Die vSphere Trust Authority-Dienste werden als Teil des ESXi-Basis-Image in Paketen zusammengefasst und installiert.

Starten und Beenden von vSphere Trust Authority-Diensten

Im vSphere Client können Sie die vSphere Trust Authority-Dienste starten, beenden und neu starten, die auf einem ESXi-Host ausgeführt werden. Sie können Dienste im Fall einer Konfigurationsänderung oder bei vermuteten Funktions- oder Leistungsproblemen neu starten. Zum Neustarten des Diensts auf einem vertrauenswürdigen ESXi-Host, müssen Sie sich beim Host anmelden, um den Dienst neu zu starten. Weitere Informationen hierzu finden Sie unter Starten, Stoppen und Neustarten von vSphere Trust Authority-Diensten.

Upgraden und Patchen der vSphere Trust Authority

Jedes Mal, wenn Sie einen vertrauenswürdigen ESXi-Host upgraden oder patchen, müssen Sie den vSphere Trust Authority-Cluster mit den Informationen der neuen ESXi-Version aktualisieren. Eine Möglichkeit besteht darin, ein Upgrade oder ein Patch für einen ESXi-Testhost durchzuführen, die ESXi-Basisimage-Informationen zu exportieren, die Image-Datei in den Trust Authority-Cluster zu importieren und anschließend die vertrauenswürdigen ESXi-Hosts zu aktualisieren oder zu patchen.

Best Practices für Upgrades der vSphere Trust Authority

Best Practice für das Upgrade einer vSphere Trust Authority-Infrastruktur bestehen darin, das Upgrade von Trust Authority vCenter Server und der Trust Authority-Hosts zuerst durchzuführen. Auf diese Weise profitieren Sie von den neuesten vSphere Trust Authority-Funktionen. Sie können jedoch getrennte, eigenständige Upgrades von vCenter Server und ESXi-Hosts ausführen, um bestimmte geschäftliche Voraussetzungen zu erfüllen.

Befolgen Sie im Allgemeinen diese Reihenfolge für das Upgrade Ihrer vSphere Trust Authority-Infrastruktur:

  1. Führen Sie ein Upgrade des vCenter Servers des Trust Authority Clusters durch.
  2. Führen Sie ein Upgrade der Trust Authority-Hosts durch.
  3. Führen Sie ein Upgrade des vCenter Servers des vertrauenswürdigen Clusters durch.
  4. Führen Sie ein Upgrade der vertrauenswürdigen Hosts durch.

Um einen reibungslosen Ablauf zu gewährleisten, führen Sie das Upgrade der Trust Authority-Hosts und der vertrauenswürdigen Hosts schrittweise durch.

Upgrade von vSphere Trust Authority mit vertrauenswürdigen, mittels Quick Boot gestarteten ESXi-Hosts

Bei Quick Boot handelt es sich um eine Einstellung, die Sie in Verbindung mit Clustern verwenden können, die Sie mit vSphere Lifecycle Manager-Images und vSphere Lifecycle Manager-Baselines verwalten. Mithilfe von Quick Boot werden die Vorgänge zum ESXi-Host-Patching und -Upgrade optimiert.

Wenn Sie ein Upgrade eines ESXi-Hosts mithilfe der Quick Boot-Optimierung durchführen, meldet der Hostnachweis weiterhin die zuvor gestartete ESXi-Version bei der Messung des Vertrauensankers.

Wenn Sie also ein Upgrade eines vertrauenswürdigen ESXi-Hosts durchführen, der für Quick Boot aktiviert ist und Teil einer vSphere Trust Authority-Bereitstellung ist, achten Sie auf Folgendes:

  1. Entfernen Sie die ESXi-Basisimage-Version, die Sie anfänglich als vertrauenswürdig eingestuft haben, erst dann aus dem Nachweisdienst, wenn alle ESXi-Hosts nach dem Upgrade einen vollständigen Neustart abgeschlossen haben. (Wenn Sie den Host neu starten müssen, deaktivieren Sie Quick Boot.)
  2. Wenn Sie Quick Boot für mehrere Upgrades verwendet haben und eine ESXi-Zwischenversion entfernen möchten, die nicht mehr vertrauenswürdig ist, verwenden Sie die base-images-API, um die ESXi-Version zu bestätigen, die Sie zuletzt nachgewiesen haben.
  3. Wenn Sie das ESXi-Basisimage eines für Quick Boot aktivierten ESXi-Hosts exportieren, wird eine Meldung angezeigt, dass ein Upgrade des Hosts durch Quick Boot durchgeführt wurde. Die resultierende Datei enthält die neuesten Metadaten des ESXi-Basisimages.

