Os serviços do vSphere Trust Authority são empacotados e instalados como parte da imagem base do ESXi.

Iniciando e interrompendo serviços do vSphere Trust Authority

No vSphere Client, você pode iniciar, interromper e reiniciar os serviços do vSphere Trust Authority que estão em execução em um host ESXi. Você pode reiniciar os serviços após uma alteração de configuração ou se suspeitar de problemas funcionais ou de desempenho. Para reiniciar o serviço em um Host Confiável ESXi, você deve fazer login no próprio host para reiniciar o serviço. Consulte Iniciar, interromper e reiniciar serviços do vSphere Trust Authority.

Atualizando e aplicando patches vSphere Trust Authority

Sempre que você fizer upgrade ou corrigir um host confiável do ESXi, você deve atualizar o cluster do vSphere Trust Authority com as novas informações de versão do ESXi. Uma maneira de fazer isso é atualizar ou corrigir um host ESXi de teste, exportar as informações da imagem base ESXi, importar o arquivo de imagem para o Cluster do Trust Authority e, em seguida, atualizar ou corrigir os ESXi Hosts Confiáveis.

Práticas recomendadas para upgrade vSphere Trust Authority

A prática recomendada para fazer upgrade de uma infraestrutura vSphere Trust Authority é fazer upgrade do Trust Authority vCenter Server e dos Hosts do Trust Authority primeiro. Dessa forma, você obtém o máximo dos benefícios dos recursos do vSphere Trust Authority mais recentes. No entanto, você pode realizar upgrades independentes e separados dos hosts vCenter Server e ESXi para atender a motivos comerciais específicos.

Em geral, siga esta ordem para fazer upgrade da sua infraestrutura vSphere Trust Authority:

  1. Faça upgrade do Cluster do Trust Authority vCenter Server.
  2. Faça upgrade dos Hosts do Trust Authority.
  3. Faça upgrade do cluster confiável vCenter Server.
  4. Faça upgrade dos hosts confiáveis.

Para garantir um processo tranquilo, faça upgrade dos Hosts do Trust Authority e dos Hosts Confiáveis gradualmente, um por um.

Fazendo upgrade do vSphere Trust Authority com hosts confiáveis do ESXi de inicialização rápida

Quick Boot é uma configuração que você pode usar com clusters que você gerencia com vSphere Lifecycle Manager imagens e vSphere Lifecycle Manager linhas de base. O uso de Quick Boot otimiza as operações de atualização e aplicação de patches do host ESXi.

Quando você atualiza um host ESXi usando a otimização Quick Boot, o atestado de host continua a relatar a versão ESXi inicializada anteriormente na raiz da medição de confiança.

Portanto, ao fazer upgrade de um host confiável ESXi que está habilitado para Quick Boot e que faz parte de uma implantação de vSphere Trust Authority, preste atenção ao seguinte:

  1. Não remova a versão da imagem base ESXi na qual você confiou inicialmente do Serviço de Atestado até que todos os hosts ESXi tenham concluído uma reinicialização completa após a atualização. (Se você precisar reinicializar o host, desative Quick Boot.)
  2. Se você tiver usado o Quick Boot para várias atualizações e quiser remover uma versão intermediária do ESXi que não é mais confiável, use a API do base-images para confirmar a versão do ESXi que você atestou pela última vez.
  3. Quando você exporta a imagem de base ESXi de um host ESXi ativado para Quick Boot, é exibida uma mensagem informando que o host foi atualizado por Quick Boot. O arquivo resultante contém os metadados mais recentes da imagem de base ESXi.

Para obter a imagem base, você pode usar os seguintes comandos PowerCLI.

$vTA = Get-TrustAuthorityCluster -name trustedCluster
$bm = Get-TrustAuthorityVMHostBaseImage $vTA
$bm | select *

Solucionando problemas de vSphere Trust Authority upgrade

Se você encontrar um upgrade malsucedido de um Host do Trust Authority, siga estas etapas.

  1. Remova o Host do Trust Authority do Cluster Confiável.
  2. Reverta para a versão anterior do ESXi.
  3. Adicione novamente o Host do Trust Authority ao cluster conforme descrito no artigo da base de conhecimento VMware em https://kb.vmware.com/s/article/77234.
  4. Verifique se a configuração do Host do Trust Authority é consistente com os outros Hosts do Trust Authority no Cluster do Trust Authority. Consulte Verificar a integridade do cluster confiável.

Quando você faz upgrade para uma nova versão do ESXi em um Host Confiável, o atestado falhará até que você atualize o Cluster do Trust Authority com as novas informações da imagem base do ESXi. Esse comportamento é esperado. Você não pode mais criptografar máquinas virtuais ou usar máquinas virtuais existentes que foram criptografadas antes da atualização até corrigir o problema. Mensagens de erro de atestado aparecem no painel vSphere Client Tarefas recentes e nos arquivos attestd.log, kmxa.log e vpxd.log arquivos.

Para corrigir o problema, siga estas etapas.

  1. Execute o cmdlet Export-VMHostImageDb para exportar novamente as imagens base ESXi. Consulte a Etapa 5 em Coletar informações sobre hosts ESXi e vCenter Server confiáveis.
  2. Execute o cmdlet New-TrustAuthorityVMHostBaseImage para reimportar a nova imagem de base para o vCenter Server do Cluster do Trust Authority. Consulte a Etapa 8 em Importar as Informações do Host Confiável para o Cluster do Trust Authority.
  3. Se você não precisar mais atestar as versões mais antigas do ESXi (todos os hosts confiáveis foram atualizados), execute o cmdlet Remove-TrustAuthorityVMHostBaseImage para remover as versões. Por exemplo:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
$baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

Fazendo backup da configuração do vSphere Trust Authority

Como a maioria das informações de configuração do vSphere Trust Authority é armazenada nos hosts do ESXi, o vCenter Server Backup não faz backup dessas informações do vSphere Trust Authority. Consulte Fazendo backup da configuração do vSphere Trust Authority.