Une fois que vous avez importé les informations du cluster Autorité d'approbation vSphere sur le cluster approuvé, les hôtes approuvés démarrent le processus d'attestation avec le cluster d'autorité d'approbation.

Conditions préalables

Procédure

  1. Assurez-vous que vous êtes connecté en tant qu'administrateur de l'autorité d'approbation à l'instance de vCenter Server du cluster approuvé.
    Par exemple, vous pouvez entrer la commande $global:defaultviservers pour afficher tous les serveurs connectés.
  2. (Facultatif) Si nécessaire, vous pouvez exécuter les commandes suivantes pour vous assurer que vous êtes connecté à l'instance de vCenter Server du cluster approuvé.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    Note : Vous pouvez également démarrer une autre session PowerCLI pour vous connecter à l'instance de vCenter Server du cluster approuvé.
  3. Vérifiez que l'état du cluster approuvé est Désactivé.
    Get-TrustedCluster
    L'état est indiqué comme étant Désactivé.
  4. Attribuez les informations de Get-TrustedCluster à une variable.
    Par exemple, cette commande attribue des informations pour le cluster Trusted Cluster à la variable $TC.
    $TC = Get-TrustedCluster -Name 'Trusted Cluster'
  5. Vérifiez la valeur de la variable en l'affichant.
    Par exemple :
    $TC
    Les informations de la commande Get-TrustedCluster s'affichent.
  6. Pour importer les informations du cluster d'autorité d'approbation dans vCenter Server, exécutez l'applet de commande Import-TrustAuthorityServicesInfo.
    Par exemple, cette commande importe les informations sur le service depuis le fichier clsettings.json précédemment exporté dans Exporter les informations du cluster d'autorité d'approbation.
    Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json
    Le système répond par une invite de confirmation.
    Confirmation
    Importing the TrustAuthorityServicesInfo into Server 'ip_address'. Do you want to proceed?
    
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
  7. Lorsque vous êtes invité à confirmer, appuyez sur Entrée. (La valeur par défaut est Y.)
    Les informations de service pour les hôtes situés dans le cluster d'autorité d'approbation s'affichent.
  8. Pour activer le cluster approuvé, exécutez l'applet de commande Set-TrustedCluster.
    Par exemple :
    Set-TrustedCluster -TrustedCluster $TC -State Enabled
    Le système répond par une invite de confirmation.
    Confirmation
    Setting TrustedCluster 'cluster' with new TrustedState 'Enabled'. Do you want to proceed?
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
    Si le cluster approuvé n'est pas dans un état sain, le message d'avertissement suivant s'affiche avant le message de confirmation :
    WARNING: The TrustedCluster 'cluster' is not healthy in its TrustedClusterAppliedStatus. This cmdlet will automatically remediate the TrustedCluster.
  9. Lorsque vous êtes invité à confirmer, appuyez sur Entrée. (La valeur par défaut est Y.)
    Le cluster approuvé est activé.
    Note : Vous pouvez également activer le cluster approuvé en activant le service d'attestation et le service de fournisseur de clés individuellement. Utilisez les commandes Add-TrustedClusterAttestationServiceInfo et Add-TrustedClusterKeyProviderServiceInfo. Par exemple, les commandes suivantes activent les services un par un pour le cluster Trusted Cluster disposant de deux services de fournisseurs de clés et de deux services d'attestation.
    Add-TrustedClusterAttestationServiceInfo -TrustedCluster 'Trusted Cluster' -AttestationServiceInfo (Get-AttestationServiceInfo | Select-Object -index 0,1)
    Add-TrustedClusterKeyProviderServiceInfo  -TrustedCluster 'Trusted Cluster' -KeyProviderServiceInfo (Get-KeyProviderServiceInfo | Select-Object -index 0,1)
  10. Vérifiez que le service d'attestation et le service de fournisseur de clés sont configurés dans le cluster approuvé.
    1. Attribuez les informations de Get-TrustedCluster à une variable.
      Par exemple, cette commande attribue des informations pour le cluster Trusted Cluster à la variable $TC.
      $TC = Get-TrustedCluster -Name 'Trusted Cluster'
    2. Vérifiez que le service d'attestation est configuré.
      $tc.AttestationServiceInfo
      Les informations du service d'attestation s'affichent.
    3. Vérifiez que le serveur du fournisseur de clés est configuré.
      $tc.KeyProviderServiceInfo
      Les informations du service de fournisseur de clés s'affichent.

Résultats

Les hôtes approuvés ESXi dans le cluster approuvé commencent le processus d'attestation avec le cluster d'autorité d'approbation.

Exemple : Importer les informations du cluster d'autorité d'approbation sur les hôtes approuvés

Cet exemple montre comment importer les informations du service de cluster d'autorité d'approbation dans le cluster approuvé. Le tableau suivant montre des exemples de composants et de valeurs qui sont utilisés.

Tableau 1. Exemple de configuration de Autorité d'approbation vSphere
Composant Valeur
Instance de vCenter Server du cluster approuvé 192.168.110.22
Administrateur d'autorité d'approbation trustedadmin@vsphere.local
Nom du cluster approuvé Cluster approuvé
Hôtes ESXi dans le cluster d'autorité d'approbation 192.168.210.51 et 192.168.210.52
Variable $TC Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User trustedadmin@vsphere.local -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                 443   VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Get-TrustedCluster

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $TC

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json

Confirmation
Importing the TrustAuthorityServicesInfo into Server '192.168.110.22'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...

PS C:\Users\Administrator.CORP> Set-TrustedCluster -TrustedCluster $TC -State Enabled

Confirmation
Setting TrustedCluster 'Trusted Cluster' with new TrustedState 'Enabled'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):

Name                  State             Id
----                  -----             --
Trusted Cluster       Enabled           TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $tc.AttestationServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

PS C:\Users\Administrator.CORP> $tc.KeyProviderServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

Que faire ensuite

Continuez avec Configurer le fournisseur de clés approuvé pour les hôtes approuvés à l'aide de vSphere Client ou Configurer le fournisseur de clés approuvé pour les hôtes approuvés à l'aide de la ligne de commande.