VMM 패브릭에서 보호된 가상 컴퓨터 프로비전

이 문서에서는 System Center - VMM(Virtual Machine Manager) 컴퓨팅 패브릭에 보호된 가상 머신을 배포하는 방법을 설명합니다.

여러 가지 방법으로 VMM에서 보호된 VM을 배포할 수 있습니다.

• 기존 VM을 보호된 VM으로 변환합니다.
• 서명된 VHDX(가상 머신 하드 디스크) 및 선택적으로 VM 템플릿을 사용하여 보호된 새 VM을 만듭니다.

참고

부하 분산 장치 또는 WAN 최적화 디바이스를 사용하여 네트워크를 통해 보호된 가상 머신을 배포하는 데 문제가 발생할 수 있습니다. 보호된 VM이 성공적으로 배포되려면 전송 중에 패킷을 수정하지 않는 것이 필요합니다.

시작하기 전에

VMM에서 보호된 VM을 프로비전하는 방법에 대한 간략한 개요를 제공하는 비디오(2분)를 시청합니다. 그런 다음, 다음을 수행했는지 확인합니다.

1. HGS 서버 준비: HGS 서버를 배포해야 합니다. 자세히 알아봅니다.

2. VMM 설정: VMM에서 전역 HGS 설정을 구성하고 하나 이상의 보호된 호스트를 설정해야 합니다. 보호된 호스트가 클라우드에 속한 경우 클라우드가 보호된 VM을 지원하도록 설정되어야 합니다. 자세히 알아봅니다.

3. 보호된 VHDX 및 VM 템플릿 준비: 보호된 VHDX(가상 하드 디스크)에서 보호된 VM을 배포하고 필요에 따라 VM 템플릿을 사용해야 합니다. 이를 준비하는 방법에 대해 자세히 알아봅니다.

   참고

   서비스 템플릿을 사용하여 보호된 VM을 만들 수는 없습니다. 대신 스크립트를 사용하세요.

4. 보호 데이터 파일 준비: VMM 라이브러리에서 서명된 템플릿 디스크를 사용하려면 테넌트에서 하나 이상의 보호 데이터 파일을 준비해야 합니다. 이 파일에는 VM, 인증서 및 관리자 계정 암호를 특수화하기 위해 사용되는 무인 파일을 포함하여 테넌트가 VM을 배포하는 데 필요한 모든 비밀이 포함되어 있습니다. 또한 이 파일은 테넌트에서 해당 VM을 호스트하기 위해 신뢰하는 보호된 패브릭 및 서명된 템플릿 디스크에 대한 정보를 지정합니다. 이 파일은 암호화되며, 테넌트에 의해 트러스트된 보호된 패브릭의 호스트에서만 읽을 수 있습니다. 자세히 알아봅니다.

5. 호스트 그룹 설정: 간편한 관리를 위해 보호된 호스트를 전용 VMM 호스트 그룹에 배치하는 것이 좋습니다.

6. 기존 VM 요구 사항 확인: 기존 VM을 보호된 VM으로 변환하려면 다음 사항에 유의하세요.

   • VM은 2세대여야 하며 Microsoft Windows 보안 부팅 템플릿을 사용하도록 설정해야 합니다.
   • 디스크의 운영 체제는 다음 중 하나여야 합니다.
     • Windows Server 2022, Windows Server 2019, Windows Server 2016
     • Windows 11, Windows 10
   • VM의 OS 디스크는 GUID 파티션 테이블을 사용해야 합니다. 이는 2세대 VM에서 UEFI를 지원하는 데 필요합니다.

7. 도우미 VHD 설정: 호스팅 서비스 공급자는 기존 컴퓨터를 변환하기 위한 도우미 VHD 역할을 하는 VM을 만들어야 합니다. 자세히 알아봅니다.

보호 데이터 파일을 VMM에 추가

기존 VM을 보호된 VM으로 변환하거나 템플릿에서 새 보호된 VM을 프로비전하는 경우 VM 소유자는 보호 데이터 파일을 생성하고 이를 VMM에 추가해야 합니다.

보호 데이터 파일을 아직 가져오지 않은 경우 다음 단계를 완료합니다.

