecrack=3111112实行此设置时，如果用户创建一个包含小写字符和一个下划线的密码，将需要八个字符才能创建有效密码。
如果用户决定包括所有类型的字符（小写字母、大写字母、数字和特殊字符），则只需要六个字符。
切换到pam_passwdqc.so插件pam_cracklib.so插件可为大多数环境提供足够的密码强度。
但是，如果插件的严格程度不足以满足需求，可以改用pam_passwdqc.so插件。
pam_passwdqc.so插件提供了用于微调密码强度的更多选项，且为包括root用户在内的所有用户执行密码强度测试。
另外，pam_passwdqc.so插件的使用方法比pam_cracklib.so插件略为复杂。
注意用于Linux的pam_passwdqc.so插件提供的参数多于ESX支持的参数。
您不能在esxcfg-auth中指定这些额外参数。
有关该插件的更多信息，请参见Linux文档。
步骤1登录服务控制台并获取root特权。
2输入以下命令。
esxcfg-auth--usepamqc=n是仅使用一种字符时密码所需的字符数。
n是使用两种字符时密码所需的字符数。
n用于密码短语。
ESX要求密码短语由三个单词组成。
n是使用三种字符时密码所需的字符数。
VMware,Inc. 167 ESX配置指南 n是使用全部四种字符时密码所需的字符数。
n是从旧密码重用的字符串中所允许的字符数。
如果pam_passwdqc.so插件找到此长度或更长的重用字符串，将认定此字符串无法通过强度测试并仅使用剩余的字符。
将上述任何选项设置为-1可指示pam_passwdqc.so插件忽略此要求。
将上述任何选项设置为disabled可指示pam_passwdqc.so插件认定具有关联特性的密码不符合要求。
除-1和disabled之外，所用的值必须采用递减顺序。
例如，您使用以下命令。
esxcfg-auth--usepamqc=disabled18-1128 如果实行此设置，用户创建密码时将无法设置仅包含一种字符的密码。
用户需要对两种字符组成的密码至少使用18个字符，对三种字符组成的密码至少使用12个字符，对四种字符组成的密码至少使用8个字符。
创建密码短语的尝试将被忽略。
密码强度通过不安全的连接传输数据会带来安全风险，因为数据通过网络传输时，恶意用户可能会扫描到这些数据。
作为一项安全措施，网络组件通常对数据加密，以防止他人轻松读取这些数据。
为了加密数据，发送组件（如网关或重定向程序）会应用算法或密码，在传输数据之前改变这些数据。
接收组件使用密钥解密这些数据，将其还原为原始形式。
目前有几种密码正在使用，每种密码提供的安全级别也有所差异。
密码保护数据的能力的一种衡量方法是其密码强度，即加密密钥的位数。
位数越大，密码越安全。
为了确保对外部网络连接之间的数据传输进行保护，ESX采用了目前可用的最强大的块密码之
一，即256位AES块加密。
ESX还将1024位RSA用于密钥交换。
这些加密算法是下列连接的默认算法。
nvSphereClient通过服务控制台与vCenterServer和ESX主机的连接。
nvSphereWebess通过服务控制台与ESX主机的连接。
注意由于vSphereWebess密码使用情况由所使用的Web浏览器确定，因此该管理工具可能使用其他密码。
nSDK与vCenterServer和ESX的连接。
n服务控制台通过VMkernel与虚拟机的连接。
nSSH通过服务控制台与ESX主机的连接。
setuid和setgid标记 ESX安装期间，默认情况下将安装若干个包括setuid和setgid标记的应用程序。
其中一些应用程序提供了正确运行主机所需的功能。
另一些则是可选的，但是它们可以简化主机和网络的维护和故障排除。
setuidsetgid 一种标记，通过将有效用户ID设置为程序所有者的用户ID，允许应用程序临时更改运行该应用程序的用户权限。
一种标记，通过将有效组ID设置为程序所有者的组ID，允许应用程序临时更改运行该应用程序的组权限。
禁用可选应用程序禁用任何必需的应用程序都将使ESX身份验证和虚拟机运行出现问题，但您可以禁用任何可选应用程序。
可选应用程序在表14-3和表14-4中列出。
168 VMware,Inc. 第14章服务控制台安全步骤1登录服务控制台并获取root特权。
2运行以下命令之
一，以禁用应用程序。
n对于附有setuid标记的应用程序：chmoda-s n对于附有setgid标记的应用程序：chmoda-g 默认setuid应用程序默认情况下将安装若干个包括setuid标记的应用程序。
表14-3列出了默认的setuid应用程序，并指示应用程序是必需的还是可选的。
表14-
3。
默认setuid应用程序应用程序用途和路径 crontab 允许个别用户添加cron作业。
路径：/usr/bin/crontab pam_timestamp_check 支持密码身份验证。
路径：/sbin/pam_timestamp_check passwd 支持密码身份验证。
路径：/usr/bin/passwd ping 发送和侦听网络接口上的控制数据包。
可用于调试网络。
路径：/bin/ping pwdb_chkpwd 支持密码身份验证。
路径：/sbin/pwdb_chkpwd ssh-keysign 对SSH执行基于主机的身份验证。
路径：/usr/libexec/openssh/ssh-keysign susudounix_chkpwdvmkload_app vmware-authdvmware-vmx 通过更改用户，可以使普通用户成为root用户。
路径：/bin/su 仅针对特定操作让普通用户充当root用户。
路径：/usr/bin/sudo 支持密码身份验证。
路径：/sbin/unix_chkpwd 执行运行虚拟机所需的任务。
该应用程序安装在两个位置中：一个用于标准用途，一个用于调试。
标准用途的路径：/usr/lib/vmware/bin/vmkload_app调试的路径：/usr/lib/vmware/bin-debug/vmkload_app 对使用VMware特定服务的用户进行身份验证。
路径：/usr/sbin/vmware-authd 执行运行虚拟机所需的任务。
该应用程序安装在两个位置中：一个用于标准用途，一个用于调试。
标准用途的路径：/usr/lib/vmware/bin/vmware-vmx调试的路径：/usr/lib/vmware/bin-debug/vmware-vmk 必需或可选可选必需必需可选必需如果使用基于主机的身份验证，则为必需。
否则为可选。
必需可选必需两个路径均为必需必需两个路径均为必需 VMware,Inc. 169 ESX配置指南默认setgid应用程序默认情况下将安装两个包括setgid标记的应用程序。
表14-4列出了默认的setgid应用程序，并指明应用程序是必需的还是可选的。
表14-
4。
默认setgid应用程序应用程序用途和路径 wall 提醒所有终端某个操作即将发生。
该应用程序由shutdown和其他命令调用。
路径：/usr/bin/wall lockfile 对于DellOM管理代理执行锁定。
路径：/usr/bin/lockfile 必需或可选可选对于DellOM是必需的，否则是可选的 SSH安全 SSH是常用的Unix和LinuxCommandShell，可以用于远程登录服务控制台并为主机执行某些管理和配置任务。
SSH用于安全登录和数据传输，因为它可提供比其他CommandShell更强大的保护。
在此ESX版本中，SSH配置得到了增强，能够提供更高的安全级别。
此次功能增强包括以下主要功能。
n禁用第1版SSH协议–VMware不再支持第1版SSH协议，而是以独占方式使用第2版协议。
第2版消除了第1版中存在的某些安全问题，且提供了更安全的与服务控制台相连的通信接口。
n提高了加密强度–SSH目前对连接仅支持256位和128位AES密码。
n限制以root用户身份进行远程登录–不能再以root用户身份远程登录。
而是以可识别的用户身份登录，并使用sudo命令运行需要root特权的特定操作，或输入su命令成为root用户。
注意sudo命令具有安全优势，因为它可限制根活动，并通过对用户执行的任何根活动生成审核记录来帮助您检查可能存在的root特权误用情况。
这些设置旨在为通过SSH传输到服务控制台的数据提供可靠保护。
如果此配置对您的需求而言过于严格，可以降低安全参数。
更改默认SSH配置可以更改默认SSH配置。
步骤1登录服务控制台并获取root特权。
2更改到/etc/ssh目录。
3使用文本编辑器在sshd_config文件中执行以下任意操作。
n要允许远程根登录，可在下行中将设置更改为yes。
PermitRootLoginno n要恢复为默认SSH协议（第1版和第2版），可注释掉下行。
Protocol2 170 VMware,Inc. 第14章服务控制台安全 n要恢复为3DES密码或其他密码，可注释掉下行。
Ciphersaes256-cbc,aes128-cbc n要禁用SSH上的安全FTP(SFTP)，可注释掉下行。
Subsystemftp/usr/libexec/openssh/sftp-server 4保存更改并关闭文件。
5通过运行以下命令来重新启动SSHD服务。
servicesshdrestart 安全修补程序和安全漏洞扫描软件某些安全扫描程序（如Nessus）在搜索安全漏洞时会检查版本号，但不检查修补程序后缀。
因此，这些扫描程序可能误报软件安全级别为低且没有包括最新的安全修补程序（即使已经包括）。
如果出现此情况，可以执行某些检查。
此问题在业界较常见，不是VMware特有的。
一些安全扫描程序能够正确处理这种情形，但通常滞后一个版本或多个版本。
例如，RedHat修补程序之后发布的Nessus版本通常不会报告这些错误情况。
如果VMware将某个支持Linux的软件包作为服务控制台组件（例如服务、功能或协议）提供，而目前该软件包的修补程序可用，VMware将提供包含“vSphere安装捆绑包(VIB)”列表的公告，用于在ESX上更新该软件。
尽管可以从其他源获得这些修补程序，但请始终使用VMware生成的公告，而不是使用第三方“RPM软件包管理器”包。
当向软件包提供修补程序时，VMware的策略是将此修补程序反向移植到已知稳定的软件版本中。
这种方法减少了在软件中引发新问题和不稳定性的几率。
因为修补程序是添加到现有版本的软件中，因此软件的版本号保持不变，但会添加修补程序编号作为后缀。
下面举例说明了此问题是如何出现的：1您最初安装了含OpenSSL0.9.7a版本（其中0.9.7a是不含修补程序的原始版本）的ESX。
2OpenSSL发布了用来修复0.9.7版本中安全漏洞的修补程序。
此版本称为0.9.7x。
3VMware将OpenSSL0.9.7x修补程序反向移植到原始版本，更新修补程序编号，并创建VIB。
VIB中的 OpenSSL版本为0.9.7a-
1，表示原始版本(0.9.7a)现在包含第1个修补程序。
4安装更新。
5安全扫描程序未能注意到-1后缀，误报OpenSSL的安全级别不是最新的。
如果扫描程序报告软件包的安全级别较低，请执行以下检查。
n查看修补程序后缀以确定是否需要进行更新。
