若要建立信任,vSphere Trust Authority叢集需要有關受信任叢集的 ESXi 主機和vCenter Server 的資訊。以檔案形式匯出此資訊,以匯入到Trust Authority 叢集中。務必確保這些檔案的機密性並安全地進行傳輸。

您可以使用 vSphere Trust AuthorityPowerCLI cmdlet,以檔案形式從受信任叢集中的 ESXi 主機匯出下列資訊,以便 Trust Authority 叢集瞭解要信任的軟體和硬體。

  • ESXi版本
  • TPM 製造商 (CA 憑證)
  • (選用) 個別 TPM (EK 憑證)
備註: 將這些匯出的檔案儲存在安全的位置,以防您必須還原 vSphere Trust Authority組態。

如果您主機的類型和廠商相同,並且該主機在相同的時間範圍和位置製造,則可以僅取得其中一個 TPM 的 CA 憑證來信任所有 TPM。若要信任個別 TPM,您需要取得該 TPM 的 EK 憑證。

同時,必須從受信任叢集的vCenter Server中取得主體資訊。主體資訊包含 vpxd 解決方案使用者及其憑證鏈結。憑藉主體資訊,受信任叢集的 vCenter Server能夠探索在 Trust Authority 叢集上設定的可用受信任金鑰提供者。

若要一開始設定 vSphere Trust Authority,則必須收集ESXi 版本和 TPM 資訊。此外,還必須在每次部署新版本的 ESXi後 (包括升級或套用修補程式時) 收集 ESXi 版本。

每個 vCenter Server系統僅收集一次 vCenter Server 主體資訊。

必要條件

  • 識別受信任叢集中的 ESXi版本和 TPM 硬體類型,以及您要信任所有 TPM 硬體類型、僅特定的 TPM 硬體類型還是個別主機。
  • 在執行 PowerCLI cmdlet 的機器上,建立用於儲存以檔案形式匯出之資訊的本機資料夾。
  • 啟用 Trust Authority 管理員.
  • 啟用 Trust Authority 狀態.

程序

  1. 在 PowerCLI 工作階段中,執行下列命令,中斷任何目前連線並以根使用者身分連線至受信任叢集中的其中一個 ESXi主機。
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server host_ip_address -User root -Password 'password'
  2. 執行 Get-VMHostcmdlet 以確認 ESXi 主機。
    Get-VMHost
    隨即顯示主機資訊。
  3. Get-VMHost指派給變數。
    例如:
    $vmhost = Get-VMHost
  4. 執行 Export-Tpm2CACertificatecmdlet 以匯出指定 TPM 製造商的 CA 憑證。
    1. Get-Tpm2EndorsementKey -VMHost $vmhost指派給變數。
      例如,此命令會將 $tpm2指派給變數 Get-Tpm2EndorsementKey -VMHost $vmhost
      $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
    2. 執行 Export-Tpm2CACertificatecmdlet。
      例如,此命令會將 TPM 憑證匯出至 cacert.zip 檔案。請在執行此命令之前確認目的地目錄已存在。
      Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip
      隨即建立該檔案。
    3. 針對您要信任的叢集中的每個 TPM 硬體類型重複以上操作。針對每個 TMP 硬體類型使用不同的檔案名稱,以便您不會覆寫先前匯出的檔案。
  5. 執行 Export-VMHostImageDbcmdlet,以匯出軟體的 ESXi 主機說明 (ESXi 映像)。
    例如,此命令會將資訊匯出至 image.tgz 檔案。請在執行此命令之前確認目的地目錄已存在。
    Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz
    備註: 如果您偏好登入受信任叢集的 vCenter Server,則 Export-VMHostImageDb cmdlet 也會起作用。
    隨即建立該檔案。

    針對您要信任的叢集中的每個ESXi版本重複以上操作。針對每個版本使用不同的檔案名稱,以便您不會覆寫先前匯出的檔案。

  6. 匯出受信任叢集的 vCenter Server主體資訊。
    1. 中斷與 ESXi主機的連線。
      Disconnect-VIServer -server * -Confirm:$false
    2. 使用 Trust Authority 管理員使用者連線至受信任叢集的vCenter Server。(也可以使用具有管理員權限的使用者。)
      Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    3. 若要匯出受信任叢集的 vCenter Server主體資訊,請執行 Export-TrustedPrincipal cmdlet。
      例如,此命令會將資訊匯出至 principal.json 檔案。請在執行此命令之前確認目的地目錄已存在。
      Export-TrustedPrincipal -FilePath C:\vta\principal.json
      隨即建立該檔案。
  7. (選擇性) 如果您想要信任個別主機,則必須匯出 TPM EK 公開金鑰憑證。

結果

將建立下列檔案:

  • TPM CA 憑證檔案 (.zip 副檔名)
  • ESXi映像檔案 (.tgz 副檔名)
  • vCenter Server主體檔案 (json 副檔名)

範例: 收集要信任的 ESXi主機和 vCenter Server 的相關資訊

此範例顯示如何使用 PowerCLI 匯出 ESXi主機資訊和vCenter Server 主體。下表顯示了所使用的範例元件和值。

表 1. vSphere Trust Authority設定範例
元件
受信任叢集中的 ESXi主機 192.168.110.51
受信任叢集的 vCenter Server 192.168.110.22
變數 $vmhost Get-VMHost
變數 $tpm2 Get-Tpm2EndorsementKey -VMHost $vmhost
Trust Authority 管理員 trustedadmin@vsphere.local
包含輸出檔案的本機目錄 C:\vta
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                  443  root

PS C:\Users\Administrator.CORP> Get-VMHost

Name               ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version
----               --------------- ---------- ------ ----------- ----------- ------------- ------------- -------
192.168.110.51     Connected       PoweredOn       4         200        9576         1.614         7.999   7.0.0

PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost
PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        10/8/2019   6:55 PM           1004 cacert.zip

PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:02 PM          2391 image.tgz

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User trustedadmin@vsphere.local -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:14 PM           1873 principal.json

下一步

繼續將受信任主機資訊匯入至 Trust Authority 叢集