¶ Importance
ESXi est la plate-forme de virtualisation sur laquelle vous pouvez créer et exécuter des machines virtuelles. Une configuration correcte de l’hôte ESXi garantit que les VMs fonctionnent dans un environnement fiable, sécurisé et performant.
¶ Leçons du module
- Installation et configuration d’ESXi
¶ Installation et configuration d’ESXi
¶ Objectifs d’apprentissage
- Décrire l’architecture d’un hôte ESXi
- Naviguer dans le Direct Console User Interface (DCUI) pour configurer un hôte ESXi
- Reconnaître les bonnes pratiques liées aux comptes utilisateurs
- Installer un hôte ESXi
- Configurer les paramètres de l’hôte ESXi
¶ À propos d’ESXi
ESXi est un hyperviseur bare-metal inclus dans vSphere. Une version gratuite est également disponible comme serveur autonome.
Caractéristiques principales d’ESXi :
- Sécurité élevée :
— Pare-feu basé sur l’hôte
— Renforcement mémoire (Memory hardening)
— Intégrité des modules du noyau
— Trusted Platform Module (TPM 2.0)
— UEFI secure boot
— Vidages mémoire chiffrés (encrypted core dumps) - Faible empreinte disque
- Démarrage rapide (Quick Boot) pour faciliter patchs et mises à jour
- Installable sur disques durs, SAN LUNs, SSD, SATADOM, et hosts sans disque
Pour vérifier que vos serveurs physiques sont compatibles avec ESXi 8.0, consultez le VMware Compatibility Guide à l’adresse suivante : https://www.vmware.com/resources/compatibility
Vous pouvez obtenir la version gratuite d’ESXi, appelée vSphere Hypervisor, ou acheter une version sous licence avec vSphere. ESXi peut être installé sur un disque dur, des SAN LUNs, un SSD ou un SATADOM. ESXi peut également être exécuté sur des hôtes sans disque (directement en mémoire) grâce à vSphere Auto Deploy.
Vous pouvez utiliser des périphériques de démarrage basés sur USB. Cependant, VMware recommande d’utiliser plutôt des périphériques SSD afin d’améliorer la fiabilité. Pour plus d’informations, consultez l’article 82515 de la base de connaissances VMware à l’adresse suivante : KB 82515
ESXi a une empreinte disque réduite pour plus de sécurité et de fiabilité. ESXi fournit une protection supplémentaire avec les fonctionnalités suivantes :
- Host-based firewall : pour minimiser le risque d’attaque via l’interface de gestion, ESXi inclut un pare-feu entre l’interface de gestion et le réseau.
- Memory hardening : le noyau ESXi, les applications en mode utilisateur et les composants exécutables, tels que les pilotes et les bibliothèques, sont placés à des adresses mémoire aléatoires et imprévisibles. Combiné avec les protections de mémoire non exécutable offertes par les microprocesseurs, le memory hardening rend difficile l’exploitation des failles mémoire par du code malveillant.
- Kernel module integrity : la signature numérique garantit l’intégrité et l’authenticité des modules, pilotes et applications lorsqu’ils sont chargés par le VMkernel.
- Trusted Platform Module (TPM 2.0) : élément matériel qui crée une plateforme de confiance. Cet élément confirme que le processus de démarrage et tous les pilotes chargés sont authentiques.
- UEFI secure boot : fonctionnalité destinée aux systèmes qui prennent en charge le firmware UEFI secure boot, contenant un certificat numérique auquel la chaîne des bundles VMware Infrastructure (VIBs) est liée. Au démarrage, un vérificateur est lancé avant les autres processus pour contrôler la chaîne de confiance des VIBs avec le certificat dans le firmware.
- ESXi Quick Boot : grâce à cette fonctionnalité, ESXi peut redémarrer sans réinitialiser le BIOS du serveur physique. Quick Boot réduit le temps de correction lors des opérations de mise à jour ou de correctifs sur l’hôte. Quick Boot est activé par défaut sur le matériel pris en charge.
