vSphere インストール バンドル (VIB) の許容レベルは、その VIB の認定の度合いによって異なります。最も低い VIB のレベルによって ESXi ホストの許容レベルが決まります。レベルの低い VIB を許可する場合は、ホストの許容レベルを変更できます。ホストの許容レベルを変更できるようにするためには、CommunitySupported VIB を削除してください。

VIB は、VMware またはそのパートナーからの署名を含んだソフトウェア パッケージです。ESXi ホストの整合性を保護するため、署名なし (コミュニティがサポートする) VIB のユーザーによるインストールを禁止します。署名なしの VIB には、VMware やそのパートナーによって認証、承諾、またはサポートされていないコードが含まれます。コミュニティがサポートする VIB にはデジタル署名がありません。

ESXi ホストの許容レベルによる制限は、ホストに追加する VIB の許容レベルと同程度か弱くなければなりません。たとえば、ホストの許容レベルが VMwareAccepted である場合、PartnerSupported レベルの VIB をインストールすることはできません。ESXCLI コマンドを使用して、ホストの許容レベルを設定できます。ESXi ホストのセキュリティと整合性を保護するには、署名なし (コミュニティがサポートする) VIB を稼働システムのホストにインストールすることを禁止します。

ESXi ホストの許容レベルは、vSphere Client[セキュリティ プロファイル]に表示されます。

次の許容レベルがサポートされています。
VMwareCertified
VMwareCertified 許容レベルは、最も厳しい要件です。このレベルの VIB では、同じテクノロジーに対して VMware 内部で行われる品質保証テストと完全に同等の詳細なテストが行われます。現在このレベルでは、I/O Vendor Program (IOVP) プログラム ドライバのみが公開されています。この許容レベルの場合は、VMware が VIB に対するサポート コールを受けます。
VMwareAccepted
この許容レベルの VIB では検証テストが行われますが、このテストはソフトウェアのすべての機能を完全にテストするものではありません。テストはパートナーが実行し、VMware がテスト結果を確認します。現在このレベルで公開されている VIB には、CIM プロバイダや PSA プラグインがあります。VMware では、ユーザーがこの許容レベルの VIB に関してサポート コールを行った場合、パートナーのサポート組織に問い合わせるように案内しています。
PartnerSupported
PartnerSupported 許容レベルの VIB は、VMware が信頼するパートナーによって公開されます。そのパートナーがすべてのテストを実行します。VMware はテスト結果を確認しません。このレベルは、パートナーが VMware システム用に採用する、新しいテクノロジー、または主要ではないテクノロジーに使用されます。現在このレベルでは、標準以外のハードウェア ドライバを使用する、Infiniband、ATAoE、SSD などのドライバ VIB テクノロジーが公開されています。VMware では、ユーザーがこの許容レベルの VIB に関してサポート コールを行った場合、パートナーのサポート組織に問い合わせるように案内しています。
CommunitySupported
CommunitySupported 許容レベルは、VMware パートナー プログラムに参加していない個人または企業が作成した VIB に使用されます。このレベルの VIB に対しては VMware が承認したテスト プログラムが実行されておらず、VMware のテクニカル サポートや VMware パートナーによるサポートを受けられません。

手順

  1. SSH を使用して各 ESXi ホストに接続します。
  2. 次のコマンドを実行して、許容レベルが VMwareCertified、VMwareAccepted、または PartnerSupported に設定されていることを確認します。
    esxcli software acceptance get
  3. ホストの許容レベルが CommunitySupported である場合は、次のコマンドを実行して、CommunitySupported レベルの VIB があるかどうかを判断します。
    esxcli software vib list
    esxcli software vib get -n vibname
  4. 次のコマンドを実行して CommunitySupported VIB をすべて削除します。
    esxcli software vib remove --vibname vib
  5. 次の方法のいずれかを使用して、ホストの許容レベルを変更します。
    オプション 説明
    CLI コマンド
    esxcli software acceptance set --level level

    level パラメータは必須で、設定する許容レベルを指定します。VMwareCertifiedVMwareAcceptedPartnerSupported、または CommunitySupported のいずれかにする必要があります。詳細についてはESXCLI のリファレンスを参照してください。

    vSphere Client
    1. インベントリでホストを選択します。
    2. [構成] をクリックします。
    3. [システム] で、[セキュリティ プロファイル] 選択します。
    4. [ホスト イメージ プロファイル許容レベル] の [編集] をクリックし、許容レベルを選択します。

結果

新しい許容レベルが有効になります。
注:

ESXi は、許容レベルによって管理される VIB の整合性チェックを実行します。VMkernel.Boot.execInstalledOnly 設定を使用して、ホストにインストールされている有効な VIB から発信されたバイナリのみを実行するように ESXi に指示できます。この設定をセキュア ブートと組み合わせると、ESXi ホストで実行されるすべてのプロセスが署名され、許可され、想定されるようになります。デフォルトでは、vSphere 7.0 以降のパートナーとの互換性のために、VMkernel.Boot.execInstalledOnly 設定は無効になっています。この設定を有効にすると(可能な場合)、セキュリティが向上します。ESXi の詳細オプションの構成の詳細については、https://kb.vmware.com/s/article/1038578 の VMware のナレッジベースの記事を参照してください。