vSphere Trust Authority 叢集資訊匯入至受信任的叢集後,受信任主機會透過 Trust Authority 叢集啟動證明程序。

必要條件

程序

  1. 確保以 Trust Authority 管理員身分連線至受信任叢集的 vCenter Server
    例如,您可以輸入 $global:defaultviservers 來顯示所有已連線的伺服器。
  2. (選擇性) 如有必要,您可以執行下列命令,以確保您已連線至受信任叢集的 vCenter Server
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    備註: 也可以啟動另一個 PowerCLI 工作階段來連線至受信任叢集的 vCenter Server
  3. 確認受信任叢集的狀態為 [已停用]。
    Get-TrustedCluster
    狀態會顯示為 [已停用]。
  4. Get-TrustedCluster 資訊指派給變數。
    例如,此命令會將叢集 Trusted Cluster 的資訊指派給變數 $TC
    $TC = Get-TrustedCluster -Name 'Trusted Cluster'
  5. 透過回應來驗證變數的值。
    例如:
    $TC
    隨即顯示 Get-TrustedCluster 資訊。
  6. 若要將 Trust Authority 叢集資訊匯入至 vCenter Server,請執行 Import-TrustAuthorityServicesInfo cmdlet。
    例如,此命令會從先前在 匯出 Trust Authority 叢集資訊中匯出的 clsettings.json 檔案匯入服務資訊。
    Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json
    系統會用確認提示作出回應。
    Confirmation
    Importing the TrustAuthorityServicesInfo into Server 'ip_address'. Do you want to proceed?
    
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
  7. 出現確認提示時按 Enter。(預設值為 Y。)
    隨即顯示 Trust Authority 叢集中主機的服務資訊。
  8. 若要啟用受信任叢集,請執行 Set-TrustedCluster cmdlet。
    例如:
    Set-TrustedCluster -TrustedCluster $TC -State Enabled
    系統會用確認提示作出回應。
    Confirmation
    Setting TrustedCluster 'cluster' with new TrustedState 'Enabled'. Do you want to proceed?
    [Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):
    如果受信任叢集處於狀況不良的狀態,則會顯示下列警告訊息,然後再顯示確認訊息:
    WARNING: The TrustedCluster 'cluster' is not healthy in its TrustedClusterAppliedStatus. This cmdlet will automatically remediate the TrustedCluster.
  9. 出現確認提示時按 Enter。(預設值為 Y。)
    受信任的叢集隨即啟用。
    備註: 也可以透過單獨啟用證明服務和金鑰提供者服務來啟用受信任的叢集。使用 Add-TrustedClusterAttestationServiceInfoAdd-TrustedClusterKeyProviderServiceInfo 命令。例如,下列命令一次針對具有兩個金鑰提供者服務和兩個證明服務的叢集 Trusted Cluster 啟用一個服務。
    Add-TrustedClusterAttestationServiceInfo -TrustedCluster 'Trusted Cluster' -AttestationServiceInfo (Get-AttestationServiceInfo | Select-Object -index 0,1)
    Add-TrustedClusterKeyProviderServiceInfo  -TrustedCluster 'Trusted Cluster' -KeyProviderServiceInfo (Get-KeyProviderServiceInfo | Select-Object -index 0,1)
  10. 確認受信任叢集中已設定證明服務和金鑰提供者服務。
    1. Get-TrustedCluster 資訊指派給變數。
      例如,此命令會將叢集 Trusted Cluster 的資訊指派給變數 $TC
      $TC = Get-TrustedCluster -Name 'Trusted Cluster'
    2. 確認已設定證明服務。
      $tc.AttestationServiceInfo
      即會顯示證明服務資訊。
    3. 確認已設定金鑰提供者服務。
      $tc.KeyProviderServiceInfo
      即會顯示金鑰提供者服務資訊。

結果

受信任叢集中的 ESXi 受信任主機會透過 Trust Authority 叢集啟動證明程序。

範例: 將 Trust Authority 叢集資訊匯入至受信任的主機

此範例顯示如何將 Trust Authority 叢集服務資訊匯入至受信任叢集。下表顯示了所使用的範例元件和值。

表 1. vSphere Trust Authority 設定範例
元件
受信任叢集的 vCenter Server 192.168.110.22
Trust Authority 管理員 [email protected]
受信任叢集名稱 受信任叢集
Trust Authority 叢集中的 ESXi 主機 192.168.210.51 和 192.168.210.52
變數 $TC Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User [email protected] -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                 443   VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Get-TrustedCluster

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $TC

Name                  State             Id
----                  -----             --
Trusted Cluster       Disabled          TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> Import-TrustAuthorityServicesInfo -FilePath C:\vta\clsettings.json

Confirmation
Importing the TrustAuthorityServicesInfo into Server '192.168.110.22'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"): y

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...
192.168.210.51                 443                  host-13:86f7ab6c-ad6f-4606-...
192.168.210.52                 443                  host-16:86f7ab6c-ad6f-4606-...

PS C:\Users\Administrator.CORP> Set-TrustedCluster -TrustedCluster $TC -State Enabled

Confirmation
Setting TrustedCluster 'Trusted Cluster' with new TrustedState 'Enabled'. Do you want to proceed?
[Y] Yes  [A] Yes to All  [N] No  [L] No to All  [S] Suspend  [?] Help (default is "Y"):

Name                  State             Id
----                  -----             --
Trusted Cluster       Enabled           TrustedCluster-domain-c8

PS C:\Users\Administrator.CORP> $TC = Get-TrustedCluster -Name 'Trusted Cluster'
PS C:\Users\Administrator.CORP> $tc.AttestationServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

PS C:\Users\Administrator.CORP> $tc.KeyProviderServiceInfo

ServiceAddress                 ServicePort          ServiceGroup
--------------                 -----------          ------------
192.168.210.51                 443                  host-13:dc825986-73d2-463c-...
192.168.210.52                 443                  host-16:dc825986-73d2-463c-...

下一步

繼續使用 vSphere Client為受信任的主機設定受信任金鑰提供者使用命令列為受信任的主機設定受信任金鑰提供者