가상 시스템 암호화 작업은 vCenter Server가 포함된 환경에서만 가능합니다. 또한 ESXi 호스트에서 대부분의 암호화 작업에 대해 암호화 모드가 활성화되어 있어야 합니다. 작업을 수행하는 사용자에게 적절한 권한이 있어야 합니다. 암호화 작업 권한 집합을 통해 권한 부여를 세부적으로 제어할 수 있습니다. 가상 시스템 암호화 작업에서 호스트 암호화 모드를 변경해야 할 경우 추가 권한이 필요합니다.

참고: vSphere 신뢰 기관에는 추가적인 사전 요구 사항 및 필요한 권한이 있습니다. vSphere 신뢰 기관에 대한 사전 요구 사항 및 필요한 권한의 내용을 참조하십시오.

암호화 권한 및 역할 사용

기본적으로 vCenter Server 관리자 역할이 있는 사용자는 암호화 작업 권한을 포함한 모든 권한을 갖습니다. 암호화 관리자 없음 역할은 암호화 작업에 필요한 다음 권한을 갖지 않습니다.
중요: ESXi Shell 사용자는 암호화 작업 권한도 있습니다.
  • 암호화 작업 권한을 추가합니다.
  • 글로벌.진단
  • 호스트.인벤토리.클러스터에 호스트 추가
  • 호스트.인벤토리.독립형 호스트 추가
  • 호스트.로컬 작업.사용자 그룹 관리

암호화 작업 권한이 필요 없는 vCenter Server 관리자에게 암호화 관리자 없음 역할을 할당할 수 있습니다.

사용자가 수행할 수 있는 작업을 추가로 제한하기 위해 암호화 관리자 없음 역할을 복제하여 일부 암호화 작업 권한만 가진 사용자 지정 역할을 생성할 수 있습니다. 예를 들어 사용자가 가상 시스템을 암호화할 수 있지만 암호를 해독할 수 없도록 하는 역할을 생성할 수 있습니다. vCenter Server 역할을 사용하여 권한 할당의 내용을 참조하십시오.

호스트 암호화 모드란?

호스트 암호화 모드는 ESXi 호스트가 가상 시스템 및 가상 디스크를 암호화하기 위한 암호화 자료를 수락할 준비가 되었는지 여부를 결정합니다. 호스트에서 암호화 작업을 수행하려면 먼저 암호화 모드를 활성화해야 합니다. 호스트 암호화 모드는 필요할 때 자동으로 설정되는 경우가 많지만 명시적으로 설정할 수 있습니다. vSphere Client 또는 vSphere API를 사용하여 현재 호스트 암호화 모드를 확인하고 명시적으로 설정할 수 있습니다.

호스트 암호화 모드가 활성화되면 vCenter Server가 호스트에 호스트 키를 설치하며, 이는 호스트의 암호화가 "안전"함을 보장합니다. 호스트 키가 올바르게 있으면 vCenter Server가 키 제공자에서 키를 가져와 ESXi 호스트에 푸시하는 등의 다른 암호화 작업을 진행할 수 있습니다.

"안전" 모드에서는 사용자 월드(즉, hostd) 및 암호화된 가상 시스템의 코어 덤프가 암호화됩니다. 암호화되지 않은 가상 시스템의 코어 덤프는 암호화되지 않습니다.

암호화된 코어 덤프 및 VMware 기술 지원에서 암호화된 코어 덤프를 사용하는 방법에 대한 자세한 내용은 VMware 기술 자료 문서(https://kb.vmware.com/s/article/2147388)를 참조하십시오.

자세한 내용은 명시적으로 호스트 암호화 모드 활성화의 내용을 참조하십시오.

호스트 암호화 모드를 설정한 후에는 비활성화하기가 쉽지 않습니다. API를 사용하여 호스트 암호화 모드 비활성화의 내용을 참조하십시오.

암호화 작업이 호스트 암호화 모드를 설정하려고 하면 자동 변경이 이루어집니다. 예를 들어 암호화된 가상 시스템을 독립형 호스트에 추가한다고 가정합니다. 호스트 암호화 모드는 설정되지 않았습니다. 호스트에 대한 필요한 권한이 있으면 암호화 모드가 자동으로 설정됩니다.

클러스터에 호스트 A, B, C의 세 ESXi 호스트가 있고 호스트 A에 암호화된 가상 시스템을 생성할 경우 이루어지는 작업은 몇 가지 요소에 따라 달라집니다.

  • 호스트 A, B, C가 이미 호스트 암호화 모드를 설정한 경우 가상 시스템을 생성하기 위해 암호화 작업.새 항목 암호화 권한만 필요합니다.
  • 호스트 A와 B는 호스트 암호화로 설정되어 있고 C는 설정되어 있지 않으면 다음과 같이 진행됩니다.
    • 각 호스트에 암호화 작업.새 항목 암호화암호화 작업.호스트 등록 권한이 모두 있다고 가정합니다. 이 경우 암호화 프로세스는 호스트 C에서 호스트 암호화 모드를 설정하고 클러스터의 각 호스트에 키를 푸시합니다.

      이 경우에도 호스트 C에서 호스트 암호화 모드를 명시적으로 설정할 수 있습니다.

    • 가상 시스템 또는 가상 시스템 폴더에 암호화 작업.새 항목 암호화 권한만 있다고 가정합니다. 이 경우 가상 시스템 생성이 성공하고 호스트 A와 호스트 B에서 키를 사용할 수 있게 됩니다. 호스트 C에는 암호화가 비활성화된 상태로 유지되며 가상 시스템 키가 없습니다.
  • 호스트 암호화 모드가 설정된 호스트가 없고 호스트 A에 암호화 작업.호스트 등록 권한이 있으면 가상 시스템 생성 프로세스는 해당 호스트에서 호스트 암호화 모드를 설정합니다. 그렇지 않으면 호스트 B와 C에 대해 오류가 발생합니다.
  • 또한 vSphere API를 사용하여 클러스터의 암호화 모드를 "강제 사용"으로 설정할 수 있습니다. 강제 사용은 클러스터의 모든 호스트가 암호적으로 "안전한" 상태가 되도록 합니다. 즉, vCenter Server에서 호스트에 호스트 키를 설치합니다. "vSphere Web Services SDK 프로그래밍 가이드" 의 내용을 참조하십시오.

가상 시스템 암호화 시 디스크 공간 요구 사항

기존 가상 시스템을 암호화하는 경우 해당 가상 시스템이 현재 사용하는 공간보다 두 배 이상 많은 공간이 필요합니다.