vSphere Trust Authority 服务作为基础 ESXi 映像的一部分进行打包和安装。

启动和停止 vSphere Trust Authority 服务

vSphere Client 中,可以启动、停止和重新启动 ESXi 主机上运行的 vSphere Trust Authority 服务。可以在配置更改或者怀疑出现功能或性能问题时重新启动服务。要重新启动 ESXi 受信任主机上的服务,必须登录到主机本身才能重新启动服务。请参见启动、停止和重新启动 vSphere Trust Authority 服务

升级和修补 vSphere Trust Authority

每次升级或修补 ESXi 受信任主机时,必须使用新的 ESXi 版本信息更新 vSphere Trust Authority 集群。实现此目的的一种方法是升级或修补测试 ESXi 主机,导出 ESXi 基础映像信息,将映像文件导入 Trust Authority 集群,然后升级或修补 ESXi 受信任主机。

vSphere Trust Authority 升级的最佳做法

升级 vSphere Trust Authority 基础架构的最佳做法是先升级 Trust Authority vCenter Server 和 Trust Authority 主机。这样,可以最大程度地从最新的 vSphere Trust Authority 功能中获益。但是,可以对 vCenter ServerESXi 主机执行单独的独立升级,以满足特定的业务要求。

一般情况下,按照以下顺序升级 vSphere Trust Authority 基础架构:

  1. 升级 Trust Authority 集群 vCenter Server
  2. 升级 Trust Authority 主机。
  3. 升级受信任集群 vCenter Server
  4. 升级受信任主机。

为确保顺利执行该过程,请逐个逐步升级 Trust Authority 主机和受信任主机。

对启用了 Quick Boot 的 ESXi 受信任主机升级 vSphere Trust Authority

Quick Boot 是一项设置,可以将其用于使用 vSphere Lifecycle Manager 映像和 vSphere Lifecycle Manager 基准管理的集群。使用 Quick Boot 可优化 ESXi 主机修补和升级操作。

使用 Quick Boot 优化升级 ESXi 主机时,主机证明会继续在信任根度量中报告以前引导的 ESXi 版本。

因此,升级启用了 Quick Boot 的 ESXi 受信任主机且该主机是 vSphere Trust Authority 部署的一部分时,请注意以下事项:

  1. 升级后,在所有 ESXi 主机完成完全重新引导之前,不要从证明服务中移除最初信任的 ESXi 基础映像版本。(如果需要重新引导主机,请禁用 Quick Boot。)
  2. 如果使用 Quick Boot 进行了多次升级,并希望移除不再可信的中间 ESXi 版本,请使用 base-images API 确认上次证明的 ESXi 版本。
  3. 导出启用了 Quick Boot 的 ESXi 主机的 ESXi 基础映像时,将显示一条消息,指出该主机已通过 Quick Boot 升级。生成的文件包含 ESXi 基础映像的最新元数据。

如果使用 Quick Boot 升级常规集群的主机,然后将该集群添加到 vSphere Trust Authority,则主机在重新引导之前不会进行证明。出现证明失败的原因是,导出的主机 ESXi 基础映像文件仅包含最新的元数据,而主机证明基于上次完全引导时的元数据。因此,如果集群不在 vSphere Trust Authority 中,并且 ESXi 基础映像元数据未导入到 vSphere Trust Authority 以进行完全引导,则证明将失败。

要获取基础映像,可以使用以下 PowerCLI 命令。

$vTA = Get-TrustAuthorityCluster -name trustedCluster
$bm = Get-TrustAuthorityVMHostBaseImage $vTA
$bm | select *

vSphere Trust Authority 升级问题进行故障排除

如果 Trust Authority 主机升级失败,请执行以下步骤。

  1. 从受信任集群中移除 Trust Authority 主机。
  2. 恢复到以前版本的 ESXi
  3. 按照 VMware 知识库文章 (https://kb.vmware.com/s/article/77234) 中所述,将 Trust Authority 主机重新添加到集群。
  4. 验证 Trust Authority 主机的配置是否与 Trust Authority 集群中的其他 Trust Authority 主机一致。请参见检查受信任集群的运行状况

当受信任主机上的 ESXi 升级到新版本时,在使用新的 ESXi 基础映像信息更新 Trust Authority 集群之前,证明将失败。这是预期行为。修复该问题之前,无法再对虚拟机进行加密,也无法使用在升级之前加密的现有虚拟机。vSphere Client 近期任务窗格以及 attestd.logkmxa log vpxd.log 文件中将显示证明错误消息。

要更正该问题,请执行以下步骤。

  1. 运行 Export-VMHostImageDb cmdlet 以重新导出 ESXi 基础映像。请参见收集有关要信任的 ESXi 主机和 vCenter Server 的信息中的步骤 5。
  2. 运行 New-TrustAuthorityVMHostBaseImage cmdlet,以将新基础映像重新导入到 Trust Authority 集群的 vCenter Server。请参见将受信任主机信息导入到 Trust Authority 集群中的步骤 8。
  3. 如果不再必须证明旧版本的 ESXi(已升级所有受信任主机),请运行 Remove-TrustAuthorityVMHostBaseImage cmdlet 以移除这些版本。例如:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    $baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
    Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

备份 vSphere Trust Authority 配置

由于大多数 vSphere Trust Authority 配置信息存储在 ESXi 主机上,因此 vCenter Server 备份不会备份此 vSphere Trust Authority 信息。请参见备份 vSphere Trust Authority 配置