vSphere 信頼機関 では、信頼機関クラスタと信頼済みクラスタに別の vCenter Server システムが必要です。
信頼機関クラスタは、独立し、隔離されている vCenter Server で設定および管理されます。信頼機関クラスタの vCenter Server は、信頼済みクラスタの vCenter Server を兼ねることはできません。信頼済みクラスタには、切り離された独自の vCenter Server が必要です。1 つの vCenter Server で複数の信頼済みクラスタを管理できます。信頼済みクラスタの複数の vCenter Server システムが拡張リンク モードに参加することができます。信頼機関クラスタの vCenter Server は、他の信頼機関クラスタ vCenter Server システムまたは信頼済みクラスタ vCenter Server システムとともに拡張リンク モードに参加することはできません。
信頼機関管理者は、セキュリティ上の適切な隔離の手法として、信頼機関クラスタおよび関連する vCenter Server を他の vCenter Server インスタンスとは分離して管理します。
信頼機関管理者は、信頼済みクラスタ管理者がクラスタを構成するために使用するホスト名と SSL 証明書を文書化または公開します。また、信頼機関管理者は、組織とその部門、または個々の管理者のために信頼済みキー プロバイダをプロビジョニングします。
ワークロード管理者には ESXi ホストへの強力なアクセス権があるため、ワークロード vCenter Server によって管理されている信頼済みクラスタに vSphere 信頼機関 サービスを直接デプロイすることはできません。このタイプのデプロイでは、vSphere 信頼機関 のセキュリティ目標を満たすために必要なロールの分離が達成されません。