n阅读VMwareVIB文档，了解有关修补程序内容的信息。
n从软件更新更改日志的安全警示中查找通用漏洞披露(CVE)号。
如果存在此CVE号，则指定的软件包将修补该漏洞。
VMware,Inc. 171 ESX配置指南 172 VMware,Inc. 安全部署和建议 15 一系列ESX部署方案可帮助您了解如何以最佳方式在自己的部署中使用安全功能。
方案还提出了若干基本的安全建议，供您在创建和配置虚拟机时参考。
本章讨论了以下主题： n第173页，“常见ESX部署的安全措施”n第176页，“虚拟机建议” 常见ESX部署的安全措施可以对不同类型的部署的安全措施进行比较，以帮助制定ESX部署的安全计划。
根据公司规模、数据及资源与外界共享的方式、有多个数据中心还是只有一个数据中心等因素，ESX部署的复杂度会有极大差异。
以下部署的实质在于用户访问、资源共享及安全级别的策略。
单客户部署在单客户部署中，ESX主机由单个公司所有，并在单个数据中心内进行维护。
主机资源不与外部用户共享。
主机上运行多台虚拟机，并由一名站点管理员进行维护。
此类单客户部署不允许存在客户管理员，维护众多虚拟机的工作由站点管理员独自负责。
公司配备一组不具有主机帐户的系统管理员，他们无法访问vCenterServer或主机CommandLineShell等任何ESX工具。
这些系统管理员可以通过虚拟机控制台访问虚拟机，因此可以在虚拟机内部加载软件和执行其他维护任务。
表15-1显示了配置用于主机的组件共享的处理方式。
表15-
1。
单客户部署中的组件共享功能配置备注服务控制台与虚拟机是否共享同一个否物理网络？通过为服务控制台配置专用物理网络来对其进行隔离。
服务控制台是否与虚拟机共享同一个否VLAN？多个虚拟机是否共享同一个物理网是络？通过为服务控制台配置专用VLAN来对其进行隔离。
虚拟机或其他系统设施（如VMotion）不一定非要使用此VLAN。
将这些虚拟机配置在同一个物理网络中。
是否共享网络适配器？局部通过为服务控制台配置专用虚拟交换机和虚拟网络适配器来对其进行隔离。
虚拟机或其他系统设施不一定非要使用此交换机或适配器。
可以在同一个虚拟交换机和网络适配器上配置虚拟机。
是否共享VMFS？是所有.vmdk文件均驻留在同一个VMFS分区中。
VMware,Inc. 173 ESX配置指南表15-
1。
单客户部署中的组件共享（续）功能配置安全级别高虚拟机内存是否过量使用？是表15-2显示了设置主机用户帐户的方式。
表15-
2。
单客户部署中的用户帐户设置用户类别站点管理员客户管理员系统管理员商业用户表15-3显示了每个用户的访问级别。
表15-
3。
单客户部署中的用户访问访问级别是否具有根用户访问权限？是否通过SSH进行服务控制台访问？vCenterServer和vSphereWebess？是否创建和修改虚拟机？是否通过控制台进行虚拟机访问？备注逐个打开FTP等所需服务的端口。
有关安全级别的信息，请参见第160页，“服务控制台防火墙配置”。
为虚拟机配置的总内存多于总物理内存。
帐户总数1000 站点管理员是是是是是系统管理员否否否否是多客户限制部署在多客户限制部署中，ESX主机位于同一个数据中心内，并用于为多名客户提供应用程序。
这些主机由一名站点管理员维护，并运行多台客户专用的虚拟机。
属于不同客户的虚拟机可以位于同一台主机上，但站点管理员会限制资源共享，以避免欺诈性交互。
虽然只有一名站点管理员，但有多名客户管理员维护分配给其客户的虚拟机。
此类部署还包括一些客户系统管理员，他们没有ESX帐户，但可以通过虚拟机控制台访问虚拟机以加载软件并执行虚拟机内部的其他维护任务。
表15-4显示了配置用于主机的组件共享的处理方式。
表15-
4。
多客户限制部署中的组件共享功能配置备注服务控制台与虚拟机是否共享同一否个物理网络？通过为服务控制台配置专用物理网络来对其进行隔离。
服务控制台是否与虚拟机共享同一个否VLAN？通过为服务控制台配置专用VLAN来对其进行隔离。
虚拟机或其他系统设施（如VMotion）不一定非要使用此VLAN。
多个虚拟机是否共享同一个物理网局部络？将每位客户的虚拟机放置到不同的物理网络中。
所有物理网络均相互独立。
是否共享网络适配器？局部通过为服务控制台配置专用虚拟交换机和虚拟网络适配器来对其进行隔离。
虚拟机或其他系统设施不一定非要使用此交换机或适配器。
将一位客户的多个虚拟机配置为可共享同一台虚拟交换机和同一块网络适配器。
它们不与任何其他客户共享交换机和适配器。
174 VMware,Inc. 第15章安全部署和建议表15-
4。
多客户限制部署中的组件共享（续）功能配置是否共享VMFS？否安全级别高虚拟机内存是否过量使用？是备注每位客户都有自己的VMFS分区，而且虚拟机的.vmdk文件以独占方式驻留于该分区。
该分区可跨多个LUN。
根据需要打开FTP等服务的端口。
为虚拟机配置的总内存多于总物理内存。
表15-5显示了设置ESX主机用户帐户的方式。
表15-
5。
多客户限制部署中的用户帐户设置用户类别站点管理员客户管理员系统管理员商业用户帐户总数11000 表15-6显示了每个用户的访问级别。
表15-
6。
多客户限制部署中的用户访问访问级别是否具有根用户访问权限？是否通过SSH进行服务控制台访问？vCenterServer和vSphereWebess？是否创建和修改虚拟机？是否通过控制台进行虚拟机访问？站点管理员是是是是是客户管理员否是是是是系统管理员否否否否是多客户开放部署在多客户开放部署中，ESX主机位于同一个数据中心内，并用于为多名客户提供应用程序。
这些主机由一名站点管理员维护，并运行多台客户专用的虚拟机。
属于不同客户的虚拟机可以位于同一台主机上，但资源共享限制可能更少。
多客户开放部署中虽然只有一名站点管理员，但有多名客户管理员维护分配给其客户的虚拟机。
此类部署还包括一些客户系统管理员，他们没有ESX帐户，但可以通过虚拟机控制台访问虚拟机以加载软件并执行虚拟机内部的其他维护任务。
最后，一组没有帐户的商业用户可以使用虚拟机运行其应用程序。
表15-7显示了配置用于主机的组件共享的处理方式。
表15-
7。
多客户开放部署中的组件共享功能配置备注服务控制台与虚拟机是否共享同一个物否理网络？通过为服务控制台配置专用物理网络来对其进行隔离。
服务控制台是否与虚拟机共享同一个否 VLAN？通过为服务控制台配置专用VLAN来对其进行隔离。
虚拟机或其他系统设施（如VMotion）不一定非要使用此VLAN。
多个虚拟机是否共享同一个物理网络？是将这些虚拟机配置在同一个物理网络中。
VMware,Inc. 175 ESX配置指南表15-
7。
多客户开放部署中的组件共享（续）功能配置是否共享网络适配器？局部是否共享VMFS？是安全级别高虚拟机内存是否过量使用？是备注通过为服务控制台配置专用虚拟交换机和虚拟网络适配器来对其进行隔离。
虚拟机或其他系统设施不一定非要使用此交换机或适配器。
但是，可以将所有虚拟机配置在同一个虚拟交换机和网络适配器上。
虚拟机可以共享VMFS分区，并且其虚拟机.vmdk文件可以驻留在共享分区上。
虚拟机不共享.vmdk文件。
根据需要打开FTP等服务的端口。
为虚拟机配置的总内存多于总物理内存。
表15-8显示了设置主机用户帐户的方式。
表15-
8。
多客户开放部署中的用户帐户设置用户类别站点管理员客户管理员系统管理员商业用户帐户总数11000 表15-9显示了每个用户的访问级别。
表15-
9。
多客户开放部署中的用户访问访问级别站点管理员是否具有根用户访问权限？是是否通过SSH进行服务控制台是访问？ vCenterServer和vSphereWeb是ess？是否创建和修改虚拟机？是是否通过控制台进行虚拟机访是问？客户管理员否是是是是系统管理员否否否否是商业用户否否否否是虚拟机建议在评估虚拟机安全性和管理虚拟机时，请考虑以下几个安全预防措施。
安装防病毒软件由于每台虚拟机都承载着标准操作系统，因此应考虑安装防病毒软件，使其免遭病毒感染。
根据虚拟机的使用方式，可能还需要安装软件防火墙。
请错开病毒扫描的调度，尤其是在具有大量虚拟机的部署中。
如果同时扫描所有虚拟机，环境中的系统性能将大幅下降。
因为软件防火墙和防病毒软件需要占用大量虚拟化资源，因此您可以根据虚拟机性能平衡这两个安全措施的需求，尤其是在您确信虚拟机处于充分可信的环境中时。
176 VMware,Inc. 第15章安全部署和建议禁用客户机操作系统和远程控制台之间的复制和粘贴操作可以禁用复制和粘贴操作以防止泄露复制到剪贴板的敏感数据。
在虚拟机上运行VMwareTools时，可以在客户机操作系统和远程控制台之间进行复制和粘贴操作。
控制台窗口获得焦点时，虚拟机中运行的非特权用户和进程均可以访问虚拟机控制台的剪贴板。
如果用户在使用控制台前将敏感信息复制到剪贴板中，就可能在无意中向虚拟机暴露敏感数据。
要避免该问题，可以考虑禁用客户机操作系统的复制和粘贴操作。
步骤1使用vSphereClient登录到vCenterServer系统。
2在摘要选项卡中，单击编辑设置。
3选择选项>高级>常规，然后单击配置参数。
4单击添加行，并在“名称”和“值”列中键入以下值。
名称isolation.tools.copy.disableisolation.tools.paste.disableisolation.tools.setGUIOptions.enable 值truetruefalse 注意这些选项将替代在客户机操作系统的VMwareTools控制面板中做出的任何设置。
结果显示如下。
名称sched.mem.maxsched.swap.derivedNamescsi0:0.redovmware.tools.installstatevmware.tools.lastInstallStatus.resultisolation.tools.copy.disableisolation.tools.paste.disableisolation.tools.setGUIOptions.enable 值字段unlimited/vmfs/volumes/e5f9f3d1-ed4d8ba/NewVirtualMachinetruenoneunknowntruetruefalse 5单击确定以关闭“配置参数”对话框，然后再次单击确定以关闭“虚拟机属性”对话框。
移除不必要的硬件设备虚拟机上不具有特权的用户和进程可以连接或断开硬件设备（如网络适配器和CD-ROM驱动器）。
因此，移除不需要的硬件设备有助于阻止攻击。
攻击者可利用该能力以多种方式破坏虚拟机的安全。
例如，具有虚拟机访问权限的攻击者可以连接已断开的CD-ROM驱动器并访问遗留在驱动器中介质上的敏感信息，或者断开网络适配器以将虚拟机与其网络隔离，从而造成拒绝服务。
作为常规安全预防措施，可以使用vSphereClient配置选项卡上的命令移除所有不需要或无用的硬件设备。
虽然此举可提高虚拟机的安全性，但对于需要稍后恢复当前未使用的设备以提供服务的情况来说，这并非是一个好的解决方案。
VMware,Inc. 177 ESX配置指南阻止虚拟机用户或进程与设备断开连接如果不想永久移除设备，可以阻止虚拟机用户或进程在客户机操作系统中连接设备或与设备断开连接。
步骤1使用vSphereClient登录到vCenterServer系统。
2在“清单”面板中选择虚拟机。
3在摘要选项卡中，单击编辑设置。
