vSphere Trust Authority 服務會做為基礎 ESXi 映像的一部分進行封裝和安裝。

啟動和停止服務

vSphere Client 中,您可以啟動、停止及重新啟動在 ESXi 主機上執行的 vSphere Trust Authority 服務。您可在組態變更時或出現可疑的運作或效能問題時重新啟動服務。若要重新啟動 ESXi 受信任主機上的服務,您必須登入主機本身以重新啟動服務。請參閱啟動、停止和重新啟動 vSphere Trust Authority 服務

升級和修補

每次升級或修補 ESXi 受信任主機時,必須以新的 ESXi 版本資訊來更新 vSphere Trust Authority 叢集。執行此操作的一種方法是升級或修補測試 ESXi 主機、匯出 ESXi 基礎映像資訊、將映像檔案匯入至 Trust Authority 叢集,然後升級或修補 ESXi 受信任主機。

升級最佳做法

升級 vSphere Trust Authority 基礎結構的最佳做法是先升級 Trust Authority vCenter Server 和 Trust Authority 主機。透過這種方式,您可以從最新的 vSphere Trust Authority 功能中獲得最大益處。但是,您可以對 vCenter ServerESXi 主機執行個別的獨立升級,以符合特定的業務原因。

一般而言,請遵循此順序來升級您的 vSphere Trust Authority 基礎結構:

  1. 升級 Trust Authority 叢集 vCenter Server
  2. 升級 Trust Authority 主機。
  3. 升級受信任叢集 vCenter Server
  4. 升級受信任主機。

為了確保程序順暢執行,請逐個升級 Trust Authority 主機和受信任主機。

對升級問題進行疑難排解

如果 Trust Authority 主機升級出現失敗,請執行下列步驟。

  1. 從受信任叢集中移除 Trust Authority 主機。
  2. 還原為先前版本的 ESXi
  3. 按照 VMware 知識庫文章 (網址為 https://kb.vmware.com/s/article/77234) 中所述,將 Trust Authority 主機重新新增至叢集。
  4. 確認 Trust Authority 主機的組態與 Trust Authority 叢集中的其他 Trust Authority 主機一致。請參閱檢查受信任叢集健全狀況

使用新的 ESXi 基礎映像資訊更新 Trust Authority 叢集之前,如果在受信任主機上升級到新版本的 ESXi,則證明會失敗。這是預期的行為。無法再加密虛擬機器或使用升級前已加密的現有虛擬機器,直到您修正問題為止。證明錯誤訊息會顯示在 vSphere Client 最近的工作窗格以及 attestd.logkmxa.logvpxd.log 檔案中。

若要更正問題,請遵循下列步驟。

  1. 執行 Export-VMHostImageDb cmdlet 以重新匯出 ESXi 基礎映像。請參閱收集要信任的 ESXi主機和 vCenter Server 的相關資訊中的步驟 5。
  2. 執行 New-TrustAuthorityVMHostBaseImage cmdlet,以將新的基礎映像重新匯入至 Trust Authority 叢集的 vCenter Server。請參閱將受信任主機資訊匯入至 Trust Authority 叢集中的步驟 8。
  3. 如果您不再需要證明較舊版本的 ESXi (已升級所有受信任的主機),請執行 Remove-TrustAuthorityVMHostBaseImage cmdlet 以移除版本。例如:
    $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    $baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA
    Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages

備份 vSphere Trust Authority 組態

由於大多數 vSphere Trust Authority 組態資訊儲存在 ESXi 主機上,因此,vCenter Server 備份不會備份此 vSphere Trust Authority 資訊。請參閱備份 vSphere Trust Authority組態