vSphere Trust Authority benötigt separate vCenter Server-Systeme für den Trust Authority-Cluster und den vertrauenswürdigen Cluster.

Der Trust Authority-Cluster wird auf einem unabhängigen, isolierten vCenter Server konfiguriert und verwaltet. Der vCenter Server des Trust Authority-Clusters kann nicht gleichzeitig der vCenter Server des vertrauenswürdigen Clusters sein. Der vertrauenswürdige Cluster muss über einen eigenen, separaten vCenter Server verfügen. Ein einzelner vCenter Server kann mehrere vertrauenswürdige Cluster verwalten. Mehrere vCenter Server-Systeme für vertrauenswürdige Cluster können am erweiterten verknüpften Modus teilnehmen. Der vCenter Server für den Trust Authority-Cluster kann nicht mit anderen vCenter Server-Systemen des Trust Authority-Clusters oder mit vCenter Server-Systemen des vertrauenswürdigen Clusters am erweiterten verknüpften Modus teilnehmen.

Der Trust Authority-Administrator verwaltet den Trust Authority-Cluster und den zugehörigen vCenter Server unabhängig von anderen vCenter Server-Instanzen, da diese Vorgehensweise optimale Sicherheitsisolierung bietet.

Der Trust Authority-Administrator dokumentiert oder veröffentlicht die Hostnamen und SSL-Zertifikate, die von Administratoren vertrauenswürdiger Cluster zum Konfigurieren ihrer Cluster verwendet werden. Der Trust Authority-Administrator stellt auch vertrauenswürdige Schlüsselanbieter für das Unternehmen und seine Abteilungen oder sogar für einzelne Administratoren bereit.

Sie können vSphere Trust Authority-Dienste nicht direkt auf dem vertrauenswürdigen Cluster bereitstellen, der vom Arbeitslast-vCenter Server verwaltet wird, da der Arbeitslastadministrator über weitreichende Zugriffsrechte auf die ESXi-Hosts verfügt. Bei diesem Bereitstellungstyp wird die erforderliche Rollentrennung nicht erreicht, die zum Erfüllen der Sicherheitsziele von vSphere Trust Authority notwendig ist.