vSphere 信頼機関 サービスは、基本 ESXi イメージの一部としてパッケージ化され、インストールされます。

vSphere 信頼機関 サービスの開始と停止

vSphere Client で、ESXi ホスト上で実行されている vSphere 信頼機関 サービスを開始、停止、および再起動できます。構成の変更時や、機能またはパフォーマンス上の問題が疑われる場合に、サービスを再起動できます。ESXi 信頼済みホストでサービスを再起動するには、ホスト自体にログインしてサービスを再起動する必要があります。vSphere 信頼機関 サービスの開始、停止、および再起動を参照してください。

vSphere 信頼機関 のアップグレードとパッチ適用

ESXi 信頼済みホストのアップグレードまたはパッチ適用を行う際は、新しい ESXi バージョン情報を使用して vSphere 信頼機関 クラスタを更新する必要があります。そのための 1 つの方法は、テスト用の ESXi ホストのアップグレードまたはパッチ適用を行い、ESXi 基本イメージ情報をエクスポートして Trust Authority クラスタにイメージ ファイルをインポートしてから、ESXi 信頼済みホストのアップグレードまたはパッチ適用を行うというものです。

vSphere 信頼機関 のアップグレードのベスト プラクティス

vSphere 信頼機関 インフラストラクチャをアップグレードするときのベスト プラクティスは、最初に信頼機関 vCenter Server と信頼機関ホストをアップグレードすることです。これにより、vSphere 信頼機関 の最新の機能を最大限に活用できるようになります。ただし、ビジネスの要件に合わせて、vCenter ServerESXi ホストを個別にスタンドアローンでアップグレードすることもできます。

vSphere 信頼機関 インフラストラクチャをアップグレードする場合は、原則として次の順序に従います。

  1. 信頼機関クラスタの vCenter Server をアップグレードします。
  2. 信頼機関ホストをアップグレードします。
  3. 信頼済みクラスタの vCenter Server をアップグレードします。
  4. 信頼済みホストをアップグレードします。

プロセスをスムーズに進行するには、信頼機関ホストと信頼済みホストを 1 台ずつ段階的にアップグレードします。

Quick Booted ESXi 信頼済みホストを使用した vSphere 信頼機関 のアップグレード

Quick Boot の設定は、vSphere Lifecycle Manager イメージと vSphere Lifecycle Manager ベースラインを使用して管理するクラスタで使用できます。Quick Boot を使用すると、ESXi ホストのパッチ適用およびアップグレード操作が最適化されます。

Quick Boot 最適化を使用して ESXi ホストをアップグレードした場合、ホスト証明が行う信頼のルートの測定では、以前に起動した ESXi バージョンが引き続き報告されます。

したがって、Quick Boot で有効になっている、vSphere 信頼機関 デプロイに含まれている ESXi の信頼済みホストをアップグレードする場合は、次の点に注意してください。

  1. アップグレード後にすべての ESXi ホストが完全に再起動するまで、認証サービスで最初に信頼された ESXi の基本イメージ バージョンは削除しないでください。(ホストを再起動する必要がある場合は、Quick Boot を無効にします。)
  2. Quick Boot を使用して複数のアップグレードを実行した場合に、信頼できなくなった中間の ESXi バージョンを削除するには、base-images API を使用して最後に認証した ESXi バージョンを確認します。
  3. Quick Boot が有効になっている ESXi ホストの ESXi 基本イメージをエクスポートすると、ホストが Quick Boot によってアップグレードされたことを示すメッセージが表示されます。結果のファイルには、ESXi 基本イメージの最新のメタデータが含まれます。

Quick Boot を使用して通常のクラスタのホストをアップグレードし、後でそのクラスタを vSphere 信頼機関 に追加する場合、ホストは再起動するまで証明されません。ホストのエクスポートされた ESXi 基本イメージ ファイルには最新のメタデータのみが含まれているのに対し、ホスト証明は前回のフル ブートからのメタデータに基づいているため、証明エラーが発生します。したがって、クラスタが vSphere 信頼機関 の一部ではなく、ESXi 基本イメージ メタデータがフル ブート用に vSphere 信頼機関 にインポートされない場合、証明は失敗します。

基本イメージを取得するには、次の PowerCLI コマンドを使用します。

$vTA = Get-TrustAuthorityCluster -name trustedCluster
$bm = Get-TrustAuthorityVMHostBaseImage $vTA
$bm | select *

vSphere 信頼機関 のアップグレードの問題についてのトラブルシューティング

信頼機関ホストのアップグレードに失敗した場合は、次の手順を実行します。

  1. 信頼済みクラスタから信頼機関ホストを削除します。
  2. ESXi を以前のバージョンに戻します。
  3. https://kb.vmware.com/s/article/77234 にある VMware ナレッジベースの記事で説明されているとおりに、信頼機関ホストをクラスタに再追加します。
  4. 信頼機関ホストの構成と、信頼機関クラスタ内の他の信頼機関ホストとの間に整合性があることを確認します。信頼済みクラスタの健全性の確認を参照してください。

信頼済みホストの ESXi を新しいバージョンにアップグレードすると、新しい ESXi 基本イメージ情報で信頼機関クラスタを更新するまでの間、証明は失敗します。これは想定どおりの動作です。この問題を修正するまで、仮想マシンを暗号化することや、アップグレード前に暗号化した既存の仮想マシンを使用することはできません。証明のエラー メッセージが vSphere Client の [最近のタスク] ペイン、および attestd.logkmxa.logvpxd.log の各ファイルに出力されます。

この問題を修正するには、次の手順に従います。

  1. Export-VMHostImageDb コマンドレットを実行して、ESXi 基本イメージを再エクスポートします。信頼する ESXiホストおよび vCenter Server に関する情報の収集の手順 5 を参照してください。
  2. New-TrustAuthorityVMHostBaseImage コマンドレットを実行して、新しい基本イメージを信頼機関クラスタの vCenter Server に再インポートします。信頼機関クラスタへの信頼済みホストの情報のインポートの手順 8 を参照してください。
  3. 以前のバージョンの ESXi を証明する必要がなくなった(すべての信頼済みホストがアップグレードされた)場合は、Remove-TrustAuthorityVMHostBaseImage コマンドレットを実行してそのバージョンを削除します。例:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    $baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
    Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

vSphere 信頼機関 構成のバックアップ

ほとんどの vSphere 信頼機関 構成情報は ESXi ホストに格納されているため、vCenter Server バックアップではこの vSphere 信頼機関 情報のバックアップは行われません。vSphere 信頼機関構成のバックアップを参照してください。