vSphere 信頼機関 サービスは、基本 ESXi イメージの一部としてパッケージ化され、インストールされます。

サービスの開始と停止

vSphere Client で、ESXi ホスト上で実行されている vSphere 信頼機関 サービスを開始、停止、および再起動できます。構成の変更時や、機能またはパフォーマンス上の問題が疑われる場合に、サービスを再起動できます。ESXi 信頼済みホストでサービスを再起動するには、ホスト自体にログインしてサービスを再起動する必要があります。vSphere 信頼機関 サービスの開始、停止、および再起動を参照してください。

アップグレードとパッチ適用

ESXi 信頼済みホストのアップグレードまたはパッチ適用を行う際は、新しい ESXi バージョン情報を使用して vSphere 信頼機関 クラスタを更新する必要があります。そのための 1 つの方法は、テスト用の ESXi ホストのアップグレードまたはパッチ適用を行い、ESXi 基本イメージ情報をエクスポートして Trust Authority クラスタにイメージ ファイルをインポートしてから、ESXi 信頼済みホストのアップグレードまたはパッチ適用を行うというものです。

アップグレードのベスト プラクティス

vSphere 信頼機関 インフラストラクチャをアップグレードするときのベスト プラクティスは、最初に信頼機関 vCenter Server と信頼機関ホストをアップグレードすることです。これにより、vSphere 信頼機関 の最新の機能を最大限に活用できるようになります。ただし、ビジネスの要件に合わせて、vCenter ServerESXi ホストを個別にスタンドアローンでアップグレードすることもできます。

vSphere 信頼機関 インフラストラクチャをアップグレードする場合は、原則として次の順序に従います。

  1. 信頼機関クラスタの vCenter Server をアップグレードします。
  2. 信頼機関ホストをアップグレードします。
  3. 信頼済みクラスタの vCenter Server をアップグレードします。
  4. 信頼済みホストをアップグレードします。

プロセスをスムーズに進行するには、信頼機関ホストと信頼済みホストを 1 台ずつ段階的にアップグレードします。

アップグレードの問題についてのトラブルシューティング

信頼機関ホストのアップグレードに失敗した場合は、次の手順を実行します。

  1. 信頼済みクラスタから信頼機関ホストを削除します。
  2. ESXi を以前のバージョンに戻します。
  3. https://kb.vmware.com/s/article/77234 にある VMware ナレッジベースの記事で説明されているとおりに、信頼機関ホストをクラスタに再追加します。
  4. 信頼機関ホストの構成と、信頼機関クラスタ内の他の信頼機関ホストとの間に整合性があることを確認します。信頼済みクラスタの健全性の確認を参照してください。

信頼済みホストの ESXi を新しいバージョンにアップグレードすると、新しい ESXi 基本イメージ情報で信頼機関クラスタを更新するまでの間、証明は失敗します。これは想定どおりの動作です。この問題を修正するまで、仮想マシンを暗号化することや、アップグレード前に暗号化した既存の仮想マシンを使用することはできません。証明のエラー メッセージが vSphere Client の [最近のタスク] ペイン、および attestd.logkmxa.logvpxd.log の各ファイルに出力されます。

この問題を修正するには、次の手順に従います。

  1. Export-VMHostImageDb コマンドレットを実行して、ESXi 基本イメージを再エクスポートします。信頼する ESXiホストおよび vCenter Server に関する情報の収集の手順 5 を参照してください。
  2. New-TrustAuthorityVMHostBaseImage コマンドレットを実行して、新しい基本イメージを信頼機関クラスタの vCenter Server に再インポートします。信頼機関クラスタへの信頼済みホストの情報のインポートの手順 8 を参照してください。
  3. 以前のバージョンの ESXi を証明する必要がなくなった(すべての信頼済みホストがアップグレードされた)場合は、Remove-TrustAuthorityVMHostBaseImage コマンドレットを実行してそのバージョンを削除します。例:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
$baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

vSphere 信頼機関 構成のバックアップ

ほとんどの vSphere 信頼機関 構成情報は ESXi ホストに格納されているため、vCenter Server バックアップではこの vSphere 信頼機関 情報のバックアップは行われません。vSphere 信頼機関構成のバックアップを参照してください。