일반 VM과 마찬가지로 VM 템플릿(예 Virtual Machine Manager(VMM)의 VM 템플릿)을 만들어 테넌트 및 관리자가 템플릿 디스크를 사용하여 패브릭에 새 VM을 쉽게 배포하도록 지원할 수 있습니다. 보호된 VM은 보안에 중요한 자산이므로 보호 기능을 지원하는 VM 템플릿을 만드는 추가 단계가 있습니다. 이 토픽은 VMM에서 보호된 템플릿 디스크 및 VM 템플릿을 만드는 단계를 설명합니다.
이 토픽이 보호된 VM을 배포하는 전체 프로세스에 어떻게 적합한지 이해하려면 보호된 호스트 및 보호된 VM에 대한 호스팅 서비스 공급자 구성 단계를 참조하세요.
운영 체제 VHDX 준비
먼저 보호된 템플릿 디스크 만들기 마법사를 통해 실행할 OS 디스크를 준비합니다. 이 디스크는 테넌트의 VM에서 OS 디스크로 사용됩니다. 기존 도구를 사용하여 Microsoft DISM(데스크톱 이미지 서비스 관리자)과 같은 이 디스크를 만들거나 빈 VHDX를 사용하여 VM을 수동으로 설정하고 해당 디스크에 OS를 설치할 수 있습니다. 디스크를 설정할 때는 2세대 및/또는 보호된 VM과 관련된 다음 요구 사항을 준수해야 합니다.
| VHDX의 요구 사항 | Reason |
|---|---|
| GPT(GUID 파티션 테이블) 디스크여야 합니다. | UEFI를 지원하기 위한 2세대 가상 컴퓨터 지원이 필요합니다. |
| Disk type must be Basic as opposed to Dynamic. 참고: Hyper-V에서 지원하는 "동적 확장" VHDX 기능이 아닌 논리 디스크 유형을 나타냅니다. |
BitLocker는 동적 디스크를 지원하지 않습니다. |
| 디스크에 두 개 이상의 파티션이 있습니다. Windows를 설치할 드라이브를 한 파티션에 포함시켜야 합니다. BitLocker에서 암호화하는 드라이브입니다. 다른 파티션은 부팅 로더를 포함하고 컴퓨터를 시작할 수 있도록 암호화되지 않은 상태로 유지되는 활성 파티션입니다. | BitLocker에 필요 |
| 파일 시스템은 NTFS입니다 | BitLocker에 필요 |
| VHDX에 설치된 운영 체제는 다음 중 하나입니다. - Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 또는 Windows Server 2012 - 윈도우 10, 윈도우 8.1, 윈도우 8 |
2세대 가상 머신 및 Microsoft 보안 부팅 템플릿을 지원하는 데 필요함 |
| 운영 체제를 일반화해야 합니다(sysprep.exe 실행). | 템플릿 프로비저닝에는 특정 테넌트의 워크로드에 대한 특수 VM이 포함됩니다. |
Note
VMM을 사용하는 경우 이 단계에서는 템플릿 디스크를 VMM 라이브러리에 복사하지 마십시오.
템플릿 운영 체제에서 Windows 업데이트 실행
템플릿 디스크에서 운영 체제에 최신 Windows 업데이트가 모두 설치되어 있는지 확인합니다. 최근에 릴리스된 업데이트는 템플릿 운영 체제가 최신 상태가 아닌 경우 완료하지 못할 수 있는 프로세스인 엔드 투 엔드 실딩 프로세스의 안정성을 향상시킵니다.
템플릿 디스크 마법사를 사용하여 VHDX 준비 및 보호
보호된 VM에서 템플릿 디스크를 사용하려면 보호된 템플릿 디스크 생성 마법사를 사용하여 디스크를 준비하고 BitLocker를 사용하여 암호화해야 합니다. 이 마법사는 디스크에 대한 해시를 생성하여 볼륨 서명 카탈로그(VSC)에 추가합니다. VSC는 지정한 인증서를 사용하여 서명되며, 테넌트에 배포되는 디스크가 변경되거나 테넌트가 신뢰하지 않는 디스크로 대체되지 않았음을 보장하기 위해 프로비저닝 과정에서 사용됩니다. 마지막으로, BitLocker는 VM 프로비저닝 중에 암호화를 위해 디스크를 준비하기 위해 디스크의 운영 체제(아직 없는 경우)에 설치됩니다.
Note
템플릿 디스크 마법사는 현재 위치에서 지정한 템플릿 디스크를 수정합니다. 나중에 디스크를 업데이트하기 위해 마법사를 실행하기 전에 보호되지 않은 VHDX의 복사본을 만들 수 있습니다. 템플릿 디스크 마법사로 보호된 디스크는 수정할 수 없습니다.
