El nivel de aceptación de un VIB depende de la cantidad de certificaciones de ese VIB. El nivel de aceptación del host depende del nivel del VIB más bajo. Si desea permitir VIB de menor nivel, puede cambiar el nivel de aceptación del host. Puede eliminar los VIB CommunitySupported para tener la posibilidad de cambiar el nivel de aceptación del host.
Los VIB son paquetes de software que incluyen una firma de VMware o un partner de VMware. Para conservar la integridad del host ESXi, no permita que los usuarios instalen VIB no firmados (creados por la comunidad). Un VIB no firmado contiene un código no certificado, aceptado ni admitido por VMware o sus partners. Los VIB creados por la comunidad no tienen una firma digital.
El nivel de aceptación del host debe ser igual de restrictivo o menos restrictivo que el nivel de aceptación de cualquier VIB que se desee agregar al host. Por ejemplo, si el nivel de aceptación del host es VMwareAccepted, no se puede instalar VIB en el nivel PartnerSupported. Es posible utilizar los comandos ESXCLI para establecer un nivel de aceptación de un host. Para proteger la seguridad y la integridad de los hosts ESXi, no permita que se instalen VIB no firmados (CommunitySupported) en los hosts de sistemas de producción.
El nivel de aceptación para un host ESXi se muestra en Perfil de seguridad, en vSphere Client.
- VMwareCertified
- El nivel de aceptación VMwareCertified tiene los requisitos más estrictos. Los VIB con este nivel se someten a pruebas completamente equivalentes a las pruebas de control de calidad internas de VMware para la misma tecnología. Hoy en día, solo los controladores de los programas de proveedores de E/S (I/O Vendor Program, IOVP) se publican en este nivel. VMware responde a las llamadas de soporte para VIB con este nivel de aceptación.
- VMwareAccepted
- Los VIB con este nivel de aceptación pasan por pruebas de comprobación, pero estas no prueban completamente todas las funciones del software. El partner realiza pruebas y VMware comprueba el resultado. Hoy en día, los proveedores de CIM y los complementos de PSA son algunos de los VIB que se publican en este nivel. VMware indica a los clientes que realizan llamadas de soporte para VIB con este nivel de aceptación que se pongan en contacto con la organización de soporte del partner.
- PartnerSupported
- Los VIB con el nivel de aceptación PartnerSupported los publica un partner de confianza de VMware. El partner realiza todas las pruebas. VMware no comprueba los resultados. Este nivel se utiliza para una tecnología nueva o alternativa que los partners desean habilitar para los sistemas VMware. Hoy en día, las tecnologías de VIB de controlador, como Infiniband, ATAoE y SSD, se encuentran en este nivel con controladores de hardware que no son estándar. VMware indica a los clientes que realizan llamadas de soporte para VIB con este nivel de aceptación que se pongan en contacto con la organización de soporte del partner.
- CommunitySupported
- El nivel de aceptación CommunitySupported es para VIB creados por personas o empresas por fuera de los programas de partners de VMware. Los VIB de este nivel de aceptación no pasaron por un programa de pruebas aprobado por VMware y no son compatibles con el soporte técnico de VMware ni los partners de VMware.
Procedimiento
Resultados
ESXi realiza comprobaciones de integridad de los VIB regido por el nivel de aceptación. Puede usar la configuración de VMkernel.Boot.execInstalledOnly
para indicar a ESXi que solo ejecuten archivos binarios que se originen de un VIB válido instalado en el host. Junto con el arranque seguro, esta configuración garantiza que todos los procesos que se ejecuten en ESXi host están firmados, permitidos y esperados. De forma predeterminada, la opción VMkernel.Boot.execInstalledOnly
está deshabilitada para la compatibilidad de socios en vSphere 7. Habilitar esta opción cuando sea posible mejora la seguridad. Para obtener más información sobre la configuración de opciones avanzadas para ESXi, consulte el artículo de la base de conocimientos de VMware en https://kb.vmware.com/kb/1038578.