¶ Prérequis pour l’installation d’ESXi
Configuration matérielle minimale pour ESXi 8.0 :
- Plateforme serveur supportée
- Au moins 2 cœurs CPU
- Minimum 8 Go de RAM physique (12 Go pour un environnement de production)
- Une ou plusieurs cartes Ethernet 1 Gbit/s ou plus rapides
- Disque de démarrage avec au moins 32 Go de stockage persistant
Pour obtenir la liste des plateformes serveurs prises en charge, des processeurs pris en charge et des modèles d’adaptateurs réseau compatibles, consultez le VMware Compatibility Guide à l’adresse suivante : https://www.vmware.com/resources/compatibility
¶ Installation interactive d’ESXi
Une installation interactive est recommandée pour les petits déploiements de moins de cinq hôtes.
Vous démarrez depuis le programme d’installation (installer) et suivez les instructions de l’assistant d’installation :
- Écran d’accueil
- Acceptation du EULA
- Sélection du disque
- Sélection du clavier
- Définition du mot de passe root
- Lancement de l’installation
Vous pouvez démarrer le programme d’installation d’ESXi à partir d’un CD ou DVD, d’un périphérique USB amorçable, ou en utilisant un démarrage PXE sur le réseau.
Pour obtenir la liste des plateformes serveurs prises en charge, des processeurs compatibles et des modèles d’adaptateurs réseau pris en charge, consultez le VMware Compatibility Guide à l’adresse suivante : https://www.vmware.com/resources/compatibility
¶ Configuration d’un hôte ESXi
Pendant l’installation, l’hôte ESXi reçoit une adresse IP via DHCP.
Vous utilisez le DCUI pour configurer certains paramètres comme les réglages réseau.
Le DCUI est une interface utilisateur en mode texte avec une interaction uniquement via le clavier.
Vous utilisez le Direct Console User Interface (DCUI) pour configurer certains paramètres des hôtes ESXi. Le DCUI est une interface de configuration et de gestion de bas niveau, accessible via la console du serveur, utilisée principalement pour la configuration initiale de base. Vous appuyez sur F2 pour commencer à personnaliser les paramètres système.
¶ Configuration du réseau de management
Vous devez configurer les paramètres du réseau de management avant que votre hôte ESXi ne soit opérationnel. Par défaut, une adresse IP attribuée par DHCP est configurée pour l’hôte ESXi.
Utilisez le DCUI pour configurer les paramètres du réseau de management :
- Sélection de l’adaptateur réseau
- VLAN ID
- Configuration IPv4 et IPv6 (adresse IP, masque de sous-réseau, passerelle par défaut)
- Nom d’hôte
- Serveurs DNS et suffixes
Vous pouvez effectuer les tâches de configuration suivantes du réseau de management depuis le DCUI :
- Configurer les paramètres VLAN
- Configurer l’adressage IPv4
- Configurer l’adressage IPv6
- Définir des suffixes DNS personnalisés
- Redémarrer le réseau de management (sans redémarrer le système)
- Tester le réseau de management (en utilisant des requêtes ping et DNS)
- Restaurer la configuration réseau d’origine (utile en cas de mauvaise configuration)
¶ Accès root
Depuis le DCUI, un administrateur peut :
- Changer le mot de passe root (mot de passe complexe uniquement)
- Activer/désactiver le lockdown mode :
— Limite la gestion de l’hôte à vCenter
— Configurable uniquement pour les hôtes gérés par vCenter
Le compte administrateur par défaut est root. Son mot de passe est défini lors de l’installation mais peut être changé via DCUI.
¶ Autres paramètres configurables via DCUI
Avec le DCUI, vous pouvez configurer la disposition du clavier, activer les services de dépannage, afficher les informations de support et consulter les journaux système.
Depuis le DCUI, vous pouvez modifier la disposition du clavier, afficher les informations de support telles que le numéro de série de licence de l’hôte, et consulter les journaux système. La disposition de clavier par défaut est U.S. English.
Vous pouvez utiliser les options de dépannage, désactivées par défaut, pour activer ou désactiver les services de dépannage :
- vSphere ESXi Shell : pour le dépannage des problèmes localement
- SSH : pour le dépannage des problèmes à distance en utilisant un client SSH, par exemple PuTTY
La bonne pratique consiste à garder les services de dépannage désactivés jusqu’à ce qu’ils soient nécessaires. Par exemple, lorsque vous travaillez avec le support technique VMware pour résoudre un problème.
