設定 vSphere Trust Authority 時,必須考慮硬體和軟體需求。您必須設定密碼編譯權限和角色才能使用加密。執行 vSphere Trust Authority 工作的使用者必須擁有適當的權限。
vSphere Trust Authority 的需求
若要使用 vSphere Trust Authority,您的 vSphere 環境必須符合下列需求:
- ESXi 受信任主機的硬體需求:
- TPM 2.0
- 必須啟用安全開機
- EFI 韌體
- 元件需求:
- vCenter Server 7.0 或更新版本
- 專用於 vSphere Trust Authority 叢集和 ESXi 主機的 vCenter Server 系統
- 單獨用於受信任叢集和 ESXi 受信任叢集的 vCenter Server 系統
- 金鑰伺服器 (在先前的 vSphere 版本中稱為金鑰管理伺服器或 KMS)
- 虛擬機器需求:
- EFI 韌體
- 已啟用安全開機
vSphere Trust Authority 和密碼編譯權限
vSphere Trust Authority 不會引入任何新的密碼編譯權限。使用密碼編譯權限和角色中所述的相同密碼編譯權限適用於 vSphere Trust Authority。
vSphere Trust Authority 和主機加密模式
vSphere Trust Authority 不會引入在 ESXi 受信任主機上啟用主機加密模式的任何新需求。如需有關主機加密模式的詳細資訊,請參閱虛擬機器加密工作的必要條件和所需權限。
使用 vSphere Trust Authority 角色和 TrustedAdmins 群組
vSphere Trust Authority 作業需要屬於 TrustedAdmins 群組成員的使用者。此使用者稱為 Trust Authority 管理員。vSphere 管理員必須將自己新增至 TrustedAdmins 群組,或將其他使用者新增至群組,以取得「受信任基礎結構管理員」角色。vCenter Server 授權需要「受信任基礎結構管理員」角色。在做為受信任基礎結構一部分的 ESXi 主機上進行驗證時,需要 TrustedAdmins 群組。在 ESXi 主機上具有 權限的使用者可以管理受信任的叢集。vCenter Server 不會散佈至 Trust Authority 主機,而是僅散佈至受信任的主機。僅 TrustedAdmins 群組的成員會被授與 Trust Authority 主機的權限。群組成員資格會在 ESXi 主機本身上進行驗證。
啟用 vSphere Trust Authority 後,Trust Authority 管理員可將受信任的金鑰提供者指派給受信任主機。然後,這些受信任的主機可以使用受信任的金鑰提供者來執行密碼編譯工作。
除了「受信任基礎結構管理員」角色之外,vSphere Trust Authority 還提供「無受信任基礎結構管理員」角色,該角色包含 vCenter Server 中的所有權限,但呼叫 vSphere Trust Authority API 的權限除外。
vSphere Trust Authority 群組、角色和使用者的運作方式如下:
- 首次開機時,vSphere 授與 TrustedAdmins 群組具有全域權限的「受信任基礎結構管理員」角色。
- 「受信任基礎結構管理員」角色是一種系統角色,具有呼叫 vSphere Trust Authority API (TrustedAdmin.*) 所需的權限,以及用於檢視詳細目錄物件的系統權限 System.Read、System.View 和 System.Anonymous。
- 「無受信任基礎結構管理員」角色是一種包含 vCenter Server 中所有權限 (除了呼叫 vSphere Trust Authority API 的權限以外) 的系統角色。將新權限新增至 vCenter Server 也會將其新增至「無受信任基礎結構管理員」角色。(「無受信任基礎結構管理員」角色類似於「無密碼編譯管理員」角色)。
- vSphere Trust Authority 權限 (TrustedAdmin.* API) 不包括在「無密碼編譯管理員」角色中,會防止具有此角色的使用者設定受信任基礎結構或執行密碼編譯作業。
這些使用者、群組和角色的使用案例如下表所示。
使用者、群組或角色 | 可以呼叫 vSphere Trust AuthorityvCenter Server API (包括對 vSphere Trust Authority ESXi API 的呼叫) | 可以呼叫 vSphere Trust AuthorityvCenter Server API (不包括對 vSphere Trust Authority ESXi API 的呼叫) | 可在不與 vSphere Trust Authority 相關的叢集中執行主機作業 | 註解 |
---|---|---|---|---|
同時在 Administrators@system.domain 群組和 TrustedAdmins@system.domain 群組中的使用者 | 是 | 是 | 是 | NA |
僅在 TrustedAdmins@system.domain 群組中的使用者 | 是 | 是 | 否 | 此類使用者無法執行定期叢集管理作業。 |
僅在 Administrators@system.domain 群組中的使用者 | 是 | 否 | 是 | NA |
具有「受信任基礎結構管理員」角色但不在 TrustedAdmins@system.domain 群組中的使用者 | 是 | 否 | 否 | ESXi 主機會檢查使用者的群組成員資格以授與權限。 |
僅具有「無受信任基礎結構管理員」角色的使用者 | 否 | 否 | 是 | 此類使用者類似於無法執行 vSphere Trust Authority 作業的管理員。 |