Die vSphere Trust Authority-Dienste werden als Teil des ESXi-Basis-Image in Paketen zusammengefasst und installiert.

Starten und Beenden von Diensten

Im vSphere Client können Sie die vSphere Trust Authority-Dienste starten, beenden und neu starten, die auf einem ESXi-Host ausgeführt werden. Sie können Dienste im Fall einer Konfigurationsänderung oder bei vermuteten Funktions- oder Leistungsproblemen neu starten. Zum Neustarten des Diensts auf einem vertrauenswürdigen ESXi-Host, müssen Sie sich beim Host anmelden, um den Dienst neu zu starten. Weitere Informationen hierzu finden Sie unter Starten, Stoppen und Neustarten von vSphere Trust Authority-Diensten.

Upgraden und Patchen

Jedes Mal, wenn Sie einen vertrauenswürdigen ESXi-Host upgraden oder patchen, müssen Sie den vSphere Trust Authority-Cluster mit den Informationen der neuen ESXi-Version aktualisieren. Eine Möglichkeit besteht darin, ein Upgrade oder ein Patch für einen ESXi-Testhost durchzuführen, die ESXi-Basisimage-Informationen zu exportieren, die Image-Datei in den Trust Authority-Cluster zu importieren und anschließend die vertrauenswürdigen ESXi-Hosts zu aktualisieren oder zu patchen.

Best Practices für Upgrades

Best Practice für das Upgrade einer vSphere Trust Authority-Infrastruktur bestehen darin, das Upgrade von Trust Authority vCenter Server und der Trust Authority-Hosts zuerst durchzuführen. Auf diese Weise profitieren Sie von den neuesten vSphere Trust Authority-Funktionen. Sie können jedoch getrennte, eigenständige Upgrades von vCenter Server und ESXi-Hosts ausführen, um bestimmte geschäftliche Voraussetzungen zu erfüllen.

Befolgen Sie im Allgemeinen diese Reihenfolge für das Upgrade Ihrer vSphere Trust Authority-Infrastruktur:

  1. Führen Sie ein Upgradedes vCenter Servers des Trust Authority Clusters durch.
  2. Führen Sie ein Upgrade der Trust Authority-Hosts durch.
  3. Führen Sie ein Upgrade des vCenter Servers des vertrauenswürdigen Clusters durch.
  4. Führen Sie ein Upgrade der vertrauenswürdigen Hosts durch.

Um einen reibungslosen Ablauf zu gewährleisten, führen Sie das Upgrade der Trust Authority-Hosts und der vertrauenswürdigen Hosts schrittweise durch.

Fehlerbehebung bei Upgrade-Problemen

Führen Sie die folgenden Schritte aus, wenn das Upgrade eines Trust Authority-Hosts nicht erfolgreich war.

  1. Entfernen Sie den Trust Authority-Host aus dem vertrauenswürdigen Cluster.
  2. Stellen Sie die vorherige Version von ESXi wieder her.
  3. Fügen Sie den Trust Authority-Host erneut zum Cluster hinzu, wie im VMware Knowledgebase-Artikel unter https://kb.vmware.com/s/article/77234 beschrieben.
  4. Stellen Sie sicher, dass die Konfiguration des Trust Authority-Hosts mit den anderen Trust Authority-Hosts im Trust Authority-Cluster übereinstimmt. Weitere Informationen hierzu finden Sie unter Überprüfen der Integrität des vertrauenswürdigen Clusters.

Wenn Sie ein Upgrade auf eine neue Version von ESXi auf einem vertrauenswürdigen Host durchführen, schlägt der Nachweis fehl, bis Sie den Trust Authority-Cluster mit den neuen ESXi-Basisimage-Informationen aktualisieren. Dieses Verhaltensmuster wird erwartet. Sie können virtuelle Maschinen nicht mehr verschlüsseln und keine vorhandenen virtuellen Maschinen verwenden, die vor dem Upgrade verschlüsselt wurden, bis Sie das Problem beheben. Nachweisfehlermeldungen werden im vSphere Client im Bereich Kürzlich bearbeitete Aufgaben und in den Dateien attestd.log, kmxa.log und kmxa.log angezeigt.

Um das Problem zu beheben, gehen Sie folgendermaßen vor.

  1. Führen Sie das Export-VMHostImageDb-Cmdlet aus, um die ESXi-Basisimages erneut zu exportieren. Weitere Informationen finden Sie in Schritt 5 in Erfassen von Informationen zu ESXi-Hosts und dem vertrauenswürdigen vCenter Server.
  2. Führen Sie das New-TrustAuthorityVMHostBaseImage-Cmdlet aus, um das neue Basisimage erneut in den vCenter Server des Trust Authority-Clusters zu importieren. Weitere Informationen finden Sie in Schritt 8 in Importieren der Informationen des vertrauenswürdigen Hosts in den Trust Authority-Cluster.
  3. Wenn Sie die älteren Versionen von ESXi nicht mehr bestätigen müssen (alle vertrauenswürdigen Hosts wurden aktualisiert), führen Sie das Remove-TrustAuthorityVMHostBaseImage-Cmdlet aus, um die Versionen zu entfernen. Beispiel:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
$baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

Sichern der vSphere Trust Authority-Konfiguration

Da die meisten vSphere Trust Authority-Konfigurationsinformationen auf den ESXi-Hosts gespeichert werden, erfolgt keine vCenter Server-Sicherung dieser vSphere Trust Authority-Informationen. Weitere Informationen hierzu finden Sie unter Sichern der vSphere Trust Authority-Konfiguration.