vSphere 安裝服務包 (VIB) 的接受程度視此 VIB 的憑證數量而定。ESXi 主機的接受程度視最低 VIB 的層級而定。如果您要允許較低層級的 VIB,可以變更主機的接受程度。若要能夠變更主機接受程度,可移除 CommunitySupported VIB。

VIB 是包含 VMware 或 VMware 合作夥伴提供之簽章的軟體套件。若要保護 ESXi 主機的完整性,請禁止使用者安裝尚未簽署的 (社群支援的) VIB。未簽署的 VIB 包含未由 VMware 或其合作夥伴認證、接受或支援的程式碼。社群支援的 VIB 沒有數位簽章。

ESXi 主機接受程度必須與要新增到該主機的任何 VIB 的接受程度相同或更低。例如,如果主機的接受程度為 VMwareAccepted,則您無法在 PartnerSupported 層級安裝 VIB。您可以使用 ESXCLI 命令來設定主機的接受程度。若要保護 ESXi 主機的安全性和完整性,請勿在生產系統的主機上安裝未簽署的 (CommunitySupported) VIB。

ESXi 主機的接受程度顯示在 vSphere Client安全性設定檔中。

支援以下接受程度。
VMwareCertified
VMwareCertified 接受程度具有最為嚴格的需求。此程度的 VIB 能夠完全通過全面測試,該測試相當於相同技術的 VMware 內部品質保證測試。今天,僅以此程度發佈 I/O Vendor Program (IOVP) 計畫驅動程式。VMware 受理此接受程度的 VIB 的支援致電。
VMwareAccepted
此接受程度的 VIB 雖然已通過驗證測試,但這些測試並非對軟體的每項功能進行全面測試。合作夥伴會執行測試並且 VMware 會驗證結果。現在,以此程度發佈的 VIB 包括 CIM 提供者和 PSA 外掛程式。VMware 會將此接受程度的 VIB 支援致電的客戶轉交給合作夥伴的支援組織。
PartnerSupported
接受程度為 PartnerSupported 的 VIB 是由 VMware 信任的合作夥伴發佈的。合作夥伴會執行所有測試。VMware 不會驗證結果。合作夥伴想要在 VMware 系統中啟用的新技術或非主流技術將使用此程度。現在,驅動程式 VIB 技術 (例如 Infiniband、ATAoE 和 SSD) 皆採用此程度,並具有非標準硬體驅動程式。VMware 會將此接受程度的 VIB 支援致電的客戶轉交給合作夥伴的支援組織。
CommunitySupported
CommunitySupported 接受程度適用於由未參與 VMware 合作夥伴計劃的個人或公司建立的 VIB。此程度的 VIB 尚未通過任何 VMware 核准的測試計劃,且不受 VMware 技術支援或 VMware 合作夥伴的支援。

程序

  1. 使用 SSH 連線至每個 ESXi 主機。
  2. 透過執行以下命令來驗證是否已將接受程度設定為 VMwareCertified、VMwareAccepted 或 PartnerSupported。
    esxcli software acceptance get
  3. 如果主機接受程度為 CommunitySupported,請執行以下命令來判定是否有任何 VIB 處於 CommunitySupported 層級。
    esxcli software vib list
    esxcli software vib get -n vibname
  4. 執行以下命令以移除任何 CommunitySupported VIB。
    esxcli software vib remove --vibname vib
  5. 使用以下其中一種方法變更主機的接受程度。
    選項 說明
    CLI 命令
    esxcli software acceptance set --level level

    level 為必要參數,用於指定要設定的接受程度。應為以下內容之一:VMwareCertifiedVMwareAcceptedPartnerSupportedCommunitySupported。如需詳細資訊,請參閱ESXCLI 參考

    vSphere Client
    1. 在詳細目錄中選取主機。
    2. 按一下設定
    3. 在 [系統] 下,選取安全性設定檔
    4. 針對主機映像設定檔接受程度按一下編輯,然後選擇接受程度。

結果

新的接受程度已生效。
備註:

ESXi 對受接受程度約束的 VIB 執行完整性檢查。可以使用 VMkernel.Boot.execInstalledOnly 設定指示 ESXi 僅執行主機上安裝的有效 VIB 所產生的二進位檔。此設定與安全開機結合使用時,可確保在 ESXi 主機上執行的每個程序都是已簽署、允許且符合預期的程序。在 vSphere 7.0 及更新版本中,預設會停用 VMkernel.Boot.execInstalledOnly 設定以實現合作夥伴相容性。儘量啟用此設定以提高安全性。如需有關為 ESXi 設定進階選項的詳細資訊,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/1038578