vSphere Trust Authority 服務會做為基礎 ESXi 映像的一部分進行封裝和安裝。
啟動和停止 vSphere Trust Authority 服務
在 vSphere Client 中,您可以啟動、停止及重新啟動在 ESXi 主機上執行的 vSphere Trust Authority 服務。您可在組態變更時或出現可疑的運作或效能問題時重新啟動服務。若要重新啟動 ESXi 受信任主機上的服務,您必須登入主機本身以重新啟動服務。請參閱啟動、停止和重新啟動 vSphere Trust Authority 服務。
升級和修補 vSphere Trust Authority
每次升級或修補 ESXi 受信任主機時,必須以新的 ESXi 版本資訊來更新 vSphere Trust Authority 叢集。執行此操作的一種方法是升級或修補測試 ESXi 主機、匯出 ESXi 基礎映像資訊、將映像檔案匯入至 Trust Authority 叢集,然後升級或修補 ESXi 受信任主機。
vSphere Trust Authority 升級的最佳做法
升級 vSphere Trust Authority 基礎結構的最佳做法是先升級 Trust Authority vCenter Server 和 Trust Authority 主機。透過這種方式,您可以從最新的 vSphere Trust Authority 功能中獲得最大益處。但是,您可以對 vCenter Server 和 ESXi 主機執行個別的獨立升級,以符合特定的業務原因。
一般而言,請遵循此順序來升級您的 vSphere Trust Authority 基礎結構:
- 升級 Trust Authority 叢集 vCenter Server。
- 升級 Trust Authority 主機。
- 升級受信任叢集 vCenter Server。
- 升級受信任主機。
為了確保程序順暢執行,請逐個升級 Trust Authority 主機和受信任主機。
對已啟用 Quick Boot 的 ESXi 受信任主機升級 vSphere Trust Authority
Quick Boot 是一項可與使用 vSphere Lifecycle Manager 映像和 vSphere Lifecycle Manager 基準管理的叢集搭配使用的設定。使用 Quick Boot 可最佳化 ESXi 主機修補和升級作業。
使用 Quick Boot 最佳化升級 ESXi 主機時,主機證明會繼續在信任根度量中報告之前開機的 ESXi 版本。
因此,如果升級已啟用 Quick Boot 的 ESXi 受信任主機且該主機是 vSphere Trust Authority 部署的一部分,請注意以下事項:
- 升級後,在所有 ESXi 主機完成完全重新開機之前,不要從證明服務中移除最初信任的 ESXi 基礎映像版本。(如果需要重新開機主機,請停用 Quick Boot。)
- 如果使用 Quick Boot 進行了多次升級,並希望移除不再可信任的中繼 ESXi 版本,請使用 base-images API 確認上次證明的 ESXi 版本。
- 匯出啟用了 Quick Boot 的 ESXi 主機的 ESXi 基礎映像時,將顯示一則訊息,指出該主機已透過 Quick Boot 進行升級。產生的檔案包含 ESXi 基礎映像的最新中繼資料。
如果使用 Quick Boot 升級常規叢集的主機,然後將該叢集新增至 vSphere Trust Authority,則主機在重新開機之前不會進行證明。出現證明失敗的原因是,匯出的主機 ESXi 基礎映像檔案僅包含最新的中繼資料,而主機證明基於上次完全開機時的中繼資料。因此,如果叢集不在 vSphere Trust Authority 中,並且 ESXi 基礎映像中繼資料未匯入 vSphere Trust Authority 以進行完全開機,則證明將失敗。
若要取得基礎映像,可以使用以下 PowerCLI 命令。
$vTA = Get-TrustAuthorityCluster -name trustedCluster $bm = Get-TrustAuthorityVMHostBaseImage $vTA $bm | select *
對 vSphere Trust Authority 升級問題進行疑難排解
如果 Trust Authority 主機升級出現失敗,請執行下列步驟。
- 從受信任叢集中移除 Trust Authority 主機。
- 還原為先前版本的 ESXi。
- 按照 VMware 知識庫文章 (網址為 https://kb.vmware.com/s/article/77234) 中所述,將 Trust Authority 主機重新新增至叢集。
- 確認 Trust Authority 主機的組態與 Trust Authority 叢集中的其他 Trust Authority 主機一致。請參閱檢查受信任叢集健全狀況。
使用新的 ESXi 基礎映像資訊更新 Trust Authority 叢集之前,如果在受信任主機上升級到新版本的 ESXi,則證明會失敗。這是預期的行為。無法再加密虛擬機器或使用升級前已加密的現有虛擬機器,直到您修正問題為止。證明錯誤訊息會顯示在 vSphere Client 最近的工作窗格以及 attestd.log、kmxa.log 和 vpxd.log 檔案中。
若要更正問題,請遵循下列步驟。
- 執行 Export-VMHostImageDb cmdlet 以重新匯出 ESXi 基礎映像。請參閱收集要信任的 ESXi主機和 vCenter Server 的相關資訊中的步驟 5。
- 執行 New-TrustAuthorityVMHostBaseImage cmdlet,以將新的基礎映像重新匯入至 Trust Authority 叢集的 vCenter Server。請參閱將受信任主機資訊匯入至 Trust Authority 叢集中的步驟 8。
- 如果您不再需要證明較舊版本的 ESXi (已升級所有受信任的主機),請執行 Remove-TrustAuthorityVMHostBaseImage cmdlet 以移除版本。例如:
$vTA = Get-TrustAuthorityCluster 'vTA Cluster' $baseImages = Get-TrustAuthorityVMHostBaseImage -TrustAuthorityCluster $vTA Remove-TrustAuthorityVMHostBaseImage -VMHostBaseImage $baseImages
備份 vSphere Trust Authority 組態
由於大多數 vSphere Trust Authority 組態資訊儲存在 ESXi 主機上,因此,vCenter Server 備份不會備份此 vSphere Trust Authority 資訊。請參閱備份 vSphere Trust Authority組態。