可以将导出的 ESXi 主机和 vCenter Server 信息导入到 vSphere Trust Authority 集群中,以便 Trust Authority 集群了解可以证明哪些主机。

如果按顺序执行这些任务,您仍会连接到 Trust Authority 集群的 vCenter Server

前提条件

过程

  1. 确保您已经以 Trust Authority 管理员身份连接到 Trust Authority 集群的 vCenter Server
    例如,可以输入 $global:defaultviservers,显示所有连接的服务器。
  2. (可选) 如有必要,可以运行以下命令确保您已连接到 Trust Authority 集群的 vCenter Server 
    Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. 要显示此 vCenter Server 管理的集群,请运行 Get-TrustAuthorityCluster cmdlet。 
    Get-TrustAuthorityCluster
    此时将显示这些集群。
  4. Get-TrustAuthorityCluster 'cluster' 信息分配给变量。
    例如,以下命令将集群 vTA Cluster 的信息分配给变量 $vTA
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
  5. 要将受信任集群的 vCenter Server 主体信息导入到 Trust Authority 集群中,请运行 New-TrustAuthorityPrincipal cmdlet。
    例如,以下命令导入之前在 收集有关要信任的 ESXi 主机和 vCenter Server 的信息中导出的 principal.json 文件。 
    New-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA -FilePath C:\vta\principal.json
    此时将显示 TrustAuthorityPrincipal 信息。
  6. 要验证导入,请运行 Get-TrustAuthorityPrincipal cmdlet。
    例如: 
    Get-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA
    此时将显示导入的 TrustAuthorityPrincipal 信息。
  7. 要导入可信平台模块 (TPM) CA 证书信息,请运行 New-TrustAuthorityTpm2CACertificate cmdlet。
    例如,以下命令将从之前在 收集有关要信任的 ESXi 主机和 vCenter Server 的信息中导出的 cacert.zip 文件导入 TPM CA 证书信息。 
    New-TrustAuthorityTpm2CACertificate -TrustAuthorityCluster $vTA -FilePath C:\vta\cacert.zip
    此时将显示导入的证书信息。
  8. 要导入 ESXi 主机基础映像信息,请运行 New-TrustAuthorityVMHostBaseImage cmdlet。
    例如,以下命令将从之前在 收集有关要信任的 ESXi 主机和 vCenter Server 的信息中导出的 image.tgz 文件导入映像信息。 
    New-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA -FilePath C:\vta\image.tgz
    此时将显示导入的映像信息。

结果

Trust Authority 集群了解可以远程证明哪些 ESXi 主机,由此了解可以信任哪些主机。

示例: 将受信任主机信息导入到 Trust Authority 集群

以下示例显示了如何使用 PowerCLI 将受信任集群的 vCenter Server 主体信息和受信任主机信息文件导入到 Trust Authority 集群。该示例假设您已经以 Trust Authority 管理员身份连接到 Trust Authority 集群的 vCenter Server。下表显示了所使用的示例组件和值。

表 1. vSphere Trust Authority 设置示例
组件
变量 $vTA Get-TrustAuthorityCluster 'vTA Cluster1'
Trust Authority 集群的 vCenter Server 192.168.210.22
Trust Authority 集群名称

vTA Cluster1 (Enabled)

vTA Cluster2 (Disabled)
主体信息文件 C:\vta\principal.json
TPM 证书文件 C:\vta\cacert.cer
ESXi 主机基础映像文件 C:\vta\image.tgz
Trust Authority 管理员 [email protected] 
PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster1         Enabled              TrustAuthorityCluster-domain-c8
vTA Cluster2         Disabled             TrustAuthorityCluster-domain-c26

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster1'

PS C:\Users\Administrator.CORP> New-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA -FilePath C:\vta\principal.json

Name                                          Domain          Type       TrustAuthorityClusterId
----                                          ------          ----       -----------------------
vpxd-de207929-0601-43ef-9616-47d0cee0302f     vsphere.local   STS_USER   TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> Get-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA

Name                                          Domain          Type       TrustAuthorityClusterId
----                                          ------          ----       -----------------------
vpxd-de207929-0601-43ef-9616-47d0cee0302f     vsphere.local   STS_USER   TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> New-TrustAuthorityTpm2CACertificate -TrustAuthorityCluster $vTA -FilePath C:\vta\cacert.cer

TrustAuthorityClusterId                  Name                                     Health
-----------------------                  ----                                     ------
TrustAuthorityCluster-domain-c8          52BDB7B4B2F55C925C047257DED4588A7767D961 Ok

PS C:\Users\Administrator.CORP> New-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA -FilePath C:\vta\image.tgz

TrustAuthorityClusterId                  VMHostVersion                            Health
-----------------------                  -------------                            ------
TrustAuthorityCluster-domain-c8          ESXi 7.0.0-0.0.14828939                  Ok

下一步做什么

继续在 Trust Authority 集群上创建密钥提供程序