vSphere 7.0 업데이트 2 이상에서 ESXi 호스트는 TPM을 사용하여 PCR(플랫폼 구성 레지스터) 정책에 따라 호스트의 구성을 봉인합니다. UEFI 보안 부팅 및 기타 설정을 적용하도록 PCR 정책을 구성할 수 있습니다.
TPM은 PCR(플랫폼 구성 레지스터) 측정을 사용하여 중요 데이터에 대한 무단 액세스를 제한하는 정책을 구현할 수 있습니다. TPM이 있는 ESXi 호스트를 vSphere 7.0 업데이트 2 이상으로 업그레이드하거나 설치하는 경우 TPM은 보안 부팅 설정을 통합하는 정책을 사용하여 중요 정보를 봉인합니다. 이 정책은 데이터가 TPM으로 처음 봉인되었을 때 보안 부팅을 사용한 경우 후속 부팅에서 데이터의 봉인을 해제하려고 시도할 때 보안 부팅을 계속 사용하도록 설정해야 할지 확인합니다.
보안 부팅은 UEFI 펌웨어 표준의 일부입니다. UEFI 보안 부팅을 사용하도록 설정하는 경우 운영 체제 부팅 로더에 유효한 디지털 서명이 있는 경우가 아니면 호스트가 모든 UEFI 드라이버 또는 애플리케이션의 로드를 거부합니다.
UEFI 보안 부팅 적용을 사용 또는 사용하지 않도록 선택할 수 있습니다. 보안 ESXi 구성에 대한 보안 부팅 적용 사용 또는 사용 안 함의 내용을 참조하십시오.
esxcli system settings encryption set --mode=TPMTPM을 활성화한 후에는 설정을 실행 취소할 수 없습니다.
esxcli system settings encryption set
명령이 실패합니다.
- vSphere 7.0 업데이트 2: NTZ(NationZ), IFX(Infineon Technologies)의 TPM 및 NTC(Nuvoton Technologies Corporation)의 특정 새 모델(예: NPCT75x)
- vSphere 7.0 업데이트 3: NTZ(NationZ)의 TPM
vSphere 7.0 업데이트 2 이상의 설치 또는 업그레이드 시 처음 부팅하는 동안 TPM을 사용할 수 없으면 설치 또는 업그레이드가 계속되고 모드의 기본값은 NONE으로 설정됩니다(즉, --mode=NONE
). 결과 동작은 TPM이 활성화되지 않은 것과 같습니다.
또한 TPM은 봉인 정책에서 execInstalledOnly 부팅 옵션에 대한 설정을 적용할 수도 있습니다. execInstalledOnly 적용은 VMkernel이 VIB의 일부로 제대로 패키지되고 서명된 바이너리만 실행하도록 보장하는 고급 ESXi부팅 옵션입니다. execInstalledOnly 부팅 옵션은 보안 부팅 옵션에 종속됩니다. 봉인 정책에서 execInstalledOnly 부팅 옵션을 적용하려면 먼저 보안 부팅 적용을 사용하도록 설정해야 합니다. 보안 ESXi 구성에 대한 execInstalledOnly 적용 사용 또는 사용 안 함의 내용을 참조하십시오.