Autorité d'approbation vSphere nécessite des systèmes vCenter Server séparés pour le cluster d'autorité d'approbation et le cluster approuvé.

Le cluster d'autorité d'approbation est configuré et géré sur une instance de vCenter Server isolée et indépendante. L'instance de vCenter Server du cluster d'autorité d'approbation ne peut pas être également l'instance de vCenter Server du cluster approuvé. Le cluster approuvé doit disposer de ses propres instances de vCenter Server séparées. Une instance unique de vCenter Server peut gérer plusieurs clusters approuvés. Plusieurs systèmes vCenter Server pour les clusters approuvés peuvent participer en mode Enhanced Linked Mode. L'instance de vCenter Server du cluster d'autorité d'approbation ne peut pas participer en mode Enhanced Linked Mode avec d'autres systèmes vCenter Server de clusters d'autorité d'approbation ou d'autres systèmes vCenter Server de cluster approuvés.

L'administrateur d'autorité d'approbation gère le cluster d'autorité d'approbation et ses instances de vCenter Server associées indépendamment des autres instances de vCenter Server, car cette approche fournit la meilleure isolation de sécurité.

L'administrateur d'autorité d'approbation documente ou publie les noms d'hôte et les certificats SSL que les administrateurs de cluster approuvés utilisent pour configurer leurs clusters. L'administrateur d'autorité d'approbation provisionne également des fournisseurs de clés approuvés pour l'organisation et ses services ou même des administrateurs individuels.

Vous ne pouvez pas déployer des services Autorité d'approbation vSphere directement sur le cluster approuvé géré par l'instance de vCenter Server de charge de travail, car l'administrateur de charge de travail dispose d'un accès de privilège élevé aux hôtes ESXi. Ce type de déploiement ne parvient pas à la séparation des rôles requise pour répondre aux objectifs de sécurité de Autorité d'approbation vSphere .