vSphere 信頼機関 クラスタの情報を信頼済みクラスタにインポートすると、信頼済みホストは信頼機関クラスタを使用して証明プロセスを開始します。

前提条件

手順

  1. 信頼済みクラスタの vCenter Server に信頼機関の管理者として接続していることを確認します。
    たとえば、接続先のサーバをすべて表示するには $global:defaultviservers と入力します。
  2. (オプション) 必要に応じて次のコマンドを実行して、信頼済みクラスタの vCenter Server に接続していることを確認できます。
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    注: または、別の PowerCLI セッションを開始して信頼済みクラスタの vCenter Server に接続することもできます。
  3. 信頼済みクラスタの状態が無効になっていることを確認します。
    Get-TrustedCluster
    [状態] は [無効] と表示されます。
  4. Get-TrustedCluster 情報を変数に割り当てます。
    たとえば、次のコマンドは、変数 $TC にクラスタ Trusted Cluster の情報を割り当てます。
    $TC = Get-TrustedCluster -Name 'Trusted Cluster'
  5. 変数の値を表示して確認します。
    例:
    $TC
    Get-TrustedCluster 情報が表示されます。
  6. 信頼機関クラスタ情報を vCenter Server にインポートするには、Import-TrustAuthorityServicesInfo コマンドレットを実行します。
    たとえば、次のコマンドは、 信頼機関クラスタ情報のエクスポートで以前にエクスポートされた clsettings.json ファイルからサービス情報をインポートします。
    Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json
    システムは確認プロンプトによって応答します。
    Confirmation
    Importing the TrustAuthorityServicesInfo into Server 'ip_address'. Do you want to proceed?
    
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
  7. 確認プロンプトに対して Enter キーを押します(デフォルトは Y です)。
    信頼機関クラスタ内のホストのサービス情報が表示されます。
  8. 信頼済みクラスタを有効にするには、Set-TrustedCluster コマンドレットを実行します。
    例:
    Set-TrustedCluster -TrustedCluster $TC -State Enabled
    システムは確認プロンプトによって応答します。
    Confirmation
    Setting TrustedCluster 'cluster' with new TrustedState 'Enabled'. Do you want to proceed?
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
    信頼済みクラスタが健全な状態でない場合は、次の警告メッセージが表示されてから、確認メッセージが表示されます。
    WARNING: The TrustedCluster 'cluster' is not healthy in its TrustedClusterAppliedStatus. This cmdlet will automatically remediate the TrustedCluster.
  9. 確認プロンプトに対して Enter キーを押します(デフォルトは Y です)。
    信頼済みクラスタが有効になります。
    注: 証明サービスとキー プロバイダ サービスを個別に有効にすることで、信頼済みクラスタを有効にすることもできます。 Add-TrustedClusterAttestationServiceInfo および Add-TrustedClusterKeyProviderServiceInfo コマンドを使用します。たとえば、次のコマンドを実行すると、2 つのキー プロバイダ サービスと 2 つの証明サービスが設定されているクラスタ Trusted Cluster でサービスを 1 つずつ有効にすることができます。
    Add-TrustedClusterAttestationServiceInfo -TrustedCluster 'Trusted Cluster' -AttestationServiceInfo (Get-AttestationServiceInfo | Select-Object -index 0,1)
    Add-TrustedClusterKeyProviderServiceInfo  -TrustedCluster 'Trusted Cluster' -KeyProviderServiceInfo (Get-KeyProviderServiceInfo | Select-Object -index 0,1)
  10. 信頼済みクラスタに証明サービスとキー プロバイダ サービスが設定されていることを確認します。
    1. Get-TrustedCluster 情報を変数に割り当てます。
      たとえば、次のコマンドは、変数 $TC にクラスタ Trusted Cluster の情報を割り当てます。
      $TC = Get-TrustedCluster -Name 'Trusted Cluster'
    2. 証明サービスが設定されていることを確認します。
      $tc.AttestationServiceInfo
      証明サービスの情報が表示されます。
    3. キー プロバイダ サービスが設定されていることを確認します。
      $tc.KeyProviderServiceInfo
      キー プロバイダ サービスの情報が表示されます。

結果

信頼済みクラスタ内の ESXi 信頼済みホストは、信頼機関クラスタを使用して証明プロセスを開始します。

例: 信頼済みホストへの信頼機関クラスタ情報のインポート

この例では、信頼機関クラスタ サービスの情報を信頼済みクラスタにインポートする方法を示します。次の表に、使用されるコンポーネントと値の例を示します。

表 1. vSphere 信頼機関 セットアップの例
コンポーネント
信頼済みクラスタの vCenter Server 192.168.110.22
信頼機関管理者 trustedadmin@vsphere.local
信頼済みクラスタの名前 信頼できるクラスタ
信頼機関クラスタ内の ESXi ホスト 192.168.210.51 および 192.168.210.52
変数 $TC Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User trustedadmin@vsphere.local -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                 443   VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Get-TrustedCluster

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $TC

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json

Confirmation
Importing the TrustAuthorityServicesInfo into Server '192.168.110.22'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...

PS C:\Users\Administrator.CORP> Set-TrustedCluster -TrustedCluster $TC -State Enabled

Confirmation
Setting TrustedCluster 'Trusted Cluster' with new TrustedState 'Enabled'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):

Name                  State             Id
----                  -----             --
Trusted Cluster       Enabled           TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $tc.AttestationServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

PS C:\Users\Administrator.CORP> $tc.KeyProviderServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

次のタスク

vSphere Clientを使用した信頼済みホストの信頼済みキー プロバイダの構成またはコマンドラインを使用した信頼済みホストの信頼済みキー プロバイダの構成に進みます。