다음을 통해 공유

Windows 보호 VM 템플릿 디스크 만들기

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2016, Windows Server 2019

일반 VM과 마찬가지로 VM 템플릿(예 : VMM(Virtual Machine Manager)의 VM 템플릿)을 만들어 테넌트 및 관리자가 템플릿 디스크를 사용하여 패브릭에 새 VM을 쉽게 배포할 수 있습니다. 보호된 VM은 보안에 중요한 자산이므로 보호 기능을 지원하는 VM 템플릿을 만드는 추가 단계가 있습니다. 이 항목에서는 VMM에서 보호된 템플릿 디스크 및 VM 템플릿을 만드는 단계를 설명합니다.

이 항목이 보호된 VM을 배포하는 전체 프로세스에 어떻게 적합한지 이해하려면 보호된 호스트 및 보호된 VM에 대한 호스팅 서비스 공급자 구성 단계를 참조 하세요.

운영 체제 VHDX 준비

먼저 보호된 템플릿 디스크 만들기 마법사를 통해 실행할 OS 디스크를 준비합니다. 이 디스크는 테넌트의 VM에서 OS 디스크로 사용됩니다. 기존 도구를 사용하여 Microsoft DISM(데스크톱 이미지 서비스 관리자)과 같은 이 디스크를 만들거나 빈 VHDX를 사용하여 VM을 수동으로 설정하고 해당 디스크에 OS를 설치할 수 있습니다. 디스크를 설정할 때는 2세대 및/또는 보호된 VM과 관련된 다음 요구 사항을 준수해야 합니다.

VHDX 요구 사항 이유
GPT(GUID 파티션 테이블) 디스크여야 합니다. UEFI를 지원하기 위해 2세대 가상 머신에 필요
디스크 유형은 동적이 아닌 기본이어야 합니다.
참고: Hyper-V에서 지원하는 "동적 확장" VHDX 기능이 아닌 논리 디스크 유형을 나타냅니다.		 BitLocker는 동적 디스크를 지원하지 않습니다.
디스크에 두 개 이상의 파티션이 있습니다. 하나의 파티션에는 Windows가 설치된 드라이브가 포함되어야 합니다. BitLocker에서 암호화하는 드라이브입니다. 다른 파티션은 부팅 로더를 포함하고 컴퓨터를 시작할 수 있도록 암호화되지 않은 기본 활성 파티션입니다. BitLocker에 필요
파일 시스템은 NTFS입니다. BitLocker에 필요
VHDX에 설치된 운영 체제는 다음 중 하나입니다.
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 또는 Windows Server 2012
- Windows 10, Windows 8.1, Windows 8		 2세대 가상 머신 및 Microsoft 보안 부팅 템플릿을 지원하는 데 필요
운영 체제를 일반화해야 합니다(sysprep.exe 실행). 템플릿 프로비저닝에는 특정 테넌트의 워크로드에 대한 특수 VM이 포함됩니다.

참고 항목

VMM을 사용하는 경우 이 단계에서 템플릿 디스크를 VMM 라이브러리에 복사하지 마세요.

템플릿 운영 체제에서 Windows 업데이트 실행

템플릿 디스크에서 운영 체제에 최신 Windows 업데이트가 모두 설치되어 있는지 확인합니다. 최근에 릴리스된 업데이트는 템플릿 운영 체제가 최신 상태가 아닌 경우 완료하지 못할 수 있는 프로세스인 엔드 투 엔드 차폐 프로세스의 안정성을 향상시킵니다.