Windows Server 2016, Windows 10(원격 서버 관리 도구, RSAT가 설치됨) 이상을 실행하는 컴퓨터에서 다음 단계를 수행합니다(보호된 호스트 또는 VMM 서버일 필요는 없음).
운영 체제 VHDX 준비에서 만든 일반화된 VHDX를 서버에 복사합니다(아직 없는 경우).
서버를 로컬에서 관리하려면 서버에 원격 서버 관리 도구의 보호된 가상 머신 도구 기능을 설치합니다.
Install-WindowsFeature RSAT-Shielded-VM-Tools -RestartWindows 10 원격 서버 관리 도구를 설치한 클라이언트 컴퓨터에서 서버를 관리할 수도 있습니다.
새 보호된 VM의 템플릿 디스크가 될 VHDX의 VSC에 서명할 인증서를 가져오거나 생성합니다. 이 인증서에 대한 세부 정보는 테넌트가 보호 데이터 파일을 만들고 신뢰할 수 있는 디스크에 권한을 부여할 때 표시됩니다. 따라서 사용자와 테넌트가 상호 신뢰하는 인증 기관에서 이 인증서를 가져오는 것이 중요합니다. 호스트 및 테넌트인 엔터프라이즈 시나리오에서는 PKI에서 이 인증서를 발급하는 것이 좋습니다.
테스트 환경을 설정하고 자체 서명된 인증서를 사용하여 템플릿 디스크를 준비하려는 경우 다음과 유사한 명령을 실행합니다.
New-SelfSignedCertificate -DnsName publisher.fabrikam.com시작 메뉴의 관리 도구 폴더에서 템플릿 디스크 마법사를 시작하거나 TemplateDiskWizard.exe를 명령 프롬프트에 입력합니다.
On the Certificate page, click Browse to display a list of certificates. 디스크 템플릿을 준비할 인증서를 선택합니다. Click OK and then click Next.
On the Virtual Disk page, click Browse to select the VHDX that you have prepared, then click Next.
On the Signature Catalog page, provide a friendly disk name and version. These fields are present to help you identify the disk once it has been prepared.
For example, for disk name you could type WS2016 and for Version, 1.0.0.0
마법사의 설정 검토 페이지에서 선택 항목을 검토합니다. When you click Generate, the wizard will enable BitLocker on the template disk, compute the hash of the disk, and create the Volume Signature Catalog, which is stored in the VHDX metadata.
템플릿 디스크를 탑재하거나 이동하기 전에 준비 프로세스가 완료될 때까지 기다립니다. 디스크 크기에 따라 이 프로세스를 완료하는 데 시간이 걸릴 수 있습니다.
Important
템플릿 디스크는 보호된 보안 VM 프로비저닝 프로세스에서만 사용할 수 있습니다. 템플릿 디스크를 사용하여 일반 미보호 VM을 부팅하려고 하면 중지 오류(파란색 화면)가 발생할 수 있으며 이러한 방식은 지원되지 않습니다.
On the Summary page, information about the disk template, the certificate used to sign the VSC, and the certificate issuer is shown. Click Close to exit the wizard.
VMM을 사용하는 경우 이 항목의 나머지 섹션에 있는 단계에 따라 템플릿 디스크를 VMM의 보호된 VM 템플릿에 통합합니다.
VMM 라이브러리에 템플릿 디스크 복사
VMM을 사용하는 경우 템플릿 디스크를 생성된 후 VMM 라이브러리 공유에 복사하여 새로운 VM을 프로비저닝할 때 호스트가 디스크를 다운로드하고 사용할 수 있도록 해야 합니다. 다음 절차에 따라 템플릿 디스크를 VMM 라이브러리에 복사한 다음 라이브러리를 새로 고칩니다.
VHDX 파일을 VMM 라이브러리 공유 폴더에 복사합니다. 기본 VMM 구성을 사용한 경우 템플릿 디스크를 \<\vmmserver>\MSSCVMMLibrary\VHDs에 복사합니다.
라이브러리 서버를 새로 고칩니다. Open the Library workspace, expand Library Servers, right-click on the library server that you want to refresh, and click Refresh.
다음으로, 템플릿 디스크에 설치된 운영 체제에 대한 정보를 VMM에 제공합니다.
a. Find your newly imported template disk on your library server in the Library workspace.
b. Right-click the disk and then click Properties.
c. For operating system, expand the list and select the operating system installed on the disk. 운영 체제를 선택하면 VHDX가 비어 있지 않음을 VMM에 표시합니다.
d. When you have updated the properties, click OK.