4选择选项>常规选项，并记录下虚拟机配置文件文本框中显示的路径。
5登录服务控制台并获取root特权。
6更改目录以访问虚拟机配置文件（在步骤4中记录了其路径）。
虚拟机配置文件位于/vmfs/volumes/目录中，其中，是虚拟机文件驻留的存储设备的名称。
例如，如果从“虚拟机属性”对话框获取的虚拟机配置文件为[vol1]vm-finance/vmfinance.vmx，请更改为以下目录。
/vmfs/volumes/vol1/vm-finance/7使用文本编辑器将以下行添加到.vmx文件，其中，是要保护的设备的名称（例如，1）。
.allowGuestConnectionControl="false" 注意默认情况下，以太网0配置为不允许断开设备连接。
除非以前的管理员将.allowGuestConnectionControl设置为true，否则无需更改该设置。
8保存更改并关闭文件。
9在vSphereClient中，右键单击虚拟机，并选择关闭。
10右键单击虚拟机并选择启动。
限制客户机操作系统写入主机内存客户机操作系统进程会通过VMwareTools向ESX主机发送信息性消息。
如果不限制主机存储这些消息的数据量，则无限的数据流将为攻击者提供发起拒绝服务(DoS)攻击的机会。
客户机操作进程发送的信息性消息称之为setinfo消息，并且通常包含定义虚拟机特性的名称/值对或主机存储的标识符，例如，ipaddress=10.17.87.224。
包含这些名称/值对的配置文件大小限制为1MB，这样可防止攻击者通过编写模仿VMwareTools的软件并使用任意配置数据填写主机内存，从而占用虚拟机所需的空间来发动DoS攻击。
如果名称/值对需要超过1MB的存储空间，则可以根据需要更改值。
另外，还可以阻止客户机操作系统进程将任何名称/值对写入到配置文件。
修改客户机操作系统的可变内存限制如果配置文件中存储的自定义信息较多，可以增加客户机操作系统的可变内存限制。
步骤1使用vSphereClient登录到vCenterServer系统。
2在“清单”面板中选择虚拟机。
3在摘要选项卡中，单击编辑设置。
4选择选项>高级>常规，然后单击配置参数。
178 VMware,Inc. 第15章安全部署和建议 5如果不存在大小限制属性，则必须添加它。
a单击添加行。
b在“名称”列中，键入tools.setInfo.sizeLimit。
c在“值”列中，键入NumberofBytes。
如果大小限制属性存在，请修改该属性以反映相应的限制。
6单击确定以关闭“配置参数”对话框，然后再次单击确定以关闭“虚拟机属性”对话框。
阻止客户机操作系统进程向主机发送配置消息可以阻止客户机将任何名称/值对写入到配置文件中。
该选择适合必须阻止客户机操作系统修改配置设置的情况。
步骤1使用vSphereClient登录到vCenterServer系统。
2在“清单”面板中选择虚拟机。
3在摘要选项卡中，单击编辑设置。
4选择选项>高级>常规，然后单击配置参数。
5单击添加行，并在“名称”和“值”列中键入以下值。
n在“名称”列中：isolation.tools.setinfo.disablen在“值”列中：true6单击确定以关闭“配置参数”对话框，然后再次单击确定以关闭“虚拟机属性”对话框。
配置客户机操作系统的日志记录级别虚拟机可以将故障排除信息写入存储在VMFS卷上的虚拟机日志文件中。
虚拟机用户和进程可能会有意或无意地误用日志记录，这会导致日志文件中充满大量数据。
随着时间的推移，日志文件会占用大量文件系统空间，从而造成拒绝服务。
为避免该问题，可考虑修改虚拟机客户机操作系统的日志记录设置。
这些设置可以限制日志文件的总大小和数量。
通常，在每次重新引导主机时都会生成一个新的日志文件，因此文件会变的非常大。
通过限制日志文件的最大大小，可以确保更频繁的生成新日志文件。
VMware建议保存10个日志文件，每个文件的大小限制为100KB。
这些值的大小足以让您捕获充分的信息，用以调试可能会出现的大多数问题。
每向日志写入一个条目，都会检查一遍日志的大小。
如果超过了限制，下一个条目将写入新的日志。
如果存在的日志文件数量达到最大，则会删除最早的日志文件。
通过写入超大的日志条目可以尝试发动避免这些限制的DoS攻击，但由于每个日志条目的大小限制在4KB以下，因此，日志文件的大小不会比配置限制大4KB以上。
限制日志文件数目和大小要阻止虚拟机用户和进程淹没日志文件（可能造成服务拒绝），可以限制ESX生成的日志文件的数量和大小。
步骤1使用vSphereClient登录到vCenterServer系统。
2在摘要选项卡中，单击编辑设置。
3选择选项>常规选项，并记录下虚拟机配置文件文本框中显示的路径。
4登录服务控制台并获取根特权。
VMware,Inc. 179 ESX配置指南 5更改目录以访问虚拟机配置文件（在步骤4中记录了其路径）。
虚拟机配置文件位于/vmfs/volumes/目录中，其中，是虚拟机文件驻留的存储设备的名称。
例如，如果从“虚拟机属性”对话框获取的虚拟机配置文件为[vol1]vm-finance/vmfinance.vmx，请更改为以下目录。
/vmfs/volumes/vol1/vm-finance/ 6要限制日志大小，请使用文本编辑器添加以下行到.vmx文件并对其进行编辑，其中，是最大文件大小（单位是字节）。
log.rotateSize=例如，要将大小限制为100KB左右，请输入100000。
7要保留有限数量的日志文件，请使用文本编辑器添加以下行到.vmx文件并对其进行编辑，其中，是服务器保留的文件数。
log.keepOld=例如，要保留10个日志文件（达到10个文件后，在创建新文件时删除最早的文件），请输入10。
8保存更改并关闭文件。
禁用客户机操作系统的日志记录如果选择不将故障排除信息写入VMFS卷上存储的虚拟机日志文件，则可以同时停止日志记录。
如果禁用客户机操作系统的日志记录，请注意您可能无法收集到充足的日志以进行故障排除。
而且，如果在禁用日志后出现虚拟机问题，VMware不提供技术支持。
步骤1使用vSphereClient登录vCenterServer，然后在清单中选择虚拟机。
2在摘要选项卡中，单击编辑设置。
3单击选项选项卡，并在“高级”下方的选项列表中选择常规。
4在“设置”中，取消选中启用日志记录。
5单击确定，关闭“虚拟机属性”对话框。
180 VMware,Inc. 主机配置文件 VMware,Inc. 181 ESX配置指南 182 VMware,Inc. 管理主机配置文件 16 主机配置文件功能可用于创建配置文件，该配置文件会封装并帮助管理主机配置，尤其是在管理员管理vCenterServer中多个主机或群集的环境中。
主机配置文件通过使用主机配置文件策略，来消除每个主机的主机配置、手动主机配置或基于UI的主机配置，并维持数据中心内的配置一致性和正确性。
这些策略捕获已知且经验证的引用主机的配置蓝图，并将其用于在多个主机或群集上配置网络、存储、安全和其他设置。
然后，可以对照配置文件的配置检查主机或群集有无任何偏差。
本章讨论了以下主题：n第183页，“主机配置文件使用情况模型”n第184页，“访问主机配置文件视图”n第184页，“创建主机配置文件”n第185页，“导出主机配置文件”n第185页，“导入主机配置文件”n第185页，“编辑主机配置文件”n第187页，“管理配置文件”n第189页，“检查合规性” 主机配置文件使用情况模型本主题描述使用主机配置文件的工作流程。
必须安装了vSphere而且至少有一台正确配置的主机。
1设置并配置将作为引用主机使用的主机。
引用主机是从中创建配置文件的主机。
2使用指定的引用主机创建配置文件。
3使用配置文件连接主机或群集。
VMware,Inc. 183 ESX配置指南 4对照配置文件检查主机的合规性。
这样可以确保主机得以继续正确配置。
5将引用主机的主机配置文件应用到其他主机或主机群集。
注意只有VMwarevSphere4.0主机支持主机配置文件。
VI3.5或更低版本的主机不支持此功能。
如果拥有由vCenterServer4.0管理的VI3.5或更低版本的主机，那么，在您尝试使用这些主机的主机配置文件时，可能会出现以下情况：n无法创建使用VMwareInfrastructure3.5或更低版本主机作为引用主机的主机配置文件。
n无法将主机配置文件应用到任何VI3.5或更低版本主机。
合规性检查失败。
n在可以将主机配置文件连接到包含VI3.5或更低版本主机的混合群集时，这些主机的合规性检查失败。
作为vSphere的一项许可功能，主机配置文件仅在获得相应的许可时才可用。
如果发现错误，请确保具有针对所拥有主机的相应vSphere授权许可。
访问主机配置文件视图 “主机配置文件”主视图列出所有可用的配置文件。
管理员还可以使用“主机配置文件”主视图在主机配置文件上执行操作，并配置这些配置文件。
“主机配置文件”主视图应当由希望执行主机配置文件操作并配置高级选项和策略的有经验的管理员使用。
大多数操作，诸如创建新配置文件、附加实体和应用配置文件等，都可以在“主机和群集”视图中执行。
步骤u选择视图>管理>主机配置文件。
所有的现有配置文件都将在配置文件列表左侧列出。
从配置文件列表中选择配置文件时，该配置文件的详细信息将在右侧显示。
创建主机配置文件通过使用指定引用主机的配置，可创建新的主机配置文件。
主机配置文件可以通过“主机配置文件”主视图或“主机和群集”中主机的上下文菜单进行创建。
从主机配置文件视图创建主机配置文件通过使用现有主机的配置，可以从“主机配置文件”主视图创建主机配置文件。
前提条件必须安装了vSphere，并且清单中至少有一台正确配置的主机。
步骤1在“主机配置文件”主视图中，单击创建配置文件。
此时会出现创建配置文件向导。
2选择与创建新配置文件相对应的选项，然后单击下一步。
3选择要用于创建配置文件的主机，然后单击下一步。
4键入名称，输入新配置文件的描述，然后单击下一步。
5检查新配置文件的摘要信息，然后单击完成以完成配置文件的创建。
新配置文件将出现在配置文件列表中。
184 VMware,Inc. 第16章管理主机配置文件从主机创建主机配置文件可以从“主机和群集”清单视图中的主机上下文菜单中创建新的主机配置文件。
前提条件必须安装了vSphere，并且清单中至少有一台正确配置的主机。
步骤1在“主机和群集”视图中，选择要指定为新主机配置文件的引用主机的主机。
2右键单击主机，然后选择主机配置文件>从主机创建配置文件。
即会打开从主机创建配置文件向导。
3键入名称，输入新配置文件的描述，然后单击下一步。
4检查新配置文件的摘要信息，然后单击完成以完成配置文件的创建。
新配置文件将出现在主机的“摘要”选项卡中。
导出主机配置文件可以将配置文件导出到VMware配置文件格式(.vpf)的文件中。
步骤1在“主机配置文件”主页面中，从配置文件列表中选择要导出的配置文件。
2右键单击配置文件，然后选择导出配置文件。
3选择位置，并键入要将配置文件导出到的文件名称。
4单击保存。
导入主机配置文件可以从VMware配置文件格式(.vpf)的文件中导入配置文件。
步骤1在“主机配置文件”主页面中，单击创建配置文件图标。
此时会出现创建配置文件向导。
2选择与导入配置文件相对应的选项，然后单击下一步。