템플릿 디스크 마법사를 사용하여 VHDX 준비 및 보호

보호된 VM이 있는 템플릿 디스크를 사용하려면 보호된 템플릿 디스크 만들기 마법사를 사용하여 BitLocker로 디스크를 준비하고 암호화해야 합니다. 이 마법사는 디스크에 대한 해시를 생성하고 VSC(볼륨 서명 카탈로그)에 추가합니다. VSC는 지정한 인증서를 사용하여 서명되고 테넌트에 배포되는 디스크가 테넌트가 신뢰하지 않는 디스크로 변경되거나 바뀌지 않도록 프로비전 프로세스 중에 사용됩니다. 마지막으로 BitLocker는 VM 프로비전 중에 암호화할 디스크를 준비하기 위해 디스크의 운영 체제에 설치됩니다(아직 없는 경우).

참고 항목

템플릿 디스크 마법사는 현재 위치에서 지정한 템플릿 디스크를 수정합니다. 나중에 디스크를 업데이트하기 위해 마법사를 실행하기 전에 보호되지 않은 VHDX의 복사본을 만들 수 있습니다. 템플릿 디스크 마법사로 보호된 디스크는 수정할 수 없습니다.

Windows Server 2016, Windows 10(원격 서버 관리 도구, RSAT가 설치됨) 이상을 실행하는 컴퓨터에서 다음 단계를 수행합니다(보호된 호스트 또는 VMM 서버일 필요는 없음).

  1. 운영 체제 VHDX 준비에서 만든 일반화된 VHDX 를 서버에 복사합니다(아직 없는 경우).

  2. 서버를 로컬로 관리하려면 서버에 원격 서버 관리istration Tools에서 보호된 VM 도구 기능을 설치합니다.

    Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart

    Windows 10 원격 서버 관리istration Tools를 설치한 클라이언트 컴퓨터에서 서버를 관리할 수도 있습니다.

  3. 보호된 새 VM의 템플릿 디스크가 될 VHDX에 대한 VSC에 서명하는 인증서를 가져오거나 만듭니다. 이 인증서에 대한 세부 정보는 테넌트가 보호 데이터 파일을 만들고 신뢰할 수 있는 디스크에 권한을 부여할 때 표시됩니다. 따라서 사용자와 테넌트가 상호 신뢰하는 인증 기관에서 이 인증서를 가져오는 것이 중요합니다. 호스트 및 테넌트인 엔터프라이즈 시나리오에서는 PKI에서 이 인증서를 발급하는 것을 고려할 수 있습니다.

    테스트 환경을 설정하고 자체 서명된 인증서를 사용하여 템플릿 디스크를 준비하려면 다음과 유사한 명령을 실행합니다.

    New-SelfSignedCertificate -DnsName publisher.fabrikam.com

  4. 시작 메뉴 관리Istrative Tools 폴더에서 또는 TemplateDiskWizard.exe를 명령 프롬프트에 입력하여 템플릿 디스크 마법사를 시작합니다.

  5. 인증서 페이지에서 찾아보기를 클릭하여 인증서 목록을 표시합니다. 디스크 템플릿을 준비할 인증서를 선택합니다. 확인을 클릭하고 다음을 클릭합니다.

  6. 가상 디스크 페이지에서 찾아보기를 클릭하여 준비한 VHDX를 선택한 다음 다음을 클릭합니다.

  7. 서명 카탈로그 페이지에서 친숙한 디스크 이름버전을 제공합니다. 이러한 필드는 디스크가 준비되면 식별하는 데 도움이 됩니다.

    예를 들어 디스크 이름의 경우 WS2016버전 1.0.0.0을 입력할 수 있습니다.

  8. 마법사의 검토 설정 페이지에서 선택 항목을 검토합니다. 생성을 클릭하면 마법사가 템플릿 디스크에서 BitLocker를 사용하도록 설정하고, 디스크의 해시를 계산하고, VHDX 메타데이터에 저장된 볼륨 서명 카탈로그를 만듭니다.

    템플릿 디스크를 탑재하거나 이동하기 전에 준비 프로세스가 완료될 때까지 기다립니다. 디스크 크기에 따라 이 프로세스를 완료하는 데 시간이 걸릴 수 있습니다.

