vSphere Trust Authority 集群信息导入到受信任集群后,受信任主机将开始使用 Trust Authority 集群执行证明过程。

前提条件

过程

  1. 确保您已经以 Trust Authority 管理员身份连接到受信任集群的 vCenter Server
    例如,可以输入 $global:defaultviservers,显示所有连接的服务器。
  2. (可选) 如有必要,可以运行以下命令确保您已连接到受信任集群的 vCenter Server
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    注: 或者,也可以启动另一个 PowerCLI 会话以连接到受信任集群的 vCenter Server
  3. 验证受信任集群的状态是否为已禁用。
    Get-TrustedCluster
    “State”显示为“Disabled”。
  4. Get-TrustedCluster 信息分配给变量。
    例如,以下命令将集群 Trusted Cluster 的信息分配给变量 $TC
    $TC = Get-TrustedCluster -Name 'Trusted Cluster'
  5. 通过回显变量验证变量的值。
    例如:
    $TC
    此时将显示 Get-TrustedCluster 信息。
  6. 要将 Trust Authority 集群信息导入到 vCenter Server,请运行 Import-TrustAuthorityServicesInfo cmdlet。
    例如,以下命令从之前在 导出 Trust Authority 集群信息中导出的 clsettings.json 文件导入服务信息。
    Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json
    系统将显示确认提示予以响应。
    Confirmation
    Importing the TrustAuthorityServicesInfo into Server 'ip_address'. Do you want to proceed?
    
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
  7. 在确认提示处,按 Enter。(默认值为 Y。)
    此时将显示 Trust Authority 集群中主机的服务信息。
  8. 要启用受信任集群,请运行 Set-TrustedCluster cmdlet。
    例如:
    Set-TrustedCluster -TrustedCluster $TC -State Enabled
    系统将显示确认提示响应。
    Confirmation
    Setting TrustedCluster 'cluster' with new TrustedState 'Enabled'. Do you want to proceed?
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
    如果受信任集群未处于正常状态,则在确认消息之前会显示以下警告消息:
    WARNING: The TrustedCluster 'cluster' is not healthy in its TrustedClusterAppliedStatus. This cmdlet will automatically remediate the TrustedCluster.
  9. 在确认提示处,按 Enter。(默认值为 Y。)
    受信任集群已启用。
    注: 也可以通过分别启用证明服务和密钥提供程序服务来启用受信任集群。使用 Add-TrustedClusterAttestationServiceInfoAdd-TrustedClusterKeyProviderServiceInfo 命令。例如,以下命令为包含两个可信密钥提供程序服务和两个证明服务的集群 Trusted Cluster 启用这些服务,一次启用一个。
    Add-TrustedClusterAttestationServiceInfo -TrustedCluster 'Trusted Cluster' -AttestationServiceInfo (Get-AttestationServiceInfo | Select-Object -index 0,1)
    Add-TrustedClusterKeyProviderServiceInfo  -TrustedCluster 'Trusted Cluster' -KeyProviderServiceInfo (Get-KeyProviderServiceInfo | Select-Object -index 0,1)
  10. 验证是否已在受信任集群中配置证明服务和密钥提供程序服务。
    1. Get-TrustedCluster 信息分配给变量。
      例如,以下命令将集群 Trusted Cluster 的信息分配给变量 $TC
      $TC = Get-TrustedCluster -Name 'Trusted Cluster'
    2. 验证是否已配置证明服务。
      $tc.AttestationServiceInfo
      此时将显示证明服务信息。
    3. 验证是否已配置密钥提供程序服务。
      $tc.KeyProviderServiceInfo
      此时将显示密钥提供程序服务信息。

结果

受信任集群中的 ESXi 受信任主机开始使用 Trust Authority 集群执行证明过程。

示例: 将 Trust Authority 集群信息导入到受信任主机

此示例显示了如何将 Trust Authority 集群服务信息导入到受信任集群。下表显示了所使用的示例组件和值。

表 1. vSphere Trust Authority 设置示例
组件
受信任集群的 vCenter Server 192.168.110.22
Trust Authority 管理员 [email protected]
受信任集群名称 受信任集群
Trust Authority 集群中的 ESXi 主机 192.168.210.51 和 192.168.210.52
变量 $TC Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                 443   VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Get-TrustedCluster

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $TC

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json

Confirmation
Importing the TrustAuthorityServicesInfo into Server '192.168.110.22'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...

PS C:\Users\Administrator.CORP> Set-TrustedCluster -TrustedCluster $TC -State Enabled

Confirmation
Setting TrustedCluster 'Trusted Cluster' with new TrustedState 'Enabled'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):

Name                  State             Id
----                  -----             --
Trusted Cluster       Enabled           TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $tc.AttestationServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

PS C:\Users\Administrator.CORP> $tc.KeyProviderServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

下一步做什么

继续使用 vSphere Client 为受信任主机配置可信密钥提供程序使用命令行为受信任主机配置可信密钥提供程序