Vous importez l'hôte ESXi exporté et les informations de l'instance de vCenter Server dans le cluster Autorité d'approbation vSphere , de sorte que le cluster d'autorité d'approbation puisse déterminer les hôtes qu'il peut attester.

Si vous suivez ces tâches dans l'ordre, vous êtes toujours connecté à l'instance de vCenter Server du cluster d'autorité d'approbation.

Conditions préalables

Procédure

  1. Assurez-vous que vous êtes connecté en tant qu'administrateur d'autorité d'approbation à l'instance de vCenter Server du cluster d'autorité d'approbation.
    Par exemple, vous pouvez entrer la commande $global:defaultviservers pour afficher tous les serveurs connectés.
  2. (Facultatif) Si nécessaire, vous pouvez exécuter les commandes suivantes pour vous assurer que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. Pour afficher les clusters gérés par cette instance de vCenter Server, exécutez l'applet de commande Get-TrustAuthorityCluster.
    Get-TrustAuthorityCluster
    Les clusters s'affichent.
  4. Attribuez les informations « cluster » Get-TrustAuthorityCluster à une variable.
    Par exemple, cette commande attribue les informations sur le cluster vTA Cluster à la variable $vTA.
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
  5. Pour importer les informations de principal de l'instance de vCenter Server du cluster approuvé dans le cluster d'autorité d'approbation, exécutez l'applet de commande New-TrustAuthorityPrincipal.
    Par exemple, la commande suivante importe le fichier principal.json précédemment exporté dans Collecter des informations sur les hôtes ESXi et vCenter Server à approuver.
    New-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA -FilePath C:\vta\principal.json
    Les informations sur TrustAuthorityPrincipal s'affichent.
  6. Pour vérifier l'importation, exécutez l'applet de commande Get-TrustAuthorityPrincipal.
    Par exemple :
    Get-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA
    Les informations sur TrustAuthorityPrincipal importé s'affichent.
  7. Pour importer les informations du certificat de l'autorité de certification du module de plateforme sécurisée (TPM), exécutez l'applet de commande New-TrustAuthorityTpm2CACertificate.
    Par exemple, la commande suivante importe les informations du certificat de l'autorité de certification du module de plateforme sécurisée à partir du fichier cacert.zip précédemment exporté dans Collecter des informations sur les hôtes ESXi et vCenter Server à approuver.
    New-TrustAuthorityTpm2CACertificate -TrustAuthorityCluster $vTA -FilePath C:\vta\cacert.zip 
    Les informations sur le certificat importé s'affichent.
  8. Pour importer les informations sur l'image de base de l'hôte ESXi, exécutez l'applet de commande New-TrustAuthorityVMHostBaseImage.
    Par exemple, la commande suivante importe les informations sur l'image à partir du fichier image.tgz précédemment exporté dans Collecter des informations sur les hôtes ESXi et vCenter Server à approuver.
    New-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA -FilePath C:\vta\image.tgz
    Les informations de l'image importée s'affichent.

Résultats

Le cluster d'autorité d'approbation détermine les hôtes ESXi qu'il peut attester à distance, ainsi que les hôtes qu'il peut approuver.

Exemple : Importer les informations de l'hôte approuvé dans le cluster d'autorité d'approbation

Cet exemple montre comment utiliser PowerCLI pour importer les informations du principal vCenter Server du cluster approuvé et les fichiers d'informations de l'hôte approuvé dans le cluster d'autorité d'approbation. Il suppose que vous êtes connecté à l'instance de vCenter Server du cluster d'autorité d'approbation en tant qu'administrateur d'autorité d'approbation. Le tableau suivant montre des exemples de composants et de valeurs qui sont utilisés.

Tableau 1. Exemple de configuration de Autorité d'approbation vSphere
Composant Valeur
Variable $vTA Get-TrustAuthorityCluster 'vTA Cluster1'
Instance de vCenter Server pour le cluster d'autorité d'approbation 192.168.210.22
Noms du cluster d'autorité d'approbation

vTA Cluster1 (activé)

vTA Cluster2 (désactivé)

Fichier d'informations de principal C:\vta\principal.json
Fichier de certificat TPM C:\vta\cacert.cer
Fichier image de base de l'hôte ESXi C:\vta\image.tgz
Administrateur d'autorité d'approbation [email protected]
PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster1         Enabled              TrustAuthorityCluster-domain-c8
vTA Cluster2         Disabled             TrustAuthorityCluster-domain-c26

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster1'

PS C:\Users\Administrator.CORP> New-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA -FilePath C:\vta\principal.json

Name                                          Domain          Type       TrustAuthorityClusterId
----                                          ------          ----       -----------------------
vpxd-de207929-0601-43ef-9616-47d0cee0302f     vsphere.local   STS_USER   TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> Get-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA

Name                                          Domain          Type       TrustAuthorityClusterId
----                                          ------          ----       -----------------------
vpxd-de207929-0601-43ef-9616-47d0cee0302f     vsphere.local   STS_USER   TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> New-TrustAuthorityTpm2CACertificate -TrustAuthorityCluster $vTA -FilePath C:\vta\cacert.cer

TrustAuthorityClusterId                  Name                                     Health
-----------------------                  ----                                     ------
TrustAuthorityCluster-domain-c8          52BDB7B4B2F55C925C047257DED4588A7767D961 Ok

PS C:\Users\Administrator.CORP> New-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA -FilePath C:\vta\image.tgz

TrustAuthorityClusterId                  VMHostVersion                            Health
-----------------------                  -------------                            ------
TrustAuthorityCluster-domain-c8          ESXi 7.0.0-0.0.14828939                  Ok

Que faire ensuite

Continuez avec Créer le fournisseur de clés sur le cluster d'autorité d'approbation.