다음을 통해 공유

  • 아티클

VMM에서 분산 키 관리 구성

 

적용 대상: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager

Virtual Machine Manager(VMM) 관리 서버 설치 시 암호화된 데이터에 대한 키를 로컬 컴퓨터에 저장할지 아니면 분산 키 관리를 구성할지를 결정해야 합니다. 설치 프로그램의 서비스 계정과 분산 키 관리 구성 페이지에서 VMM 관리 서버가 설치되어 있는 컴퓨터에 암호화 키를 저장하는 대신 분산 키 관리를 사용하여 암호화 키를 AD DS(Active Directory 도메인 서비스)에 저장하도록 선택할 수 있습니다.

기본적으로 VMM는 DPAPI(데이터 보호 응용 프로그래밍 인터페이스)를 사용하여 VMM 데이터베이스의 일부 데이터를 암호화합니다. 예를 들어 VMM은 게스트 운영 체제 프로필에서 실행 계정 자격 증명과 암호를 암호화합니다. 또한 VMM은 가상 컴퓨터 역할 시나리오 및 구성을 위해 가상 하드 디스크 속성의 제품 키 정보도 암호화합니다. 이러한 데이터의 암호화는 VMM이 설치된 특정 컴퓨터와 VMM에서 사용하는 서비스 계정과 연관됩니다. 따라서 VMM 설치를 다른 컴퓨터로 이동하는 경우 VMM는 암호화된 데이터를 유지하지 않습니다. 이 경우에는 해당 데이터를 수동으로 입력하여 VMM 개체를 수정해야 합니다.

하지만 분산 키 관리는 암호화 키를 AD DS에 저장합니다. 따라서 VMM 설치를 다른 컴퓨터로 이동해야 하는 경우 다른 컴퓨터도 AD DS의 암호화 키에 액세스할 수 있으므로 VMM이 암호화된 데이터를 유지합니다.

System_CAPS_ICON_important.jpg 중요

가상 컴퓨터 역할의 경우 암호화된 데이터가 유지되지 않으면 해당 데이터를 수동으로 입력할 수 없으므로 역할을 관리할 수 없습니다.

분산 키 관리를 사용하도록 선택하는 경우 AD DS 관리자와 상의하여 암호화 키를 저장할 적합한 컨테이너를 AD DS에 만들어야 합니다.

VMM에서 분산 키 관리를 사용하기 위한 요구 사항과 고려 사항은 다음과 같습니다.

  • VMM을 설치하기 전에 AD DS에 컨테이너를 만들어야 합니다. ADSI 편집(Active Directory 서비스 인터페이스 편집기)을 사용하여 컨테이너를 만들 수 있습니다. ADSI 편집을 설치하려면 서버 관리자원격 서버 관리 도구 아래에서 AD DS 도구 기능을 추가합니다. 설치가 끝나면 ADSI 편집서버 관리자도구 메뉴에 나열됩니다.

  • 컨테이너는 VMM을 설치할 때 사용한 사용자 계정과 동일한 도메인에 만들어야 합니다. 또한 VMM 서비스에서 사용할 도메인 계정을 지정하려는 경우 해당 계정도 같은 도메인에 있어야 합니다.

    예를 들어 설치 계정과 서비스 계정 모두 corp.contoso.com 도메인에 속하는 경우 corp.contoso.com 도메인에 컨테이너를 만들어야 합니다. 따라서 VMMDKM 컨테이너를 만들려는 경우 CN=VMMDKM,DC=corp,DC=contoso,DC=com으로 컨테이너 위치를 지정합니다.

  • AD DS 관리자가 컨테이너를 만들었으면 VMM을 설치할 때 사용하는 계정에는 AD DS의 컨테이너에 대한 모든 권한이 있어야 합니다. 또한 이 개체와 컨테이너의 모든 하위 개체에 권한을 적용해야 합니다.

  • 항상 사용 가능한 VMM 관리 서버를 설치하는 경우 분산 키 관리를 사용하여 AD DS에 암호화 키를 저장해야 합니다.

    이 시나리오에서 분산 키 관리를 사용해야 하는 이유는, Virtual Machine Manager 서비스가 클러스터의 다른 노드로 장애 조치(failover)되는 경우에도 VMM 데이터베이스의 데이터에 액세스할 수 있도록 암호화 키 액세스 권한이 계속 필요하기 때문입니다. 암호화 키가 AD DS와 같은 중앙 위치에 저장되어 있어야만 이러한 액세스가 가능합니다.

  • 나중에 가상 컴퓨터 역할을 포함하는 업그레이드를 수행할 수 있도록 설치 중에 분산 키 관리를 사용하는 것이 좋습니다. 그러면 가상 컴퓨터 역할이 올바르게 업그레이드되며 업그레이드 후 해당 역할을 관리할 수 있습니다.

  • 서비스 계정과 분산 키 관리 구성 페이지에서 AD DS의 컨테이너 위치를 입력하여 지정합니다. 예를 들어 CN=VMMDKM,DC=corp,DC=contoso,DC=com을 입력합니다.