Die Akzeptanzebene eines vSphere-Installationspakets (VIB) hängt von der Zertifizierungsmenge dieses VIB ab. Die Akzeptanzebene des ESXi-Hosts hängt von der Ebene des niedrigsten VIB ab. Wenn Sie VIBs auf unterer Ebene zulassen möchten, können Sie die Akzeptanzebene des Hosts ändern. Sie können CommunitySupported-VIBs entfernen, um die Host-Akzeptanzebene ändern zu können.
VIBs sind Softwarepakete, die eine Signatur von VMware oder eines VMware-Partners enthalten. Um die Integrität des ESXi-Hosts zu schützen, lassen Sie es nicht zu, dass VIBs ohne Signatur (von der Community unterstützt) installiert werden. Ein VIB ohne Signatur enthält Programmcode, der von VMware oder seinen Partnern nicht zertifiziert ist, akzeptiert oder unterstützt wird. Von der Community unterstützte VIBs haben keine digitale Signatur.
Die Akzeptanzebene des ESXi-Hosts darf nicht restriktiver als die Akzeptanzebene des VIBs sein, das Sie zu diesem Host hinzufügen möchten. Wenn beispielsweise die Host-Akzeptanzebene „VMwareAccepted“ ist, können Sie keine VIBs auf der Ebene „PartnerSupported“ installieren. Sie können ESXCLI-Befehle verwenden, um eine Akzeptanzebene für einen Host festzulegen. Um die Sicherheit und Integrität Ihrer ESXi-Hosts zu schützen, lassen Sie es nicht zu, dass VIBs ohne Signatur („CommunitySupported“, von der Community unterstützt) auf Hosts in Produktionssystemen installiert werden.
Die Akzeptanzebene für einen ESXi-Host wird unter Sicherheitsprofil im vSphere Client angezeigt.
- VMwareCertified
- Die Akzeptanzebene „VMwareCertified“ hat die strengsten Anforderungen. VIBs dieser Ebene unterliegen einer gründlichen Prüfung entsprechend den internen VMware-Qualitätssicherungstests für die gleiche Technologie. Zurzeit werden nur Programmtreiber im Rahmen des IOVP (I/O Vendor Program) auf dieser Ebene veröffentlicht. VMware übernimmt Support-Anrufe für VIBs dieser Akzeptanzebene.
- VMwareAccepted
- VIBs dieser Akzeptanzebene unterliegen einer Verifizierungsprüfung; es wird jedoch nicht jede Funktion der Software in vollem Umfang getestet. Der Partner führt die Tests durch und VMware verifiziert das Ergebnis. Heute gehören CIM-Anbieter und PSA-Plug-Ins zu den VIBs, die auf dieser Ebene veröffentlicht werden. Kunden mit Support-Anrufen für VIBs dieser Akzeptanzebene werden von VMware gebeten, sich an die Support-Organisation des Partners zu wenden.
- PartnerSupported
- VIBs mit der Akzeptanzebene „PartnerSupported“ werden von einem Partner veröffentlicht, dem VMware vertraut. Der Partner führt alle Tests durch. VMware überprüft die Ergebnisse nicht. Diese Ebene wird für eine neue oder nicht etablierte Technologie verwendet, die Partner für VMware-Systeme aktivieren möchten. Auf dieser Ebene sind heute Treiber-VIB-Technologien mit nicht standardisierten Hardwaretreibern, wie z. B. Infiniband, ATAoE und SSD. Kunden mit Support-Anrufen für VIBs dieser Akzeptanzebene werden von VMware gebeten, sich an die Support-Organisation des Partners zu wenden.
- CommunitySupported
- Die Akzeptanzebene „CommunitySupported“ ist für VIBs gedacht, die von Einzelpersonen oder Unternehmen außerhalb der VMware Partner-Programme erstellt wurden. VIBs auf dieser Ebene wurden nicht im Rahmen eines von VMware zugelassenen Testprogramms getestet und werden weder von VMware Technical Support noch von einem VMware-Partner unterstützt.
Prozedur
Ergebnisse
ESXi führt Integritätsprüfungen von VIBs durch, die von der Akzeptanzebene gesteuert werden. Mithilfe der Einstellung VMkernel.Boot.execInstalledOnly
können Sie ESXi anweisen, nur Binärdateien auszuführen, die aus einem gültigen auf dem Host installierten VIB stammen. Gemeinsam mit Secure Boot stellt diese Einstellung sicher, dass jeder einzelne jemals auf einem ESXi-Host ausgeführte Prozess signiert, zugelassen und erwartet wird. Standardmäßig ist die Einstellung VMkernel.Boot.execInstalledOnly
für Partnerkompatibilität in vSphere 7.0 und höher aktiviert. Die Aktivierung dieser Einstellung (soweit möglich) verbessert die Sicherheit. Weitere Informationen zum Konfigurieren erweiterter Optionen für ESXi finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/1038578.