VMM에서 보호된 호스트 프로비전

이 문서에서는 System Center VMM(Virtual Machine Manager) 컴퓨팅 패브릭에서 보호된 Hyper-V 호스트를 배포하는 방법을 설명합니다. 보호된 패브릭에 대해 자세히 알아보세요.

VMM 패브릭에서 보호된 Hyper-V 호스트를 설정하는 몇 가지 방법이 있습니다.

• 기존 호스트를 보호된 호스트로 구성: 보호된 VM을 실행하도록 기존 호스트를 구성할 수 있습니다.
• 보호된 새 호스트를 추가하거나 프로비전합니다. 이 호스트는 다음과 같습니다.
  • 기존 Windows Server 컴퓨터(Hyper-V 역할 포함 또는 제외)
  • 운영 체제 미설치 컴퓨터

다음과 같이 VMM 패브릭에서 보호된 호스트를 설정합니다.

1. 전역 HGS 설정 구성: VMM은 보호된 모든 호스트를 동일한 HGS(호스트 보호 서비스) 서버에 연결하여 호스트 간에 보호된 VM을 성공적으로 마이그레이션할 수 있도록 합니다. 보호된 모든 호스트에 적용되는 전역 HGS 설정을 지정하고 전역 설정을 재정의하는 호스트별 설정을 지정할 수 있습니다. 설정은 다음과 같습니다.

   • 증명 URL: 호스트가 HGS 증명 서비스에 연결하는 데 사용하는 URL입니다. 이 서비스는 호스트가 보호된 VM을 실행할 수 있는 권한을 부여합니다.
   • 키 보호 서버 URL: 호스트가 VM의 암호를 해독하는 데 필요한 키를 검색하는 데 사용하는 URL입니다. 호스트는 키를 검색하기 위해 증명을 전달해야 합니다.
   • 코드 무결성 정책: 코드 무결성 정책은 보호된 호스트에서 실행할 수 있는 소프트웨어를 제한합니다. HGS가 TPM 증명을 사용하도록 구성된 경우 HGS 서버에서 승인한 코드 무결성 정책을 사용하도록 보호된 호스트를 구성해야 합니다. VMM에서 코드 무결성 정책의 위치를 지정하고 호스트에 배포할 수 있습니다. 이는 선택 사항이며 보호된 패브릭을 관리하는 데 필요하지 않습니다.
   • VM 보호 도우미 VHD: 기존 VM을 보호된 VM으로 변환하는 데 사용되는 특별히 준비된 가상 하드 디스크입니다. 기존 VM을 보호하려면 이 설정을 구성해야 합니다.

2. 클라우드 구성: 보호된 호스트가 VMM 클라우드에 포함되는 경우 클라우드에서 보호된 VM을 지원하도록 설정해야 합니다.

시작하기 전에

계속하기 전에 호스트 보호 서비스를 배포하고 구성했는지 확인합니다. Windows Server 설명서에서 HGS를 구성하는 방법에 대해 자세히 알아봅니다.

또한 보호된 호스트가 될 호스트가 보호된 호스트 필수 조건을 충족하는지 확인합니다.

• 운영 체제: 호스트 서버는 Windows Server Datacenter를 실행해야 합니다. 보호된 호스트에 Server Core를 사용하는 것이 좋습니다.
• 역할 및 기능: 호스트 서버는 Hyper-V 역할 및 호스트 보호 Hyper-V 지원 기능을 실행해야 합니다. 호스트 보호 Hyper-V 지원을 사용하면 호스트가 HGS와 통신하여 상태를 증명하고 보호된 VM에 대한 키를 요청할 수 있습니다. 호스트가 Nano 서버를 실행하는 경우 Compute, SCVMM-Package, SCVMM-Compute, SecureStartup 및 ShieldedVM 패키지가 설치되어 있어야 합니다.
• TPM 증명: HGS가 TPM 증명을 사용하도록 구성된 경우 호스트 서버는 다음을 수행해야 합니다.
  • UEFI 2.3.1c 및 TPM 2.0 모듈 사용
  • UEFI 모드에서 부팅(BIOS 또는 레거시 모드 아님 )
  • 보안 부팅 사용
• HGS 등록: Hyper-V 호스트는 HGS에 등록해야 합니다. 등록 방법은 HGS가 AD 또는 TPM 증명을 사용하는지 여부에 따라 달라집니다. 자세한 정보
• 실시간 마이그레이션: 보호된 VM을 실시간 마이그레이션하려면 둘 이상의 보호된 호스트를 배포해야 합니다.
• 도메인: 보호된 호스트와 VMM 서버는 동일한 도메인 또는 양방향 트러스트가 있는 도메인에 있어야 합니다.

전역 HGS 설정 구성

보호된 호스트를 VMM 컴퓨팅 패브릭에 추가하려면 먼저 패브릭의 HGS에 대한 정보를 사용하여 VMM을 구성해야 합니다. VMM에서 관리하는 모든 보호된 호스트에 동일한 HGS가 사용됩니다.

1. HGS 관리자로부터 패브릭에 대한 증명 및 키 보호 URL을 가져옵니다.

2. VMM 콘솔에서 호스트 보호 서비스 설정 설정을> 선택합니다.

3. 각 필드에 증명 및 키 보호 URL을 입력합니다. 현재 코드 무결성 정책 및 VM 보호 도우미 VHD 섹션을 구성할 필요가 없습니다.
   
   

4. 마침을 선택하여 구성을 저장합니다.

보호된 새 호스트 추가 또는 프로비전

1. 호스트를 추가합니다.
   • Windows Server를 실행하는 기존 서버를 보호된 Hyper-V 호스트 로 추가하려면 패브릭에 추가합니다.
   • 운영 체제 미설치 컴퓨터 에서 Hyper-V 호스트를 프로비전하려면 다음 필수 구성 요소 및 지침을 따르세요.

