Los servicios de vSphere Trust Authority se empaquetan y se instalan como parte de la imagen base de ESXi.

Iniciar y detener servicios de vSphere Trust Authority

En vSphere Client, puede iniciar, detener y reiniciar servicios de vSphere Trust Authority que están en ejecución en un host ESXi. Puede reiniciar servicios después de cambiar una configuración o si sospecha que hay problemas funcionales o de rendimiento. Para reiniciar el servicio en un host ESXi de confianza, debe iniciar sesión en el host. Consulte Iniciar, detener y reiniciar los servicios de vSphere Trust Authority.

Actualizar y aplicar revisiones en vSphere Trust Authority

Cada vez que actualiza o aplica una revisión a un host ESXi de confianza, debe actualizar el clúster de vSphere Trust Authority con la información de la nueva versión de ESXi. Para hacerlo, puede actualizar o aplicar la revisión a un host ESXi de prueba, exportar la información de la imagen base de ESXi, importar el archivo de imagen en el clúster de Trust Authority y, a continuación, actualizar o aplicar la revisión a los hosts ESXi de confianza.

Prácticas recomendadas para actualizaciones de vSphere Trust Authority

La práctica recomendada para actualizar una infraestructura de vSphere Trust Authority es actualizar primero la instancia de vCenter Server de Trust Authority y los hosts de Trust Authority. De esta forma, obtendrá el máximo beneficio de las funciones más recientes de vSphere Trust Authority. Sin embargo, puede realizar actualizaciones independientes del vCenter Server y los hosts ESXi para responder a motivos empresariales específicos.

En general, siga este orden para actualizar la infraestructura de vSphere Trust Authority:

  1. Actualice el vCenter Server de clústeres de Trust Authority.
  2. Actualice los hosts de Trust Authority.
  3. Actualice el vCenter Server de clústeres de confianza.
  4. Actualice los hosts de confianza.

Para garantizar que no haya complicaciones en el proceso, actualice los hosts de Trust Authority y los hosts de confianza de forma gradual, uno a uno.

Solucionar problemas de actualización de vSphere Trust Authority

Si un host de Trust Authority no se actualiza correctamente, siga estos pasos.

  1. Elimine el host de Trust Authority del clúster de confianza.
  2. Revierta a la versión anterior de ESXi.
  3. Vuelva a agregar el host de Trust Authority al clúster, como se describe en el artículo de la base de conocimientos de VMware en https://kb.vmware.com/s/article/77234.
  4. Compruebe que la configuración del host de Trust Authority sea coherente con los demás hosts de Trust Authority en el clúster de Trust Authority. Consulte Comprobar el estado del clúster de confianza.

Cuando se actualiza a una nueva versión de ESXi en un host de confianza, se produce un error en la atestación hasta que se actualiza el clúster de Trust Authority con la información de la nueva imagen base ESXi. Este comportamiento es el esperado. Ya no es posible cifrar máquinas virtuales ni utilizar máquinas virtuales existentes que se hayan cifrado antes de la actualización hasta que se solucione el problema. Los mensajes de error de atestación aparecen en el panel Tareas recientes de vSphere Client y en los archivos attestd.log, kmxa.log y vpxd.log.

Para corregir el problema, siga estos pasos.

  1. Ejecute el cmdlet Export-VMHostImageDb para volver a exportar las imágenes base de ESXi. Consulte el paso 5 de Recopilar información sobre hosts ESXi e instancias de vCenter Server que serán de confianza.
  2. Ejecute el cmdlet New-TrustAuthorityVMHostBaseImage para volver a importar la nueva imagen base al vCenter Server del clúster de Trust Authority. Consulte el paso 8 de Importar la información del host de confianza en el clúster de Trust Authority.
  3. Si ya no es necesario que ateste las versiones anteriores de ESXi (se actualizaron todos los hosts de confianza), ejecute el cmdlet Remove-TrustAuthorityVMHostBaseImage para eliminar las versiones. Por ejemplo:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    $baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
    Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

Realizar una copia de seguridad de la configuración de vSphere Trust Authority

Debido a que la mayor parte de la información de configuración de vSphere Trust Authority se almacena en los hosts ESXi, la copia de seguridad de vCenter Server no incluye esta información de vSphere Trust Authority. Consulte Realizar una copia de seguridad de la configuración de vSphere Trust Authority.