依預設,不會啟用 vSphere Trust Authority。必須先設定 vSphere Trust Authority 的環境,然後才能開始使用。

請在專用的 vCenter Server 叢集 (稱為 vSphere Trust Authority 叢集) 上啟用 vSphere Trust Authority 服務。Trust Authority 叢集可充當集中式安全管理平台。然後,啟用工作負載 vCenter Server 叢集以做為受信任的叢集。受信任叢集包含 ESXi 受信任主機。

Trust Authority 叢集會從遠端證明受信任叢集中的 ESXi 主機。Trust Authority 叢集僅向受信任叢集中被證明的 ESXi 主機釋放加密金鑰,以使用受信任金鑰提供者加密虛擬機器和虛擬磁碟。

開始設定 vSphere Trust Authority 之前,請參閱vSphere Trust Authority 的必要條件和必要權限,以瞭解 vCenter Server 系統和 ESXi 主機所需設定的相關資訊。

可以使用下列方式管理 vSphere Trust Authority 的不同方面。

  • 使用 PowerCLI cmdlet 或 vSphere API 設定 vSphere Trust Authority 服務和信任連線。請參閱《VMware PowerCLI Cmdlet 參考》《vSphere Automation SDK 程式設計指南》
  • 使用 PowerCLI cmdlet 或從 vSphere Client 管理受信任金鑰提供者的組態。
  • 使用 vSphere Client 和 API 執行加密工作流程,如同在先前 vSphere 版本中一樣。
圖 1. vSphere Trust Authority 工作流程
此圖簡要地概述了如何設定 vSphere Trust Authority。

若要設定和管理 vSphere Trust Authority,可以使用 VMware PowerCLI,但是可以在 vSphere Client 中獲得某些功能。

當您設定 vSphere Trust Authority 時,必須在 Trust Authority 叢集和受信任叢集上完成設定工作。其中部分工作是特定於順序的。使用本指南中列出的工作順序。

備註: 在完成初始 vSphere Trust Authority 設定後將更多 ESXi 主機新增至受信任叢集時,您可能需要再次匯出並匯入受信任主機資訊。也就是說,如果新 ESXi 主機與原始主機不同,則必須收集新的 ESXi 主機資訊並將其匯入至 Trust Authority 叢集。請參閱 新增和移除 vSphere Trust Authority 主機