vSphere 신뢰 기관 서비스는 기본 ESXi 이미지의 일부로 패키지가 구성되고 설치됩니다.

vSphere 신뢰 기관 서비스 시작 및 중지

vSphere Client에서는 ESXi 호스트에서 실행되는 vSphere 신뢰 기관 서비스를 시작, 중지 및 다시 시작할 수 있습니다. 구성 변경 후 또는 기능적 또는 성능 문제가 의심되는 경우 서비스를 다시 시작할 수 있습니다. ESXi 신뢰할 수 있는 호스트에서 서비스를 다시 시작하려면 호스트 자체에 로그인하여 서비스를 다시 시작해야 합니다. vSphere 신뢰 기관 서비스 시작, 중지 및 다시 시작의 내용을 참조하십시오.

vSphere 신뢰 기관 업그레이드 및 패치 적용

ESXi 신뢰할 수 있는 호스트를 업그레이드하거나 패치를 적용할 때마다 새 ESXi 버전 정보로 vSphere 신뢰 기관 클러스터를 업데이트해야 합니다. 그렇게 하는 한 가지 방법은 테스트 ESXi 호스트를 업그레이드하거나 패치를 적용하고 ESXi 기본 이미지 정보를 내보내고 이미지 파일을 신뢰 기관 클러스터로 가져온 다음 ESXi 신뢰할 수 있는 호스트를 업그레이드하거나 패치를 적용하는 것입니다.

vSphere 신뢰 기관 업그레이드 모범 사례

vSphere 신뢰 기관 인프라를 업그레이드하기 위한 모범 사례는 먼저 신뢰 기관 vCenter Server 및 신뢰 기관 호스트를 업그레이드하는 것입니다. 이러한 방식으로 최신 vSphere 신뢰 기관 기능에서 가장 많은 이점을 얻을 수 있습니다. 그러나 특정 비즈니스 이유에 맞게 vCenter ServerESXi 호스트의 별도의 독립형 업그레이드를 수행할 수 있습니다.

일반적으로 다음 순서에 따라 vSphere 신뢰 기관 인프라를 업그레이드합니다.

  1. 신뢰 기관 클러스터 vCenter Server를 업그레이드합니다.
  2. 신뢰 기관 호스트를 업그레이드합니다.
  3. 신뢰할 수 있는 클러스터 vCenter Server를 업그레이드합니다.
  4. 신뢰할 수 있는 호스트를 업그레이드합니다.

원활한 프로세스를 보장하려면 신뢰 기관 호스트와 신뢰할 수 있는 호스트를 하나씩 점진적으로 업그레이드합니다.

Quick Boot ESXi 신뢰할 수 있는 호스트를 사용하여 vSphere 신뢰 기관 업그레이드

Quick Boot는 vSphere Lifecycle Manager 이미지 및 vSphere Lifecycle Manager 기준선으로 관리하는 클러스터에서 사용할 수 있는 설정입니다. Quick Boot를 사용하면 ESXi 호스트 패치 적용 및 업그레이드 작업이 최적화됩니다.

Quick Boot 최적화를 사용하여 ESXi 호스트를 업그레이드하는 경우 호스트 증명은 신뢰의 루트 측정에서 이전에 부팅된 ESXi 버전을 계속 보고합니다.

따라서 Quick Boot를 사용하도록 설정되어 있고 vSphere 신뢰 기관 배포의 일부인 ESXi 신뢰할 수 있는 호스트를 업그레이드하는 경우 다음 사항에 주의하십시오.

  1. 업그레이드 후 모든 ESXi 호스트가 전체 재부팅을 완료할 때까지 증명 서비스에서 처음 신뢰한 ESXi 기본 이미지 버전을 제거하지 마십시오. (호스트를 재부팅해야 하는 경우 Quick Boot를 사용하지 않도록 설정합니다.)
  2. 여러 업그레이드에 Quick Boot를 사용했으며 더 이상 신뢰할 수 없는 중간 ESXi 버전을 제거하려면 base-images API를 사용하여 마지막으로 증명한 ESXi 버전을 확인합니다.
  3. Quick Boot를 사용하도록 설정된 ESXi 호스트의 ESXi 기본 이미지를 내보내면 호스트가 Quick Boot에서 업그레이드되었다는 메시지가 나타납니다. 결과 파일에는 ESXi 기본 이미지의 최신 메타데이터가 포함되어 있습니다.