3输入或浏览要导入的VMware配置文件格式文件，然后单击下一步。
4键入名称，输入已导入配置文件的描述，然后单击下一步。
5检查已导入配置文件的摘要信息，然后单击完成以完成配置文件的导入。
已导入的配置文件将出现在配置文件列表中。
编辑主机配置文件可以查看和编辑主机配置文件策略，选择要进行合规性检查的策略，并更改策略名称或描述。
步骤1在“主机配置文件”主视图中，从配置文件列表中选择要编辑的配置文件。
2单击编辑主机配置文件。
VMware,Inc. 185 ESX配置指南 3在配置文件编辑器顶部的字段中更改配置文件名称或描述。
4（可选）编辑或禁用策略。
5启用策略合规性检查。
6单击确定，关闭配置文件编辑器。
编辑策略策略描述应当如何应用特定的配置设置。
使用配置文件编辑器，可以编辑属于特定主机配置文件的策略。
在配置文件编辑器的左侧，可以展开主机配置文件。
每个主机配置文件由多个子配置文件组成，这些子配置文件由功能组指定，用以表示配置实例。
每个子配置文件都包含多个策略，这些策略描述与配置文件相关的配置。
可以配置的子配置文件（以及示例策略和合规性检查）包括：表16-
1。
主机配置文件的子配置文件配置子配置文件配置示例策略和合规性检查内存预留将内存预留设置为固定值。
存储器配置NFS存储器。
网络配置虚拟交换机、端口组、物理网卡速度、安全和网卡绑定策略。
日期和时间配置服务器的时间设置和时区。
防火墙启用或禁用规则集。
安全添加用户或用户组。
服务配置服务的设置。
高级修改高级选项。
步骤1打开要编辑的配置文件的配置文件编辑器。
2在配置文件编辑器的左侧，展开子配置文件，直到进入要编辑的策略。
3选择该策略。
在配置文件编辑器的右侧，策略选项和参数显示在配置详细信息选项卡中。
4从下拉菜单中选择策略选项，并设置其参数。
5（可选）如果对策略进行了更改，但希望恢复到默认选项，请单击恢复，选项即会重置。
启用合规性检查可以决定是否对主机配置文件策略进行合规性检查。
步骤1打开某个配置文件的配置文件编辑器，导航到要启用合规性检查的策略。
2在配置文件编辑器的右侧，选择合规情况详细信息选项卡。
3启用与该策略相对应的复选框。
注意如果禁用该复选框，则不会对该策略进行合规性检查，但仍会对启用了合规性检查的其他策略进行检查。
186 VMware,Inc. 第16章管理主机配置文件管理配置文件创建主机配置文件之后，便可通过将配置文件附加到特定主机或群集来管理配置文件，然后将该配置文件应用到主机或群集。
连接实体需要配置的主机会连接到配置文件。
配置文件还可以附加到群集。
为确保合规性，所连接群集内的所有主机都必须按照相应的配置文件进行配置。
可以从以下位置将主机或群集连接到配置文件：n“主机配置文件”主视图n主机的上下文菜单n群集的上下文菜单n群集的“配置文件合规性”选项卡从主机配置文件视图连接实体在将配置文件应用到实体（主机或主机的群集）之前，必须将实体附加到配置文件。
可以从“主机配置文件”主视图将主机或群集附加到配置文件。
步骤1在“主机配置文件”主视图中，从配置文件列表中选择要为其添加附件的配置文件。
2单击附加到主机/群集图标。
3从展开的列表中选择主机或群集，然后单击附加。
此时主机或群集将添加到“已附加实体”列表。
4（可选）单击分离，从主机或群集中移除附件。
5单击确定关闭该对话框。
从主机连接实体在将配置文件应用到主机之前，必须将实体连接到配置文件。
可以从“主机和群集”清单视图中的主机上下文菜单中将配置文件附加到主机。
步骤1在“主机和群集”视图中，选择要将配置文件附加到的主机。
2右键单击该主机，然后选择主机配置文件>管理配置文件。
注意如果清单中不存在任何主机配置文件，则会出现一个对话框，询问您是否要创建配置文件并将主机连接到该配置文件。
3在更改附加配置文件对话框中，选择要附加到主机的配置文件，然后单击确定。
即会在主机的摘要选项卡中更新主机配置文件。
VMware,Inc. 187 ESX配置指南应用配置文件要将主机置于配置文件中指定的所需状况，请将配置文件应用到主机。
可以从以下位置将配置文件应用到主机：n“主机配置文件”主视图n主机的上下文菜单n群集的“配置文件合规性”选项卡从主机配置文件视图应用配置文件可以从“主机配置文件”主视图将配置文件应用到主机。
前提条件将配置文件应用到主机之前，该主机必须处于维护模式。
步骤1在“主机配置文件”主视图中，选择要应用到主机的配置文件。
2选择主机和群集选项卡。
所连接的主机的列表显示在“实体名称”下。
3单击应用配置文件。
在配置文件编辑器中，系统可能会提示您输入应用配置文件所需的参数。
4输入参数，然后单击下一步。
5继续操作，直到输入完所需的全部参数。
6单击完成。
合规性状态即会进行更新。
从主机应用配置文件可以从主机的上下文菜单中将配置文件应用到主机。
前提条件将主机应用到配置文件之前，该主机必须处于维护模式。
步骤1在“主机和群集”视图中，选择要向其应用配置文件的主机。
2右键单击主机，然后选择主机配置文件>应用配置文件。
3在配置文件编辑器中，输入参数，然后单击下一步。
4继续操作，直到输入完所需的全部参数。
5单击完成。
合规性状态即会进行更新。
更改引用主机引用主机配置用于创建主机配置文件。
可以从“主机配置文件”主视图执行此任务。
188 VMware,Inc. 第16章管理主机配置文件前提条件主机配置文件必须已经存在。
步骤1可以从“主机配置文件”主视图或从主机执行此任务。
u在“主机配置文件”主视图中，右键单击要更改其引用主机的配置文件，然后选择更改引用的主机。
u在“主机和群集”视图中，右键单击要更新其引用的主机，然后选择管理配置文件。
即会打开“分离或更改主机配置文件”对话框。
2确定是要从主机或群集分离配置文件，还是更改配置文件的引用主机。
u单击分离可移除主机和配置文件之间的关联。
u单击更改可继续更新配置文件的引用主机。
如果选择的是更改，则将打开更改引用的主机对话框。
配置文件引用的当前主机将显示为引用主机。
3展开清单列表，并选择要将配置文件附加到的主机。
4单击更新。
即会更新引用主机。
5单击确定。
主机配置文件的“摘要”选项卡将列出更新的引用主机。
从群集管理配置文件可以从群集的上下文菜单创建配置文件、附加配置文件或更新引用主机。
步骤 u在“主机和群集”视图中，右键单击群集，然后选择主机配置文件>管理配置文件。
根据您的主机配置文件设置，将出现以下情况之一：配置文件状态如果群集未连接到主机配置文件且清单中不存在任何配置文件。
如果群集未连接到主机配置文件且清单中存在一个或多个配置文件。
如果群集已经连接到主机配置文件。
结果 a将打开一个对话框，询问是否要创建配置文件并将其附加到群集。
b如果选择是，则将打开“创建配置文件”向导。
a将打开“附加配置文件”对话框。
b选择要附加到群集的配置文件，然后单击确定在此对话框中，单击分离从群集中分离配置文件，或单击更改将其他配置文件附加到群集。
检查合规性检查合规性可确保主机或群集得以继续正确配置。
在为主机或群集配置了引用主机配置文件之后，可能会发生手动更改，导致配置不正确。
定期检查合规性可确保主机或群集得以继续正确配置。
VMware,Inc. 189 ESX配置指南从主机配置文件视图检查合规性可以从“主机配置文件”主视图检查主机或群集是否符合配置文件。
步骤1从“主机配置文件”列表中，选择要检查的配置文件。
2在主机和群集选项卡中，从“实体名称”下的列表中选择主机或群集。
3单击立即检查合规性。
合规性状态将更新为“合规”、“未知”或“不合规”。
如果合规性状态是“不合规”，则可以将主机应用到配置文件。
从主机检查合规性在将配置文件附加到主机之后，运行合规性检查以检验配置。
步骤1在“主机和群集”视图中，选择要在其上运行合规性检查的主机。
2右键单击主机，然后选择主机配置文件>检查合规性。
主机的合规状态显示在主机的摘要选项卡中。
如果主机不合规，则必须将配置文件应用到该主机。
检查群集合规性可以对照主机配置文件或特定的群集要求和设置来检查群集合规性。
步骤1在“主机和群集”视图中，选择要在其上运行合规性检查的群集。
2在“配置文件合规性”选项卡中，单击立即检查合规性，将针对附加到此群集的主机配置文件和群集要求（如果有）检查群集的合规性。
n系统会检查群集是否符合群集内主机的特定设置（如DRS、HA和DPM）。
例如，它可能检查是否启用了VMotion。
群集要求的合规状态将进行更新。
即使主机配置文件未附加到群集，也会执行此检查。
n如果主机配置文件已附加到群集，则将检查群集是否符合主机配置文件。
主机配置文件的合规状态将进行更新。
3（可选）单击“群集要求”旁边的描述可获得特定群集要求的列表。
4（可选）单击“主机配置文件”旁边的描述可获得特定主机配置文件合规性检查的列表。
5（可选）单击更改可更改附加到群集的主机配置文件。
6（可选）单击分离可分离附加到群集的主机配置文件。
如果群集与配置文件不符，则必须将配置文件分别应用到群集内的每台主机。
190 VMware,Inc. 附录 VMware,Inc. 191 ESX配置指南 192 VMware,Inc. ESX技术支持命令
A 大多数服务控制台命令专供技术支持使用并仅供参考。
但在少数情况下，这些命令也提供为ESX主机执行配置任务的唯一方式。
此外，如果丢失了与主机的连接，则通过命令行界面执行这些命令中的某一命令可能是您唯一可以求助的方式—例如，如果网络不起作用，vSphereClient也因此不可用。
注意如果使用此附录中的命令，则必须执行servicemgmt-vmwarerestart命令重新启动vmware-hostd进程，同时警示vSphereClient及其他管理工具，通知其配置已更改。
通常情况下，如果主机当前正由vSphereClient或vCenterServer管理，则不要执行本附录中的命令。
vSphereClient图形用户界面提供了执行本主题中所述配置任务的首选方式。
可以使用本主题来判断应使用哪个vSphereClient命令来代替服务控制台命令。
本主题提供在vSphereClient中执行的操作摘要，但并未给出完整的说明。
有关使用命令和通过vSphereClient执行配置任务的详细信息，请参见联机帮助。
登录服务控制台并使用man命令显示手册页，可找到有关多个ESX命令的其他信息。
第193页，附录A“ESX技术支持命令”列出了为ESX提供的技术支持命令，概述了每个命令的用途并提供了一个备用vSphereClient。
只有在您从”清单“面板中选择了ESX主机并单击配置选项卡之后，才可以执行该表中列出的大多数vSphereClient操作。
除非另有声明，否则这些操作即为下述任一过程的预备步骤。
表A-
1。
ESX技术支持命令服务控制台命令命令用途和vSphereClient过程 esxcfg-advcfg 配置ESX的高级选项。
要在vSphereClient中配置高级选项，请单击高级设置。
“高级设置”对话框打开时，使用左侧的列表选择要使用的设备类型或活动，然后输入适当的设置。
esxcfg-auth 配置身份验证。
可使用此命令在pam_cracklib.so和pam_passwdqc.so插件之间切换，以便实施密码更改规则。
也可使用此命令来重置这两个插件的选项。
在vSphereClient中无法配置这些功能。
esxcfg-boot 配置引导程序设置。
