在日常的 IT 运维工作中,VMware ESXi 凭借其卓越的稳定性和性能,成为了构建虚拟化平台的首选,人非圣贤,孰能无过,忘记管理密码的情况时有发生,当您面临“ESXi 忘记密码,而手边只有一个 CentOS 虚拟机”的困境时,往往会感到一丝无助和焦虑,本文将系统地探讨此问题,澄清常见误区,提供官方及高级解决方案,并给出预防建议,帮助您从容应对。
理解虚拟化边界:为什么从虚拟机内部无法操作?
我们需要明确一个核心原则:出于安全隔离的设计,任何虚拟机(无论是 CentOS、Windows 还是其他系统)都无法访问或修改其宿主主机(ESXi Hypervisor)的核心配置,包括密码文件。
ESXi 作为 Type-1 型的裸金属 hypervisor,它直接运行在物理硬件之上,为上层的虚拟机提供资源池和管理接口,这种架构确保了虚拟机之间的故障隔离和安全隔离,如果一个客户机(Guest OS)能够轻易修改宿主的密码,那将是灾难性的安全漏洞,试图通过 CentOS 虚拟机内的命令或脚本来重置 ESXi 的 root 密码,是行不通的,这个边界是虚拟化技术安全性的基石。
理解了这一点后,我们的思路就需要从“内部突破”转向“外部干预”,接下来的解决方案都将围绕如何直接操作 ESXi 主机本身来展开。
官方与标准解决方案:重新安装 ESXi
忘记 root 密码后,VMware 官方推荐且最安全可靠的解决方案是重新安装 ESXi,这听起来或许有些“过激”,但安装过程提供了一个关键选项:保留现有的虚拟机数据存储(VMFS Datastore),这意味着,您可以重置系统密码和配置,同时完美保留存储在数据存储上的所有虚拟机文件(VMDK 虚拟磁盘、配置文件等)。
以下是该操作的核心流程概览:
| 步骤 | 操作 | 注意事项 |
|---|---|---|
| 1 | 下载匹配的 ESXi ISO 镜像 | 必须确保 ISO 版本与您当前运行的 ESXi 版本完全一致,以避免兼容性问题。 |
| 2 | 创建可启动的 USB 安装介质 | 使用工具如 Rufus(在 Windows 上)或 dd 命令(在 Linux/macOS 上)将 ISO 写入 U 盘。 |
| 3 | 从 USB 启动 ESXi 主机 | 需要进入服务器的 BIOS/UEFI 设置,将启动顺序调整为优先从 USB 设备启动。 |
| 4 | 开始安装流程 | 在 ESXi 安装程序欢迎界面,按 Enter 键继续,并接受用户许可协议。 |
| 5 | 关键步骤:选择保留数据存储 | 在选择安装目标的磁盘界面,会看到您现有的 VMFS 数据存储,高亮选中它,然后按 F2 键(或根据提示),查看选项,确保选择“保留 VMFS 数据存储”,切勿选择格式化,否则所有虚拟机数据将丢失。 |
| 6 | 设置新的 root 密码并完成安装 | 按照提示设置新的 root 密码,完成后续的安装步骤,系统安装完毕后会自动重启。 |
重启后,您就可以使用新设置的 root 密码登录 ESXi 主机了,您会发现数据存储依然挂载,里面的虚拟机都安然无恙,唯一需要做的是,重新配置主机的网络设置(如 vSwitch、端口组、管理网络 IP 等),因为这些信息在重装过程中被覆盖了。
高级恢复方法:修改主机配置文件
如果重装方案对您来说不可接受,例如主机配置异常复杂且没有备份,那么可以考虑一种非官方的高级恢复方法,此方法风险较高,操作不当可能导致系统无法启动,请务必在备份数据后谨慎尝试。
CentOS 在此处的角色:您可能恰好有一个 CentOS 的 Live CD ISO 镜像,它可以用来制作一个 Linux Live USB,我们将用这个 U 盘来启动 ESXi 主机,进而修改其文件系统。
- 准备工具:使用 CentOS Live ISO 创建一个可启动的 Linux Live USB。
