Nachdem Sie die Informationen des vSphere Trust Authority-Clusters in den vertrauenswürdigen Cluster importiert haben, starten die vertrauenswürdigen Hosts den Bestätigungsvorgang mit dem Trust Authority-Cluster.

Voraussetzungen

Prozedur

  1. Stellen Sie sicher, dass Sie als Trust Authority-Administrator mit dem vCenter Server des vertrauenswürdigen Clusters verbunden sind.
    Sie können beispielsweise $global:defaultviservers eingeben, um alle verbundenen Server anzuzeigen.
  2. (Optional) Sie können gegebenenfalls die folgenden Befehle ausführen, um sicherzustellen, dass Sie mit dem vCenter Server des vertrauenswürdigen Clusters verbunden sind.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    Hinweis: Alternativ können Sie eine weitere PowerCLI-Sitzung starten, um eine Verbindung mit dem vCenter Server des vertrauenswürdigen Clusters herzustellen.
  3. Stellen Sie sicher, dass der Status des vertrauenswürdigen Clusters auf „Deaktiviert“ gesetzt ist.
    Get-TrustedCluster
    Der Status wird als „Deaktiviert“ angezeigt.
  4. Weisen Sie die Get-TrustedCluster-Informationen einer Variable zu.
    Beispielsweise weist dieser Befehl Informationen für den Cluster Trusted Cluster der Variable $TC zu.
    $TC = Get-TrustedCluster -Name 'Trusted Cluster'
  5. Bestätigen Sie den Wert der Variable durch erneute Eingabe.
    Beispiel:
    $TC
    Die Get-TrustedCluster-Informationen werden angezeigt.
  6. Um die Informationen zum Trust Authority-Cluster in den vCenter Server zu exportieren, führen Sie das Import-TrustAuthorityServicesInfo-Cmdlet aus.
    Beispiel: Mit diesem Befehl werden die Dienstinformationen aus der Datei clsettings.json importiert, die zuvor in Exportieren der Informationen des Trust Authority-Clusters exportiert wurde.
    Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json
    Das System antwortet mit einer Bestätigungsaufforderung.
    Confirmation
    Importing the TrustAuthorityServicesInfo into Server 'ip_address'. Do you want to proceed?
    
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
  7. Drücken Sie an der Bestätigungsaufforderung die Eingabetaste. (Der Standardwert lautet Y.)
    Die Dienstinformationen für die Hosts im Trust Authority-Cluster werden angezeigt.
  8. Um den vertrauenswürdigen Cluster zu aktivieren, führen Sie das Set-TrustedCluster-Cmdlet aus.
    Beispiel:
    Set-TrustedCluster -TrustedCluster $TC -State Enabled
    Das System antwortet mit einer Bestätigungsaufforderung.
    Confirmation
    Setting TrustedCluster 'cluster' with new TrustedState 'Enabled'. Do you want to proceed?
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
    Wenn sich der vertrauenswürdige Cluster nicht in einem fehlerfreien Zustand befindet, wird die folgende Warnmeldung vor der Bestätigungsmeldung angezeigt:
    WARNING: The TrustedCluster 'cluster' is not healthy in its TrustedClusterAppliedStatus. This cmdlet will automatically remediate the TrustedCluster.
  9. Drücken Sie an der Bestätigungsaufforderung die Eingabetaste. (Der Standardwert lautet Y.)
    Der vertrauenswürdige Cluster ist aktiviert.
    Hinweis: Sie können den vertrauenswürdigen Cluster auch aktivieren, indem Sie den Bestätigungsdienst und den Schlüsselanbieterdienst einzeln aktivieren. Verwenden Sie die folgenden Befehle: Add-TrustedClusterAttestationServiceInfo und Add-TrustedClusterKeyProviderServiceInfo. Beispielsweise können die folgenden Befehle die Dienste einzeln für den Cluster Trusted Cluster aktivieren, der über zwei Schlüsselanbieter- und zwei Nachweisdienste verfügt.
    Add-TrustedClusterAttestationServiceInfo -TrustedCluster 'Trusted Cluster' -AttestationServiceInfo (Get-AttestationServiceInfo | Select-Object -index 0,1)
    Add-TrustedClusterKeyProviderServiceInfo  -TrustedCluster 'Trusted Cluster' -KeyProviderServiceInfo (Get-KeyProviderServiceInfo | Select-Object -index 0,1)
  10. Stellen Sie sicher, dass der Nachweis- und Schlüsselanbieterdienst im vertrauenswürdigen Cluster konfiguriert sind.
    1. Weisen Sie die Get-TrustedCluster-Informationen einer Variable zu.
      Beispielsweise weist dieser Befehl Informationen für den Cluster Trusted Cluster der Variable $TC zu.
      $TC = Get-TrustedCluster -Name 'Trusted Cluster'
    2. Stellen Sie sicher, dass der Bestätigungsdienst konfiguriert ist.
      $tc.AttestationServiceInfo
      Die Informationen des Bestätigungsdiensts werden angezeigt.
    3. Stellen Sie sicher, dass der Schlüsselanbieterserver konfiguriert ist.
      $tc.KeyProviderServiceInfo
      Die Informationen des Schlüsselanbieterdiensts werden angezeigt.

Ergebnisse

Die vertrauenswürdigen ESXi-Hosts im vertrauenswürdigen Cluster starten den Bestätigungsvorgang mit dem Trust Authority-Cluster.

Beispiel: Importieren der Informationen des Trust Authority-Clusters in die vertrauenswürdigen Hosts

Dieses Beispiel zeigt, wie die Dienstinformationen des Trust Authority-Clusters in den vertrauenswürdigen Cluster importiert werden. In der folgenden Tabelle werden die verwendeten Beispielkomponenten und -werte angezeigt.

Tabelle 1. Beispiel eines vSphere Trust Authority-Setups
Komponente Wert
vCenter Server des vertrauenswürdigen Clusters 192.168.110.22
Trust Authority-Administrator [email protected]
Name des vertrauenswürdigen Clusters Vertrauenswürdiger Cluster
ESXi-Hosts im Trust Authority-Cluster 192.168.210.51 und 192.168.210.52
Variable $TC Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                 443   VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Get-TrustedCluster

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $TC

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json

Confirmation
Importing the TrustAuthorityServicesInfo into Server '192.168.110.22'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...

PS C:\Users\Administrator.CORP> Set-TrustedCluster -TrustedCluster $TC -State Enabled

Confirmation
Setting TrustedCluster 'Trusted Cluster' with new TrustedState 'Enabled'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):

Name                  State             Id
----                  -----             --
Trusted Cluster       Enabled           TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $tc.AttestationServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

PS C:\Users\Administrator.CORP> $tc.KeyProviderServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

Nächste Maßnahme

Fahren Sie mit Konfigurieren des vertrauenswürdigen Schlüsselanbieters für vertrauenswürdige Hosts mithilfe des vSphere Client oder Konfigurieren des vertrauenswürdigen Schlüsselanbieters für vertrauenswürdige Hosts mithilfe der Befehlszeile fort.