此命令适用于引导程序进程，并仅供VMware技术支持使用。
除非得到VMware技术支持代表指示，否则不得发出此命令。
在vSphereClient中无法配置这些功能。
esxcfg-dumppart 配置诊断分区或搜索现有诊断分区。
在安装ESX时，将自动创建诊断分区，用于在发生系统故障时存储调试信息。
除非确定主机没有诊断分区，否则无需手动创建此分区。
可在vSphereClient中对诊断分区执行以下管理操作：n确定是否有诊断分区—单击存储器>添加存储器，然后检查添加存储器向导的第一个页面以查看其是否包括诊断选项。
如果没有诊断选项，则ESX已具有一个诊断分区。
n配置诊断分区—单击存储器>添加存储器>诊断，然后一步步完成向导。
VMware,Inc. 193 ESX配置指南表A-
1。
ESX技术支持命令（续）服务控制台命令命令用途和vSphereClient过程 esxcfg-firewall 配置服务控制台防火墙端口。
要在vSphereClient中为支持的服务和代理配置防火墙端口，请选择将允许其访问ESX主机的服务。
单击安全配置文件>防火墙>属性，然后使用防火墙属性对话框添加服务。
通过vSphereClient无法配置不受支持的服务。
对于这些服务，请使用esxcfg-firewall。
esxcfg-info 打印有关服务控制台、VMkernel、虚拟网络中各种子系统以及存储资源硬件的状况信息。
vSphereClient不提供打印此信息的方法，但可以通过用户界面中的不同选项卡和功能获得尽可能多的信息。
例如，通过检查虚拟机选项卡上的信息，可以查看虚拟机的状态。
esxcfg-init 执行内部初始化例程。
此命令适用于引导程序进程，不得在任何情况下使用此命令。
使用此命令可能导致ESX主机出现问题。
此命令不存在vSphereClient等效指令。
esxcfg-module 设置驱动程序参数和修改在启动时加载的驱动程序。
此命令适用于引导程序进程，并仅供VMware技术支持使用。
除非得到VMware技术支持代表指示，否则不得发出此命令。
此命令不存在vSphereClient等效指令。
esxcfg-mpath 为光纤通道或iSCSI磁盘配置多路径设置。
要在vSphereClient中为存储器配置多路径设置，请单击存储器。
选择数据存储或映射的LUN，然后单击属性。
属性对话框打开时，根据需要选择所需的数据区。
然后单击数据区设备>管理路径，然后使用管理路径对话框配置路径。
esxcfg-nas 管理NFS挂载。
使用此命令创建或卸载NFS数据存储。
要在vSphereClient中查看NFS数据存储，请单击存储器>数据存储，然后滚动查看数据存储列表。
也可以从存储器>数据存储视图执行以下活动：n显示NFS数据存储的属性–单击数据存储并检查详细信息下的信息。
n创建NFS数据存储–单击添加存储器。
n卸载NFS数据存储–单击移除，或右键单击要卸载的数据存储并选择卸载。
esxcfg-nics 打印物理网络适配器的列表以及有关驱动程序、PCI设备和每个网卡的链接状况的信息。
也可使用此命令来控制物理网络适配器的速度和双工模式。
要查看有关vSphereClient中主机的物理网络适配器的信息，请单击网络适配器。
要更改vSphereClient中物理网络适配器的速度和双工模式，请单击与物理网络适配器相关联的任意虚拟交换机的网络>属性。
在属性对话框中，单击网络适配器>编辑，然后选择速度和双工组合。
esxcfg-resgrp 恢复资源组设置并允许您执行基本资源组管理。
从”清单“面板中选择一个资源池，然后单击摘要选项卡上的编辑设置以更改资源组设置。
esxcfg-route 设置或检索默认VMkernel网关路由，并添加、移除或列出静态路由。
要在vSphereClient中查看默认的VMkernel网关路由，请单击DNS和路由。
要更改默认的路由，请单击属性，然后更新DNS和路由配置对话框中这两个选项卡的信息。
esxcfg-swiscsi 配置软件iSCSI软件适配器。
要在vSphereClient中配置软件iSCSI系统，请单击存储适配器，选择要配置的iSCSI适配器，然后单击属性。
使用iSCSI启动器属性对话框配置适配器。
esxcfg-upgrade 从ESXServer2.x升级到ESX。
此命令不适用于一般用途。
从2.x升级到3.x时完成以下三个任务。
以下任务可在vSphereClient中执行： n升级主机—升级二进制数据，从ESXServer2.x转换成ESX。
不能从vSphereClient中执行此步骤。
n升级文件系统—要将VMFS-2升级到VMFS-
3，请挂起或关闭虚拟机，然后单击清单>主机>进入维护模式。
单击存储器，选择存储设备，然后单击升级到VMFS-
3。
必须为要升级的每个存储设备执行此步骤。
n升级虚拟机—要将虚拟机从VMS-2升级到VMS-
3，请右键单击”清单“面板中的虚拟机，然后选择升级虚拟机。
esxcfg-scsidevs 打印VMkernel存储设备至服务控制台设备的映射。
此命令不存在vSphereClient等效指令。
194 VMware,Inc. 附录AESX技术支持命令表A-
1。
ESX技术支持命令（续）服务控制台命令命令用途和vSphereClient过程 esxcfg-vmknic 创建和更新VMotion、NAS和iSCSI的VMkernelTCP/IP设置。
要在vSphereClient中设置VMotion、NFS或iSCSI网络连接，请单击网络>添加网络。
选择VMkernel，然后一步步完成添加网络向导。
在连接设置步骤中定义IP地址子网掩码和VMkernel默认网关。
要查看设置，请单击VMotion、iSCSI或NFS端口左侧的蓝色图标。
要编辑任何这些设置，请单击交换机的属性。
从交换机属性对话框上的列表中选择端口，然后单击编辑以打开端口属性对话框，然后更改端口的设置。
esxcfg-vswif 创建和更新服务控制台网络设置。
如果因网络配置问题无法通过vSphereClient管理ESX主机，则使用此命令。
要在vSphereClient中设置服务控制台连接，请单击网络>添加网络。
选择服务控制台，然后一步步完成“添加网络向导”。
在连接设置步骤中定义IP地址子网掩码和服务控制台默认网关。
要查看设置，请单击服务控制台端口左侧的蓝色图标。
要编辑任何这些设置，请单击交换机的属性。
从交换机属性对话框上的列表中选择服务控制台端口。
单击编辑以打开端口属性对话框，然后更改端口设置。
esxcfg-vswitch 创建和更新虚拟机网络设置。
要在vSphereClient中设置虚拟机连接，请单击网络>添加网络。
选择虚拟机，然后一步步完成添加网络向导。
要查看设置，请单击虚拟机端口组左侧的语言泡状图标。
要编辑任何这些设置，请单击交换机的属性。
从交换机属性对话框上的列表中选择虚拟机端口，然后单击编辑以打开端口属性对话框，然后更改端口的设置。
VMware,Inc. 195 ESX配置指南 196 VMware,Inc. 用于ESX的Linux命令
B 为了支持特定的内部操作，ESX安装包括标准Linux配置命令的子集，例如网络和存储器配置命令。
使用这些命令执行配置命令可能导致严重的配置冲突并造成部分ESX功能不可用。
除非vSphere文档中另有说明或者得到VMware技术支持人员指示，否则在配置ESX时始终通过vSphereClient工作。
VMware,Inc. 197 ESX配置指南 198 VMware,Inc. 使用vmkfstools
C 可以使用vmkfstools实用程序来创建和操作VMwareESX主机上的虚拟磁盘、文件系统、逻辑卷和物理存储设备。
使用vmkfstools可以在磁盘的物理分区上创建和管理虚拟机文件系统(VMFS)。
还可以使用此命令操作文件，例如存储在VMFS-
2、VMFS-3和NFS上的虚拟磁盘文件。
可使用vSphereClient执行大多数vmkfstools操作。
本附录讨论了以下主题： n第199页，“vmkfstools命令语法”n第200页，“vmkfstools选项” vmkfstools命令语法一般而言，不需要以root用户身份登录来运行vmkfstools命令。
但是，某些命令（例如文件系统命令），可能需要以root用户身份登录。
下面是与vmkfstools命令配合使用的参数： n为一个或多个命令行选项及相关联的参数，用于指定vmkfstools要执行的活动，例如，在创建新虚拟磁盘时选择磁盘格式。
输入选项以后，通过输入/vmfs层次结构中的相对或绝对文件路径名，指定要在其中执行操作的文件或VMFS文件系统。
n指定文件分区。
此参数采用vml.:P格式，其中是由存储阵列返回的设备ID，而P是表示分区号的整数。
分区数字必须大于零
(0)，并对应于类型为fb的有效VMFS分区。
n指定设备或逻辑卷。
此参数使用ESX设备文件系统中的路径名。
路径名以/vmfs/devices开头，这是设备文件系统的挂载点。
指定不同类型的设备时，具体格式如下： n/vmfs/devices/disks适用于本地磁盘或基于SAN的磁盘。
n/vmfs/devices/lvm适用于ESX逻辑卷。
n/vmfs/devices/generic适用于通用SCSI设备，例如磁带驱动器。
n指定VMFS文件系统或文件。
此参数是对目录符号链接、裸机映射或/vmfs下的文件进行命名的绝对或相对路径。
n要指定VMFS文件系统，请使用以下格式：/vmfs/volumes/ VMware,Inc. 199 ESX配置指南或/vmfs/volumes/n要指定VMFS文件，请使用以下格式：/vmfs/volumes//[dir]/myDisk.vmdk如果当前的工作目录是myDisk.vmdk的父目录，则不必输入完整路径。
例如，/vmfs/volumes/datastore1/rh9.vmdk vmkfstools选项 vmkfstools命令有多个选项。
其中的一些选项仅建议高级用户使用。
长格式和单字母格式的选项表示相同含义。
例如，下面的命令是一样的。
vmkfstools--createfsvmfs3--blocksize2mvml.:1vmkfstools-Cvmfs3-b2mvml.:
1 -v子选项-v子选项表示命令输出的详细级别。
该子选项的格式如下： -v--verbose可以指定的值，范围是从1到10的整数。
使用任何vmkfstools选项都可以指定-v子选项。
如果选项的输出不适合于-v子选项，则vmkfstools将忽略-v。
注意由于可以将-v子选项包含在任何vmkfstools命令行中，因此-v不作为子选项纳入选项描述中。
文件系统选项文件系统选项可用于创建VMFS文件系统。
这些选项不适用于NFS。
这些任务中有许多是可以通过vSphereClient执行的。
创建VMFS文件系统使用vmkfstools命令可以创建VMFS文件系统。
-C--createfsvmfs3-b--blocksizekK|mM-S--setfsname本选项将在指定的SCSI分区（例如vml.:1）上创建VMFS-3文件系统。
该分区将成为文件系统的主分区。
在任何ESX主机上，VMFS-2文件系统都是只读的。
您不能创建或修改VMFS-2文件系统，但可以读取VMFS-2文件系统上存储的文件。
