esxi已拒绝虚拟机配置

创建虚拟机时，创建虚拟硬件配置时，注意满足ESXi5.5安装的最低要求（如至少2个CPU。如果只有1个CPU，安装会直接被拒绝。）我的目的是测试vSAN，所以使用的配置是4个CPU，8 GB内存。 2 个网卡（...

VMware vSwitch 提供了一些安全措施来防止恶意行为或限制通过接口的最大允许流量。 以下是如何实现这些安全配置。

1. 打开 vSphereClient。 转到主机的“配置”选项卡，然后在硬件列表中选择您的网络连接。 将显示当前的 VMware vSwitch 配置。

2. 选择要配置的 vSwitch 的属性。 接下来，将出现一个新窗口，显示 vSwitch 的现有端口和现在应用的属性。

3. 选择要配置安全设置的端口，然后单击编辑。 接下来，单击“安全”选项卡进行激活。 此处显示所选端口上可用的三个默认安全设置。

图 1. 从 VMware vSwitch 属性中，您可以看到已配置的所有端口。

配置 VMware vSwitch 安全策略

您需要做出的第一个 vSwitch 安全策略决定是是否使用混杂模式。 混杂模式拦截并监视从网卡发送到其他节点的所有流量。 该模式默认处于禁用状态，但管理员如果想要进行网络安全分析，可以启用它。 混杂模式允许主机监控通过虚拟交换机的所有网络流量，这可以帮助您分析网络上的所有活动。 但是，管理员仅应在进行安全分析时使用此模式，因为它会影响网络性能。

第二个安全策略是用户可以指定是否允许更改虚拟网络适配器的MAC地址。 该功能默认启用，允许操作系统在不同情况下更改MAC地址。 当您需要此功能（例如连接到 iSCSI 存储网络或启用 Microsoft 的网络负载平衡功能）时，此默认设置可能很有用。 但如果您的环境中没有使用这些功能，最好将其禁用，这样攻击者就无法更改虚拟主机的 MAC 地址或欺骗 IP 地址。

加强VMware vSwitch安全性的第三种方法是拒绝虚假流量。 拒绝虚假流量意味着虚拟机 (VM) 会将数据包的源 MAC 地址与其网络适配器的真实 MAC 地址进行比较，看看它们是否匹配。 如果两者不相等，ESXi 主机将丢弃这些数据包，从而阻止虚拟机发送网络流量。

此功能默认启用，因为有时需要避免软件许可问题。 例如，如果物理机上的软件只授权特定的MAC地址，那么它在虚拟机上就无法正常工作，因为虚拟机的MAC地址不同。 在这种情况下，允许虚假流量允许您通过欺骗虚拟机的 MAC 地址来使用该软件。

但是，允许虚假流量会带来安全风险。 如果管理员只允许某些MAC地址访问网络，则入侵者可以将其未经授权的MAC地址更改为授权的MAC地址。

流量整形是 VMware vSwitch 的另一个可以提高安全性的属性。 启用此功能后，您可以限制连接到 vSwitch 虚拟网卡的可用带宽。 此设置不会影响整体网络性能，而仅设置每个网络接口的限制。 设置此限制会有所帮助，因为限制平均带宽、最大带宽和突发值可以防止节点占用所有交换机和网络带宽，这是防止 DOS 攻击的好方法。

图2.通过设置每个接口的最大可用带宽可以防止DOS攻击

可以看到，VMware vSwitch的一些默认安全设置定义是关于可用性，而不是安全性。 通过进行一些简单的更改，您可以提高虚拟机的安全级别并降低外部网络攻击的风险。

学习vSphere，很多时候需要多台物理机搭建一个不存在的环境？ 如果我有一台现成的 ESXi 主机，可能的方法是在其上安装多个 ESXi 虚拟机。
许多文章都介绍了如何在 VMware Workstation 8 或更高版本上安装 ESXi。 今天我们将讨论如何在 ESXi5.5 hypervisor 上安装另一个 ESXi5.5。
是的，这是可能的。
当然，这有一些必要的要求和步骤。
首先，在创建虚拟机和创建虚拟机配置时，注意满足安装ESXi5.5的最低要求（例如至少两个CPU，如果只有一个CPU，则安装会直接被拒绝
具体请查看VMware官方指南）目的是测试VSAN，所以使用的配置是4个CPU、8GB内存、2个网卡（在2个不同的子网）、4GB SSD。 磁盘处于厚配置模式（注：VSAN测试需要两块硬盘，稍后添加）。