I servizi di vSphere Trust Authority vengono forniti in pacchetto e installati come parte dell'immagine ESXi di base.

Avvio e arresto di servizi vSphere Trust Authority

In vSphere Client, è possibile avviare, arrestare e riavviare i servizi vSphere Trust Authority in esecuzione in un host ESXi. È possibile riavviare i servizi di in seguito a una modifica della configurazione o se si sospettano problemi funzionali o prestazionali. Per riavviare il servizio su un Host attendibile ESXi, è necessario accedere all'host stesso per riavviare il servizio. Vedere Avviare, arrestare e riavviare i servizi vSphere Trust Authority.

Aggiornamento e installazione delle patch vSphere Trust Authority

Ogni volta che si aggiorna o applica una patch a un Host attendibile ESXi, è necessario aggiornare il cluster vSphere Trust Authority con le informazioni sulla nuova versione di ESXi. Un modo per eseguire questa operazione è aggiornare o applicare una patch a un host ESXi di prova, esportare le informazioni sull'immagine di base ESXi, importare il file di immagine nel cluster Trust Authority, quindi aggiornare o applicare una patch agli Host attendibili ESXi.

Procedura consigliata per l'aggiornamento di vSphere Trust Authority

La procedura consigliata per aggiornare un'infrastruttura vSphere Trust Authority consiste nell'aggiornare innanzitutto il vCenter Server Trust Authority e gli Host Trust Authority. In questo modo, si ottengono i maggiori vantaggi dalle funzionalità vSphere Trust Authority più recenti. Tuttavia, è possibile eseguire aggiornamenti separati e autonomi di host vCenter Server e ESXi per motivi aziendali specifici.

In generale, procedere come segue per aggiornare l'infrastruttura di vSphere Trust Authority:

  1. Aggiornare il vCenter Server del cluster Trust Authority.
  2. Aggiornare gli Host Trust Authority.
  3. Aggiornare il vCenter Server del Cluster attendibile.
  4. Aggiornare gli Host attendibili.

Per garantire un processo senza interruzioni, aggiornare gradualmente gli Host Trust Authority e gli Host attendibili, uno alla volta.

Aggiornamento di vSphere Trust Authority con host attendibili ESXi tramite Quick Boot

Quick Boot è un'impostazione che può essere utilizzata con i cluster gestiti con immagini di vSphere Lifecycle Manager e basi di confronto di vSphere Lifecycle Manager. L'utilizzo di Quick Boot consente di ottimizzare le operazioni di applicazione di patch e aggiornamento dell'host ESXi.

Quando si aggiorna un host ESXi utilizzando l'ottimizzazione di Quick Boot, l'attestazione dell'host continua a segnalare la versione di ESXi avviata in precedenza nella misurazione della root di attendibilità.

Pertanto, quando si aggiorna un host ESXi attendibile abilitato per Quick Boot e che fa parte di una distribuzione di vSphere Trust Authority, prestare attenzione a quanto segue:

  1. Non rimuovere dal servizio di attestazione la versione dell'immagine di base di ESXi inizialmente considerata attendibile finché tutti gli host ESXi non avranno completato un riavvio completo dopo l'aggiornamento. (Se è necessario riavviare l'host, disabilitare Quick Boot.)
  2. Se Quick Boot è stato utilizzato per più aggiornamenti e si desidera rimuovere una versione di ESXi intermedia non più attendibile, utilizzare l'API base-images per verificare l'ultima versione di ESXi attestata.
  3. Quando si esporta l'immagine di base di ESXi di un host ESXi abilitato per Quick Boot, viene visualizzato un messaggio che indica che l'host è stato aggiornato da Quick Boot. Il file risultante contiene i metadati più recenti dell'immagine di base di ESXi.

Se si aggiornano gli host di un cluster regolare utilizzando Quick Boot e successivamente si aggiunge tale cluster a vSphere Trust Authority, gli host non attesteranno finché non vengono riavviati. L'errore di attestazione si verifica perché il file di immagine di base degli host ESXi esportato contiene solo i metadati più recenti, mentre l'attestazione dell'host si basa sui metadati dell'ultimo riavvio completo. Pertanto se il cluster non fa parte di vSphere Trust Authority e i metadati dell'immagine di base di ESXi non vengono importati in vSphere Trust Authority per l'avvio completo, l'attestazione non riesce.

Per ottenere l'immagine di base, è possibile utilizzare i comandi PowerCLI seguenti.

$vTA = Get-TrustAuthorityCluster -name trustedCluster
$bm = Get-TrustAuthorityVMHostBaseImage $vTA
$bm | select *

Risoluzione dei problemi di aggiornamento di vSphere Trust Authority

In caso di aggiornamento non riuscito di un Host Trust Authority, procedere come segue.

  1. Rimuovere l'Host Trust Authority dal Cluster attendibile.
  2. Ripristinare la versione precedente di ESXi.
  3. Aggiungere nuovamente l'Host Trust Authority al cluster, come descritto nell'articolo della knowledge base VMware disponibile a https://kb.vmware.com/s/article/77234.
  4. Verificare che la configurazione dell'Host Trust Authority sia coerente con gli altri Host Trust Authority presenti nel cluster dell'autorità di attendibilità. Vedere Verifica dello stato di integrità del cluster attendibile.

Quando si esegue l'aggiornamento a una nuova versione di ESXi su un Host attendibile, l'attestazione non riesce finché non si aggiorna il cluster Trust Authority con le informazioni sull'immagine di base del nuovo ESXi. Tale comportamento è da prevedersi. Fin a quando il problema non sarà stato risolto, non sarà più possibile crittografare macchine virtuali o utilizzare macchine virtuali esistenti che sono state crittografate prima dell'aggiornamento. I messaggi di errore di attestazione vengono visualizzati nel riquadro Attività recenti di vSphere Client e nei file attestd.log, kmxa.log e vpxd.log.

Per scaricare il problema, procedere come segue.

  1. Eseguire il cmdlet Export-VMHostImageDb per esportare nuovamente le immagini di base di ESXi. Vedere il Punto 5 in Raccolta di informazioni sugli host ESXi e il vCenter Server da considerare attendibili.
  2. Eseguire il cmdlet New-TrustAuthorityVMHostBaseImage per reimportare la nuova immagine di base nel vCenter Server del cluster Trust Authority. Vedere il Punto 8 in Importazione delle informazioni sugli Host attendibili nel Cluster Trust Authority.
  3. Se non è più necessario attestare le versioni precedenti di ESXi (tutti gli Host Attendibili sono stati aggiornati), eseguire il cmdlet Remove-TrustAuthorityVMHostBaseImage per rimuovere le versioni. Ad esempio:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
$baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

Backup della configurazione di vSphere Trust Authority

Poiché nella maggior parte delle informazioni sulla configurazione di vSphere Trust Authority sono memorizzate negli host ESXi, il Backup vCenter Server non esegue il backup di queste informazioni vSphere Trust Authority. Vedere Backup della configurazione di vSphere Trust Authority.