当公司达到一定规模后，IT安全总会成为一个问题。在考虑VMware虚拟环境的总体安全性时，第一大措施就是限制对vCenter的访问。接下来，应该关注主机的安全性并采取措施使其更安全。本文介绍使VMware环境更为安全的四大措施。

　　1.限制对主机的访问

　　在ESXi 4中配置锁定模式

　　确保主机安全的第一个也是最容易的一个步骤就是启用锁定模式。这确保了与vCenter建立连接的主机只能够被vCenter管理。这还能够避免用户使用vSphere或者未通过vCenter进行通信的其他工具直接登录到ESXi主机。在ESXi 4中，登录到vCenter并选择你想保护的主机，单击安全性下的配置标签，导航到锁定模式，单击编辑然后启用锁定模式。如果使用的是ESXi 5，那么可以登录到控制台并使用直接控制台用户界面（DCUI）来启用锁定模式。

　　只有ESX 4及以上版本才支持锁定模式。在紧急情况下，你可以禁用锁定模式—例如，如果vCenter无法使用，那么可以直接登录到主机控制台并通过DCUI来禁用锁定模式。

　　2.确保网络安全

　　默认情况下，在创建vSwitch时，将禁用混杂模式但是允许MAC地址更改并接受伪信号。除非你的确需要这么做，否则应该拒绝MAC地址变更以及伪信号。请注意，一些负载均衡产品以及虚拟设备都使用了上述特性。

　　调整vSwitch安全性设置

　　为配置虚拟交换机安全性，选定主机然后依次选择配置，网络属性，编辑虚拟机vSwitch。选择安全性标签并在下拉列表中选择需要修改的选项，当然也可以在端口组级别进行上述配置。

　　有一点需要主意的地方就是如果你使用了端口组，除非你对端口组的配置进行了显式更改，那么端口组的设置将继承vSwitch的配置。

　　3.确保虚拟机安全

　　默认情况下，在使用vSphere应用程序时，客户端以及虚拟机之间的复制与粘贴操作处于启用状态。在安全环境中，这一配置并不合理。为解决这一问题，请选择你想禁用复制域粘贴操作的虚拟机，然后选择选项>高级。选择通用标签并输入如下内容（如果你只想启用复制或者粘贴当中的一项，那么可以选择使用如下配置）：

　　isolation.tools.copy.disable true

　　isolation.tools.paste.disable true

　　4.启用域认证

　　共享root密码在安全性方面带来了一些问题，通过更改认证方式可以很轻松地解决该问题。你可以很轻松地将主机配置为使用AD认证。

　　如下图所示，在启用该特性之前，你需要在称为ESX Admins的AD基础设施中创建一个组。

　　输入认证账号然后加入域

一旦完成了上述操作后，就能够针对主机启用AD认证了。找到存在问题的主机然后进入配置标签，单击右侧的属性菜单，这将打开目录服务配置菜单。在下拉菜单中选择目录服务类型然后选择活动目录。输入域名然后单击加入域按钮。这时你需要输入加入域的帐号密码。如果在使用域\用户名格式时存在问题，那么可以使用user@domain格式，相对来说后面的格式更好一些。

简单起见，你可能会发现将管理员组加入到ESX Admins组更恰当。然而，不要在ESX管理组中放置域管理组。如果ESX主机需要使用这种登录方式，那么域认证方式也可以用于DCUI控制台。