보안 ESXi 구성에 대한 보안 부팅 적용 사용 또는 사용 안 함

UEFI 보안 부팅 적용을 사용하도록 설정하거나 이전에 사용하도록 설정된 UEFI 보안 부팅 적용을 사용하지 않도록 설정하도록 선택할 수 있습니다. ESXi 호스트에서 TPM의 설정을 변경하려면 ESXCLI를 사용해야 합니다.

이 작업은 TPM이 있는 ESXi 호스트에만 적용됩니다. UEFI 보안 부팅은 펌웨어에서 시작된 소프트웨어를 신뢰할 수 있도록 하는 펌웨어 설정입니다. TPM을 사용하여 부팅할 때마다 UEFI 보안 부팅의 사용 설정을 적용할 수 있습니다.

사전 요구 사항

ESXCLI 명령 집합에 대한 액세스 권한. ESXCLI 명령을 원격으로 실행하거나 ESXi 셸에서 실행할 수 있습니다.
ESXCLI 독립형 버전 또는 PowerCLI를 사용하는 데 필요한 권한: 호스트.구성.설정

프로시저

ESXi 호스트의 현재 설정을 나열합니다.
```
esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true
```
보안 부팅 적용을 사용하도록 설정하면 [보안 부팅 필요]가 true로 표시됩니다. 보안 부팅 적용을 사용하지 않도록 설정하면 [보안 부팅 필요]가 false로 표시됩니다.
모드가 [없음]으로 표시되면 호스트의 펌웨어에서 TPM을 사용하도록 설정하고 다음 명령을 실행하여 모드를 설정해야 합니다.
```
esxcli system settings encryption set --mode=TPM
```

보안 부팅 적용을 사용하거나 사용하지 않도록 설정합니다.

옵션	설명
사용	호스트를 정상적으로 종료합니다. 예를 들어 vSphere Client에서 ESXi 호스트를 마우스 오른쪽 버튼으로 클릭하고 전원 > 종료를 선택합니다. 호스트의 펌웨어에서 보안 부팅을 사용하도록 설정합니다. 자세한 벤더 하드웨어 설명서를 참조하십시오. 호스트를 다시 시작합니다. 다음 ESXCLI 명령을 실행합니다. esxcli system settings encryption set --require-secure-boot=T 변경 내용을 확인합니다. esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: true [보안 부팅 필요]가 true로 표시되는지 확인합니다. 설정을 저장하려면 다음 명령을 실행합니다. /sbin/auto-backup.sh
사용 안 함	다음 ESXCLI 명령을 실행합니다. esxcli system settings encryption set --require-secure-boot=F 변경 내용을 확인합니다. esxcli system settings encryption get Mode: TPM Require Executables Only From Installed VIBs: false Require Secure Boot: false [보안 부팅 필요]가 false로 표시되는지 확인합니다. 설정을 저장하려면 다음 명령을 실행합니다. /sbin/auto-backup.sh 호스트의 펌웨어에서 보안 부팅을 사용하지 않도록 설정할 수 있지만 이때, 펌웨어 설정과 TPM 적용 간의 종속성은 더 이상 설정되지 않습니다.

옵션

설명

사용

호스트를 정상적으로 종료합니다.
예를 들어 vSphere Client에서 ESXi 호스트를 마우스 오른쪽 버튼으로 클릭하고 전원 > 종료를 선택합니다.
호스트의 펌웨어에서 보안 부팅을 사용하도록 설정합니다.
자세한 벤더 하드웨어 설명서를 참조하십시오.
호스트를 다시 시작합니다.

다음 ESXCLI 명령을 실행합니다.

esxcli system settings encryption set --require-secure-boot=T

변경 내용을 확인합니다.

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: true

[보안 부팅 필요]가 true로 표시되는지 확인합니다.

설정을 저장하려면 다음 명령을 실행합니다.
```
/sbin/auto-backup.sh
```

사용 안 함

다음 ESXCLI 명령을 실행합니다.

esxcli system settings encryption set --require-secure-boot=F

변경 내용을 확인합니다.

esxcli system settings encryption get
   Mode: TPM
   Require Executables Only From Installed VIBs: false
   Require Secure Boot: false

[보안 부팅 필요]가 false로 표시되는지 확인합니다.

설정을 저장하려면 다음 명령을 실행합니다.
```
/sbin/auto-backup.sh
```
호스트의 펌웨어에서 보안 부팅을 사용하지 않도록 설정할 수 있지만 이때, 펌웨어 설정과 TPM 적용 간의 종속성은 더 이상 설정되지 않습니다.

결과

선택 항목에 따라 ESXi 호스트가 보안 부팅 적용이 사용되거나 사용되지 않도록 설정된 상태로 실행됩니다.

참고:

vSphere 7.0 업데이트 2 이상으로 업그레이드하거나 설치할 때 TPM을 활성화하지 않으면 나중에 다음 명령을 사용하여 활성화할 수 있습니다.

esxcli system settings encryption set --mode=TPM

TPM을 활성화한 후에는 설정을 실행 취소할 수 없습니다.

호스트에 대해 TPM을 사용하도록 설정한 경우에도 일부 TPM에서 esxcli system settings encryption set 명령이 실패합니다.

vSphere 7.0 업데이트 2: NTZ(NationZ), IFX(Infineon Technologies)의 TPM 및 NTC(Nuvoton Technologies Corporation)의 특정 새 모델(예: NPCT75x)
vSphere 7.0 업데이트 3: NTZ(NationZ)의 TPM

vSphere 7.0 업데이트 2 이상의 설치 또는 업그레이드 시 처음 부팅하는 동안 TPM을 사용할 수 없으면 설치 또는 업그레이드가 계속되고 모드의 기본값은 NONE으로 설정됩니다(즉, --mode=NONE). 결과 동작은 TPM이 활성화되지 않은 것과 같습니다.