- 引导至 Live 环境:将此 USB 插入 ESXi 主机,并从它启动,进入 CentOS 的桌面或命令行环境。
- 挂载 ESXi 配置分区:ESXi 的配置(包括密码)存储在特定的分区中,通常是名为
bootbank或store的 FAT32 分区,您需要使用fdisk -l或lsblk命令找到它,然后将其挂载到一个临时目录,mount /dev/sdb5 /mnt/esxi_config。 - 修改密码文件:在挂载的目录中,找到
etc/shadow文件,这是存储用户密码哈希值的地方。-
方法一(清空密码):编辑
shadow文件,找到root开头的那一行,它看起来类似root:xxxxxxxxxxxxx:.....,将第一个冒号和第二个冒号之间的长字符串删除,使其变为root::.....,保存文件,这样 root 用户就可以无密码登录。 - 方法二(替换密码):如果知道其他 Linux 系统的密码哈希值,也可以直接替换。
-
方法一(清空密码):编辑
- 清理并重启:卸载分区:
umount /mnt/esxi_config,移除 USB,重启 ESXi 主机。 - 设置新密码:主机重启后,您应该可以直接以 root 身份登录(无需密码),登录后,立即使用
passwd命令设置一个新的、安全的密码。
预防为主:建立良好的管理习惯
与其亡羊补牢,不如未雨绸缪,为了避免再次陷入密码遗忘的窘境,建议建立以下良好习惯:
- 创建备用管理员账户:在 ESXi 中创建至少一个具有管理员权限的非 root 账户,这样即使忘记 root 密码,也可以用备用账户登录并重置。
- 集中管理:使用 vCenter Server 对所有 ESXi 主机进行集中管理,vCenter 的权限体系更灵活,且可以通过 vCenter 重置下属主机的 root 密码。
- 定期备份配置:使用 PowerCLI 等工具定期备份 ESXi 主机的配置(
Get-VMHostFirmware)。 - 使用密码管理器:将所有系统密码存储在安全的密码管理器中,避免记忆负担。
相关问答FAQs
如果我忘记了 ESXi 密码,但我的 vCenter Server 还能正常登录,我能直接在 vCenter 里重置 ESXi 的密码吗?
回答:是的,完全可以,这是最理想的场景之一,只要您的 ESXi 主机受 vCenter 管理,并且您在 vCenter 中拥有足够的权限(通常是对该主机的管理员权限),您就可以轻松重置其 root 密码,操作路径通常是:在 vCenter Web Client 中,导航到该 ESXi 主机 -> 管理 -> 设置 -> 高级系统设置 -> 编辑,找到 Security.AccountLockFailures 旁边的 Security.AccountPassword 或直接在“管理”->“用户和组”中找到 root 用户并更改密码,这是官方推荐的首选方法,因为它安全、快捷且不影响主机运行。
按照您说的方法重装 ESXi 并保留数据存储后,我虚拟机内部的网络配置(IP 地址、网关)会丢失吗?
回答:这是一个非常好的问题,答案是:不会丢失,您虚拟机内部的网络配置(在 CentOS 虚拟机中配置的静态 IP 地址、DNS、网关等)是保存在虚拟机自己的操作系统和虚拟磁盘文件中的,只要您保留了数据存储,这些文件就完好无损,需要重新配置的是 ESXi 主机层面的网络,即虚拟交换机、标准端口组或分布式端口组,重装后,这些网络拓扑需要您手动重新创建,创建完成后,将虚拟机的网络适配器重新连接到对应的端口组,虚拟机内部的网络就可以恢复通信了,虚拟机“内部”的设置不变,但连接虚拟机到外部网络的“桥梁”(ESXi 网络结构)需要重建。
【版权声明】:本站所有内容均来自网络,若无意侵犯到您的权利,请及时与我们联系将尽快删除相关内容!
发表回复