信頼機関クラスタが証明できるホストを把握できるように、エクスポートされた ESXi ホストおよび vCenter Server の情報を vSphere 信頼機関 クラスタにインポートします。

これらのタスクを順番どおりに実行している場合、信頼機関クラスタの vCenter Server に接続されたままです。

前提条件

手順

  1. 信頼機関クラスタの vCenter Server に信頼機関の管理者として接続していることを確認します。
    たとえば、接続先のサーバをすべて表示するには $global:defaultviservers と入力します。
  2. (オプション) 必要に応じて次のコマンドを実行して、信頼機関クラスタの vCenter Server に接続していることを確認できます。
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'パスワード'
  3. この vCenter Server で管理されているクラスタを表示するには、Get-TrustAuthorityCluster コマンドレットを実行します。
    Get-TrustAuthorityCluster
    クラスタが表示されます。
  4. 変数に Get-TrustAuthorityCluster 'cluster' を割り当てます。
    たとえば、次のコマンドは変数 $vTA にクラスタ vTA Cluster の情報を割り当てます。
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
  5. 信頼済みクラスタの vCenter Server プリンシパル情報を信頼機関クラスタにインポートするには、New-TrustAuthorityPrincipal コマンドレットを実行します。
    たとえば、次のコマンドは、 信頼する ESXiホストおよび vCenter Server に関する情報の収集で以前にエクスポートされた principal.json ファイルをインポートします。
    New-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA -FilePath C:\vta\principal.json
    TrustAuthorityPrincipal information が表示されます。
  6. インポートを確認するには、Get-TrustAuthorityPrincipal コマンドレットを実行します。
    例:
    Get-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA
    インポートされた TrustAuthorityPrincipal が表示されます。
  7. Trusted Platform Module (TPM) CA 証明書情報をインポートするには、New-TrustAuthorityTpm2CACertificate コマンドレットを実行します。
    たとえば、次のコマンドは、 信頼する ESXiホストおよび vCenter Server に関する情報の収集で以前にエクスポートされた cacert.zip ファイルから TPM CA 証明書の情報をインポートします。
    New-TrustAuthorityTpm2CACertificate -TrustAuthorityCluster $vTA -FilePath C:\vta\cacert.zip 
    インポートされた証明書情報が表示されます。
  8. ESXi ホストの基本イメージの情報をインポートするには、New-TrustAuthorityVMHostBaseImage コマンドレットを実行します。
    たとえば、次のコマンドは、 信頼する ESXiホストおよび vCenter Server に関する情報の収集で以前にエクスポートされた image.tgz ファイルからイメージ情報をインポートします。
    New-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA -FilePath C:\vta\image.tgz
    インポートされたイメージ情報が表示されます。

結果

信頼機関クラスタでは、どの ESXi ホストがリモートから証明できるか、すなわち、どのホストが信頼できるかが把握されています。

例: 信頼機関クラスタへの信頼済みホストの情報のインポート

この例では、PowerCLI を使用して、信頼済みクラスタの情報ファイルおよび信頼済みホストの情報ファイルの vCenter Server プリンシパル情報を信頼機関クラスタにインポートする方法を示しています。ここでは、信頼機関の管理者として信頼機関クラスタの vCenter Server に接続していることを前提としています。次の表に、使用されるコンポーネントと値の例を示します。

表 1. vSphere 信頼機関 セットアップの例
コンポーネント
変数 $vTA Get-TrustAuthorityCluster 'vTA Cluster1'
信頼機関クラスタの vCenter Server 192.168.210.22
信頼機関クラスタ名

vTA Cluster1(有効)

vTA Cluster2(無効)

プリンシパル情報ファイル C:\vta\principal.json
TPM 証明書ファイル C:\vta\cacert.cer
ESXi ホストの基本イメージ ファイル C:\vta\image.tgz
信頼機関管理者 trustedadmin@vsphere.local
PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User trustedadmin@vsphere.local -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster1         Enabled              TrustAuthorityCluster-domain-c8
vTA Cluster2         Disabled             TrustAuthorityCluster-domain-c26

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster1'

PS C:\Users\Administrator.CORP> New-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA -FilePath C:\vta\principal.json

Name                                          Domain          Type       TrustAuthorityClusterId
----                                          ------          ----       -----------------------
vpxd-de207929-0601-43ef-9616-47d0cee0302f     vsphere.local   STS_USER   TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> Get-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA

Name                                          Domain          Type       TrustAuthorityClusterId
----                                          ------          ----       -----------------------
vpxd-de207929-0601-43ef-9616-47d0cee0302f     vsphere.local   STS_USER   TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> New-TrustAuthorityTpm2CACertificate -TrustAuthorityCluster $vTA -FilePath C:\vta\cacert.cer

TrustAuthorityClusterId                  Name                                     Health
-----------------------                  ----                                     ------
TrustAuthorityCluster-domain-c8          52BDB7B4B2F55C925C047257DED4588A7767D961 Ok

PS C:\Users\Administrator.CORP> New-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA -FilePath C:\vta\image.tgz

TrustAuthorityClusterId                  VMHostVersion                            Health
-----------------------                  -------------                            ------
TrustAuthorityCluster-domain-c8          ESXi 7.0.0-0.0.14828939                  Ok

次のタスク

この後は信頼機関クラスタでのキー プロバイダの作成に続きます。