    Important

    템플릿 디스크는 보호된 보안 VM 프로비전 프로세스에서만 사용할 수 있습니다. 템플릿 디스크를 사용하여 일반(선택 해제) VM을 부팅하려고 하면 중지 오류(파란색 화면)가 발생할 수 있으며 지원되지 않습니다.

  9. 요약 페이지에서 디스크 템플릿에 대한 정보, VSC에 서명하는 데 사용되는 인증서 및 인증서 발급자 정보가 표시됩니다. 닫기를 클릭하여 마법사를 종료합니다.

VMM을 사용하는 경우 이 항목의 다시 기본 섹션의 단계에 따라 템플릿 디스크를 VMM의 보호된 VM 템플릿에 통합합니다.

템플릿 디스크를 VMM 라이브러리에 복사

VMM을 사용하는 경우 템플릿 디스크를 만든 후 호스트가 새 VM을 프로비전할 때 디스크를 다운로드하고 사용할 수 있도록 VMM 라이브러리 공유에 복사해야 합니다. 다음 절차에 따라 템플릿 디스크를 VMM 라이브러리에 복사한 다음 라이브러리를 새로 고칩니다.

  1. VHDX 파일을 VMM 라이브러리 공유 폴더에 복사합니다. 기본 VMM 구성을 사용한 경우 템플릿 디스크를 \<\vmmserver>\MSSCVMMLibrary\VHD에 복사합니다.

  2. 라이브러리 서버를 새로 고칩니다. 라이브러리 작업 영역을 열고, 라이브러리 서버를 확장하고, 새로 고칠 라이브러리 서버를 마우스 오른쪽 단추로 클릭한 다음 새로 고침을 클릭합니다.

  3. 다음으로, 템플릿 디스크에 설치된 운영 체제에 대한 정보를 VMM에 제공합니다.

    a. 라이브러리 작업 영역의 라이브러리 서버에서 새로 가져온 템플릿 디스크를 찾습니다.

    b. 디스크를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

    c. 운영 체제의 경우 목록을 확장하고 디스크에 설치된 운영 체제를 선택합니다. 운영 체제를 선택하면 VHDX가 비어 있지 않음을 VMM에 나타냅니다.

    d. 속성을 업데이트한 경우 확인을 클릭합니다.

디스크 이름 옆에 있는 작은 방패 아이콘은 디스크를 보호된 VM에 대해 준비된 템플릿 디스크로 나타냅니다. 열 머리글을 마우스 오른쪽 단추로 클릭하고 보호된 열을 토글하여 디스크가 일반 또는 보호된 VM 배포용인지 여부를 나타내는 텍스트 표현을 볼 수도 있습니다.

Shielded vm template disk

준비된 템플릿 디스크를 사용하여 VMM에서 보호된 VM 템플릿 만들기

VMM 라이브러리에 준비된 템플릿 디스크를 사용하면 보호된 VM에 대한 VM 템플릿을 만들 준비가 됩니다. 보호된 VM에 대한 VM 템플릿은 특정 설정이 고정되어 있고(2세대 VM, UEFI 및 보안 부팅 사용 등) 다른 템플릿을 사용할 수 없다는 점에서 기존 VM 템플릿과 약간 다릅니다(테넌트 사용자 지정은 VM의 몇 가지 선택 속성으로 제한됨). VM 템플릿을 만들려면 다음 단계를 수행합니다.

  1. 라이브러리 작업 영역에서 위쪽의 홈 탭에서 VM 템플릿 만들기를 클릭합니다.

  2. 원본 선택 페이지에서 라이브러리에 보관된 기존 VM 템플릿 또는 가상 하드 디스크 사용을 클릭한 후 찾아보기를 클릭합니다.

  3. 표시되는 창에서 VMM 라이브러리에서 준비된 템플릿 디스크를 선택합니다. 준비된 디스크를 보다 쉽게 식별하려면 열 머리글을 마우스 오른쪽 단추로 클릭하고 보호된 열을 사용하도록 설정합니다. [확인], [다음]을 차례로 클릭합니다.

