VMM에서 보호된 호스트 프로비전

중요

이 버전의 VMM(Virtual Machine Manager)은 지원이 종료되었습니다. VMM 2022로 업그레이드하는 것이 좋습니다.

이 문서에서는 System Center - VMM(Virtual Machine Manager) 컴퓨팅 패브릭에 Hyper-V 호스트를 배포하는 방법을 설명합니다. 보호된 패브릭에 대해 자세히 알아보세요.

VMM 패브릭에서 보호된 Hyper-V 호스트를 설정하는 몇 가지 방법이 있습니다.

• 기존 호스트를 보호된 호스트로 구성: 보호된 VM을 실행하도록 기존 호스트를 구성할 수 있습니다.
• 새 보호된 호스트 추가 또는 프로비전: 이 호스트는 다음과 같을 수 있습니다.
  • 기존 Windows Server 컴퓨터(Hyper-V 역할 포함 또는 제외)
  • 운영 체제 미설치 컴퓨터

다음과 같이 VMM 패브릭에서 보호된 호스트를 설정합니다.

1. 전역 HGS 설정 구성: VMM은 호스트 간에 보호된 VM을 성공적으로 마이그레이션할 수 있도록 보호된 모든 호스트를 동일한 HGS 서버에 연결합니다. 보호된 모든 호스트에 적용되는 전역 HGS 설정을 지정하고 전역 설정을 재정의하는 호스트별 설정을 지정할 수 있습니다. 설정은 다음과 같습니다.

   • 증명 URL: 호스트가 HGS 증명 서비스에 연결하는 데 사용하는 URL입니다. 이 서비스는 호스트가 보호된 VM을 실행할 수 있도록 인증합니다.
   • 키 보호 서버 URL: 호스트가 VM 암호 해독에 필요한 키를 검색하는 데 사용하는 URL입니다. 키를 검색하려면 호스트가 증명을 전달해야 합니다.
   • 코드 무결성 정책: 코드 무결성 정책은 보호된 호스트에서 실행할 수 있는 소프트웨어를 제한합니다. HGS가 TPM 증명을 사용하도록 구성된 경우 보호된 호스트는 HGS 서버에 의해 인증된 코드 무결성 정책을 사용하도록 구성되어야 합니다. VMM에서 코드 무결성 정책의 위치를 지정하고 이를 호스트에 배포할 수 있습니다. 이는 선택 사항이며 보호된 패브릭을 관리할 필요가 없습니다.
   • VM 보호 도우미 VHD: 기존 VM을 보호된 VM으로 변환하는 데 사용되는 특별히 준비된 가상 하드 디스크입니다. 기존 VM을 보호하려면 이 설정을 구성해야 합니다.

2. 클라우드 구성: 보호된 호스트를 VMM 클라우드에 포함하는 경우 클라우드에서 보호된 VM을 지원할 수 있도록 설정해야 합니다.

시작하기 전에

계속하기 전에 호스트 보호 서비스를 배포하고 구성했는지 확인합니다. Windows Server 설명서에서 HGS 구성에 대해 자세히 알아보세요.

또한 보호된 호스트가 될 호스트가 보호된 호스트 필수 구성 요소를 충족하는지 확인합니다.

