Gerenciar os níveis de aceitação de hosts e VIBs

O nível de aceitação de um VIB depende da quantidade de certificação desse VIB. O nível de aceitação do host depende do nível do VIB mais baixo. Se você quiser permitir VIBs de nível inferior, poderá alterar o nível de aceitação do host. Você pode remover VIBs com suporte da comunidade para poder alterar o nível de aceitação do host.

VIBs são pacotes de software que incluem uma assinatura de VMware ou de um parceiro VMware. Para proteger a integridade do host ESXi, não permita que os usuários instalem VIBs não assinados (com suporte da comunidade). Um VIB não assinado contém código que não é certificado, aceito ou suportado por VMware ou seus parceiros. Os VIBs com suporte da comunidade não têm uma assinatura digital.

O nível de aceitação do host deve ser o mesmo ou menos restritivo do que o nível de aceitação de qualquer VIB que você deseja adicionar ao host. Por exemplo, se o nível de aceitação do host for VMwareAccepted, você não poderá instalar VIBs no nível PartnerSupported. Você pode usar comandos ESXCLI para definir um nível de aceitação para um host. Para proteger a segurança e a integridade de seus hosts do ESXi, não permita que VIBs não assinados (com suporte da comunidade) sejam instalados em hosts em sistemas de produção.

O nível de aceitação para um host ESXi é exibido no Perfil de segurança (Security Profile) no vSphere Client.

Há suporte para os seguintes níveis de aceitação.

VMwareCertified: O nível de aceitação VMwareCertified tem os requisitos mais rigorosos. Os VIBs com esse nível passam por testes completos, totalmente equivalentes aos VMware testes de garantia de qualidade internos para a mesma tecnologia. Hoje, somente os drivers do programa I / O Vendor Program (IOVP) são publicados nesse nível. VMware recebe chamadas de suporte para VIBs com esse nível de aceitação.
VMwareAccepted: Os VIBs com esse nível de aceitação passam por testes de verificação, mas os testes não testam totalmente todas as funções do software. O parceiro executa os testes e VMware verifica o resultado. Hoje, os provedores CIM e os plug-ins PSA estão entre os VIBs publicados nesse nível. O VMware direciona os clientes com chamadas de suporte para VIBs com esse nível de aceitação a entrar em contato com a organização de suporte do parceiro.
PartnerSupported: Os VIBs com o nível de aceitação PartnerSupported são publicados por um parceiro em que VMware confia. O parceiro realiza todos os testes. VMware não verifica os resultados. Esse nível é usado para uma tecnologia nova ou não convencional que os parceiros desejam ativar para sistemas do VMware. Hoje, as tecnologias de driver VIB, como Infiniband, ATAoE e SSD, estão nesse nível com drivers de hardware fora do padrão. O VMware direciona os clientes com chamadas de suporte para VIBs com esse nível de aceitação a entrar em contato com a organização de suporte do parceiro.
CommunitySupported: O nível de aceitação CommunitySupported é para VIBs criados por indivíduos ou empresas fora dos programas de parceiro do VMware. Os VIBs neste nível não passaram por nenhum programa de teste VMware aprovado e não são suportados pelo Suporte Técnico do VMware ou por um parceiro do VMware.

Procedimento

Conecte-se a cada host ESXi e verifique se o nível de aceitação está definido como VMwareCertified, VMwareAccepted ou PartnerSupported executando o seguinte comando.
```
esxcli software acceptance get
```
Se o nível de aceitação do host for CommunitySupported, determine se algum dos VIBs está no nível CommunitySupported executando os seguintes comandos.
```
esxcli software vib list
esxcli software vib get -n vibname
```
Remova todos os VIBs suportados pela comunidade executando o seguinte comando.
```
esxcli software vib remove --vibname vib
```

Altere o nível de aceitação do host usando um dos seguintes métodos.

Opção	Descrição
Comando CLI	esxcli software acceptance set --level `level` O parâmetro level é necessário e especifica o nível de aceitação a ser definido. Deve ser um de `VMwareCertified` , `VMwareAccepted` , `PartnerSupported` ou `CommunitySupported` . Consulte Referência ESXCLI para obter mais informações.
vSphere Client	Selecione um host no inventário. Clique em Configurar(Configure). Em Sistema, selecione Perfil de segurança (Security Profile). Clique em Edit (Edit) para Host Image Profile Acceptance Level e escolha o nível de aceitação.

Opção

Descrição

Comando CLI

esxcli software acceptance set --level level

O parâmetro level é necessário e especifica o nível de aceitação a ser definido. Deve ser um de VMwareCertified , VMwareAccepted , PartnerSupported ou CommunitySupported . Consulte Referência ESXCLI para obter mais informações.

vSphere Client

Selecione um host no inventário.
Clique em Configurar(Configure).
Em Sistema, selecione Perfil de segurança (Security Profile).
Clique em Edit (Edit) para Host Image Profile Acceptance Level e escolha o nível de aceitação.

Resultados

O novo nível de aceitação está em vigor.

Observação:

O ESXi realiza verificações de integridade de VIBs regidas pelo nível de aceitação. Você pode usar a configuração VMkernel.Boot.execInstalledOnly para instruir o ESXi a executar apenas binários que se originam de um VIB válido instalado no host. Combinada com a Inicialização Segura, essa configuração garante que todos os processos já executados em um host ESXi sejam assinados, permitidos e esperados. Por padrão, a configuração de VMkernel.Boot.execInstalledOnly está desativada para compatibilidade de parceiro no vSphere 7. Ativar essa configuração quando possível melhora a segurança. Para obter mais informações sobre como configurar opções avançadas para o ESXi, consulte o VMware artigo da base de conhecimento em https://kb.vmware.com/kb/1038578.