VIB 的接受级别由该 VIB 的证书数量决定。主机的接受级别由最低 VIB 接受级别决定。如果您要允许使用较低级别的 VIB,则可以更改主机的接受级别。您可以移除由社区支持的 VIB,这样就可以更改主机的接受级别。
VIB 是包含 VMware 或 VMware 合作伙伴签名的软件包。为保护 ESXi 主机的完整性,请不要允许用户安装未签名的(由社区支持的)VIB。未签名的 VIB 包含未由 VMware 或其合作伙伴认证、接受或支持的代码。由社区支持的 VIB 没有数字签名。
该主机的接受级别限制必须与要添加到该主机的任何 VIB 的接受级别相同或更少。例如,如果主机的接受级别是由 VMware 接受,则您无法安装接受级别为由合作伙伴支持的 VIB。可以使用 ESXCLI 命令来设置主机的接受级别。为了保护 ESXi 主机的安全性和完整性,请勿允许在生产系统的主机上安装未签名(社区支持的)VIB。
ESXi 主机的接受级别显示在 vSphere Client 的安全配置文件中。
支持以下接受级别。
- VMware 认证
- “VMware 认证”接受级别具有最严格的要求。此级别的 VIB 能够完全通过全面测试,该测试等效于相同技术的 VMware 内部质量保证测试。当前,只有 I/O Vendor Program (IOVP) 程序驱动程序在此级别发布。VMware 受理此接受级别的 VIB 的支持致电。
- VMware 认可
- 此接受级别的 VIB 通过验证测试,但是这些测试并未对软件的每个功能都进行全面测试。合作伙伴运行测试,VMware 验证结果。现在,以此级别发布的 VIB 包括 CIM 提供程序和 PSA 插件。VMware 会引导 VIB 的支持致电为此接受级别的客户联系合作伙伴的支持部门。
- 合作伙伴支持
- 接受级别为“合作伙伴支持”的 VIB 是由 VMware 信任的合作伙伴发布的。合作伙伴执行所有测试。VMware 不验证结果。合作伙伴要在 VMware 系统中启用的新的或非主流的技术将使用此级别。现在,驱动程序 VIB 技术(例如 Infiniband、ATAoE 和 SSD)处于此级别,且具有非标准的硬件驱动程序。VMware 会引导 VIB 的支持致电为此接受级别的客户联系合作伙伴的支持部门。
- 社区支持
- “社区支持”接受级别用于由 VMware 合作伙伴程序外部的个人或公司创建的 VIB。此级别的 VIB 尚未通过任何 VMware 批准的测试程序,且不受 VMware 技术支持或 VMware 合作伙伴的支持。
过程
结果
注:
ESXi 会对接受级别监管的 VIB 执行完整性检查。您可以使用 VMkernel.Boot.execInstalledOnly
设置指示 ESXi 仅执行主机上安装的有效 VIB 中的二进制文件。该设置与安全引导结合使用,可确保 ESXi 主机上运行的每一个进程都是签名、允许和预期的进程。在 vSphere 7 中,默认为合作伙伴兼容性禁用 VMkernel.Boot.execInstalledOnly
设置。请尽可能启用此设置,以提高安全性。有关配置 ESXi 高级选项的详细信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/kb/1038578。