• 운영 체제: 호스트 서버에서 Windows Server Datacenter를 실행해야 합니다. 보호된 호스트에 Server Core를 사용하는 것이 좋습니다.
• 역할 및 기능: 호스트 서버에서 Hyper-V 역할 및 호스트 보호 Hyper-V 지원 기능을 실행해야 합니다. 호스트 보호 Hyper-V 지원을 사용하면 호스트가 HGS와 통신하여 상태를 증명하고 보호된 VM에 대한 키를 요청할 수 있습니다. 호스트에서 Nano Server를 실행 중인 경우 Compute, SCVMM-Package, SCVMM-Compute, SecureStartup 및 ShieldedVM 패키지가 설치되어 있어야 합니다.
• TPM 증명: HGS가 TPM 증명을 사용하도록 구성된 경우 호스트 서버는 다음 조건을 충족해야 합니다.
  • UEFI 2.3.1c 및 TPM 2.0 모듈 사용
  • UEFI 모드에서(BIOS 또는 "레거시" 모드가 아니라) 부팅
  • 보안 부팅 사용
• HGS 등록: Hyper-V 호스트를 HGS에 등록해야 합니다. 등록 방법은 HGS가 AD 또는 TPM 증명을 사용하는지 여부에 따라 달라집니다. 자세한 정보
• 실시간 마이그레이션: 보호된 VM의 실시간 마이그레이션을 수행하려는 경우 둘 이상의 보호된 호스트를 배포해야 합니다.
• 도메인: 보호된 호스트 및 VMM 서버는 동일한 도메인 또는 양방향 트러스트가 있는 도메인에 있어야 합니다.

전역 HGS 설정 구성

보호된 호스트를 VMM 컴퓨팅 패브릭에 추가하려면 먼저 패브릭에 대한 HGS(호스트 보호 서비스)에 대한 정보를 사용하여 VMM을 구성해야 합니다. VMM으로 관리하는 모든 보호된 호스트에 동일한 HGS를 사용합니다.

1. 패브릭에 대한 증명 및 키 보호 URL을 HGS 관리자에게서 받습니다.

2. VMM 콘솔에서 설정>호스트 보호 서비스 설정을 선택합니다.

3. 증명 및 키 보호 URL을 각 필드에 입력합니다. 현재 코드 무결성 정책 및 VM 보호 도우미 VHD 섹션을 구성할 필요가 없습니다.
   
   

4. 마침을 선택하여 구성을 저장합니다.

새 보호된 호스트 추가 또는 프로비전

1. 호스트 추가:
   • Windows Server를 실행하는 기존 서버를 보호된 Hyper-V 호스트로 추가하려면 해당 서버를 패브릭에 추가합니다.
   • 운영 체제 미설치 컴퓨터에서 Hyper-V 호스트를 프로비전하려는 경우 이러한 사전 요구 사항 및 지침을 따릅니다.

     참고

     호스트를 프로비전할 때 보호된 호스트로 배포할 수 있습니다(리소스 추가 마법사 >OS 설정>보호된 호스트로 구성).

2. 다음 섹션으로 진행하여 호스트를 보호된 호스트로 구성합니다.

기존 호스트를 보호된 호스트로 구성합니다.

VMM으로 관리되는 기존 Hyper-V 호스트를 보호된 호스트로 구성하려면 다음 단계를 완료하세요.

1. 호스트를 유지 관리 모드로 전환합니다.

2. 모든 호스트에서 호스트를 마우스 오른쪽 단추로 클릭하고 속성호스트 보호 서비스를 클릭합니다.

   

3. 호스트 보호 Hyper-V 지원 구성을 사용하도록 설정하고 호스트를 구성합니다.

   참고

   • 전역 증명 및 키 보호 서버 URL이 호스트에서 설정됩니다.
   • VMM 콘솔 외부에서 이러한 URL을 수정하는 경우 VMM에서도 업데이트해야 합니다. 그렇지 않은 경우 VMM은 URL이 다시 일치할 때까지 보호된 VM을 호스트에 배치하지 않습니다. "사용" 상자의 선택을 취소하고 다시 검사 VMM에 구성된 URL을 사용하여 호스트를 다시 구성할 수도 있습니다.

4. VMM을 사용하여 코드 무결성 정책을 관리하는 경우 두 번째 확인란을 선택하고 시스템에 적절한 정책을 설정할 수 있습니다.

5. 확인을 선택하여 호스트의 구성을 업데이트합니다.

6. 호스트의 유지 관리 모드를 중지합니다.

