VMware ESXi 6.7 安装后必做的10项安全与性能配置(附命令行与Web界面操作)

发布时间:2026/7/5 2:10:06
VMware ESXi 6.7 安装后必做的10项安全与性能配置(附命令行与Web界面操作) VMware ESXi 6.7 安装后必做的10项安全与性能配置附命令行与Web界面操作对于已经完成VMware ESXi 6.7基础安装的运维人员来说系统优化与加固是确保虚拟化环境稳定运行的关键步骤。本文将深入解析10个核心配置项涵盖从网络设置到内核调优的全方位实践指南。1. 配置静态IP与管理网络为什么重要动态IP可能导致管理中断静态IP确保服务可预测性。Web界面操作路径访问https://ESXi_IP登录管理界面导航至主机 管理 网络选择vmk0适配器 点击编辑设置在IPv4配置中选择静态并填写IP地址子网掩码默认网关命令行实现esxcli network ip interface ipv4 set -i vmk0 -I 192.168.1.100 -N 255.255.255.0 -g 192.168.1.1 -t static提示配置后立即测试网络连通性避免因配置错误导致管理中断。2. 启用SSH并设置访问限制安全策略按需启用SSH限制访问源IP。操作步骤在Web界面主机 操作 服务 启用SSH配置防火墙规则esxcli network firewall ruleset set -r sshServer -e true esxcli network firewall ruleset allowedip add -r sshServer -i 192.168.1.50/32修改SSH超时设置编辑/etc/ssh/sshd_configecho ClientAliveInterval 300 /etc/ssh/sshd_config /etc/init.d/SSH restart3. 配置NTP时间同步关键作用确保日志时间准确性避免证书验证问题。最佳实践使用至少两个可靠的时间源配置时区为本地标准配置命令esxcli system time set -t Asia/Shanghai esxcli network firewall ruleset set -r ntpClient -e true esxcli system ntp set -s time1.vmware.com,time2.vmware.com esxcli system ntp set -e true验证命令esxcli system ntp status4. 设置syslog日志服务器日志管理方案对比方案类型优点缺点本地存储配置简单可能丢失历史日志远程syslog集中管理需要额外服务器vRealize Log Insight高级分析商业许可配置示例esxcli system syslog config set --loghostudp://192.168.1.200:514 esxcli system syslog reload5. 配置防火墙规则最小权限原则禁用所有非必要服务仅开放业务必需端口关键命令# 查看当前规则集 esxcli network firewall ruleset list # 禁用vMotion测试端口 esxcli network firewall ruleset set -r vMotion -e false6. 修改默认密码策略强化策略密码长度≥12字符复杂度要求大小写数字特殊字符90天强制更换实施方法# 编辑PAM配置 vi /etc/pam.d/passwd # 添加以下内容 password requisite /lib/security/$ISA/pam_passwdqc.so min12,12,12,12,12 passphrase37. 配置存储告警阈值智能监控设置空间使用≥80%警告空间使用≥90%严重警告延迟≥20ms性能警报配置路径Web界面存储 选择数据存储 监控 警报自定义阈值设置8. 启用Lockdown Mode安全场景生产环境必须启用测试环境可选择性启用启用命令vim-cmd hostsvc/admin_enable_lockdown例外配置esxcli system lockdownmode exceptions add -u vCenter_Service_Account9. 配置高级内核参数性能调优参数参数推荐值作用Mem.MemZipEnable1启用内存压缩Net.TcpipHeapSize32TCP/IP堆大小Disk.DiskMaxIOSize256最大IO尺寸设置方法esxcli system settings advanced set -o /Mem/MemZipEnable -i 1 esxcli system settings advanced set -o /Net/TcpipHeapSize -i 3210. 备份主机配置备份策略每周完整备份重大变更前即时备份备份命令vim-cmd hostsvc/firmware/backup_config恢复方法esxcli system maintenanceMode set -e true esxcli system settings advanced set -o /ISCSILoginTimeout -i 60 vim-cmd hostsvc/firmware/restore_config /tmp/configBundle.tgz自动化脚本示例#!/bin/sh DATE$(date %Y%m%d) BACKUP_DIR/vmfs/volumes/datastore1/backups vim-cmd hostsvc/firmware/backup_config -d $BACKUP_DIR/$DATE find $BACKUP_DIR -name *.tgz -mtime 30 -exec rm {} \;通过系统化实施这些配置ESXi主机的安全性和性能将得到显著提升。建议每次变更后通过esxcli system settings advanced list命令验证配置生效情况并建立定期检查机制确保配置持久有效。