신뢰 기관 클러스터에서 증명 가능한 호스트를 파악할 수 있도록 내보낸 ESXi 호스트 및 vCenter Server 정보를 vSphere 신뢰 기관 클러스터로 가져옵니다.

이러한 작업을 순서대로 수행하려는 경우 신뢰 기관 클러스터의 vCenter Server에 대한 연결 상태를 유지해야 합니다.

사전 요구 사항

프로시저

  1. 신뢰 기관 클러스터의 vCenter Server에 신뢰 기관 관리자로 연결되어 있는지 확인합니다.
    예를 들어 $global:defaultviservers를 입력하여 연결된 모든 서버를 표시할 수 있습니다.
  2. (선택 사항) 필요한 경우 다음 명령을 실행하여 신뢰 기관 클러스터의 vCenter Server에 연결되어 있는지 확인할 수 있습니다. 
    Disconnect-VIServer -server * -Confirm:$false
Connect-VIServer -server TrustAuthorityCluster_VC_ip_address -User trust_admin_user -Password 'password'
  3. vCenter Server에서 관리하는 클러스터를 표시하려면 Get-TrustAuthorityCluster cmdlet을 실행합니다. 
    Get-TrustAuthorityCluster
    클러스터가 표시됩니다.
  4. Get-TrustAuthorityCluster 'cluster' 정보를 변수에 할당합니다.
    예를 들어 다음 명령은 클러스터 vTA Cluster에 대한 정보를 변수 $vTA에 할당합니다. 
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
  5. 신뢰할 수 있는 클러스터의 vCenter Server 주체 정보를 신뢰 기관 클러스터로 가져오려면 New-TrustAuthorityPrincipal cmdlet을 실행합니다.
    예를 들어 다음 명령은 신뢰할 수 있는 ESXi 호스트 및 vCenter Server에 대한 정보 수집에서 이전에 내보낸 principal.json 파일을 가져옵니다. 
    New-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA -FilePath C:\vta\principal.json
    TrustAuthorityPrincipal 정보가 표시됩니다.
  6. 가져오기를 확인하려면 Get-TrustAuthorityPrincipal cmdlet을 실행합니다.
    예: 
    Get-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA
    가져온 TrustAuthorityPrincipal 정보가 표시됩니다.
  7. TPM(신뢰할 수 있는 플랫폼 모듈) CA 인증서 정보를 가져오려면 New-TrustAuthorityTpm2CACertificate cmdlet을 실행합니다.
    예를 들어 다음 명령은 신뢰할 수 있는 ESXi 호스트 및 vCenter Server에 대한 정보 수집에서 이전에 내보낸 cacert.zip 파일에서 TPM CA 인증서 정보를 가져옵니다. 
    New-TrustAuthorityTpm2CACertificate -TrustAuthorityCluster $vTA -FilePath C:\vta\cacert.zip
    가져온 인증서 정보가 표시됩니다.
  8. ESXi 호스트 기본 이미지 정보를 가져오려면 New-TrustAuthorityVMHostBaseImage cmdlet을 실행합니다.
    예를 들어 다음 명령은 신뢰할 수 있는 ESXi 호스트 및 vCenter Server에 대한 정보 수집에서 이전에 내보낸 image.tgz 파일에서 이미지 정보를 가져옵니다. 
    New-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA -FilePath C:\vta\image.tgz
    가져온 이미지 정보가 표시됩니다.

결과

신뢰 기관 클러스터는 원격으로 증명할 수 있는 ESXi 호스트를 알고 있기 때문에 어떤 호스트를 신뢰할 수 있는지 알 수 있습니다.

예: 신뢰 기관 클러스터로 신뢰할 수 있는 호스트 정보 가져오기

이 예에서는 PowerCLI을 사용하여 신뢰할 수 있는 클러스터 및 신뢰할 수 있는 호스트 정보 파일의 vCenter Server 주체 정보를 신뢰 기관 클러스터로 가져오는 방법을 보여줍니다. 여기서는 사용자가 신뢰 기관 클러스터의 vCenter Server에 신뢰 기관 관리자로 연결되어 있다고 가정합니다. 다음 표에는 사용되는 예제 구성 요소 및 값이 나와 있습니다.

표 1. vSphere 신뢰 기관 설정 예
구성 요소
변수 $vTA Get-TrustAuthorityCluster 'vTA Cluster1'
신뢰 기관 클러스터의 vCenter Server 192.168.210.22
신뢰 기관 클러스터 이름

vTA Cluster1(사용)

vTA Cluster2(사용 안 함)
주체 정보 파일 C:\vta\principal.json
TPM 인증서 파일 C:\vta\cacert.cer
ESXi 호스트 기본 이미지 파일 C:\vta\image.tgz
신뢰 기관 관리자 [email protected] 
PS C:\Users\Administrator> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator> Connect-VIServer -server 192.168.210.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.210.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator> Get-TrustAuthorityCluster

Name                 State                Id
----                 -----                --
vTA Cluster1         Enabled              TrustAuthorityCluster-domain-c8
vTA Cluster2         Disabled             TrustAuthorityCluster-domain-c26

PS C:\Users\Administrator> $vTA = Get-TrustAuthorityCluster 'vTA Cluster1'

PS C:\Users\Administrator.CORP> New-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA -FilePath C:\vta\principal.json

Name                                          Domain          Type       TrustAuthorityClusterId
----                                          ------          ----       -----------------------
vpxd-de207929-0601-43ef-9616-47d0cee0302f     vsphere.local   STS_USER   TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> Get-TrustAuthorityPrincipal -TrustAuthorityCluster $vTA

Name                                          Domain          Type       TrustAuthorityClusterId
----                                          ------          ----       -----------------------
vpxd-de207929-0601-43ef-9616-47d0cee0302f     vsphere.local   STS_USER   TrustAuthorityCluster-domain-c8

PS C:\Users\Administrator.CORP> New-TrustAuthorityTpm2CACertificate -TrustAuthorityCluster $vTA -FilePath C:\vta\cacert.cer

TrustAuthorityClusterId                  Name                                     Health
-----------------------                  ----                                     ------
TrustAuthorityCluster-domain-c8          52BDB7B4B2F55C925C047257DED4588A7767D961 Ok

PS C:\Users\Administrator.CORP> New-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA -FilePath C:\vta\image.tgz

TrustAuthorityClusterId                  VMHostVersion                            Health
-----------------------                  -------------                            ------
TrustAuthorityCluster-domain-c8          ESXi 7.0.0-0.0.14828939                  Ok

다음에 수행할 작업

신뢰 기관 클러스터에서 키 제공자 생성으로 계속 진행합니다.