Los servicios de vSphere Trust Authority se empaquetan y se instalan como parte de la imagen base de ESXi.

Iniciar y detener servicios de vSphere Trust Authority

En vSphere Client, puede iniciar, detener y reiniciar servicios de vSphere Trust Authority que están en ejecución en un host ESXi. Puede reiniciar servicios después de cambiar una configuración o si sospecha que hay problemas funcionales o de rendimiento. Para reiniciar el servicio en un host ESXi de confianza, debe iniciar sesión en el host. Consulte Iniciar, detener y reiniciar los servicios de vSphere Trust Authority.

Actualizar y aplicar revisiones en vSphere Trust Authority

Cada vez que actualiza o aplica una revisión a un host ESXi de confianza, debe actualizar el clúster de vSphere Trust Authority con la información de la nueva versión de ESXi. Para hacerlo, puede actualizar o aplicar la revisión a un host ESXi de prueba, exportar la información de la imagen base de ESXi, importar el archivo de imagen en el clúster de Trust Authority y, a continuación, actualizar o aplicar la revisión a los hosts ESXi de confianza.

Prácticas recomendadas para actualizaciones de vSphere Trust Authority

La práctica recomendada para actualizar una infraestructura de vSphere Trust Authority es actualizar primero el vCenter Server y los hosts de Trust Authority. De esta forma, obtendrá el máximo beneficio de las funciones más recientes de vSphere Trust Authority. Sin embargo, puede realizar actualizaciones independientes del vCenter Server y los hosts ESXi para responder a motivos empresariales específicos.

En general, siga este orden para actualizar la infraestructura de vSphere Trust Authority:

  1. Actualice el vCenter Server de clústeres de Trust Authority.
  2. Actualice los hosts de Trust Authority.
  3. Actualice el vCenter Server de clústeres de confianza.
  4. Actualice los hosts de confianza.

Para garantizar que no haya complicaciones en el proceso, actualice los hosts de Trust Authority y los hosts de confianza de forma gradual, uno a uno.

Actualizar vSphere Trust Authority con hosts de confianza de Quick Booted ESXi

Quick Boot es una opción que se puede utilizar con clústeres que se administran con imágenes de vSphere Lifecycle Manager y líneas base de vSphere Lifecycle Manager. Al usar Quick Boot, se optimizan las operaciones de actualización y aplicación de revisiones en los hosts ESXi.

Cuando se actualiza un host ESXi mediante la optimización de Quick Boot; la atestación de host sigue informando de la versión de ESXi arrancada anteriormente en la raíz de la medición de confianza.

Por lo tanto, cuando actualice un host ESXi de confianza que esté habilitado para Quick Boot y que forme parte de una implementación de vSphere Trust Authority, preste atención a lo siguiente:

  1. No elimine del servicio de atestación la versión de la imagen base de ESXi en la que inicialmente confiaba hasta que todos los hosts ESXi hayan completado un reinicio completo después de la actualización. (Si necesita reiniciar el host, deshabilite Quick Boot).
  2. Si utilizó Quick Boot para varias actualizaciones y desea eliminar una versión de ESXi intermedia que ya no sea de confianza, utilice la API de base-images para confirmar la versión de ESXi que atestó por última vez.
  3. Al exportar la imagen base de ESXi de un host ESXi habilitado para Quick Boot, aparece un mensaje que indica que el host se actualizó mediante Quick Boot. El archivo resultante contiene los metadatos más recientes de la imagen base de ESXi.

Si actualiza los hosts de un clúster normal mediante Quick Boot, y posteriormente agrega ese clúster a vSphere Trust Authority, los hosts no atestarán hasta que los reinicie. El error de atestación se produce debido a que el archivo de imagen base de ESXi exportado de los hosts contiene solo los metadatos más recientes, mientras que la atestación del host se basa en los metadatos del último arranque completo. Por lo tanto, si el clúster no forma parte de vSphere Trust Authority y los metadatos de la imagen base ESXi no se importan a vSphere Trust Authority para el arranque completo, se produce un error en la atestación.

Para obtener la imagen base, puede utilizar los siguientes comandos de PowerCLI.

$vTA = Get-TrustAuthorityCluster -name trustedCluster
$bm = Get-TrustAuthorityVMHostBaseImage $vTA
$bm | select *

Solucionar problemas de actualización de vSphere Trust Authority

Si un host de Trust Authority no se actualiza correctamente, siga estos pasos.

  1. Elimine el host de Trust Authority del clúster de confianza.
  2. Revierta a la versión anterior de ESXi.
  3. Vuelva a agregar el host de Trust Authority al clúster, como se describe en el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/77234.
  4. Compruebe que la configuración del host de Trust Authority sea coherente con los demás hosts de Trust Authority en el clúster de Trust Authority. Consulte Comprobar el estado del clúster de confianza.

Cuando se actualiza a una nueva versión de ESXi en un host de confianza, se produce un error en la atestación hasta que se actualiza el clúster de Trust Authority con la información de la nueva imagen base ESXi. Este comportamiento es el esperado. Ya no es posible cifrar máquinas virtuales ni utilizar máquinas virtuales existentes que se hayan cifrado antes de la actualización hasta que se solucione el problema. Los mensajes de error de atestación aparecen en el panel Tareas recientes de vSphere Client y en los archivos attestd.log, kmxa.log y vpxd.log.

Para corregir el problema, siga estos pasos.

  1. Ejecute el cmdlet Export-VMHostImageDb para volver a exportar las imágenes base de ESXi. Consulte el paso 5 de Recopilar información sobre hosts ESXi e instancias de vCenter Server que serán de confianza.
  2. Ejecute el cmdlet New-TrustAuthorityVMHostBaseImage para volver a importar la nueva imagen base al vCenter Server del clúster de Trust Authority. Consulte el paso 8 de Importar la información del host de confianza en el clúster de Trust Authority.
  3. Si ya no es necesario que ateste las versiones anteriores de ESXi (se actualizaron todos los hosts de confianza), ejecute el cmdlet Remove-TrustAuthorityVMHostBaseImage para eliminar las versiones. Por ejemplo:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
$baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

Realizar una copia de seguridad de la configuración de vSphere Trust Authority

Debido a que la mayor parte de la información de configuración de vSphere Trust Authority se almacena en los hosts ESXi, la copia de seguridad de vCenter Server no incluye esta información de vSphere Trust Authority. Consulte Realizar una copia de seguridad de la configuración de vSphere Trust Authority.