호스트 암호화 모드는 암호화 작업을 수행할 때 사용자가 암호화 모드를 사용할 권한이 충분하다면 자동으로 사용되도록 설정됩니다. 호스트 암호화 모드가 사용하도록 설정된 후에는 중요한 정보가 지원 담당자에게 노출되지 않도록 모든 코어 덤프가 암호화됩니다. ESXi 호스트에서 가상 시스템 암호화를 더 이상 사용하지 않는 경우에는 암호화 모드를 사용하지 않도록 설정할 수 있습니다.

ESXi 호스트에 대해 암호화 모드가 사용되도록 설정한 후 사용되지 않도록 설정해야 할 수도 있습니다. 예를 들어 ESXi 지원 번들을 생성하기 위해 암호화 모드가 사용되지 않도록 설정해야 할 수 있습니다(vm-support 명령 사용). 호스트에 키 자료가 있는 경우 [호스트 암호화 모드 사용 안 함] 토글(호스트 > 구성 > 보안 프로파일 > 호스트 암호화 모드 편집)을 사용하면 작동하지 않습니다.

API를 사용하여 CryptoManagerHostDisable API 메서드를 호출하여 호스트 암호화 모드가 사용되지 않도록 설정할 수 있습니다.

ESXi 호스트에 대해 정의된 암호화 모드 또는 상태는 다음과 같습니다.

  • pendingIncapable: 호스트에 암호화가 사용되지 않도록 설정되어 있습니다. 즉, 호스트가 vSphere 가상 시스템 암호화 작업을 수행할 수 없습니다.
  • incapable: 호스트가 중요한 자료를 수신하기에 안전하지 않습니다.
  • prepared: 호스트가 중요한 자료를 수신할 준비가 되었지만 호스트 키가 아직 설정되어 있지 않습니다.
  • safe: 호스트가 암호화 보안 상태이고(사용하도록 설정됨) 호스트 키가 설정되어 있습니다. 즉, vSphere 가상 시스템 암호화 작업이 가능합니다.

호스트에서 CryptoManagerHostDisable을 호출하면 호스트의 암호화 상태가 다음과 같이 변경됩니다.

  • 원래 호스트 암호화 상태가 incapable 또는 prepared이면 호스트 암호화 상태가 incapable로 변경됩니다.
  • 원래 호스트 암호화 상태가 safe이면 호스트 암호화 상태가 pendingIncapable로 변경됩니다.
  • 호스트 암호화 상태가 pendingIncapable이면 호스트 암호화 상태는 여전히 pendingIncapable입니다.

이 작업은 vCenter Server MOB(Managed Object Browser)를 사용하여 호스트 암호화 모드가 사용되지 않도록 설정하는 방법을 보여줍니다. API 사용에 대한 자세한 내용은 https://developer.vmware.com/apis/968/vsphere에서 "vSphere Web Services API" 설명서를 참조하십시오.

프로시저

  1. vCenter Server에 관리자로 로그인합니다.
  2. 호스트 암호화 모드가 사용되지 않도록 설정할 ESXi 호스트에서 모든 암호화된 가상 시스템을 등록 취소합니다.
  3. vCenter Server에서 MOB에 액세스합니다. 
    https://vcenter_server/mob
  4. 호스트에서 CryptoManagerHostDisable 메서드를 호출합니다.
    1. 컨텐츠 이름에서 content를 클릭합니다.
    2. rootFolder에서 group-D1(Datacenters)을 클릭합니다.
    3. childEntity에서 적절한 데이터 센터를 클릭합니다.
    4. hostFolder에서 적절한 호스트를 클릭합니다.
    5. childEntity에서 적절한 클러스터를 클릭합니다.
    6. host에서 적절한 호스트를 클릭합니다.
    7. configManager에서 configManager를 클릭합니다.
    8. cryptoManager에서 CryptoManagerHost-number를 클릭합니다.
    9. CryptoManagerHostDisable을 클릭합니다.
      호스트 암호화 상태는 원래 암호화 상태에 따라 pendingIncapable 또는 incapable로 변경됩니다.
  5. 암호화 모드가 사용되지 않도록 설정할 다른 호스트에 대해 4단계를 반복합니다.
  6. 호스트를 재부팅합니다.

결과

호스트 암호화 모드가 사용되지 않도록 설정되면 호스트 암호화 모드가 다시 사용되도록 설정하지 않는 한 암호화 작업(예: 암호화된 가상 시스템 추가)을 수행할 수 없습니다.

참고: 암호화 모드가 사용되지 않도록 설정한 ESXi 호스트를 재부팅한 후(호스트 암호화 상태가 원래 pendingIncapable이면) 호스트 암호화 상태는 여전히 pendingIncapable입니다. 호스트 암호화 모드가 다시 사용되도록 설정하려면 vCenter Server MOB에 다시 액세스하고 ConfigureCryptoKey API 메서드를 호출합니다. 호스트 암호화 모드가 다시 사용되도록 설정할 때 호스트 암호화 상태가 pendingIncapable이면 원래 호스트 키 ID를 사용합니다.