您可以从受信任集群中移除或取消配置受信任主机。您可以从受信任集群中取消配置一个或全部受信任主机,具体取决于具体情况。

取消配置受信任主机时,修复功能会将受信任主机的所需状态设置为它移动到的非受信任集群的所需状态。取消配置的受信任主机将成为普通主机。受信任集群(从中移出了受信任主机)继续具有所需的状态配置,并且仍然作为受信任集群运行。

如果从受信任集群中移除所有受信任主机,将取消配置受信任集群。您可以从受信任主机和受信任集群中移除所需的状态配置和应用的配置,然后将所有受信任主机移至非受信任集群。

您可以在您的环境中重用已取消配置的受信任主机。例如,您可以在非受信任基础架构容量中重用主机,或将主机重用为 vSphere Trust Authority 主机。您可以在同一 vCenter Server 中或不同 vCenter Server 中使用已取消配置的主机。

有关受信任集群配置和运行状况的详细信息,请参见受信任集群运行状况和修复概述

前提条件

  • 受信任集群的 vCenter Server 必须运行 vSphere 7.0 Update 1 或更高版本。
  • 如果使用 PowerCLI,则需要 12.1.0 或更高版本。

过程

  1. 使用 vSphere Client 连接到受信任集群的 vCenter Server
  2. 以 Trust Authority 管理员的身份登录。
  3. 导航到一个受信任集群。
  4. 确定如何取消配置受信任集群中的受信任主机。
    任务 步骤
    保留受信任集群和剩余受信任主机的所需配置状态
    1. 将主机置于维护模式,并将其移至新的空集群(即,集群中不包含任何主机)。
    2. 退出主机上的维护模式。
    3. 对于新的空集群(而不是受信任集群),请在 Trust Authority 选项卡上,单击修复

      修复将从移动的主机中移除受信任配置。受信任集群将保留其所需的状态配置。

    移除所有受信任主机的所需配置状态和已应用配置状态
    1. 在 PowerCLI 会话中,运行 Connect-VIServer cmdlet,以 Trust Authority 管理员身份连接到受信任集群的 vCenter Server
      Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    2. 运行 Set-TrustedCluster cmdlet,例如:
      Set-TrustedCluster -TrustedCluster 'TrustedCluster' -State Disabled

      将从所有受信任主机中移除可信基础架构配置,受信任集群将移除它的所需状态配置。

    3. 将所有主机置于维护模式并将它们移动到其他集群。
    4. 退出主机上的维护模式。
  5. 要验证受信任集群是否处于正常状态,请单击受信任集群的 Trust Authority选项卡上的检查运行状况

下一步做什么

如果不再打算证明 ESXi 主机或已取消配置的 ESXi 主机中的 TPM 硬件的特定版本,请更新 Trust Authority 集群的配置,以获得最佳安全性。请参见 VMware 知识库文章,网址为 https://kb.vmware.com/s/article/77146