VMFS-3文件系统不能从ESX2.x主机进行访问。
小心一个LUN只能有一个VMFS卷。
200 VMware,Inc. 附录C使用vmkfstools 可以与-C选项一同指定以下子选项：n-b--blocksize–定义VMFS-3文件系统的块大小。
默认的块大小为1MB。
指定的值必须是 128KB的倍数，最小值为128KB。
输入大小值时，请加上后缀m或M以表明单位类型。
单位类型不区分大小写—vmkfstools会将m或M的含义理解为兆字节，将k或K的含义理解为千字节。
n-S--setfsname-为正在创建的VMFS-3文件系统定义VMFS卷的卷标。
此子选项只与-C选项结合使用。
指定的卷标最多为128个字符，并且在开头和结尾不能包含空格。
在定义卷标之后，则可以在为vmkfstools命令指定VMFS卷时使用此卷标。
卷标将显示在为Linuxls-l命令生成的列表中，并且作为指向/vmfs/volumes目录下VMFS卷的符号链接。
要更改VMFS卷标，请使用Linuxln-sf命令。
可参考以下示例：ln-sf/vmfs/volumes//vmfs/volumes/是用于VMFS的新卷标。
创建VMFS文件系统的示例此示例说明如何在vml.:1分区上创建名为my_vmfs的新VMFS-3文件系统。
文件块大小为1MB。
vmkfstools-Cvmfs3-b1m-Smy_vmfs/vmfs/devices/disks/vml.:
1 扩展现有的VMFS-3卷使用vmkfstools命令可以将数据区添加到VMFS卷。
-Z--extendfs

此选项将为以前创建的VMFS卷添加另一个数据区。
必须指定完整路径名称（例如/vmfs/devices/disks/vml.:1），而不只是短名称（例如vml.:1）。
每次使用此选项时，都会使用新数据区扩展VMFS-3卷，因此该卷将跨多个分区。
逻辑VMFS-3卷最多可以包含32个物理数据区。
小心运行此选项时，之前在中指定的SCSI设备上保存的所有数据均将丢失。
扩展VMFS-3卷的示例此示例允许逻辑文件系统跨到新分区，以对其进行扩展。
vmkfstools-Z/vmfs/devices/disks/vml.:1/vmfs/devices/disks/vml.:1扩展后的文件系统跨越两个分区—vml.:1和vml.:
1。
在此示例中，vml.:1是主分区的名称。
列出VMFS卷的属性使用vmkfstools命令可以列出VMFS卷的属性。
-P--queryfs -h--human-readable当此选项用于任何驻留在VMFS卷上的文件或目录时，它将列出指定卷的属性。
列出的属性包括VMFS版本号（VMFS-2或VMFS-3）、包含指定的VMFS卷的数据区个数、卷标（如果有）、UUID以及各个数据区所驻留的设备名称列表。
注意如果任何设备的后备VMFS文件系统脱机，则数据区的数量以及可用的空间也将相应更改。
可以在使用-P选项时指定-h子选项。
如果这样，则vmkfstools将以可读性更强的形式（例如，5k、12.1M或2.1G）列出卷容量。
VMware,Inc. 201 ESX配置指南将VMFS-2升级到VMFS-3可以将VMFS-2文件系统升级到VMFS-
3。
小心VMFS-2至VMFS-3的转换是一种单向过程。
将VMFS-2卷转换成VMFS-3后，就不能再转换回VMFS-2卷。
仅当VMFS-2文件系统的文件块大小未超过8MB时，才可对其进行升级。
升级文件系统时，请使用以下选项：n-T--tovmfs3-x--upgradetype[zeroedthick|eagerzeroedthick|thin] 该选项将VMFS-2文件系统转换成VMFS-
3，同时保留文件系统中的所有文件。
转换之前，请使用模块选项fsauxFunction=upgrade卸载vmfs2和vmfs3驱动程序并加载辅助文件系统驱动程序fsaux。
必须使用-x--upgradetype子选项将升级类型指定为以下任一种：n-xzeroedthick（默认）-保留VMFS-2厚文件的属性。
通过zeroedthick文件格式，磁盘空间将分配至文件以备将来使用，并且未使用的数据块也不会置零。
n-xeagerzeroedthick–转换时将厚文件中的未使用数据块置零。
如果使用此子选项，则升级过程会比使用其他选项要长得多。
n-xthin–将VMFS-2厚文件转换成精简置备的VMFS-3文件。
与thick文件格式相反，精简置备的格式不允许为文件分配额外空间以备将来使用，它采用的是按需使用空间。
转换时将放弃thick文件中未使用的块。
在转换期间，ESX文件锁定机制将确保没有其他本地进程访问正在转换的VMFS卷，同时也必须确保没有远程的ESX主机正在访问此卷。
转换可能需时几分钟，完成后将返回到命令提示符。
转换后，卸载fsaux驱动程序并加载vmfs3和vmfs2驱动程序以继续正常操作。
n-u--upgradefinish此选项可完成升级。
虚拟磁盘选项虚拟磁盘选项可用于设置、迁移和管理存储在VMFS-
2、VMFS-3和NFS文件系统中的虚拟磁盘。
其中的大部分任务也可以通过vSphereClient执行。
受支持的磁盘格式创建或克隆虚拟磁盘时，可以使用-d--diskformat子选项来指定磁盘格式。
从以下格式中选择：nzeroedthick（默认）-创建时为虚拟磁盘分配所需空间。
创建时不会擦除物理设备上保留的任何数据，但是以后从虚拟机首次执行写操作时会按需要将其置零。
虚拟机不从磁盘读取失效数据。
neagerzeroedthick-创建时为虚拟磁盘分配所需空间。
与zeroedthick格式相比，在创建时会将物理设备上保留的数据置零。
创建这种格式的磁盘所需的时间可能会比创建其他类型的磁盘长。
nthick-创建时为虚拟磁盘分配所需空间。
这种类型的格式化不会将可能存在于该分配空间中的任何旧数据置零。
非root用户不允许创建此格式。
nthin-精简置备的虚拟磁盘。
与thick格式不同，它在创建时不会为虚拟磁盘分配所需的空间，只会在将来需要时再提供或置零。
nrdm-虚拟兼容模式裸磁盘映射。
nrdmp-物理兼容模式（直通）裸磁盘映射。
nraw-裸设备。
202 VMware,Inc. 附录C使用vmkfstools n2gbsparse-最大数据区为2GB的稀疏磁盘。
可将此格式的磁盘用于其他VMware产品，但是，除非先使用vmkfstools以兼容的格式（例如thick或thin）重新导入磁盘，否则无法在ESX主机上启动稀疏磁盘。
nmonosparse–单片式稀疏磁盘。
可将此格式的磁盘用于其他VMware产品。
nmonoflat–单片式平面磁盘。
可将此格式的磁盘用于其他VMware产品。
注意对于NFS只能使用thin、thick、zerodthick和2gbsparse等磁盘格式。
thick、zeroedthick和thin通常具有相同的意义，因为决定分配策略的是NFS服务器而非ESX主机。
大多数NFS服务器上的默认分配策略是thin。
创建虚拟磁盘使用vmkfstools命令可以创建虚拟磁盘。
-c--createvirtualdisk[kK|mM|gG]-a--adaptertype[buslogic|lsilogic]-d--diskformat[thin|zeroedthick|eagerzeroedthick]此选项将在VMFS卷上的指定路径创建虚拟磁盘。
指定虚拟磁盘的大小。
为输入值时，可以加上k（千字节）、m（兆字节）或g（千兆字节）等后缀以指明其单位类型。
单位类型不区分大小写—vmkfstools将k或K的含义理解为千字节。
如果不指定单位类型，vmkfstools将默认为字节。
可以与-c选项一同指定以下子选项。
n-a指定用于与虚拟磁盘进行通信的设备驱动程序。
可以在BusLogic和LSILogicSCSI这两个驱动程序间选择。
n-d指定磁盘格式。
创建虚拟磁盘的示例此示例说明如何在名为myVMFS的VMFS文件系统中创建一个名为rh6.2.vmdk、大小为2GB的虚拟磁盘文件。
此文件表示一个可由虚拟机访问的空虚拟磁盘。
vmkfstools-c2048m/vmfs/volumes/myVMFS/rh6.2.vmdk 初始化虚拟磁盘使用vmkfstools命令可以初始化虚拟磁盘。
-w--writezeros此选项通过在虚拟磁盘的所有数据上写入零数据以将其清空。
完成此命令的时间可能较长，具体取决于虚拟磁盘的大小以及承载虚拟磁盘的设备的I/O带宽。
小心使用此命令时将丢失虚拟磁盘上的所有现有数据。
填充精简虚拟磁盘使用vmkfstools命令可以填充精简虚拟磁盘。
-j--inflatedisk此选项将thin虚拟磁盘转换成eagerzeroedthick，并保留所有现有数据。
此选项对尚未分配的任何块进行分配和置零。
删除虚拟磁盘此选项将删除与VMFS卷上指定路径中列出的虚拟磁盘相关联的文件。
-U--deletevirtualdisk VMware,Inc. 203 ESX配置指南重命名虚拟磁盘此选项将重命名与在命令行的路径规范部分中列出的虚拟磁盘相关联的文件。
您必须指定原始文件名或文件路径，以及新文件名或文件路径。
-E--renamevirtualdisk 克隆虚拟磁盘或裸磁盘此选项将创建指定虚拟磁盘或裸磁盘的副本。
-i--importfile-d--diskformat[rdm:|rdmp:|raw:|thin|2gbsparse|monosparse|monoflat]可以将-d子选项与-i选项一起使用。
此子选项将为所创建的副本指定磁盘格式。
不允许非root用户克隆虚拟磁盘或裸磁盘。
注意要克隆ESXRedo日志，同时保留其层次结构，请使用cp命令。
克隆虚拟磁盘的示例此示例说明如何将主虚拟磁盘的内容从templates存储库克隆到myVMFS文件系统上名为myOS.vmdk的虚拟磁盘文件中。
vmkfstools-i/vmfs/volumes/templates/gold-master.vmdk/vmfs/volumes/myVMFS/myOS.vmdk可以通过将配置行添加到虚拟机配置文件来将虚拟机配置为使用此虚拟磁盘，如下例所示：scsi0:0.present=TRUEscsi0:0.fileName=/vmfs/volumes/myVMFS/myOS.vmdk 迁移VMwareWorkstation和VMwareGSXServer虚拟机不能使用vSphereClient将通过VMwareWorkstation或VMwareGSXServer创建的虚拟机迁移到ESX系统中。
但是，可以使用vmkfstools-i命令将虚拟磁盘导入ESX系统，然后将此磁盘附加到在ESX中创建的新虚拟机上。
必须先导入虚拟磁盘，因为不能在ESX主机上启动以2gbsparse格式导出的磁盘。
步骤1将Workstation或GSXServer磁盘导入/vmfs/volumes/myVMFS/目录或任何子目录。
2在vSphereClient中，使用自定义配置选项创建新虚拟机。
3配置磁盘时，选择使用现有虚拟磁盘并连接已导入的Workstation或GSXServer磁盘。
扩展虚拟磁盘此选项可在创建虚拟机后，对分配至虚拟机的磁盘大小进行扩展。
