O vSphere Trust Authority requer sistemas vCenter Server separados para o Trust Authority Cluster e o Trusted Cluster.
O Trust Authority Cluster é configurado e gerenciado em um vCenter Server independente e isolado. O vCenter Server do Trust Authority Cluster também não pode ser o vCenter Server do Trusted Cluster. O cluster confiável deve ter seu próprio vCenter Server separado. Um único vCenter Server pode gerenciar vários clusters confiáveis. Vários sistemas vCenter Server para clusters confiáveis podem participar do modo vinculado aprimorado. O vCenter Server para o Trust Authority Cluster não pode participar do modo vinculado aprimorado com outros sistemas do Trust Authority Cluster vCenter Server ou do Trusted Cluster vCenter Server.
O administrador do Trust Authority gerencia o Trust Authority Cluster e seu associado vCenter Server independentemente de outras instâncias do vCenter Server, pois essa abordagem fornece o melhor isolamento de segurança.
O administrador do Trust Authority documenta ou publica os nomes de host e os certificados SSL que os administradores do Trusted Cluster usam para configurar seus clusters. O administrador do Trust Authority também provisiona provedores de chaves confiáveis para a organização e seus departamentos, ou mesmo administradores individuais.
Você não pode implantar os serviços do vSphere Trust Authority diretamente no cluster confiável gerenciado pela carga de trabalho vCenter Server, pois o administrador da carga de trabalho tem acesso de alto privilégio aos hosts do ESXi. Esse tipo de implantação não atinge a separação de funções necessária para atender aos objetivos de segurança do vSphere Trust Authority.