VMM은 호스트를 추가할 때와 호스트 상태 새로 고칠 때마다 호스트가 증명을 통과하는지 확인합니다. VMM은 증명을 전달한 호스트에만 보호된 VM을 배포하고 마이그레이션합니다. 속성상태HGS 클라이언트 전체에서 호스트의 증명 상태를 확인할 수 있습니다.

VMM 클라우드에서 보호된 호스트 사용

클라우드에서 보호된 호스트를 지원할 수 있도록 설정합니다.

1. VMM 콘솔에서 VM 및 서비스 클라우드를> 선택합니다. 클라우드 이름을 마우스 오른쪽 단추로 클릭하고 >을 클릭합니다.
2. 일반보호된 VM 지원에서 이 프라이빗 클라우드에서 지원됨을 선택합니다.

VMM으로 코드 무결성 정책 관리 및 배포

TPM 증명을 사용하도록 구성된 보호된 패브릭에서는 호스트 보호 서비스가 신뢰하는 코드 무결성 정책을 사용하여 각 호스트를 구성해야 합니다. 코드 무결성 정책의 관리를 용이하게 하려면 VMM을 사용하여 새 정책 또는 업데이트된 정책을 보호된 호스트에 배포할 수도 있습니다.

코드 무결성 정책을 VMM에서 관리되는 보호 된 호스트에 배포하려면 다음 단계를 수행하세요.

1. 환경의 각 참조 호스트에 대한 코드 무결성 정책을 만듭니다. 보호된 호스트의 고유한 하드웨어 및 소프트웨어 구성마다 다른 CI 정책이 필요합니다.
2. CI 정책을 보안이 적용된 파일 공유에 저장합니다. 보호된 각 호스트에 대한 컴퓨터 계정에는 공유에 대한 읽기 액세스 권한이 있어야 합니다. 신뢰할 수 있는 관리자만 쓰기 액세스 권한을 가져야 합니다.
3. VMM 콘솔에서 설정>호스트 보호 서비스 설정을 선택합니다.
4. 코드 무결성 정책 섹션에서 추가 를 선택하고 CI 정책의 이름 및 경로를 지정합니다. 각각의 고유 CI 정책에 대해 이 단계를 반복합니다. 어떤 호스트에 적용해야 하는지 식별하는 데 도움이 되는 방식으로 정책의 이름을 지정해야 합니다.
5. 마침을 선택하여 구성을 저장합니다.

이제 보호된 각 호스트에 대해 다음 단계를 완료하여 코드 무결성 정책을 적용합니다.

1. 호스트를 유지 관리 모드로 전환합니다.

2. 모든 호스트에서 호스트를 마우스 오른쪽 단추로 클릭하고 속성호스트 보호 서비스를 클릭합니다.

   

3. 이 항목을 선택하여 호스트를 코드 무결성 정책으로 구성하는 옵션을 선택한 다음 시스템에 적절한 정책을 선택합니다.

4. 확인을 선택하여 구성 변경을 적용합니다. 새 정책을 적용하기 위해 호스트가 다시 시작될 수 있습니다.

5. 호스트의 유지 관리 모드를 중지합니다.

경고

호스트에 대한 올바른 코드 무결성 정책을 선택해야 합니다. 호환되지 않는 정책을 호스트에 적용하는 경우 일부 애플리케이션, 드라이버 또는 운영 체제 구성 요소가 더 이상 작동하지 않을 수 있습니다.

파일 공유에서 코드 무결성 정책을 업데이트하고 보호된 호스트도 업데이트하려는 경우 다음 단계를 수행하세요.

1. 호스트를 유지 관리 모드로 전환합니다.
2. 모든 호스트에서 호스트를 마우스 오른쪽 단추로 클릭하고 최신 코드 무결성 정책 적용을 선택합니다.
3. 호스트의 유지 관리 모드를 중지합니다.

다음 단계

• 보호된 템플릿 디스크, 유틸리티 디스크 및 VM 템플릿을 설정합니다.