vSphere 安装包 (VIB) 的接受级别由该 VIB 的证书数量决定。ESXi 主机的接受级别由最低 VIB 接受级别决定。如果您要允许使用较低级别的 VIB,则可以更改主机的接受级别。您可以移除由社区支持的 VIB,这样就可以更改主机的接受级别。
VIB 是包含 VMware 或 VMware 合作伙伴签名的软件包。为保护 ESXi 主机的完整性,请不要允许用户安装未签名的(由社区支持的)VIB。未签名的 VIB 包含未由 VMware 或其合作伙伴认证、接受或支持的代码。由社区支持的 VIB 没有数字签名。
ESXi 主机的接受级别限制必须与要添加到该主机的任何 VIB 的接受级别相同或更少。例如,如果主机的接受级别是由 VMware 接受,则您无法安装接受级别为由合作伙伴支持的 VIB。可以使用 ESXCLI 命令来设置主机的接受级别。为了保护 ESXi 主机的安全性和完整性,请勿允许在生产系统的主机上安装未签名(社区支持的)VIB。
ESXi 主机的接受级别显示在 vSphere Client 的安全配置文件中。
- VMware 认证
- “VMware 认证”接受级别具有最严格的要求。此级别的 VIB 能够完全通过全面测试,该测试等效于相同技术的 VMware 内部质量保证测试。当前,只有 I/O Vendor Program (IOVP) 程序驱动程序在此级别发布。VMware 受理此接受级别的 VIB 的支持致电。
- VMware 认可
- 此接受级别的 VIB 通过验证测试,但是这些测试并未对软件的每个功能都进行全面测试。合作伙伴运行测试,VMware 验证结果。现在,以此级别发布的 VIB 包括 CIM 提供程序和 PSA 插件。VMware 会引导 VIB 的支持致电为此接受级别的客户联系合作伙伴的支持部门。
- 合作伙伴支持
- 接受级别为“合作伙伴支持”的 VIB 是由 VMware 信任的合作伙伴发布的。合作伙伴执行所有测试。VMware 不验证结果。合作伙伴要在 VMware 系统中启用的新的或非主流的技术将使用此级别。现在,驱动程序 VIB 技术(例如 Infiniband、ATAoE 和 SSD)处于此级别,且具有非标准的硬件驱动程序。VMware 会引导 VIB 的支持致电为此接受级别的客户联系合作伙伴的支持部门。
- 社区支持
- “社区支持”接受级别用于由 VMware 合作伙伴程序外部的个人或公司创建的 VIB。此级别的 VIB 尚未通过任何 VMware 批准的测试程序,且不受 VMware 技术支持或 VMware 合作伙伴的支持。
过程
结果
ESXi 会对接受级别监管的 VIB 执行完整性检查。您可以使用 VMkernel.Boot.execInstalledOnly 设置指示 ESXi 仅执行主机上安装的有效 VIB 中的二进制文件。该设置与安全引导结合使用,可确保 ESXi 主机上运行的每一个进程都是签名、允许和预期的进程。在 vSphere 7.0 及更高版本中,默认停用 VMkernel.Boot.execInstalledOnly 设置以实现合作伙伴兼容性。尽可能激活此设置以提高安全性。有关配置 ESXi 高级选项的详细信息,请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/1038578。