디스크 이름 옆에 있는 작은 방패 아이콘은 디스크를 보호된 VM에 대해 준비된 템플릿 디스크로 나타냅니다. You can also right click the column headers and toggle the Shielded column to see a textual representation indicating whether a disk is intended for regular or shielded VM deployments.
준비된 템플릿 디스크를 사용하여 VMM에서 보호된 VM 템플릿 만들기
VMM 라이브러리에 준비된 템플릿 디스크를 사용하면 보호된 VM에 대한 VM 템플릿을 만들 준비가 됩니다. 보호된 VM에 대한 VM 템플릿은 특정 설정이 고정되어 있고(2세대 VM, UEFI 및 보안 부팅 사용 등) 다른 템플릿을 사용할 수 없다는 점에서 기존 VM 템플릿과 약간 다릅니다(테넌트 사용자 지정은 VM의 몇 가지 선택 속성으로 제한됨). VM 템플릿을 만들려면 다음 단계를 수행합니다.
In the Library workspace, click Create VM Template on the home tab at the top.
On the Select Source page, click Use an existing VM template or a virtual hard disk stored in the library, and then click Browse.
표시되는 창에서 VMM 라이브러리에서 준비된 템플릿 디스크를 선택합니다. To more easily identify which disks are prepared, right-click a column header and enable the Shielded column. Click OK then Next.
Specify a VM template name and optionally a description, and then click Next.
On the Configure Hardware page, specify the capabilities of VMs created from this template. 하나 이상의 NIC를 사용할 수 있으며 VM 템플릿에서 구성해야 합니다. 테넌트가 보호된 VM에 연결하는 유일한 방법은 원격 데스크톱 연결, Windows 원격 관리 또는 네트워킹 프로토콜을 통해 작동하는 기타 미리 구성된 원격 관리 도구를 사용하는 것입니다.
테넌트 네트워크에서 DHCP 서버를 실행하는 대신 VMM에서 고정 IP 풀을 활용하도록 선택하는 경우 테넌트에게 이 구성에 대해 경고해야 합니다. 테넌트가 무인 설정 파일이 포함된 VMM 보호 데이터 파일을 제공할 때, 고정 IP 풀 정보에 대해 특수 자리 표시자 값을 제공해야 합니다. 테넌트 unattend 파일의 VMM 자리 표시자에 대한 자세한 내용은 응답 파일 만들기를 참조하세요.
운영 체제 구성 페이지에서 VMM은 제품 키, 표준 시간대 및 컴퓨터 이름을 포함하여 보호된 VM에 대한 몇 가지 옵션만 표시합니다. 관리자 암호 및 도메인 이름과 같은 일부 보안 정보는 보호된 데이터 파일(.PDK 파일)을 통해 테넌트에 의해 지정됩니다.
Note
이 페이지에서 제품 키를 지정하도록 선택한 경우 템플릿 디스크의 운영 체제에 대해 유효한지 확인합니다. 잘못된 제품 키를 사용하면 VM를 만들 수 없습니다.
템플릿을 만든 후 테넌트는 템플릿을 사용하여 새 가상 머신을 만들 수 있습니다. You will need to verify that the VM template is one of the resources available to the Tenant Administrator user role (in VMM, user roles are in the Settings workspace).
PowerShell을 사용하여 VHDX 준비 및 보호
As an alternative to running the Template Disk Wizard, you can copy your template disk and certificate to a computer running RSAT and run Protect-TemplateDisk to initiate the signing process.
The following example uses the name and version information specified by the TemplateName and Version parameters.
-Path 매개 변수에 제공하는 VHDX는 업데이트된 템플릿 디스크로 재정의되므로 명령을 실행하기 전에 복사본을 만들어야 합니다.
# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT
Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0
이제 템플릿 디스크를 사용하여 보호된 VM을 프로비저닝할 준비가 되었습니다. System Center Virtual Machine Manager를 사용하여 VM을 배포하는 경우 이제 VHDX를 VMM 라이브러리에 복사할 수 있습니다.
VHDX에서 볼륨 서명 카탈로그를 추출할 수도 있습니다. 이 파일은 서명 인증서, 디스크 이름 및 버전에 대한 정보를 템플릿을 사용하려는 VM 소유자에게 제공하는 데 사용됩니다. 서명 인증서를 소유한 템플릿 작성자인 사용자에게 권한을 부여하려면 이 파일을 Shielding Data File 마법사에 가져와서 이 템플릿 디스크와 향후 템플릿 디스크를 만들 수 있도록 해야 합니다.
볼륨 서명 카탈로그를 추출하려면 PowerShell에서 다음 명령을 실행합니다.
Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'