En sélectionnant l’option Reset System Configuration, vous pouvez réinitialiser la configuration du système à ses valeurs logicielles par défaut et supprimer les extensions ou paquets personnalisés que vous avez ajoutés à l’hôte. Cette option supprime également le mot de passe root, ce qui pourrait permettre un accès non autorisé au système.
¶ Synchronisation horaire de l’hôte ESXi
Pour garantir une mesure du temps précise et une synchronisation entre l’hôte ESXi et les autres composants du réseau vSphere, vous pouvez synchroniser l’horloge d’un hôte ESXi avec une référence temporelle.
La synchronisation temporelle est importante :
- Pour obtenir des graphiques de performance précis
- Pour des horodatages exacts dans les journaux (log messages)
- Pour que les machines virtuelles disposent d’une source de synchronisation
La synchronisation de l’heure d’un hôte ESXi apporte les avantages suivants :
- Les données de performance peuvent être affichées et interprétées correctement.
- Des horodatages précis apparaissent dans les journaux, ce qui rend les logs d’audit et le dépannage pertinents.
- Les VMs peuvent synchroniser leur heure avec l’hôte ESXi. La synchronisation temporelle bénéficie aux applications, par exemple les applications de bases de données exécutées sur des VMs.
¶ Méthodes de synchronisation
Vous pouvez utiliser les options de synchronisation temporelle suivantes :
- Configuration manuelle
- NTP (Network Time Protocol), offrant une précision de l’ordre de la milliseconde
- PTP (Precision Time Protocol), offrant une précision de l’ordre de la microseconde
Vous pouvez configurer NTP ou PTP en utilisant VMware Host Client ou le vSphere Client.
Les services NTP et PTP ne peuvent pas fonctionner simultanément.
Pour plus d’informations sur l’utilisation de NTP et PTP sur les hôtes ESXi, consultez la section Synchronizing Clocks on the vSphere Network dans vCenter Server and Host Management à l’adresse suivante : https://docs.vmware.com/en/VMware-vSphere/index.html
¶ Configuration de NTP
Un hôte ESXi peut être configuré en tant que client NTP. Il peut synchroniser son horloge avec un serveur NTP sur Internet ou avec votre serveur NTP d’entreprise.
Le client NTP utilise le protocole UDP sur le port 123.
NTP est un protocole client-serveur. Lorsque vous configurez l’hôte ESXi comme client NTP, l’hôte synchronise son horloge avec un serveur NTP, qui peut être un serveur sur Internet ou votre serveur NTP d’entreprise.
Pour des informations générales sur NTP, consultez http://www.ntp.org
Pour plus de détails sur la configuration de NTP sur un hôte ESXi, consultez vCenter Server and Host Management, section Use NTP Servers for Time and Date Synchronization of a Host à l’adresse suivante : docs.vmware.com
¶ Configuration de PTP
PTP fournit un estampillage temporel basé sur le matériel pour les machines virtuelles et les hôtes au sein d’un réseau.
Le client PTP utilise le protocole UDP sur les ports 319 et 320.
Vous pouvez utiliser NTP comme solution de repli si le service PTP ne fonctionne pas.
PTP fournit une synchronisation temporelle très précise et permet à la fois l’estampillage logiciel et matériel sur les hôtes ESXi :
- Pour configurer l’estampillage matériel, sélectionnez PCI passthrough comme type d’adaptateur réseau.
- Pour configurer l’estampillage logiciel, sélectionnez VMkernel Adapter comme type d’adaptateur réseau.
Pour plus de détails sur la configuration de PTP sur un hôte ESXi, consultez la section Use PTP for Time and Date Synchronization of a Host dans vCenter Server and Host Management à l’adresse suivante : https://docs.vmware.com/en/VMware-vSphere/index.html
¶ Contrôle de l’accès distant à un hôte ESXi
Vous pouvez utiliser le vSphere Client pour personnaliser les paramètres de sécurité essentiels qui contrôlent l’accès distant à un hôte ESXi :
-
Le pare-feu ESXi est activé par défaut.
Le pare-feu bloque le trafic entrant et sortant, à l’exception du trafic activé dans les paramètres du pare-feu de l’hôte. -
Les services, tels que le client NTP et le client SSH, sont gérés par des utilisateurs disposant de privilèges administrateur.
