Le niveau d'acceptation d'un bundle d'installation vSphere (VIB) dépend du niveau de certification de ce VIB. Le niveau d'acceptation de l'hôte ESXi dépend du niveau du VIB inférieur. Si vous souhaitez autoriser des VIB de niveau inférieur, vous pouvez modifier le niveau d'acceptation de l'hôte. Vous pouvez supprimer les VIB CommunitySupported pour modifier le niveau d'acceptation de l'hôte.

Les VIB sont des modules logiciels qui incluent une signature de VMware ou d'un partenaire VMware. Pour protéger l'intégrité de l'hôte ESXi, n'autorisez pas les utilisateurs à installer des VIB non signés (communautaires). Un VIB non signé contient un code qui n'est ni certifié ni approuvé ni pris en charge par VMware ou ses partenaires. Les VIB communautaires n'ont pas de signature numérique.

Le niveau d'acceptation de l'hôte ESXi doit être le même ou moins restrictif que celui d'un VIB que vous souhaitez ajouter à l'hôte. Par exemple, si le niveau d'acceptation de l'hôte est VMwareAccepted, vous ne pouvez pas installer les VIB au niveau PartnerSupported. Vous pouvez utiliser des commandes ESXCLI pour définir le niveau de l'acceptation d'un hôte. Pour protéger la sécurité et l'intégrité de vos hôtes ESXi, ne permettez pas l'installation de VIB non signés (CommunitySupported) sur des hôtes dans des systèmes de production.

Le niveau d'acceptation d'un hôte ESXi s'affiche dans le Profil de sécurité dans vSphere Client.

Les niveaux d'acceptation suivants sont pris en charge.
VMwareCertified
Le niveau d'acceptation VMwareCertified a les exigences les plus contraignantes. Les VIB avec ce niveau sont soumis à des tests minutieux équivalents aux tests d'assurance qualité réalisés en interne de VMware pour la même technologie. Aujourd'hui, seuls les pilotes de programmes IOVP (I/O Vendor Program) sont publiés à ce niveau. VMware prend en charge les appels d'assistance pour les VIB avec ce niveau d'acceptation.
VMwareAccepted
Les VIB avec ce niveau d'acceptation sont soumis à des tests de vérification minutieux, mais ces tests ne testent pas entièrement chaque fonction du logiciel. Le partenaire exécute les tests et VMware vérifie le résultat. Actuellement, les fournisseurs CIM et les plug-ins PSA font partie des VIB publiés à ce niveau. VMware invite les clients disposant d'appels d'assistance pour les VIB avec ce niveau d'acceptation à contacter l'organisation d'assistance du partenaire.
PartnerSupported
Les VIB avec le niveau d'acceptation PartnerSupported sont publiés par un partenaire en qui VMware a confiance. Le partenaire effectue tous les tests. VMware ne vérifie pas les résultats. Ce niveau est utilisé pour une technologie nouvelle ou non courante que des partenaires souhaitent activer pour les systèmes VMware. Actuellement, les technologies VIB de pilotes telles que Infiniband, ATAoE et SSD sont à ce niveau avec des pilotes de matériel non standard. VMware invite les clients disposant d'appels d'assistance pour les VIB avec ce niveau d'acceptation à contacter l'organisation d'assistance du partenaire.
CommunitySupported
Le niveau d'acceptation CommunitySupported est destiné aux VIB créés par des individus ou des entreprises en dehors des programmes de partenariat de VMware. Les VIB à ce niveau d'acceptation ne sont soumis à aucun programme de test approuvé par VMware et ne sont pas pris en charge par l'assistance technique de VMware ou un partenaire de VMware.

Procédure

  1. Connectez-vous à chaque hôte ESXi à l'aide du protocole SSH.
  2. Vérifiez que le niveau d'acceptation est défini sur VMwareCertified, VMwareAccepted ou PartnerSupported en exécutant la commande suivante.
    esxcli software acceptance get
  3. Si le niveau d'acceptation de l'hôte est CommunitySupported, déterminez si un ou plusieurs VIB sont au niveau CommunitySupported en exécutant les commandes suivantes.
    esxcli software vib list
    esxcli software vib get -n vibname
  4. Supprimez les VIB CommunitySupported en exécutant la commande suivante.
    esxcli software vib remove --vibname vib
  5. Modifiez le niveau d'acceptation de l'hôte en utilisant l'une des méthodes suivantes.
    Option Description
    Commande de l'interface de ligne de commande
    esxcli software acceptance set --level level

    Le paramètre level est nécessaire et spécifie le niveau d'acceptation à définir. Les niveaux possibles sont les suivants : VMwareCertified, VMwareAccepted, PartnerSupported ou CommunitySupported. Consultez Référence d'ESXCLI pour plus d'informations.

    vSphere Client
    1. Sélectionnez un hôte dans l'inventaire.
    2. Cliquez sur Configurer.
    3. Dans Système, sélectionnez Profil de sécurité.
    4. Cliquez sur Modifier pour le niveau d'acceptation du profil d'image hôte et choisissez le niveau d'acceptation.

Résultats

Le nouveau niveau d'acceptation est en vigueur.
Note :

ESXi effectue des vérifications d'intégrité des VIB régis par le niveau d'acceptation. Vous pouvez utiliser le paramètre VMkernel.Boot.execInstalledOnly pour demander à ESXi d'exécuter uniquement les binaires provenant d'un VIB valide installé sur l'hôte. Combiné au démarrage sécurisé, ce paramètre garantit que chaque processus exécuté sur un hôte ESXi est signé, autorisé et attendu. Par défaut, le paramètre VMkernel.Boot.execInstalledOnly est désactivé pour la compatibilité des partenaires dans vSphere 7.0 et versions ultérieures. L'activation de ce paramètre lorsque cela est possible améliore la sécurité. Pour plus d'informations sur la configuration des options avancées pour ESXi, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/1038578.