vSphere Trust Authority 服务作为基础 ESXi 映像的一部分进行打包和安装。

启动和停止服务

vSphere Client 中,可以启动、停止和重新启动 ESXi 主机上运行的 vSphere Trust Authority 服务。可以在配置更改或者怀疑出现功能或性能问题时重新启动服务。要重新启动 ESXi 受信任主机上的服务,必须登录到主机本身才能重新启动服务。请参见启动、停止和重新启动 vSphere Trust Authority 服务

升级和修补

每次升级或修补 ESXi 受信任主机时,必须使用新的 ESXi 版本信息更新 vSphere Trust Authority 集群。实现此目的的一种方法是升级或修补测试 ESXi 主机,导出 ESXi 基础映像信息,将映像文件导入 Trust Authority 集群,然后升级或修补 ESXi 受信任主机。

升级最佳做法

升级 vSphere Trust Authority 基础架构的最佳做法是先升级 Trust Authority vCenter Server 和 Trust Authority 主机。这样,可以最大程度地从最新的 vSphere Trust Authority 功能中获益。但是,可以对 vCenter ServerESXi 主机执行单独的独立升级,以满足特定的业务要求。

一般情况下,按照以下顺序升级 vSphere Trust Authority 基础架构:

  1. 升级 Trust Authority 集群 vCenter Server
  2. 升级 Trust Authority 主机。
  3. 升级受信任集群 vCenter Server
  4. 升级受信任主机。

为确保顺利执行该过程,请逐个逐步升级 Trust Authority 主机和受信任主机。

对升级问题进行故障排除

如果 Trust Authority 主机升级失败,请执行以下步骤。

  1. 从受信任集群中移除 Trust Authority 主机。
  2. 恢复到以前版本的 ESXi
  3. 按照 VMware 知识库文章 (https://kb.vmware.com/s/article/77234) 中所述,将 Trust Authority 主机重新添加到集群。
  4. 验证 Trust Authority 主机的配置是否与 Trust Authority 集群中的其他 Trust Authority 主机一致。请参见检查受信任集群的运行状况

当受信任主机上的 ESXi 升级到新版本时,在使用新的 ESXi 基础映像信息更新 Trust Authority 集群之前,证明将失败。这是预期行为。修复该问题之前,无法再对虚拟机进行加密,也无法使用在升级之前加密的现有虚拟机。vSphere Client 近期任务窗格以及 attestd.logkmxa log vpxd.log 文件中将显示证明错误消息。

要更正该问题,请执行以下步骤。

  1. 运行 Export-VMHostImageDb cmdlet 以重新导出 ESXi 基础映像。请参见收集有关要信任的 ESXi 主机和 vCenter Server 的信息中的步骤 5。
  2. 运行 New-TrustAuthorityVMHostBaseImage cmdlet,以将新基础映像重新导入到 Trust Authority 集群的 vCenter Server。请参见将受信任主机信息导入到 Trust Authority 集群中的步骤 8。
  3. 如果不再必须证明旧版本的 ESXi(已升级所有受信任主机),请运行 Remove-TrustAuthorityVMHostBaseImage cmdlet 以移除这些版本。例如:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    $baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
    Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

备份 vSphere Trust Authority 配置

由于大多数 vSphere Trust Authority 配置信息存储在 ESXi 主机上,因此 vCenter Server 备份不会备份此 vSphere Trust Authority 信息。请参见备份 vSphere Trust Authority 配置