物理服务器分布在全球机房中，利用VMware直接管理远程ESXi主机可以跳过私人网络中专的延迟，避免vCenter的单点故障。不过裸协议暴露公网的风险、跨版本兼容性问题和企业防火墙限制，让不少用户需要被迫使用低效果的跳板机来执行。如何实现VMware直接连接远程服务器？下面主要拆解四种直连方案希望对大家有用。

一、协议层对决：SSH vs ESXiAgent vs VNC

SSH协议命令行管控的终极武器，主要适用批量执行维护命令、传输日志文件、服务状态监控。连接方法：

ssh root@esxihostip p 22  # 默认端口 

SSH协议命令行安全加固可以通过修改默认端口：编辑/etc/ssh/sshd_config添加Port 5022；还有禁用密码登录增加PasswordAuthentication no；证书白名单添加 AllowUsers root@yourip。

ESXiAgent虚拟机操作的核心通道包括端口TCP 902（管理流量）、UDP 902（心跳检测）。关键能力包括通过vSphere Client直接控制虚拟机电源状态和实时查看虚拟机控制台（需开放TCP 443）。 

防火墙规则示例：

esxcli network firewall ruleset set r vSphereClient e true

VNC应急方案：当标准协议全部失效

使用过程中如果遇上ESXi主机网络配置错误导致失联情况，可以遵循以下操作流程： 

1. 物理机房接显示器进入DCUI界面 

2. 按F2输入密码 → 选择"Troubleshooting Options" 

3. 启用ESXi Shell和SSH → 重启管理网络 

4. 若仍无效，启用VNC后备访问：

vimcmd vmsvc/getallvms | grep "虚拟机ID"  # 获取目标VMID
vimcmd vmsvc/devices.connection vnc enable <VMID  # 开启VNC
vimcmd vmsvc/devices.connection vnc port <VMID 5901  # 指定端口

二、公网直连的安全隧道构建方案

比如基于WireGuard的加密隧道

# ESXi主机侧安装WireGuard（需开启SSH）
wget https://git.io/wg.sh O /tmp/wginstall && chmod +x /tmp/wginstall
/tmp/wginstall y
# 生成密钥对
wg genkey | tee /etc/wireguard/private.key | wg pubkey  /etc/wireguard/public.key
# 创建配置文件 /etc/wireguard/wg0.conf
[Interface]
PrivateKey = <ESXi私钥
Address = 10.8.0.1/24
ListenPort = 51820
PostUp = iptables A FORWARD i wg0 j ACCEPT; iptables t nat A POSTROUTING o vmnic0 j MASQUERADE
PostDown = iptables D FORWARD i wg0 j ACCEPT; iptables t nat D POSTROUTING o vmnic0 j MASQUERADE
# 本地PC连接配置
[Interface]
PrivateKey = <本地私钥
Address = 10.8.0.2/24
[Peer]
PublicKey = <ESXi公钥
Endpoint = esxipublicip:51820
AllowedIPs = 10.8.0.1/32, 192.168.1.0/24  # ESXi管理网段
PersistentKeepalive = 25

还有的情况是SSH端口转发实现加密控制台访问：

# 本地PC执行（将ESXi的443映射到本地8443）
ssh N L 8443:esxiinternalip:443 user@jumphost
# 浏览器访问 https://localhost:8443 直达vSphere Client

隧道选择原则：长期稳定连接保障WireGuard（性能损耗<5%），临时维护保障SSH端口转发（无需额外安装），严格合规环境实现IPsec 私人网络（支持FIPS 1402认证）。

三、企业级权限控制：从裸机到虚拟机的精细化管理

AD域集成：统一认证方案

1. ESXi主机加入域：

esxcli system domain join d corp.com u admin p 'P@ssw0rd!'

2. 配置权限角色：

# 创建自定义角色
esxcli system permission role add r "VMOperator" \
privileges "VirtualMachine.Interact.PowerOn, VirtualMachine.Interact.PowerOff"
# 分配AD组到角色
esxcli system permission set g "CORP\ESXiOperators" r "VMOperator"

虚拟机操作锁：防止误关机

# 为关键虚拟机添加锁定
vimcmd vmsvc/getallvms | grep "ProdDB"  # 记录VMID
vimcmd vmsvc/task.lock 1234  # 禁止所有电源操作
# 解锁命令（需root）
vimcmd vmsvc/task.unlock 1234

四、跨版本连接故障的深度排错

如果出现vSphere Client无法打开控制台（HTTP 503错误），这是因为ESXi 7.0+默认关闭CIM服务，要通过以下命令进行修复：

services.sh restart
/etc/init.d/sfcbdwatchdog start

当我们遇见SSH连接后命令执行无响应先检查esxshell服务状态

esxcli system process list | grep busybox

确认后，再重建shell环境：

kill 9 $(ps | grep busybox | awk '{print $2}')
/sbin/services.sh restart

如果是因为证书过期导致vCenter连接中断，这种情况需要强制更新（ESXi 6.7+）：

/etc/init.d/hostd restart
/etc/init.d/vpxa restart
rm f /etc/vmware/ssl/rui.crt
/sbin/generatecertificates

连接状态快速诊断表

五、替代方案：当直连不可行时的备选路径

vCenter Server Appliance跳转： 在DMZ区部署vCenter实例，配置ESXi主机通过代理连接：

esxcli system settings advanced set o /Net/ProxyHost s proxy.corp.com
esxcli system settings advanced set o /Net/ProxyPort i 3128

3. 通过vCenter间接管理（牺牲实时性换取安全性）

PowerCLI自动化批处理

powershell
ConnectVIServer Server esxiip User root Password "P@ssw0rd"
GetVM Name "Test" | StartVM Confirm:$false
GetVMHost | GetVMHostService | WhereObject {$_.Key eq "TSMSSH"} | StartVMHostService

直连的价值在于掌控力与速度的平衡

直接连接ESXi主机的核心优势是消除管理延迟：当虚拟机蓝屏时，3秒内完成重启比等待vCenter响应快10倍。但必须遵循三条铁律：最小暴露原则仅开放必要端口，通过IP白名单限制访问源；证书轮换机制每90天更新SSL证书，避免服务中断；备援通道常备：在核心交换机预留应急网口，物理灾难时可直连。