Wenn Sie die Hosts eines regulären Clusters mithilfe von Quick Boot aktualisieren und diesen Cluster später zu vSphere Trust Authority hinzufügen, werden die Hosts erst nach dem Neustart bestätigt. Der Nachweisfehler tritt auf, weil die exportierte ESXi-Basisimage-Datei der Hosts nur die aktuellen Metadaten enthält, während der Hostnachweis auf den Metadaten des letzten vollständigen Starts basiert. Wenn der Cluster also nicht zu vSphere Trust Authority gehört und die Metadaten des ESXi-Basisimages für den vollständigen Neustart nicht in vSphere Trust Authority importiert werden, schlägt der Nachweis fehl.

Zum Abrufen des Basisimages können Sie die folgenden PowerCLI-Befehle verwenden.

$vTA = Get-TrustAuthorityCluster -name trustedCluster
$bm = Get-TrustAuthorityVMHostBaseImage $vTA
$bm | select *

Fehlerbehebung bei vSphere Trust Authority-Upgrade-Problemen

Führen Sie die folgenden Schritte aus, wenn das Upgrade eines Trust Authority-Hosts nicht erfolgreich war.

  1. Entfernen Sie den Trust Authority-Host aus dem vertrauenswürdigen Cluster.
  2. Stellen Sie die vorherige Version von ESXi wieder her.
  3. Fügen Sie den Trust Authority-Host erneut zum Cluster hinzu, wie im VMware Knowledgebase-Artikel unter https://kb.vmware.com/s/article/77234 beschrieben.
  4. Stellen Sie sicher, dass die Konfiguration des Trust Authority-Hosts mit den anderen Trust Authority-Hosts im Trust Authority-Cluster übereinstimmt. Weitere Informationen hierzu finden Sie unter Überprüfen der Integrität des vertrauenswürdigen Clusters.

Wenn Sie ein Upgrade auf eine neue Version von ESXi auf einem vertrauenswürdigen Host durchführen, schlägt der Nachweis fehl, bis Sie den Trust Authority-Cluster mit den neuen ESXi-Basisimage-Informationen aktualisieren. Dieses Verhaltensmuster wird erwartet. Sie können virtuelle Maschinen nicht mehr verschlüsseln und keine vorhandenen virtuellen Maschinen verwenden, die vor dem Upgrade verschlüsselt wurden, bis Sie das Problem beheben. Nachweisfehlermeldungen werden im vSphere Client im Bereich Kürzlich bearbeitete Aufgaben und in den Dateien attestd.log, kmxa.log und kmxa.log angezeigt.

Um das Problem zu beheben, gehen Sie folgendermaßen vor.

  1. Führen Sie das Export-VMHostImageDb-Cmdlet aus, um die ESXi-Basisimages erneut zu exportieren. Weitere Informationen finden Sie in Schritt 5 in Erfassen von Informationen zu ESXi-Hosts und dem vertrauenswürdigen vCenter Server.
  2. Führen Sie das New-TrustAuthorityVMHostBaseImage-Cmdlet aus, um das neue Basisimage erneut in den vCenter Server des Trust Authority-Clusters zu importieren. Weitere Informationen finden Sie in Schritt 8 in Importieren der Informationen des vertrauenswürdigen Hosts in den Trust Authority-Cluster.
  3. Wenn Sie die älteren Versionen von ESXi nicht mehr bestätigen müssen (alle vertrauenswürdigen Hosts wurden aktualisiert), führen Sie das Remove-TrustAuthorityVMHostBaseImage-Cmdlet aus, um die Versionen zu entfernen. Beispiel:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    $baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
    Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

Sichern der vSphere Trust Authority-Konfiguration

Da die meisten vSphere Trust Authority-Konfigurationsinformationen auf den ESXi-Hosts gespeichert werden, erfolgt keine vCenter Server-Sicherung dieser vSphere Trust Authority-Informationen. Weitere Informationen hierzu finden Sie unter Sichern der vSphere Trust Authority-Konfiguration.