1. 아직 없는 경우 보호 데이터 파일을 만듭니다. 보호 데이터 파일이 보호된 VM을 실행하기 위해 VMM이 관리하는 호스팅 패브릭에 권한을 부여해야 합니다.
2. VMM 콘솔에서 라이브러리>보호 데이터>가져오기 찾아보기를 선택하고 보호 데이터 파일을 선택합니다.
3. 이름에서 보호 데이터 파일의 이름을 지정하고 원하는 경우 설명을 추가합니다. 다시 쉽게 찾을 수 있도록 보호 데이터 파일이 이름에 있는 기존 또는 새 VM과 함께 사용할 것인지 여부를 나타내는 것이 좋습니다.
4. 가져오기를 선택하여 보호 데이터를 VMM에 저장합니다.

가져온 보호 데이터 파일을 관리하려면 라이브러리VM 보호 데이터(“프로필” 아래)로 이동합니다.

새 보호된 VM 프로비전

1. 시작하기 전에 모든 필수 구성 요소가 있는지 확인합니다.
2. VM 및 서비스에서Virtual Machine 만들기를 선택하여 가상 머신 만들기 마법사를 엽니다.
3. 원본 선택에서 기존 가상 머신, VM 템플릿 또는 가상 하드 디스크>찾아보기 사용을 선택합니다.
4. 보호된 VM 템플릿 또는 서명된 템플릿 디스크를 선택합니다. 둘 다 에서 방패 아이콘 이미지로 식별됩니다.
5. 보호 데이터 파일 선택에서 찾아보기를 선택하고 보호 데이터 파일을 선택합니다. 새 보호된 VM을 만드는 데 사용할 수 있는 보호 데이터 파일만 표시됩니다. 확인을>다음으로 선택하여 계속합니다.
6. 이러한 지침에 따라 마법사를 완료하고 호스트/클라우드에 VM을 배포합니다.

마법사를 완료하면 VMM이 디스크 또는 템플릿에서 새 보호된 VM을 만듭니다.

1. VMM 라이브러리에서 템플릿 디스크(VHDX) 파일이 복사됩니다.
2. VM 프로비전 작업에서는 보호 데이터 파일의 데이터에 대한 암호를 해독하고, unattend.xml 파일에서 모든 대체 문자열을 작성하며, 보호 데이터 파일에서 운영 체제 드라이브로 추가 파일(예: RDP 인증서)을 복사합니다.
3. VM이 다시 시작되고, 사용자 지정되며, BitLocker로 다시 암호화됩니다. BitLocker 전체 볼륨 암호화 키는 새 VM의 가상 TPM에 저장됩니다.
4. unattend.xml 파일의 종료 명령이 실행되면 VM 사용자 지정이 완료됩니다. VM은 계속 꺼져 있습니다. 사용자 지정이 중지되면 보호되지 않는 VM에서 unattend.xml 파일을 실행하거나 콘솔 액세스를 허용하는 암호화 지원 보호 데이터 파일을 사용하여 이 파일을 확인합니다.
5. VMM은 특수화가 종료되었음을 감지하면 VM이 생성되었음을 나타내는 상태로 업데이트되고 선택된 경우 VM을 시작합니다.

기존 VM 보호

보호되지 않는 VMM 패브릭의 호스트에서 현재 실행 중인 VM에 대한 보호를 설정할 수 있습니다.

1. 시작하기 전에 모든 필수 구성 요소가 있는지 확인합니다.
2. VM을 오프라인으로 전환합니다.
3. 보호된 호스트로 이동하기 전에 VM에 연결된 모든 디스크에서 BitLocker를 사용하도록 설정하는 것이 좋습니다.
4. VM >>>>를 선택한 다음 보호 데이터 파일을 선택합니다.
5. VM을 종료하고 보호되지 않는 호스트에서 내보낸 다음 보호된 호스트로 가져옵니다. 보호된 호스트에서만 VM 데이터에 액세스할 수 있습니다.

다음 단계

VM에 대한 성능 및 가용성 설정을 구성하는 방법을 알아보려면 가상 머신 설정 관리를 검토하세요.