-
Le Lockdown mode empêche les utilisateurs distants de se connecter directement à l’hôte. L’hôte est accessible uniquement via le DCUI ou vCenter.
Chaque hôte ESXi inclut un pare-feu. Sur les hôtes ESXi, les clients distants sont empêchés d’accéder aux services de l’hôte. De même, les clients locaux sont empêchés d’accéder aux services des hôtes distants. Pour vérifier l’intégrité de l’hôte, peu de ports sont ouverts par défaut. Pour activer ou empêcher l’accès à certains services ou clients, vous devez modifier les propriétés du pare-feu.
Vous pouvez configurer les paramètres du pare-feu pour les connexions entrantes et sortantes d’un service ou d’un agent de gestion. Pour certains services, vous pouvez gérer les détails du service.
Par exemple, vous pouvez utiliser START, STOP ou RESTART pour modifier temporairement l’état d’un service. Vous pouvez aussi changer la politique de démarrage afin que le service démarre avec l’hôte ou lors de l’utilisation d’un port. Pour certains services, vous pouvez spécifier des adresses IP, des plages d’adresses IP ou des sous-réseaux entiers à partir desquels les connexions sont autorisées.
¶ Gestion des comptes utilisateurs : bonnes pratiques
Lors de l’attribution de comptes utilisateurs pour accéder aux hôtes ESXi ou aux systèmes vCenter, vous devez suivre ces directives de sécurité :
- Contrôlez strictement l’accès root aux hôtes ESXi.
- Créez des mots de passe root robustes comportant au moins huit caractères. Utilisez des caractères spéciaux, des majuscules/minuscules et des chiffres. Changez les mots de passe régulièrement.
- Gérez les hôtes ESXi de manière centralisée via vCenter Server en utilisant le vSphere Client.
- Minimisez l’utilisation d’utilisateurs locaux sur les hôtes ESXi :
— Ajoutez les hôtes ESXi à un domaine et ajoutez les administrateurs concernés au groupe de domaine ESX Admins. Les utilisateurs de ce groupe de domaine ont des privilèges root sur les hôtes ESXi.
Sur un hôte ESXi, le compte utilisateur root est le compte le plus puissant du système. Le compte root peut accéder à tous les fichiers et exécuter toutes les commandes. Sécuriser ce compte est l’étape la plus importante que vous puissiez entreprendre pour protéger un hôte ESXi.
Dans la mesure du possible, utilisez le vSphere Client pour vous connecter au système vCenter Server et gérer vos hôtes ESXi. Dans certaines circonstances, par exemple lorsque le système vCenter Server est hors service, vous pouvez utiliser VMware Host Client pour vous connecter directement à l’hôte ESXi. Bien que vous puissiez aussi vous connecter à votre hôte ESXi via le vSphere ESXi Shell, ces méthodes d’accès doivent être réservées uniquement au dépannage ou à une configuration qui ne peut pas être réalisée avec VMware Host Client.
Si un hôte doit être géré directement, évitez de créer des utilisateurs locaux sur l’hôte. Si possible, joignez l’hôte à un domaine Active Directory et connectez-vous avec des identifiants de domaine.
¶ Lab 2 : Configuration d’un hôte ESXi
Via VMware Host Client :
- Ajouter un hôte ESXi à un serveur LDAP
- Se connecter à l’hôte ESXi comme utilisateur LDAP
- Activer SSH et vSphere ESXi Shell
- Configurer l’hôte ESXi comme client NTP
Retrouvez le lien du Lab en cliquant ici : Lab 2 : Configuration d’un hôte ESXi
¶ Révision des objectifs d’apprentissage
- Décrire l’architecture d’un hôte ESXi
- Naviguer dans le DCUI pour configurer un hôte ESXi
- Reconnaître les bonnes pratiques de gestion des comptes utilisateurs
- Installer un hôte ESXi
- Configurer les paramètres de l’hôte ESXi
¶ Points clés
- Le DCUI permet de configurer certains paramètres des hôtes ESXi.
- Sécuriser le compte root est essentiel, car c’est le compte le plus puissant de l’hôte.
- NTP assure une précision à la milliseconde, PTP à la microseconde.
Chapitre précédent : 2 - Vue d’ensemble de vSphere et de la virtualisation - Chapitre suivant : 4 - Déploiement et configuration de vCenter