VIB 的接受程度視此 VIB 的憑證數量而定。主機的接受程度視最低 VIB 的層級而定。如果您要允許較低層級的 VIB,可以變更主機的接受程度。若要能夠變更主機接受程度,可移除 CommunitySupported VIB。
VIB 是包含 VMware 或 VMware 合作夥伴提供之簽章的軟體套件。若要保護 ESXi 主機的完整性,請禁止使用者安裝尚未簽署的 (社群支援的) VIB。未簽署的 VIB 包含未由 VMware 或其合作夥伴認證、接受或支援的程式碼。社群支援的 VIB 沒有數位簽章。
該主機的接受程度必須與要新增到該主機的任何 VIB 的接受程度相同或更低。例如,如果主機的接受程度為 VMwareAccepted,則您無法在 PartnerSupported 層級安裝 VIB。您可以使用 ESXCLI 命令來設定主機的接受程度。若要保護 ESXi 主機的安全性和完整性,請勿在生產系統的主機上安裝未簽署的 (CommunitySupported) VIB。
ESXi 主機的接受程度顯示在 vSphere Client 的安全性設定檔中。
- VMwareCertified
- VMwareCertified 接受程度具有最為嚴格的需求。此程度的 VIB 能夠完全通過全面測試,該測試相當於相同技術的 VMware 內部品質保證測試。今天,僅以此程度發佈 I/O Vendor Program (IOVP) 計畫驅動程式。VMware 受理此接受程度的 VIB 的支援致電。
- VMwareAccepted
- 此接受程度的 VIB 雖然已通過驗證測試,但這些測試並非對軟體的每項功能進行全面測試。合作夥伴會執行測試並且 VMware 會驗證結果。現在,以此程度發佈的 VIB 包括 CIM 提供者和 PSA 外掛程式。VMware 會將此接受程度的 VIB 支援致電的客戶轉交給合作夥伴的支援組織。
- PartnerSupported
- 接受程度為 PartnerSupported 的 VIB 是由 VMware 信任的合作夥伴發佈的。合作夥伴會執行所有測試。VMware 不會驗證結果。合作夥伴想要在 VMware 系統中啟用的新技術或非主流技術將使用此程度。現在,驅動程式 VIB 技術 (例如 Infiniband、ATAoE 和 SSD) 皆採用此程度,並具有非標準硬體驅動程式。VMware 會將此接受程度的 VIB 支援致電的客戶轉交給合作夥伴的支援組織。
- CommunitySupported
- CommunitySupported 接受程度適用於由未參與 VMware 合作夥伴計劃的個人或公司建立的 VIB。此程度的 VIB 尚未通過任何 VMware 核准的測試計劃,且不受 VMware 技術支援或 VMware 合作夥伴的支援。
程序
結果
ESXi 對受接受程度約束的 VIB 執行完整性檢查。可以使用 VMkernel.Boot.execInstalledOnly 設定指示 ESXi 僅執行主機上安裝的有效 VIB 所產生的二進位檔。此設定與安全開機結合使用時,可確保在 ESXi 主機上執行的每個程序都是已簽署、允許且符合預期的程序。在 vSphere 7 中,預設會停用 VMkernel.Boot.execInstalledOnly 設定以實現合作夥伴相容性。如果可能,啟用此設定可提升安全性。如需有關為 ESXi 設定進階選項的詳細資訊,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/kb/1038578。