Quick Boot를 사용하여 일반 클러스터의 호스트를 업그레이드한 다음, 나중에 해당 클러스터를 vSphere 신뢰 기관에 추가하면 호스트를 재부팅할 때까지 호스트가 이를 증명하지 않습니다. 호스트의 내보낸 ESXi 기본 이미지 파일에는 최신 메타데이터만 포함되어 있지만 호스트 증명은 마지막 전체 부팅의 메타데이터를 기반으로 하기 때문에 증명 실패가 발생합니다. 따라서 클러스터가 vSphere 신뢰 기관의 일부가 아니고 전체 부팅을 위해 ESXi 기본 이미지 메타데이터를 vSphere 신뢰 기관로 가져오지 않으면 증명이 실패합니다.

기본 이미지를 가져오려면 다음 PowerCLI 명령을 사용할 수 있습니다.

$vTA = Get-TrustAuthorityCluster -name trustedCluster
$bm = Get-TrustAuthorityVMHostBaseImage $vTA
$bm | select *

vSphere 신뢰 기관 업그레이드 문제 해결

신뢰 기관 호스트의 업그레이드가 실패하는 경우 다음 단계를 수행합니다.

  1. 신뢰할 수 있는 클러스터에서 신뢰 기관 호스트를 제거합니다.
  2. 이전 버전의 ESXi로 되돌립니다.
  3. https://kb.vmware.com/s/article/77234의 VMware 기술 자료 문서에 설명된 대로 신뢰 기관 호스트를 클러스터에 다시 추가합니다.
  4. 신뢰 기관 호스트의 구성이 신뢰 기관 클러스터의 다른 신뢰 기관 호스트와 일치하는지 확인합니다. 신뢰할 수 있는 클러스터 상태 확인의 내용을 참조하십시오.

신뢰할 수 있는 호스트에서 새 버전의 ESXi로 업그레이드하는 경우 새 ESXi 기본 이미지 정보를 사용하여 신뢰 기관 클러스터를 업데이트할 때까지 증명이 실패합니다. 이 동작은 예상된 동작입니다. 더 이상 가상 시스템을 암호화하거나 문제를 해결할 때까지 업그레이드 전에 암호화된 기존 가상 시스템을 사용할 수 없습니다. 증명 오류 메시지는 vSphere Client 최근 작업 창 및 attestd.log, kmxa.logvpxd.log 파일에 표시됩니다.

문제를 수정하려면 다음 단계를 수행합니다.

  1. Export-VMHostImageDb cmdlet을 실행하여 ESXi 기본 이미지를 다시 내보냅니다. 신뢰할 수 있는 ESXi 호스트 및 vCenter Server에 대한 정보 수집의 5단계를 참조하십시오.
  2. New-TrustAuthorityVMHostBaseImage cmdlet을 실행하여 새 기본 이미지를 신뢰 기관 클러스터의 vCenter Server로 다시 가져옵니다. 신뢰 기관 클러스터로 신뢰할 수 있는 호스트 정보 가져오기의 8단계를 참조하십시오.
  3. 이전 버전의 ESXi를 더 이상 증명할 필요가 없는 경우(모든 신뢰할 수 있는 호스트가 업그레이드됨) Remove-TrustAuthorityVMHostBaseImage cmdlet을 실행하여 해당 버전을 제거합니다. 예:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
$baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

vSphere 신뢰 기관 구성 백업

대부분의 vSphere 신뢰 기관 구성 정보는 ESXi 호스트에 저장되어 있기 때문에 vCenter Server 백업이 이 vSphere 신뢰 기관 정보를 백업하지 않습니다. vSphere 신뢰 기관 구성 백업의 내용을 참조하십시오.