-X--extendvirtualdisk[kK|mM|gG]输入此命令之前，必须先关闭使用此磁盘文件的虚拟机。
必须更新磁盘上的文件系统，以便客户机操作系统能够识别和使用新的磁盘大小，并利用额外的空间。
通过分别添加k（千字节）、m（兆字节）或g（千兆字节）等后缀，可以将newSize参数指定为千字节、兆字节或千兆字节。
单位类型不区分大小写—vmkfstools将k或K的含义理解为千字节。
如果不指定单位类型，vmkfstools将默认为千字节。
上述newSize参数将重新定义整个磁盘的大小，而不是定义给磁盘增加的大小。
204 VMware,Inc. 附录C使用vmkfstools 例如，要给4G的虚拟磁盘增加1G，则输入：vmkfstools-X5g.dsk 注意请勿对具有相关快照的虚拟机的基础磁盘进行扩展。
否则，您再也不能提交快照或将基础磁盘转换回原始大小。
将VMFS-2虚拟磁盘迁移至VMFS-3此选项可以将指定的虚拟磁盘文件从ESXServer2格式转换成ESX格式。
-M--migratevirtualdisk 创建虚拟兼容性模式裸机映射此选项将在VMFS-3卷上创建裸机映射(RDM)文件，并将裸磁盘映射至该文件。
在建立映射后，便可以像访问普通VMFS虚拟磁盘那样访问裸磁盘。
映射文件的长度与其所指向的裸磁盘的大小相同。
-r--createrdm当指定参数时，具体格式如下：/vmfs/devices/disks/vml. 注意所有的VMFS-3文件锁定机制均适用于RDM。
创建虚拟兼容模式RDM的示例在此示例中，创建名为my_rdm.vmdk的RDM文件，并将vml.裸磁盘映射到该文件。
vmkfstools-r/vmfs/devices/disks/vml.my_rdm.vmdk通过将下行添加到虚拟机配置文件中，可以将虚拟机配置为使用my_rdm.vmdk映射文件：scsi0:0.present=TRUEscsi0:0.fileName=/vmfs/volumes/myVMFS/my_rdm.vmdk 创建物理兼容模式裸机映射通过此选项，可以将直通裸设备映射到VMFS卷上的文件。
该映射使虚拟机在访问其虚拟磁盘时能够规避ESXSCSI命令的筛选。
当虚拟机需要发送专用的SCSI命令时，例如当SAN感知软件在虚拟机中运行时，此类映射将非常有用。
-z--createrdmpassthru在建立了此类映射后，便可以使用该映射像访问任何其他VMFS虚拟磁盘那样访问裸磁盘了。
当指定参数时，具体格式如下：/vmfs/devices/disks/vml. 列出RDM的属性此选项可列出裸磁盘映射的属性。
-q--queryrdm此选项将列出裸磁盘RDM的名称。
此选项还列出裸磁盘的其他标识信息，例如磁盘ID。
显示虚拟磁盘几何形状此选项可获得有关虚拟磁盘几何形状的信息。
-g--geometry VMware,Inc. 205 ESX配置指南输出内容的形式如下：GeometryinformationC/H/S，其中C代表磁道的数量，H代表磁头的数量，而S代表扇区的数量。
注意在将VMwareWorkstation虚拟磁盘导入ESX主机时，可能会看到磁盘几何形状不匹配的错误消息。
磁盘几何形状不匹配也可能是因为加载客户机操作系统或运行新创建的虚拟机时出现了问题。
管理LUN的SCSI预留-L选项可用于为物理存储设备执行管理任务。
其中的大部分任务可以通过vSphereClient执行。
-L--lock[reserve|release|lunreset|targetreset|busreset]通过该选项，可以预留SCSILUN（使其供ESX主机专用）、解除预留（使其他主机可以访问LUN）和重置预留（以强制从目标解除所有预留）。
小心使用-L选项可以中断SAN中其他服务器的操作。
仅在排除群集设置故障时使用-L选项。
除非得到VMware的特别通知，否则决不要针对承载VMFS卷的LUN使用此选项。
可以通过几种方式指定-L选项：n-Lreserve–预留指定的LUN。
预留指定的LUN后，只有预留该LUN的服务器才能访问它。
如果其他服务器尝试访问该LUN，将导致预留错误。
n-Lrelease–解除对于指定LUN的预留。
其他服务器可再次访问该LUN。
n-Llunreset–重置指定的LUN，方法是清除LUN上的所有预留，并使LUN再次对所有服务器可用。
重置对设备上的其他LUN没有影响。
在设备上预留的其他LUN仍保持预留状态。
n-Ltargetreset–重置整个目标。
重置将清除与该目标关联的所有LUN上的各个预留，并使LUN再次对所有服务器可用。
n-Lbusreset–重置总线上所有可访问的目标。
重置将清除可通过总线访问的所有LUN上的任何预留，并使其再次对所有服务器可用。
当输入参数时，具体格式如下：/vmfs/devices/disks/vml.:
P 206 VMware,Inc. 索引数字 802.1Q和ISL标记攻击141
A 安全带有VLAN的虚拟机138单台主机中的DMZ125,127对虚拟机的建议176服务控制台128,159概述123功能123iSCSI存储器143架构123密码强度168PAM身份验证147权限149认证129扫描软件171setuid和setgid标记168VLAN跳转140VMkernel124vmware-authd147vmware-hostd147VMware策略129修补程序171虚拟化层124虚拟机124虚拟交换机端口142虚拟网络连接层125资源保证和限制124 安全部署多客户开放173,175多客户限制174 安全策略,dvPort47,48
B 绑定策略dvPort43dvPort组42vSwitch40 被动磁盘阵列107被阻止的端口,dvPort51本地SCSI存储器,概述79本机多路径插件101,102 VMware,Inc.
C CA签署证书154CDP24,25插件 pam_cracklib.so164pam_passwdqc.so167超时,SSL155CHAP单向85对于发现目标87对于iSCSI启动器86对于静态目标87禁用88双向85CHAP身份验证85,143,144CHAP身份验证方法85重新扫描路径发生故障时89,90路径屏蔽89,90LUN创建89,90创建主机配置文件184,185CIM和防火墙端口135磁盘,格式109磁盘格式厚置备108精简置备108NFS91磁盘阵列主动-被动107主动-主动107Cisco发现协议24,25,29Cisco交换机24从组中移除用户153存储空间108存储器本地68本地SCSI79概述67光纤通道80iSCSI80类型67联网68NFS91SAN80适配器69 207 ESX配置指南通过VLAN和虚拟交换机确保安全140未共享109虚拟机访问73已置备109由虚拟机使用109在vSphereClient中查看74置备108存储设备标识符70查看75路径106名称70为适配器显示76为主机显示76运行时名称70存储适配器查看75复制名称75光纤通道80在vSphereClient中查看74存储阵列类型插件102
D 待机上行链路40,42,43待机适配器24带宽峰值49平均49带宽峰值49,50代理服务更改157加密153当前的多路径状况106单向CHAP85单一故障点79导出主机用户151主机组151刀片服务器和虚拟网络61配置VMkernel端口61配置虚拟机端口组61DHCP22第2层安全45第三方交换机27第三方软件支持策略129DMZ127DNS51动态发现,配置84动态发现地址84断开连接时配置重置,dvPort组31端口,服务控制台21 208 端口绑定83,103端口名称格式,dvPort组31端口配置23端口组第2层安全46定义13流量调整49使用18端口阻止,dvPort组51多播暴力攻击141多路径插件,路径声明105多路径备用路径106查看当前的状况106活动路径106已断开路径106已禁用路径106多路径策略107多路径状况106dvPort绑定和故障切换策略43被阻止的端口51端口策略51负载平衡43故障恢复43故障切换顺序43流量调整策略50属性31通知交换机43VLAN策略45网络故障切换检测43dvPort组绑定和故障切换策略42断开连接时配置重置31端口名称格式31端口数30端口组类型30端口阻止51负载平衡42故障恢复42故障切换顺序42流量调整策略50描述30名称30实时端口移动31添加30替代设置31通知交换机42网络故障切换检测42虚拟机37在主机上绑定31 VMware,Inc. DVSCisco发现协议29管理员联系信息29IP地址29添加VMkernel网络适配器34最大端口数29最大MTU29 dvUplink28
E ESX,命令参考手册193esxcfg命令193
F 防病毒软件,安装176防火墙配置137用于服务访问136用于管理代理访问136防火墙端口安全级别160–162备份代理160服务控制台160–163概述131关闭163管理135加密153具有vCenterServer的配置131连接到vCenterServer133连接虚拟机控制台134没有vCenterServer的配置133SDK和虚拟机控制台134使用vSphereClient打开135vSphereClient和vCenterServer131vSphereClient和虚拟机控制台134vSphereClient直接连接133vSphereWebess和vCenterServer131vSphereWebess和虚拟机控制台134vSphereWebess直接连接133在服务控制台中打开162支持的服务135主机到主机135自动服务行为136访问存储器73发现地址84动态84静态85分区映射114FTP和防火墙端口135 VMware,Inc. 索引服务启动137自动136 服务控制台安全128打开防火墙端口162登录160防火墙安全160防火墙端口162隔离140关闭防火墙端口163故障排除63可确保安全的建议159密码插件167密码限制163setgid应用程序168setuid应用程序168SSH连接170通过VLAN和虚拟交换机确保安全140VLAN22网络策略22远程连接160直接连接160 服务控制台网络故障排除62,63配置21 负载平衡40,42,43
G 隔离VLAN125虚拟机124虚拟交换机125虚拟网络连接层125 更改主机代理服务157攻击 802.1Q和ISL标记141多播暴力141跨树141MAC洪水141双重封装141随机帧141光纤通道SAN,WWN69光纤通道68光纤通道存储器,概述80管理访问防火墙136TCP和UDP端口137管理员角色150,151管理员联系信息29挂载VMFS数据存储99“固定”路径策略102,107 209 ESX配置指南故障恢复40,42,43故障切换40,101故障切换策略 dvPort43 dvPort组42vSwitch40故障切换路径,状态106故障切换顺序40,42,43
H 活动上行链路40,42,43活动适配器24