  4. VM 템플릿 이름 및 선택적으로 설명을 지정하고 다음을 클릭합니다.

  5. 하드웨어 구성 페이지에서 이 템플릿에서 만든 VM의 기능을 지정합니다. VM 템플릿에서 하나 이상의 NIC를 사용할 수 있고 구성해야 합니다. 테넌트가 보호된 VM에 연결하는 유일한 방법은 원격 데스크톱 커넥트ion, Windows 원격 관리 또는 네트워킹 프로토콜을 통해 작동하는 기타 미리 구성된 원격 관리 도구를 사용하는 것입니다.

    테넌트 네트워크에서 DHCP 서버를 실행하는 대신 VMM에서 고정 IP 풀을 활용하도록 선택하는 경우 테넌트에게 이 구성에 대해 경고해야 합니다. 테넌트가 VMM에 대한 무인 파일을 포함하는 보호 데이터 파일을 제공하는 경우 고정 IP 풀 정보에 대한 특수 자리 표시자 값을 제공해야 합니다. 테넌트 무인 파일의 VMM 자리 표시자에 대한 자세한 내용은 응답 파일 만들기를 참조하세요.

  6. 운영 체제 구성 페이지에서 VMM은 제품 키, 표준 시간대 및 컴퓨터 이름을 포함하여 보호된 VM에 대한 몇 가지 옵션만 표시합니다. 관리자 암호 및 do기본 이름과 같은 일부 보안 정보는 보호 데이터 파일()을 통해 테넌트에 의해 지정됩니다. PDK 파일).

    참고 항목

    이 페이지에서 제품 키를 지정하도록 선택한 경우 템플릿 디스크의 운영 체제에 대해 유효한지 확인합니다. 잘못된 제품 키를 사용하면 VM 만들기가 실패합니다.

템플릿을 만든 후 테넌트는 템플릿을 사용하여 새 가상 머신을 만들 수 있습니다. VM 템플릿이 테넌트 관리이스트레이터 사용자 역할에서 사용할 수 있는 리소스 중 하나인지 확인해야 합니다(VMM에서는 사용자 역할이 설정 작업 영역에 있음).

PowerShell을 사용하여 VHDX 준비 및 보호

템플릿 디스크 마법사를 실행하는 대신 템플릿 디스크와 인증서를 RSAT를 실행하는 컴퓨터에 복사하고 Protect-TemplateDisk를 실행하여 서명 프로세스를 시작할 수 있습니다. 다음 예제에서는 TemplateName 및 버전 매개 변수에 지정된 이름 및 버전 정보를 사용합니다. 매개 변수에 -Path 제공하는 VHDX는 업데이트된 템플릿 디스크로 덮어쓰여지므로 명령을 실행하기 전에 복사본을 만들어야 합니다.

# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT

Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0

이제 템플릿 디스크를 사용하여 보호된 VM을 프로비전할 준비가 되었습니다. System Center Virtual Machine Manager를 사용하여 VM을 배포하는 경우 이제 VHDX를 VMM 라이브러리에 복사할 수 있습니다.

VHDX에서 볼륨 서명 카탈로그를 추출할 수도 있습니다. 이 파일은 서명 인증서, 디스크 이름 및 버전에 대한 정보를 템플릿을 사용하려는 VM 소유자에게 제공하는 데 사용됩니다. 서명 인증서를 소유한 템플릿 작성자인 사용자에게 권한을 부여하려면 이 파일을 데이터 파일 보호 마법사로 가져와서 이 디스크와 향후 템플릿 디스크를 만들어야 합니다.

볼륨 서명 카탈로그를 추출하려면 PowerShell에서 다음 명령을 실행합니다.

Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'

다음 단계

보호 데이터 파일 만들기

추가 참조