ESXiを構築する場合に当たり前にロックダウンモードを無効にしていたんですが、いざ、どういった意味で無効にするのかと調べたら、運用を考慮したものでした。
まず、ロックダウンモードはESXiのセキュリティを高めるための設定で、詳細は公式サイトに書かれています。
ESXi ホストでのロックダウン モードの有効化または無効化 (2079018)
https://kb.vmware.com/s/article/2079018
冒頭にもESXiのセキュリティを強化するものと書かれています。
ESXi ホストのセキュリティを強化するために、ホストをロックダウン モードに切り替えることができます。 この記事では、ESXi ホストでロックダウン モードを有効または無効にする方法を説明します。
vSphere 6.0 以降、標準のロックダウン モードまたは厳密なロックダウン モードを選択できるようになり、これによりロックダウンの度合を調整することができるようになったそうです。
標準のロックダウン モード:
標準のロックダウン モードでは、DCUI サービスは停止しません。 vCenter Server への接続が失われ、vSphere Web Client によるアクセスが利用できなくなると、権限のあるアカウントが ESXi ホストのダイレクト コンソール インターフェイスにログインしてロックダウン モードを終了することができます。
次のアカウントのみがダイレクト コンソール ユーザー インターフェイスにアクセスできます:
ホスト上で管理者権限を持つロックダウン モードの例外ユーザ一 リストに含まれるアカウント。 例外ユーザー リストは、特に指定されたタスクを実行するサービス アカウントのためのものです。 このリストに ESXi 管理者を追加すると、ロックダウン モードの目的を失うことになります。ホストの DCUI.Access 拡張オプションで定義されたユーザー このオプションは、vCenter Server への接続が失われた場合のダイレクト コンソール インターフェイスへの非常時アクセスに使用されます。 これらのユーザーはホスト上での管理者権限を必要としません。
厳密なロックダウン モード:
厳密なロックダウン モードでは DCUI サービスが停止します。 vCenter Server への接続が失われ、vSphere Web Client が利用できなくなると、ESXi Shell および SSH サービスが有効になって例外ユーザーが定義されない限り、ESXi ホストは利用できなくなります。 vCenter Server システムへの接続を復元できない場合は、ホストを再インストールする必要があります。
厳密なロックダウン モードはちょっと運用に向かないですね。ここまで厳しくする必要はないと思います。ESXi Shell および SSH サービスが有効になって例外ユーザーが定義されない限り、ESXi ホストは利用できなくなるとあります。セキュリティは高まりそうですが、便宜性が損なわれそうですね。
そして、DCUI、およびvSphere Web Clientにて、ロックダウンモードを有効、無効にする方法です。
【DCUI からロックダウン モードを有効または無効する手順】
①ESXi ホストに直接ログインします。
②ホストで DCUI を開きます。
③F2 を押して [初期セットアップ] を表示します。
④Enter を押して [ロックダウン モードの構成] 設定を切り替えます。
【vSphere Web Client からロックダウン モードを有効または無効にする手順】
①vSphere Web Client インベントリでホストを参照します。
②[管理] タブをクリックして、[設定] をクリックします。
③[システム] で、[セキュリティ プロファイル] を選択します。
④[ロックダウン モード] パネルで、[編集] をクリックします。
⑤[ロックダウン モード] をクリックして、ロックダウン モード オプションの 1 つを選択します。
セキュリティを厳しくすると、便宜性、運用に影響することがあるので、設計は慎重に。