配置 vSphere Trust Authority 时,必须考虑硬件和软件要求。必须设置加密特权和角色才能使用加密。执行 vSphere Trust Authority 任务的用户必须拥有相应的特权。

vSphere Trust Authority 的要求

要使用 vSphere Trust Authority,您的 vSphere 环境必须满足以下要求:

  • ESXi 受信任主机的硬件要求:
    • TPM 2.0
    • 必须启用安全引导
    • EFI 固件
  • 组件要求:
    • vCenter Server 7.0 或更高版本
    • 一个专用 vCenter Server 系统用于 vSphere Trust Authority 集群和 ESXi 主机
    • 一个单独的 vCenter Server 系统用于受信任集群和 ESXi 受信任主机
    • 密钥服务器(在以前的 vSphere 版本中,称为密钥管理服务器或 KMS)
  • 虚拟机要求:
    • EFI 固件
    • 已启用安全引导
注: 在开始配置 vSphere Trust Authority 之前,请确保已为 Trust Authority 集群和受信任集群设置了 vCenter Server 系统,并将 ESXi 主机添加到了每个集群。

vSphere Trust Authority 和加密特权

vSphere Trust Authority 不会引入任何新的加密特权。使用加密特权和角色中所述的相同加密特权适用于 vSphere Trust Authority

vSphere Trust Authority 和主机加密模式

vSphere Trust Authority 不会引入在 ESXi 受信任主机上启用主机加密模式的任何新要求。有关主机加密模式的详细信息,请参见虚拟机加密任务的必备条件和必需特权

使用 vSphere Trust Authority 角色和 TrustedAdmins 组

vSphere Trust Authority 操作要求用户是 TrustedAdmins 组的成员。此用户称为 Trust Authority 管理员。vSphere 管理员必须将自己添加到 TrustedAdmins 组,或者将其他用户添加到该组,才能获得可信基础架构管理员角色。可信基础架构管理员角色是 vCenter Server 授权的必要条件。要在属于可信基础架构的 ESXi 主机上进行身份验证,TrustedAdmins 组是必需的。具有 ESXi 主机的加密操作.注册主机特权的的用户可以管理受信任集群。vCenter Server 权限不会传播到 Trust Authority 主机,只会传播到受信任主机。Trust Authority 主机上的特权只能授予 TrustedAdmins 组的成员。组成员资格在 ESXi 主机本身上进行验证。

注: vSphere 管理员和管理员组中的成员会分配有可信基础架构管理员角色,但此角色本身不允许用户执行 vSphere Trust Authority 操作。还要求具备 TrustedAdmins 组中的成员资格。

启用 vSphere Trust Authority 后,Trust Authority 管理员可以将可信密钥提供程序分配给受信任主机。然后,这些受信任主机可以使用可信密钥提供程序执行加密任务。

除了可信基础架构管理员角色外,vSphere Trust Authority 还提供无可信基础架构管理员角色,该角色包含 vCenter Server 中除调用 vSphere Trust Authority API 的特权之外的所有特权。

vSphere Trust Authority 组、角色和用户按如下方式运作:

  • 首次引导时,vSphere 授予 TrustedAdmins 组具有全局权限的可信基础架构管理员角色。
  • 可信基础架构管理员角色是一个系统角色,具有调用 vSphere Trust Authority API (TrustedAdmin.*) 所需的特权以及用于查看清单对象的系统特权 System.ReadSystem.ViewSystem.Anonymous
  • 无可信基础架构管理员角色是一个系统角色,包含 vCenter Server 中除调用 vSphere Trust Authority API 的特权之外的所有特权。将新特权添加到 vCenter Server 也会将这些特权添加到无可信基础架构管理员角色。(无可信基础架构管理员角色类似于无加密管理员角色。)
  • vSphere Trust Authority 特权 (TrustedAdmin.* API) 不包括在无加密管理员角色中,从而可阻止具有此角色的用户设置可信基础架构或执行加密操作。

下表显示了这些用户、组和角色的用例。

表 1. vSphere Trust Authority 用户、组和角色
用户、组或角色 是否可以调用 vSphere Trust AuthorityvCenter Server API(包括对 vSphere Trust Authority ESXi API 的调用) 是否可以调用 vSphere Trust AuthorityvCenter Server API(不包括对 vSphere Trust Authority ESXi API 的调用) 是否可以在与 vSphere Trust Authority 无关的集群中执行主机操作 备注
Administrators@system.domain 组和 TrustedAdmins@system.domain 组中的用户 不适用
仅 TrustedAdmins@system.domain 组中的用户 此类用户无法执行常规的集群管理操作。
仅 Administrators@system.domain 组中的用户 不适用
具有可信基础架构管理员角色但不属于 TrustedAdmins@system.domain 组的用户 ESXi 主机检查用户的组成员资格以授予权限。
仅具有无可信基础架构管理员角色的用户 此类用户与无法执行 vSphere Trust Authority 操作的管理员类似。