Il livello di accettazione di un bundle di installazione di vSphere (VIB) dipende dalla quantità di certificazioni di tale VIB. Il livello di accettazione dell'host ESXi dipende dal livello del VIB più basso. Se si desidera consentire VIB di livello inferiore, è possibile modificare il livello di accettazione dell'host. È possibile rimuovere i VIB Supportato dalla community in modo da poter modificare il livello di accettazione dell'host.

I VIB sono pacchetti software contenenti una firma di VMware o di un partner VMware. Per proteggere l'integrità dell'host ESXi, non consentire agli utenti di installare VIB non firmati (supportati dalla community). Un VIB senza firma contiene un codice non certificato, non accettato o non supportato da VMware o dai relativi partner. I VIB supportati dalla community non dispongono di una firma digitale.

Il livello di accettazione dell'host ESXi deve essere uguale o meno restrittivo del livello di accettazione di qualsiasi VIB che si desidera aggiungere all'host. Ad esempio, se il livello di accettazione dell'host è Accettato da VMware, non è possibile installare i VIB al livello Supportato dai partner. È possibile utilizzare i comandi ESXCLI per impostare un livello di accettazione per un host. Per proteggere la sicurezza e l'integrità degli host ESXi, non consentire l'installazione di VIB non firmati (Supportato dalla community) sugli host nei sistemi di produzione.

Il livello di accettazione per un host ESXi viene visualizzato in Profilo di sicurezza in vSphere Client.

Sono supportati i seguenti livelli di accettazione.
VMwareCertified
Il livello di accettazione VMwareCertified prevede i requisiti più rigidi. I VIB con questo livello vengono sottoposti a test approfonditi equivalenti ai test di controllo qualità interni di VMware per la stessa tecnologia. Attualmente, a questo livello vengono pubblicati solo i driver del programma I/O Vendor Program (IOVP). VMware accetta le richieste di supporto per VIB con questo livello di accettazione.
VMwareAccepted
I VIB con questo livello di accettazione vengono sottoposti a test di verifica, ma i test non controllano completamente tutte le funzioni del software. Il partner esegue i test e VMware verifica il risultato. Tra i VIB pubblicati a questo livello sono al momento presenti i provider CIM e i plug-in PSA. VMware indirizza i clienti con chiamate di supporto per VIB con questo livello di accettazione per contattare l'organizzazione di supporto del partner.
PartnerSupported
I VIB con livello di accettazione PartnerSupported vengono pubblicati da un partner che VMware considera attendibile. Il partner esegue tutti i test. VMware non verifica i risultati. Questo livello viene utilizzato per una tecnologia nuova o non comune che i partner desiderano abilitare per i sistemi VMware. Oggi, le tecnologie dei driver VIB come Infiniband, ATAoE e SSD sono a questo livello con i driver hardware non standard. VMware indirizza i clienti con chiamate di supporto per VIB con questo livello di accettazione per contattare l'organizzazione di supporto del partner.
CommunitySupported
Il livello di accettazione CommunitySupported è per i VIB creati da individui o aziende che non fanno parte dei programmi partner di VMware. I VIB a questo livello non hanno superato alcun programma di test approvato da VMware e non sono supportati dal supporto tecnico di VMware o da un partner di VMware.

Procedura

  1. Connettersi a ciascun host ESXi utilizzando SSH.
  2. Verificare che il livello di accettazione sia impostato su Certificato VMware, Accettato da VMware o Supportato dai partner eseguendo il seguente comando. 
    esxcli software acceptance get
  3. Se il livello di accettazione dell'host è Supportato dalla community, stabilire se un VIB si trova al livello Supportato dalla community eseguendo i comandi seguenti. 
    esxcli software vib list
esxcli software vib get -n vibname
  4. Rimuovere i VIB Supportato dalla community eseguendo il comando seguente. 
    esxcli software vib remove --vibname vib
  5. Modificare il livello di accettazione dell'host utilizzando uno dei metodi seguenti.
    Opzione Descrizione
    Comando CLI 
    esxcli software acceptance set --level level

    Il parametro level è obbligatorio e specifica il livello di accettazione da impostare. Deve corrispondere a uno dei seguenti livelli: Certificato VMware, Accettato da VMware, Supportato dai partner o Supportato dalla community. Per ulteriori informazioni, vedere Guida di riferimento di ESXCLI.
    vSphere Client
    1. Selezionare un host nell'inventario.
    2. Fare clic su Configura.
    3. In Sistema, selezionare Profilo di sicurezza.
    4. Fare clic su Modifica per Livello di accettazione profilo immagine host e scegliere il livello di accettazione.

risultati

Il nuovo livello di accettazione è effettivo.
Nota:

ESXi esegue controlli di integrità dei VIB regolati dal Livello di accettazione. È possibile utilizzare l'impostazione VMkernel.Boot.execInstalledOnly per indicare a ESXi di eseguire solo file binari provenienti da un VIB valido installato nell'host. Insieme all'avvio sicuro, questa impostazione garantisce che ogni processo eseguito su un host ESXi sia firmato, autorizzato e previsto. Per impostazione predefinita, l'impostazione VMkernel.Boot.execInstalledOnly è disattivata per la compatibilità del partner in vSphere 7.0 e versioni successive. L'attivazione di questa impostazione quando è possibile consente di aumentare la sicurezza. Per ulteriori informazioni sulla configurazione delle opzioni avanzate per ESXi, consultare l'articolo della Knowledge base VMware all'indirizzo https://kb.vmware.com/s/article/1038578.