I IDE68协议39IP存储端口组,创建19,34IP地址29,70IPv439IPv639iSCSI 安全143保护传输数据144保护端口安全144QLogiciSCSI适配器143软件客户端和防火墙端口135身份验证143网络60iSCSI别名70iSCSI存储器启动器80软件启动80硬件启动80iSCSIHBA,别名82iSCSI名称70iSCSI启动器高级参数88配置CHAP86配置高级参数89设置CHAP参数85硬件81iSCSISAN身份验证,禁用144iSCSI网络,创建VMkernel端口 60,83
J 加密启用和禁用SSL153 用于用户名,密码,数据包153 证书153 将用户添加到组153 剪切和粘贴,为客户机操作系统禁用177 210 兼容模式物理114虚拟114 交换机,vNetwork35精简磁盘,创建108静态发现地址84静态发现,配置85禁用对vSphereWebess和SDK禁用SSL156iSCSISAN身份验证144可变信息大小178客户机操作系统的日志记录179,180setgid应用程序168setuid应用程序168虚拟机的剪切和粘贴177禁用路径108卷再签名99,100角色安全150管理员150和权限150默认150无权访问150只读150巨帧启用55虚拟机53,55
K 可插入存储架构101客户机操作系统安全建议176禁用剪切和粘贴177禁用日志记录179,180日志记录级别179限制可变的信息大小178客户机操作系统的可变信息大小禁用178限制178块设备114跨树攻击141
L 流量调整端口组49vSwitch49 流量调整策略dvPort50dvPort组50 路径禁用108首选106 路径策略更改默认值107 VMware,Inc. 固定102,107MRU107循环102,107最近使用102,107路径管理101路径故障103路径故障重新扫描89,90路径故障切换,基于主机的103路径旁边的*106路径旁边的星号106路径声明105路径选择插件102LUN创建,和重新扫描89,90多路径策略107进行更改和重新扫描89屏蔽更改和重新扫描90设置多路径策略107裸机映射,请参见RDM111路由51
M MAC地址配置52生成52 MAC地址更改142MAC洪水141密码标准164插件164长度164重用规则166服务控制台163复杂度164,167pam_cracklib.so插件164pam_passwdqc.so插件167时效164时效限制164限制163,164主机163,164,166,167密码强度,连接168ESX命令参考手册193默认证书,用CA签署证书替换154MPP,，请参见多路径插件MRU路径策略107MTU54目标69
N NAS,挂载60NAT39Nessus171 VMware,Inc. 索引 NetQueue,禁用56NFS,防火墙端口135NFS存储器概述91添加92NFS数据存储,卸载96NIS和防火墙端口135NMP,路径声明105NTP136 P pam_cracklib.so插件164pam_passwdqc.so插件167配置动态发现84静态发现85RDM117SCSI存储器90平均带宽50PSA,，请参见可插入存储架构PSP,，请参见路径选择插件
Q 权限概述149和特权149root用户149vCenterServer管理员149vpxuser149用户149,150
R RAID设备114RDM 创建117动态名称解析115概述111和快照114和VMFS格式114和虚拟磁盘文件117群集117物理兼容模式114虚拟兼容模式114优点112认证,安全129日志记录,为客户机操作系统禁用179,180日志记录级别,客户机操作系统179日志文件限制大小179限制数量179root登录权限149SSH170 211 ESX配置指南软件iSCSI和故障切换103网络83诊断分区92 软件iSCSI启动器配置82启用83设置发现地址84
S SAS68SATA68SCSI,vmkfstools199SDK,防火墙端口和虚拟机控制台134setgid 禁用应用程序168默认应用程序170应用程序168setinfo178setuid禁用应用程序168默认应用程序169应用程序168上行链路,移除33上行链路分配29上行链路适配器双工23速度23添加24稍后绑定端口组30设备断开连接,阻止178shell程序访问,授予152身份验证iSCSI存储器143vSphereClient到ESX147用户147,148组149身份验证守护进程147生成证书154声明规则105适配器,虚拟35实时端口移动,dvPort组31时效,密码限制164首选路径106双重封装攻击141双向CHAP85刷新89输出流量调整50数据存储查看属性77重命名95存储器超额订购110分组96 212 管理95管理副本99挂载99路径106NFS71刷新89添加数据区97VMFS71显示76卸载96在NFS卷上配置92在SCSI磁盘上创建90在vSphereClient中查看74增加容量97数据存储副本,挂载99数据区添加到数据存储97增加97输入流量调整50属性,dvPort31SMB和防火墙端口135SNMP和防火墙端口135SPOF79SSH安全设置170防火墙端口135服务控制台170配置170SSL超时155加密和证书153启用和禁用153随机帧攻击141
T TCP端口137特权和权限149添加 dvPort组30NFS存储器92添加VMkernel网络适配器19替代设置,dvPort组31替换,默认证书154TomcatWeb服务128通知交换机40,42,43突发大小49,50
U UDP端口137USB68 VMware,Inc. V vCenterServer防火墙端口131权限149通过防火墙连接133 vCenterServer用户148VLAN 安全138,140部署方案173第2层安全140定义13服务控制台140和iSCSI144VLAN跳转140为安全进行配置140专用32VLAN安全140VLAN策略dvPort45dvPort组45VLANID30VLAN类型45VLAN中继30,45VMFS共享173卷再签名99vmkfstools199VMFS卷再签名99VMFS数据存储创建72更改签名100更改属性97共享72配置90删除96添加数据区97卸载96再签名副本100增加容量97VMkernel安全124定义13配置19VMkernel适配器36VMkernel网络连接14VMkernel网络适配器,添加vmkfstools概述199文件系统选项200虚拟磁盘选项202语法199 19,34 VMware,Inc. 索引 VMotion定义13通过VLAN和虚拟交换机确保安全140网络配置19 VMotion接口,创建19,34vmware-hostd147VMwareNMP I/O流102另请参见本机多路径插件(增强型)53,55vNetwork标准交换机查看14第2层安全46端口配置23流量调整49vNetwork分布式交换机Cisco发现协议29第三方27管理员联系信息29IP地址29将虚拟机迁入或迁出37其他策略51添加VMkernel网络适配器34添加网卡到33添加主机到28VMkernel适配器36新建28最大端口数29最大MTU29vpxuser150vSphereClient安装了vCenterServer的防火墙端口131连接到虚拟机控制台的防火墙端口134用于直接连接的防火墙端口133vSphereWebess安装了vCenterServer的防火墙端口131和主机服务153禁用SSL156连接到虚拟机控制台的防火墙端口134用于直接连接的防火墙端口133vSwitch绑定和故障切换策略40查看14第2层安全46定义13端口配置23负载平衡40故障恢复40故障切换顺序40流量调整49使用17 213 ESX配置指南通知交换机40网络故障切换检测40
W 网卡,添加33网卡绑定,定义13网络安全138安全策略47,48网络地址转换39网络故障切换检测40,42,43网络适配器查看14,29服务控制台21网络最佳做法59委派用户91伪信号47,48,142文件系统,升级98物理交换机,故障排除63物理适配器,移除33无权访问角色150WWN69
X 循环路径策略102“循环”路径策略107虚拟磁盘,格式108虚拟化层,安全124虚拟机安全124安全建议176隔离125,127禁用剪切和粘贴177禁用日志记录179,180迁入或迁出vNetwork分布式交换机37网络37限制可变的信息大小178资源预留和限制124阻止断开设备178虚拟交换机802.1Q和ISL标记攻击141安全141部署方案173多播暴力攻击141和iSCSI144跨树攻击141MAC地址更改142MAC洪水141双重封装攻击141随机帧攻击141伪信号142杂乱模式142虚拟交换机安全140 214 虚拟交换机端口,安全142虚拟机网络连接14,18虚拟适配器,VMkernel36虚拟网络,安全138虚拟网络连接层和安全125虚拟网络适配器,移除36
Y 硬件iSCSI,和故障切换103硬件iSCSI启动器安装81查看81更改iSCSI名称82配置81设置发现地址84设置命名参数82硬件设备,移除177应用程序禁用可选168可选168–170默认169,170setgid标记168setuid标记168用户安全148查看用户列表151从Windows域148从主机移除152从组中移除153导出用户列表151关于151权限和角色148身份验证148添加到主机151添加到组153vCenterServer148在主机上修改152直接访问148用户角色管理员151无权访问150只读150用户权限,vpxuser150元数据,RDM114
Z 在主机上绑定,dvPort组31在主机上修改组153杂乱模式47,48,142,143早期绑定端口组30诊断分区,配置93证书对vSphereWebess和SDK禁用SSL156 VMware,Inc. 检查153密钥文件153默认153配置主机搜索156生成新154SSL153vCenterServer153vSphereWebess153位置153证书文件153只读角色150直接访问148直通设备,添加到虚拟机57指纹,主机153专用VLAN创建32次专用32移除32主32主动-被动磁盘阵列107主动-主动磁盘阵列107主机部署和安全173内存178添加到vNetwork分布式交换机28添加用户151添加组152指纹153主机到主机的防火墙端口135主机配置文件编辑185编辑策略186 索引创建新配置文件184从主机创建新配置文件185从主机连接实体187从主机配置文件视图创建新配置文件184从主机配置文件视图连接实体187导出185导入185访问184管理配置文件187检查合规性189,190连接实体187启用策略合规性检查186使用情况模型183应用配置文件188主机网络,查看14主机证书搜索156资源限制和保证,安全124组查看组列表151从主机移除152导出组列表151关于151权限和角色148身份验证149添加到主机152添加用户153在主机上修改153最大端口数29最大MTU29“最近使用”路径策略102,107 VMware,Inc. 215 ESX配置指南 216 VMware,Inc.

本文地址：https://www.apjn.cn/w/67/4091.html

声明：该资讯来自于互联网网友发布，如有侵犯您的权益请联系我们。

标签： #costco #culture #文件 #隐藏文件 #文件夹 #使用率 #文件 #文件夹