默认情况下,不启用 vSphere Trust Authority。必须在环境中配置 vSphere Trust Authority,然后才能开始使用。

在称为 vSphere Trust Authority 集群的专用 vCenter Server 集群上启用 vSphere Trust Authority 服务。Trust Authority 集群用作集中式安全管理平台。然后,使工作负载 vCenter Server 集群用作受信任集群。受信任集群包含 ESXi 受信任主机。

Trust Authority 集群会远程证明受信任集群中的 ESXi 主机。Trust Authority 集群仅将加密密钥释放给受信任集群中经过证明的 ESXi 主机,以便使用可信密钥提供程序对虚拟机和虚拟磁盘进行加密。

在开始配置 vSphere Trust Authority 之前,请参见 vSphere Trust Authority 的必备条件和所需特权,了解有关 vCenter Server 系统和 ESXi 主机所需设置的信息。

可以通过以下方式管理 vSphere Trust Authority 的不同方面。

  • 使用 PowerCLI cmdlet 或 vSphere API 配置 vSphere Trust Authority 服务和可信连接。请参见《VMware PowerCLI Cmdlet 参考》《vSphere Automation SDK 编程指南》
  • 使用 PowerCLI cmdlet 或通过 vSphere Client 管理可信密钥提供程序的配置。
  • 使用 vSphere Client 和 API 执行加密工作流,就像先前 vSphere 版本中那样。
图 1. vSphere Trust Authority 工作流
此图简要地概述了如何配置 vSphere Trust Authority。

要配置和管理 vSphere Trust Authority,可以使用 VMware PowerCLI,但是可以在 vSphere Client 中获得某些功能。

配置 vSphere Trust Authority 时,必须在 Trust Authority 集群和受信任集群上完成设置任务。其中一些任务需按照特定的顺序执行。使用本指南中列出的任务顺序。

注: 完成初始 vSphere Trust Authority 设置后将更多 ESXi 主机添加到受信任集群时,可能需要再次导出和导入受信任主机信息。也就是说,如果新 ESXi 主机与原始主机不同,则必须收集新的 ESXi 主机信息并将其导入到 Trust Authority 集群中。请参见 添加和移除 vSphere Trust Authority 主机