Les services Autorité d'approbation vSphere sont conditionnés et installés dans le cadre de l'image ESXi de base.

Démarrage et arrêt des services Autorité d'approbation vSphere

Dans vSphere Client, vous pouvez démarrer, arrêter et redémarrer des services Autorité d'approbation vSphere qui s'exécutent sur un hôte ESXi. Vous pouvez redémarrer des services lors d'une modification de configuration ou si vous suspectez la présence de problèmes fonctionnels ou de performances. Pour redémarrer le service sur un hôte ESXi approuvé, vous devez vous connecter à l'hôte lui-même pour redémarrer le service. Reportez-vous à la section Démarrer, arrêter et redémarrer les services Autorité d'approbation vSphere.

Mise à niveau et application de correctifs de Autorité d'approbation vSphere

Chaque fois que vous mettez à niveau ou corrigez un hôte ESXi approuvé, vous devez mettre à jour le cluster Autorité d'approbation vSphere avec les nouvelles informations de version d'ESXi. Pour cela, vous pouvez mettre à niveau ou corriger un hôte ESXi de test, exporter les informations d'image de base d'ESXi, importer le fichier image dans le cluster d'autorité d'approbation, puis mettre à niveau ou corriger les hôtes ESXi approuvés.

Meilleures pratiques pour les mises à niveau de Autorité d'approbation vSphere

La meilleure pratique pour la mise à niveau d'une infrastructure Autorité d'approbation vSphere consiste à d'abord mettre à niveau l'instance de vCenter Server de l'autorité d'approbation et les hôtes de l'autorité d'approbation. De cette manière, vous tirer le maximum des toutes dernières fonctionnalités de Autorité d'approbation vSphere . Cependant, vous pouvez effectuer des mises à niveau autonomes distinctes des hôtes vCenter Server et ESXi pour des raisons commerciales spécifiques.

En règle générale, suivez cet ordre pour mettre à niveau de votre infrastructure Autorité d'approbation vSphere  :

  1. Mettez à niveau le cluster d'autorité d'approbation vCenter Server.
  2. Mettez à niveau les hôtes d'autorité d'approbation.
  3. Mettez à niveau le cluster approuvé vCenter Server.
  4. Mettez à niveau les hôtes approuvés.

Pour garantir un processus fluide, mettez à niveau vos hôtes d'autorité d'approbation et vos hôtes approuvés progressivement, un par un.

Mise à niveau de Autorité d'approbation vSphere avec les hôtes ESXi approuvés utilisant Quick Boot

Quick Boot est un paramètre que vous pouvez utiliser avec les clusters que vous gérez avec des images de vSphere Lifecycle Manager et des lignes de base de vSphere Lifecycle Manager. L'utilisation de Quick Boot optimise les opérations de correction et de mise à niveau de l'hôte ESXi.

Lorsque vous mettez à niveau un hôte ESXi à l'aide de l'optimisation Quick Boot, l'attestation de l'hôte continue de signaler la version d'ESXi précédemment démarrée dans la racine de la mesure d'approbation.

Par conséquent, lorsque vous mettez à niveau un hôte ESXi approuvé qui est activé pour Quick Boot et qui fait partie d'un déploiement Autorité d'approbation vSphere , soyez attentif aux éléments suivants :

  1. Ne supprimez pas la version de l'image de base ESXi que vous avez initialement approuvée du service d'attestation tant que tous les hôtes ESXi n'ont pas terminé un redémarrage complet après la mise à niveau. (Si vous devez redémarrer l'hôte, désactivez Quick Boot.)
  2. Si vous avez utilisé Quick Boot pour plusieurs mises à niveau et que vous souhaitez supprimer une version d'ESXi intermédiaire qui n'est plus fiable, utilisez l'API base-images pour confirmer la version d'ESXi que vous avez attestée en dernier.
  3. Lorsque vous exportez l'image de base ESXi d'un hôte ESXi activé pour Quick Boot, un message s'affiche indiquant que l'hôte a été mis à niveau par Quick Boot. Le fichier obtenu contient les dernières métadonnées de l'image de base ESXi.

Si vous mettez à niveau les hôtes d'un cluster normal à l'aide de Quick Boot, puis que vous ajoutez ultérieurement ce cluster à Autorité d'approbation vSphere , les hôtes ne sont pas attestés tant que vous ne les avez pas redémarrés. L'échec de l'attestation se produit, car le fichier image de base ESXi exporté des hôtes contient uniquement les dernières métadonnées, alors que l'attestation de l'hôte est basée sur les métadonnées du dernier démarrage complet. Par conséquent, si le cluster ne fait pas partie de Autorité d'approbation vSphere et que les métadonnées de l'image de base ESXi ne sont pas importées dans Autorité d'approbation vSphere pour le démarrage complet, l'attestation échoue.

Pour obtenir l'image de base, vous pouvez utiliser les commandes PowerCLI suivantes.

$vTA = Get-TrustAuthorityCluster -name trustedCluster
$bm = Get-TrustAuthorityVMHostBaseImage $vTA
$bm | select *

Dépannage des problèmes de mise à niveau de Autorité d'approbation vSphere

Si vous la mise à niveau d'un hôte d'autorité d'approbation échoue, procédez comme suit.

  1. Supprimez l'hôte d'autorité d'approbation du cluster approuvé.
  2. Restaurez la version précédente de ESXi.
  3. Ajoutez à nouveau l'hôte d'autorité d'approbation au cluster comme décrit dans l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/77234.
  4. Vérifiez que la configuration de l'hôte d'autorité d'approbation est cohérente avec celle des autres hôtes d'autorité d'approbation dans le cluster d'autorité d'approbation. Reportez-vous à la section Vérifier la santé du cluster approuvé.

Lorsque vous effectuez une mise à niveau vers une nouvelle version d'ESXi sur un hôte approuvé, l'attestation échoue jusqu'à ce que vous ayez mis à jour le cluster d'autorité d'approbation avec les nouvelles informations de l'image de base de ESXi. Ce comportement est normal. Vous ne pourrez plus chiffrer des machines virtuelles ni utiliser les machines virtuelles existantes qui avaient été chiffrées avant la mise à niveau tant que vous n'aurez pas résolu le problème. Les messages d'erreur d'attestation figurent dans le volet Tâches récentes de vSphere Client et dans les fichiers attestd.log, kmxa.log, vpxd.log.

Pour corriger le problème, procédez comme suit.

  1. Exécutez l'applet de commande Export-VMHostImageDb pour ré-exporter les images de base d'ESXi. Reportez-vous à l'étape 5 dans Collecter des informations sur les hôtes ESXi et vCenter Server à approuver.
  2. Exécutez l'applet de commande New-TrustAuthorityVMHostBaseImage pour réimporter la nouvelle image de base vers l'instance de vCenter Server du cluster d'autorité d'approbation. Reportez-vous à l'étape 8 dans Importer les informations de l'hôte approuvé dans le cluster d'autorité d'approbation.
  3. Si vous n'avez plus besoin d'attester les anciennes versions de ESXi (tous les hôtes approuvés ont été mis à niveau), exécutez l'applet de commande Remove-TrustAuthorityVMHostBaseImage pour supprimer les versions. Par exemple :
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
$baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

Sauvegarde de la configuration de Autorité d'approbation vSphere

Étant donné que la plupart des informations de configuration de Autorité d'approbation vSphere sont stockées sur les hôtes ESXi, la sauvegarde de vCenter Server ne sauvegarde pas ces informations de Autorité d'approbation vSphere . Reportez-vous à la section Sauvegarde de la configuration de Autorité d'approbation vSphere.