Después de importar la información del clúster de vSphere Trust Authority al clúster de confianza, los hosts de confianza inician el proceso de atestación con el clúster de Trust Authority.

Requisitos previos

Procedimiento

  1. Asegúrese de que está conectado como administrador de Trust Authority a la instancia de vCenter Server del clúster de confianza.
    Por ejemplo, puede introducir $global:defaultviservers para mostrar todos los servidores conectados.
  2. (opcional) Si es necesario, puede ejecutar los siguientes comandos para asegurarse de que está conectado a la instancia de vCenter Server del clúster de confianza.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    Nota: Como alternativa, puede iniciar otra sesión de PowerCLI para conectarse a la instancia de vCenter Server del clúster de confianza.
  3. Compruebe que el estado del clúster de confianza está deshabilitado.
    Get-TrustedCluster
    El estado se muestra como Deshabilitado.
  4. Asigne la información de Get-TrustedCluster a una variable.
    Por ejemplo, este comando asigna información del clúster Trusted Cluster a la variable $TC.
    $TC = Get-TrustedCluster -Name 'Trusted Cluster'
  5. Compruebe el valor de la variable mediante eco.
    Por ejemplo:
    $TC
    Se muestra la información de Get-TrustedCluster.
  6. Para importar la información del clúster de Trust Authority a vCenter Server, ejecute el cmdlet Import-TrustAuthorityServicesInfo.
    Por ejemplo, este comando importa la información del servicio desde el archivo clsettings.json exportado previamente en Exportar la información del clúster de Trust Authority.
    Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json
    El sistema responde con un mensaje de confirmación.
    Confirmation
    Importing the TrustAuthorityServicesInfo into Server 'ip_address'. Do you want to proceed?
    
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
  7. En la solicitud de confirmación, presione Intro. (El valor predeterminado es Y).
    Se muestra la información del servicio de los hosts en el clúster de Trust Authority.
  8. Para habilitar el clúster de confianza, ejecute el cmdlet Set-TrustedCluster.
    Por ejemplo:
    Set-TrustedCluster -TrustedCluster $TC -State Enabled
    El sistema responde con un mensaje de confirmación.
    Confirmation
    Setting TrustedCluster 'cluster' with new TrustedState 'Enabled'. Do you want to proceed?
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
    Si el clúster de confianza no se encuentra en un estado correcto, se muestra el siguiente mensaje de advertencia antes del mensaje de confirmación:
    WARNING: The TrustedCluster 'cluster' is not healthy in its TrustedClusterAppliedStatus. This cmdlet will automatically remediate the TrustedCluster.
  9. En la solicitud de confirmación, presione Intro. (El valor predeterminado es Y).
    Se habilita el clúster de confianza.
    Nota: También puede habilitar el clúster de confianza mediante la habilitación del servicio de atestación y el servicio del proveedor de claves de forma individual. Utilice los comandos Add-TrustedClusterAttestationServiceInfo y Add-TrustedClusterKeyProviderServiceInfo. Por ejemplo, los siguientes comandos habilitan los servicios de uno en uno en el clúster de Trusted Cluster, que tiene dos servicios de proveedor de claves y dos servicios de atestación.
    Add-TrustedClusterAttestationServiceInfo -TrustedCluster 'Trusted Cluster' -AttestationServiceInfo (Get-AttestationServiceInfo | Select-Object -index 0,1)
    Add-TrustedClusterKeyProviderServiceInfo  -TrustedCluster 'Trusted Cluster' -KeyProviderServiceInfo (Get-KeyProviderServiceInfo | Select-Object -index 0,1)
  10. Compruebe que el servicio de atestación y el servicio de proveedor de claves estén configurados en el clúster de confianza.
    1. Asigne la información de Get-TrustedCluster a una variable.
      Por ejemplo, este comando asigna información del clúster Trusted Cluster a la variable $TC.
      $TC = Get-TrustedCluster -Name 'Trusted Cluster'
    2. Compruebe que el servicio de atestación está configurado.
      $tc.AttestationServiceInfo
      Se mostrará la información del servicio de atestación.
    3. Compruebe que el servicio de proveedor de claves está configurado.
      $tc.KeyProviderServiceInfo
      Se mostrará la información del servicio de proveedor de claves.

Resultados

Los hosts ESXi de confianza del clúster de confianza inician el proceso de atestación con el clúster de Trust Authority.

Ejemplo: Importar la información del clúster de Trust Authority en los hosts de confianza

En este ejemplo, se muestra cómo importar la información del servicio del clúster de Trust Authority en el clúster de confianza. En la siguiente tabla, se muestran los componentes y los valores de ejemplo que se utilizan.

Tabla 1. Ejemplo de configuración de vSphere Trust Authority
Componente Valor
vCenter Server del clúster de confianza 192.168.110.22
Administrador de Trust Authority [email protected]
Nombre del clúster de confianza Clúster de confianza
Hosts ESXi en el clúster de Trust Authority 192.168.210.51 y 192.168.210.52
Variable $TC Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                 443   VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Get-TrustedCluster

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $TC

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json

Confirmation
Importing the TrustAuthorityServicesInfo into Server '192.168.110.22'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...

PS C:\Users\Administrator.CORP> Set-TrustedCluster -TrustedCluster $TC -State Enabled

Confirmation
Setting TrustedCluster 'Trusted Cluster' with new TrustedState 'Enabled'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):

Name                  State             Id
----                  -----             --
Trusted Cluster       Enabled           TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $tc.AttestationServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

PS C:\Users\Administrator.CORP> $tc.KeyProviderServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

Qué hacer a continuación

Continúe con Configurar el proveedor de claves de confianza para hosts de confianza mediante vSphere Client o Configurar el proveedor de claves de confianza para hosts de confianza mediante la línea de comandos.