     참고 항목

     호스트를 프로비전할 때 보호된 호스트로 배포할 수 있습니다(리소스 마법사 >OS 설정>추가 보호된 호스트로 구성).

2. 다음 섹션으로 계속 이동하여 호스트를 보호된 호스트로 구성합니다.

기존 호스트를 보호된 호스트로 구성

VMM에서 관리하는 기존 Hyper-V 호스트를 보호된 호스트로 구성하려면 다음 단계를 완료합니다.

1. 유지 관리 모드에서 호스트를 배치합니다.

2. 모든 호스트에서 호스트를 마우스 오른쪽 단추로 클릭하고 속성>호스트 보호 서비스를 클릭합니다.

   

3. 호스트 보호 Hyper-V 지원 기능을 사용하도록 설정하고 호스트를 구성하려면 선택합니다.

   참고 항목

   • 전역 증명 및 키 보호 서버 URL이 호스트에 설정됩니다.
   • VMM 콘솔 외부에서 이러한 URL을 수정하는 경우 VMM에서도 업데이트해야 합니다. 그렇지 않은 경우 VMM은 URL이 다시 일치할 때까지 호스트에 보호된 VM을 배치하지 않습니다. 사용 상자를 선택 취소하고 다시 선택하여 VMM에 구성된 URL로 호스트를 다시 구성할 수도 있습니다.

4. VMM을 사용하여 코드 무결성 정책을 관리하는 경우 두 번째 확인란을 사용하도록 설정하고 시스템에 적합한 정책을 선택할 수 있습니다.

5. 확인을 선택하여 호스트의 구성을 업데이트합니다.

6. 호스트를 유지 관리 모드에서 제외합니다.

VMM은 호스트를 추가할 때와 호스트 상태가 새로 고쳐질 때마다 호스트가 증명을 통과하는지 확인합니다. VMM은 증명을 통과한 호스트에서 보호된 VM만 배포하고 마이그레이션합니다. 속성>상태>HGS 클라이언트 전체에서 호스트의 증명 상태를 확인할 수 있습니다.

VMM 클라우드에서 보호된 호스트 사용

클라우드를 사용하여 보호된 호스트를 지원합니다.

1. VMM 콘솔에서 VM 및 서비스 클라우드를>선택합니다. 클라우드 이름을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.
2. 일반>보호 VM 지원에서 이 프라이빗 클라우드에서 지원됨을 선택합니다.

VMM을 사용하여 코드 무결성 정책 관리 및 배포

TPM 증명을 사용하도록 구성된 보호된 패브릭에서 각 호스트는 호스트 보호 서비스에서 신뢰하는 코드 무결성 정책을 사용하여 구성해야 합니다. 코드 무결성 정책의 관리를 용이하게 하려면 필요에 따라 VMM을 사용하여 보호된 호스트에 새 정책 또는 업데이트된 정책을 배포할 수 있습니다.

VMM에서 관리하는 보호된 호스트에 코드 무결성 정책을 배포하려면 다음 단계를 완료합니다.

1. 환경의 각 참조 호스트에 대한 코드 무결성 정책을 만듭니다. 보호된 호스트의 고유한 하드웨어 및 소프트웨어 구성마다 다른 CI 정책이 필요합니다.
2. 보안 파일 공유에 CI 정책을 저장합니다. 보호된 각 호스트에 대한 컴퓨터 계정에는 공유에 대한 읽기 액세스 권한이 필요합니다. 신뢰할 수 있는 관리자만 쓰기 권한이 있어야 합니다.
3. VMM 콘솔에서 호스트 보호 서비스 설정 설정을> 선택합니다.
4. 코드 무결성 정책 섹션에서 추가를 선택하고 CI 정책의 이름 및 경로를 지정합니다. 각 고유한 CI 정책에 대해 이 단계를 반복합니다. 어떤 정책을 어떤 호스트에 적용해야 하는지 식별하는 데 도움이 되는 방식으로 정책의 이름을 지정해야 합니다.
5. 마침을 선택하여 구성을 저장합니다.

이제 보호된 각 호스트에 대해 다음 단계를 완료하여 코드 무결성 정책을 적용합니다.

1. 유지 관리 모드에서 호스트를 배치합니다.

2. 모든 호스트에서 호스트를 마우스 오른쪽 단추로 클릭하고 속성>호스트 보호 서비스를 클릭합니다.

   

3. 코드 무결성 정책을 사용하여 호스트를 구성하는 옵션을 사용하도록 설정하려면 선택합니다. 그런 다음, 시스템에 대한 적절한 정책을 선택합니다.

4. 확인을 선택하여 구성 변경 사항을 적용합니다. 호스트를 다시 시작하여 새 정책을 적용할 수 있습니다.

5. 호스트를 유지 관리 모드에서 제외합니다.

Warning

호스트에 대한 올바른 코드 무결성 정책을 선택해야 합니다. 호환되지 않는 정책이 호스트에 적용되는 경우 일부 애플리케이션, 드라이버 또는 운영 체제 구성 요소가 더 이상 작동하지 않을 수 있습니다.

파일 공유에서 코드 무결성 정책을 업데이트하고 보호된 호스트도 업데이트하려는 경우 다음 단계를 완료하여 업데이트할 수 있습니다.

1. 유지 관리 모드에서 호스트를 배치합니다.
2. 모든 호스트에서 호스트를 마우스 오른쪽 단추로 클릭하고 최신 코드 무결성 정책 적용을 선택합니다.
3. 호스트를 유지 관리 모드에서 제외합니다.

다음 단계

• 보호된 템플릿 디스크, 유틸리티 디스크 및 VM 템플릿을 설정합니다.