vSphere インストール バンドル (VIB) の許容レベルは、その VIB の認定の度合いによって異なります。最も低い VIB のレベルによって ESXi ホストの許容レベルが決まります。レベルの低い VIB を許可する場合は、ホストの許容レベルを変更できます。ホストの許容レベルを変更できるようにするためには、CommunitySupported VIB を削除してください。
VIB は、VMware またはそのパートナーからの署名を含んだソフトウェア パッケージです。ESXi ホストの整合性を保護するため、署名なし (コミュニティがサポートする) VIB のユーザーによるインストールを禁止します。署名なしの VIB には、VMware やそのパートナーによって認証、承諾、またはサポートされていないコードが含まれます。コミュニティがサポートする VIB にはデジタル署名がありません。
ESXi ホストの許容レベルによる制限は、ホストに追加する VIB の許容レベルと同程度か弱くなければなりません。たとえば、ホストの許容レベルが VMwareAccepted である場合、PartnerSupported レベルの VIB をインストールすることはできません。ESXCLI コマンドを使用して、ホストの許容レベルを設定できます。ESXi ホストのセキュリティと整合性を保護するには、署名なし (コミュニティがサポートする) VIB を稼働システムのホストにインストールすることを禁止します。
ESXi ホストの許容レベルは、vSphere Client の[セキュリティ プロファイル]に表示されます。
- VMwareCertified
- VMwareCertified 許容レベルは、最も厳しい要件です。このレベルの VIB では、同じテクノロジーに対して VMware 内部で行われる品質保証テストと完全に同等の詳細なテストが行われます。現在このレベルでは、I/O Vendor Program (IOVP) プログラム ドライバのみが公開されています。この許容レベルの場合は、VMware が VIB に対するサポート コールを受けます。
- VMwareAccepted
- この許容レベルの VIB では検証テストが行われますが、このテストはソフトウェアのすべての機能を完全にテストするものではありません。テストはパートナーが実行し、VMware がテスト結果を確認します。現在このレベルで公開されている VIB には、CIM プロバイダや PSA プラグインがあります。VMware では、ユーザーがこの許容レベルの VIB に関してサポート コールを行った場合、パートナーのサポート組織に問い合わせるように案内しています。
- PartnerSupported
- PartnerSupported 許容レベルの VIB は、VMware が信頼するパートナーによって公開されます。そのパートナーがすべてのテストを実行します。VMware はテスト結果を確認しません。このレベルは、パートナーが VMware システム用に採用する、新しいテクノロジー、または主要ではないテクノロジーに使用されます。現在このレベルでは、標準以外のハードウェア ドライバを使用する、Infiniband、ATAoE、SSD などのドライバ VIB テクノロジーが公開されています。VMware では、ユーザーがこの許容レベルの VIB に関してサポート コールを行った場合、パートナーのサポート組織に問い合わせるように案内しています。
- CommunitySupported
- CommunitySupported 許容レベルは、VMware パートナー プログラムに参加していない個人または企業が作成した VIB に使用されます。このレベルの VIB に対しては VMware が承認したテスト プログラムが実行されておらず、VMware のテクニカル サポートや VMware パートナーによるサポートを受けられません。
手順
結果
ESXi は、許容レベルによって管理される VIB の整合性チェックを実行します。VMkernel.Boot.execInstalledOnly
設定を使用して、ホストにインストールされている有効な VIB から発信されたバイナリのみを実行するように ESXi に指示できます。この設定をセキュア ブートと組み合わせると、ESXi ホストで実行されるすべてのプロセスが署名され、許可され、想定されるようになります。デフォルトでは、vSphere 7.0 以降のパートナーとの互換性のために、VMkernel.Boot.execInstalledOnly
設定は無効になっています。この設定を有効にすると(可能な場合)、セキュリティが向上します。ESXi の詳細オプションの構成の詳細については、https://kb.vmware.com/s/article/1038578 の VMware のナレッジベースの記事を参照してください。