ESXi 7.0 U2部署后必做的5项关键配置
当你完成ESXi 7.0 U2的安装,看到管理界面时,真正的挑战才刚刚开始。一个未经配置的ESXi主机就像刚出厂的新车——它能跑,但远未达到最佳状态。本文将带你完成从基础网络配置到安全加固的全流程,让你的虚拟化平台既稳定又安全。
1. 从DHCP到静态IP:确保管理地址稳定
刚安装完成的ESXi默认通过DHCP获取IP地址,这在生产环境中是个潜在隐患。想象一下,当主机重启后IP发生变化,所有基于该IP的监控、备份脚本都会失效。通过控制台修改为静态IP是首要任务。
操作步骤:
- 在ESXi控制台按F2,输入root密码进入系统配置界面
- 选择"Configure Management Network" → "IPv4 Configuration"
- 将设置从"Use DHCP"改为"Set static IPv4 address and network configuration"
- 填写以下信息:
- IP地址:192.168.1.100(根据实际网络规划)
- 子网掩码:255.255.255.0
- 默认网关:192.168.1.1
提示:修改前建议记录原DHCP分配的IP信息作为参考,避免配置错误导致无法访问。
完成设置后,建议立即测试网络连通性。在控制台按Alt+F1进入命令行,使用ping命令验证网关和DNS是否可达。稳定的网络是后续所有管理操作的基础。
2. 处理自签证书警告:安全访问管理界面
首次通过浏览器访问ESXi管理界面时,你会遇到证书安全警告。这不是系统有问题,而是因为ESXi使用了自签名证书。虽然可以点击"继续前往"忽略警告,但长期来看有更好的解决方案。
三种处理方案对比:
| 方案 | 操作复杂度 | 安全性 | 适用场景 |
|---|---|---|---|
| 忽略警告 | 无需操作 | 低 | 临时测试环境 |
| 导入证书到本地 | 中等 | 中 | 个人开发环境 |
| 申请正式证书 | 复杂 | 高 | 生产环境 |
对于大多数实验室环境,导入证书到本地信任库是最佳平衡点。具体操作:
# 在Windows系统导出ESXi证书 openssl s_client -connect 192.168.1.100:443 -showcerts </dev/null 2>/dev/null | openssl x509 -outform PEM > esxi.crt # 将证书导入到受信任的根证书颁发机构 certmgr.msc → 受信任的根证书颁发机构 → 导入3. 探索HTML5管理界面:掌握资源监控技巧
ESXi 7.0完全转向了HTML5管理界面,告别了古老的Flash客户端。新界面不仅更现代,还提供了丰富的监控功能:
- 实时性能图表:CPU、内存、存储和网络使用率一目了然
- 告警中心:关键事件会在这里集中显示
- 任务管理器:查看后台运行的所有操作进度
重点关注指标:
- 内存使用率:ESXi会充分利用所有可用内存进行缓存,高使用率不一定是问题
- 存储延迟:超过20ms可能表示存储性能瓶颈
- 网络丢包率:任何非零值都需要调查
建议在完成安装后先花10分钟熟悉界面布局,特别是"监控"和"配置"两个标签页。了解这些信息的位置,将在故障排查时节省大量时间。
4. 基础安全加固:不止于修改默认密码
修改root密码只是安全的第一步。根据VMware安全指南,还需要完成以下配置:
账户与访问控制:
- 创建专属管理账户,减少直接使用root
- 设置复杂的密码策略(通过vSphere Client配置)
- 启用SSH访问审计(默认关闭)
服务最小化原则:
# 查看当前运行的服务 esxcli system service list | grep running # 禁用不必要的服务如: esxcli system service set --id=ssh --enabled=false防火墙规则优化:
- 进入"主机" → "管理" → "服务" → "安全配置文件"
- 点击"属性"编辑防火墙规则
- 仅开放必要的入站端口(如443用于管理界面)
注意:生产环境还应考虑配置主机防火墙和网络隔离,将管理流量与业务流量分离。
5. 存储与网络基础配置:为虚拟机部署做准备
在创建第一个虚拟机前,需要理解两个核心概念:
存储配置要点:
- 确认存储设备已被正确识别
- 理解ESXi支持的存储类型(VMFS vs NFS vs vSAN)
- 根据性能需求配置适当的存储策略
网络配置建议:
- 标准交换机:适合简单环境
- 创建虚拟交换机(vSwitch0)
- 添加物理网卡作为上行链路
- 分布式交换机:适合多主机环境
- 需要vCenter支持
- 提供更高级的网络功能
推荐初始配置流程:
- 检查存储设备是否显示在"存储"标签页
- 创建至少一个数据存储(VMFS或NFS)
- 验证网络连通性:
vmkping 8.8.8.8 - 创建端口组用于虚拟机网络
完成这些配置后,你的ESXi主机就已准备好运行虚拟机了。记得在正式部署业务前,先创建测试虚拟机验证所有功能是否正常。
)
)
