Die Akzeptanzebene eines vSphere-Installationspakets (VIB) hängt von der Zertifizierungsmenge dieses VIB ab. Die Akzeptanzebene des ESXi-Hosts hängt von der Ebene des niedrigsten VIB ab. Wenn Sie VIBs auf unterer Ebene zulassen möchten, können Sie die Akzeptanzebene des Hosts ändern. Sie können CommunitySupported-VIBs entfernen, um die Host-Akzeptanzebene ändern zu können.

VIBs sind Softwarepakete, die eine Signatur von VMware oder eines VMware-Partners enthalten. Um die Integrität des ESXi-Hosts zu schützen, lassen Sie es nicht zu, dass VIBs ohne Signatur (von der Community unterstützt) installiert werden. Ein VIB ohne Signatur enthält Programmcode, der von VMware oder seinen Partnern nicht zertifiziert ist, akzeptiert oder unterstützt wird. Von der Community unterstützte VIBs haben keine digitale Signatur.

Die Akzeptanzebene des ESXi-Hosts darf nicht restriktiver als die Akzeptanzebene des VIBs sein, das Sie zu diesem Host hinzufügen möchten. Wenn beispielsweise die Host-Akzeptanzebene „VMwareAccepted“ ist, können Sie keine VIBs auf der Ebene „PartnerSupported“ installieren. Sie können ESXCLI-Befehle verwenden, um eine Akzeptanzebene für einen Host festzulegen. Um die Sicherheit und Integrität Ihrer ESXi-Hosts zu schützen, lassen Sie es nicht zu, dass VIBs ohne Signatur („CommunitySupported“, von der Community unterstützt) auf Hosts in Produktionssystemen installiert werden.

Die Akzeptanzebene für einen ESXi-Host wird unter Sicherheitsprofil im vSphere Client angezeigt.

Folgende Akzeptanzebenen werden unterstützt:
VMwareCertified
Die Akzeptanzebene „VMwareCertified“ hat die strengsten Anforderungen. VIBs dieser Ebene unterliegen einer gründlichen Prüfung entsprechend den internen VMware-Qualitätssicherungstests für die gleiche Technologie. Zurzeit werden nur Programmtreiber im Rahmen des IOVP (I/O Vendor Program) auf dieser Ebene veröffentlicht. VMware übernimmt Support-Anrufe für VIBs dieser Akzeptanzebene.
VMwareAccepted
VIBs dieser Akzeptanzebene unterliegen einer Verifizierungsprüfung; es wird jedoch nicht jede Funktion der Software in vollem Umfang getestet. Der Partner führt die Tests durch und VMware verifiziert das Ergebnis. Heute gehören CIM-Anbieter und PSA-Plug-Ins zu den VIBs, die auf dieser Ebene veröffentlicht werden. Kunden mit Support-Anrufen für VIBs dieser Akzeptanzebene werden von VMware gebeten, sich an die Support-Organisation des Partners zu wenden.
PartnerSupported
VIBs mit der Akzeptanzebene „PartnerSupported“ werden von einem Partner veröffentlicht, dem VMware vertraut. Der Partner führt alle Tests durch. VMware überprüft die Ergebnisse nicht. Diese Ebene wird für eine neue oder nicht etablierte Technologie verwendet, die Partner für VMware-Systeme aktivieren möchten. Auf dieser Ebene sind heute Treiber-VIB-Technologien mit nicht standardisierten Hardwaretreibern, wie z. B. Infiniband, ATAoE und SSD. Kunden mit Support-Anrufen für VIBs dieser Akzeptanzebene werden von VMware gebeten, sich an die Support-Organisation des Partners zu wenden.
CommunitySupported
Die Akzeptanzebene „CommunitySupported“ ist für VIBs gedacht, die von Einzelpersonen oder Unternehmen außerhalb der VMware Partner-Programme erstellt wurden. VIBs auf dieser Ebene wurden nicht im Rahmen eines von VMware zugelassenen Testprogramms getestet und werden weder von VMware Technical Support noch von einem VMware-Partner unterstützt.

Prozedur

  1. Stellen Sie mithilfe von SSH eine Verbindung mit jedem ESXi-Host her.
  2. Stellen Sie sicher, dass die Akzeptanzebene auf „VMwareCertified“, „VMwareAccepted“ oder „PartnerSupported“ gesetzt ist, indem Sie den folgenden Befehl ausführen.
    esxcli software acceptance get
  3. Wenn es sich bei der Akzeptanzebene des Hosts um „CommunitySupported“ handelt, stellen Sie fest, ob sich VIBs auf der Ebene „CommunitySupported“ befinden, indem Sie folgende Befehle ausführen:
    esxcli software vib list
    esxcli software vib get -n vibname
  4. Entfernen Sie alle „CommunitySupported“-VIBs, indem Sie folgenden Befehl ausführen:
    esxcli software vib remove --vibname vib
  5. Ändern Sie die Akzeptanzebene des Hosts unter Verwendung einer der folgenden Methoden.
    Option Beschreibung
    CLI-Befehl
    esxcli software acceptance set --level level

    Der Parameter level ist erforderlich und gibt die festzulegende Akzeptanzebene an. Hierbei sollte es sich um VMwareCertified, VMwareAccepted, PartnerSupported, oder CommunitySupported handeln. Weitere Informationen hierzu finden Sie unter ESXCLI – Referenz.

    vSphere Client
    1. Wählen Sie einen Host in der Bestandsliste aus.
    2. Klicken Sie auf Konfigurieren.
    3. Klicken Sie unter „System“ auf Sicherheitsprofil.
    4. Klicken Sie auf Bearbeiten für die Akzeptanzebene des Host-Image-Profils und wählen Sie die Akzeptanzebene aus.

Ergebnisse

Die neue Akzeptanzebene ist wirksam.
Hinweis:

ESXi führt Integritätsprüfungen von VIBs durch, die von der Akzeptanzebene gesteuert werden. Mithilfe der Einstellung VMkernel.Boot.execInstalledOnly können Sie ESXi anweisen, nur Binärdateien auszuführen, die aus einem gültigen auf dem Host installierten VIB stammen. Gemeinsam mit Secure Boot stellt diese Einstellung sicher, dass jeder einzelne jemals auf einem ESXi-Host ausgeführte Prozess signiert, zugelassen und erwartet wird. Standardmäßig ist die Einstellung VMkernel.Boot.execInstalledOnly für Partnerkompatibilität in vSphere 7.0 und höher aktiviert. Die Aktivierung dieser Einstellung (soweit möglich) verbessert die Sicherheit. Weitere Informationen zum Konfigurieren erweiterter Optionen für ESXi finden Sie im VMware-Knowledgebase-Artikel unter https://kb.vmware.com/s/article/1038578.