신뢰를 설정하려면 vSphere 신뢰 기관 클러스터에 신뢰할 수 있는 클러스터의 ESXi 호스트 및 vCenter Server에 대한 정보가 필요합니다. 신뢰 기관 클러스터로 가져오기 위해 이 정보를 파일로 내보냅니다. 이러한 파일은 기밀로 유지해야 하며 안전하게 전송해야 합니다.

vSphere 신뢰 기관 PowerCLI cmdlet를 사용하여 신뢰할 수 있는 클러스터의 ESXi 호스트에서 다음과 같은 정보를 파일로 내보내서 신뢰 기관 클러스터가 신뢰할 수 있는 소프트웨어와 하드웨어를 알 수 있게 합니다.

  • ESXi 버전
  • TPM 제조업체(CA 인증서)
  • (선택 사항) 개별 TPM(EK 인증서)
참고: 이러한 내보낸 파일은 vSphere 신뢰 기관 구성을 복원해야 하는 경우를 대비해 안전한 위치에 보관하십시오.

유형 및 벤더가 동일하고 동일한 기간 및 위치에서 제조된 호스트가 있는 경우 TPM 하나의 CA 인증서만 가져와서 모든 TPM을 신뢰할 수 있습니다. 개별 TPM을 신뢰하려면 TPM의 EK 인증서를 가져옵니다.

신뢰할 수 있는 클러스터의 vCenter Server에서 주체 정보도 가져와야 합니다. 주체 정보에는 vpxd 솔루션 사용자와 해당 인증서 체인이 포함되어 있습니다. 주체 정보를 사용하면 신뢰할 수 있는 클러스터의 vCenter Server에서 신뢰 기관 클러스터에 구성된 가용한 신뢰할 수 있는 키 제공자를 검색할 수 있습니다.

vSphere 신뢰 기관를 처음 구성하려면 ESXi 버전 및 TPM 정보를 수집해야 합니다. 또한, 업그레이드 또는 패치 적용을 비롯하여, ESXi의 새 버전을 배포한 후에는 매번 ESXi 버전을 수집해야 합니다.

vCenter Server 시스템별로 한 번만 vCenter Server 주체 정보를 수집합니다.

사전 요구 사항

  • 신뢰할 수 있는 클러스터에 있는 ESXi 버전 및 TPM 하드웨어 유형을 확인하고 모든 TPM 하드웨어 유형 또는 특정 유형만 신뢰할지 아니면 개별 호스트를 신뢰할지 결정합니다.
  • PowerCLI cmdlet을 실행하는 시스템에서 파일로 내보내는 정보를 저장할 로컬 폴더를 생성합니다.
  • 신뢰 기관 관리자 사용.
  • 신뢰 기관 상태 사용.

프로시저

  1. PowerCLI 세션에서 다음 명령을 실행하여 현재 연결을 끊고 신뢰할 수 있는 클러스터의 ESXi 호스트 중 하나에 루트 사용자로 연결합니다.
    Disconnect-VIServer -server * -Confirm:$false
    Connect-VIServer -server host_ip_address -User root -Password 'password'
  2. Get-VMHost cmdlet을 실행하여 ESXi 호스트를 확인합니다.
    Get-VMHost
    호스트 정보가 표시됩니다.
  3. Get-VMHost를 변수에 할당합니다.
    예:
    $vmhost = Get-VMHost
  4. Export-Tpm2CACertificate cmdlet을 실행하여 지정된 TPM 제조업체의 CA 인증서를 내보냅니다.
    1. Get-Tpm2EndorsementKey -VMHost $vmhost를 변수에 할당합니다.
      예를 들어 다음 명령은 Get-Tpm2EndorsementKey -VMHost $vmhost를 변수 $tpm2에 할당합니다.
      $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
    2. Export-Tpm2CACertificate cmdlet을 실행합니다.
      예를 들어 다음 명령은 TPM 인증서를 cacert.zip 파일로 내보냅니다. 이 명령을 실행하기 전에 대상 디렉토리가 있는지 확인합니다.
      Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip
      파일이 생성됩니다.
    3. 신뢰할 클러스터의 각 TPM 하드웨어 유형에 대해 반복합니다. 이전에 내보낸 파일을 덮어쓰지 않도록 각 TMP 하드웨어 유형마다 다른 파일 이름을 사용하십시오.
  5. Export-VMHostImageDb cmdlet을 실행하여 소프트웨어의 ESXi 호스트 설명(ESXi 이미지)을 내보냅니다.
    예를 들어 다음 명령은 정보를 image.tgz 파일로 내보냅니다. 이 명령을 실행하기 전에 대상 디렉토리가 있는지 확인합니다.
    Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz
    참고: Export-VMHostImageDb cmdlet은 신뢰할 수 있는 클러스터의 vCenter Server에 로그인하려는 경우에도 작동합니다.
    파일이 생성됩니다.

    신뢰할 클러스터의 각 ESXi 버전에 대해 반복합니다. 이전에 내보낸 파일을 덮어쓰지 않도록 각 버전마다 다른 파일 이름을 사용하십시오.

  6. 신뢰할 수 있는 클러스터의 vCenter Server 주체 정보를 내보냅니다.
    1. ESXi 호스트와의 연결을 끊습니다.
      Disconnect-VIServer -server * -Confirm:$false
    2. 신뢰 기관 관리자를 사용하여 신뢰할 수 있는 클러스터의 vCenter Server에 연결합니다. (또는 관리자 권한이 있는 사용자를 사용할 수 있습니다.)
      Connect-VIServer -server TrustedCluster_VC_ip_address -User trust_admin_user -Password 'password'
    3. 신뢰할 수 있는 클러스터의 vCenter Server 주체 정보를 내보내려면 Export-TrustedPrincipal cmdlet을 실행합니다.
      예를 들어 다음 명령은 정보를 principal.json 파일로 내보냅니다. 이 명령을 실행하기 전에 대상 디렉토리가 있는지 확인합니다.
      Export-TrustedPrincipal -FilePath C:\vta\principal.json
      파일이 생성됩니다.
  7. (선택 사항) 개별 호스트를 신뢰하려는 경우에는 TPM EK 공용 키 인증서를 내보내야 합니다.

결과

다음 파일이 생성됩니다.

  • TPM CA 인증서 파일(.zip 파일 확장명)
  • ESXi 이미지 파일(.tgz 파일 확장명)
  • vCenter Server 주체 파일(.json 파일 확장명)

예: 신뢰할 수 있는 ESXi 호스트 및 vCenter Server에 대한 정보 수집

이 예는 PowerCLI를 사용하여 ESXi 호스트 정보와 vCenter Server 주체를 내보내는 방법을 보여줍니다. 다음 표에는 사용되는 예제 구성 요소 및 값이 나와 있습니다.

표 1. vSphere 신뢰 기관 설정 예
구성 요소
신뢰할 수 있는 클러스터의 ESXi 호스트 192.168.110.51
신뢰할 수 있는 클러스터의 vCenter Server 192.168.110.22
변수 $vmhost Get-VMHost
변수 $tpm2 Get-Tpm2EndorsementKey -VMHost $vmhost
신뢰 기관 관리자 trustedadmin@vsphere.local
출력 파일을 포함할 로컬 디렉토리 C:\vta
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.51 -User root -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.51                  443  root

PS C:\Users\Administrator.CORP> Get-VMHost

Name               ConnectionState PowerState NumCpu CpuUsageMhz CpuTotalMhz MemoryUsageGB MemoryTotalGB Version
----               --------------- ---------- ------ ----------- ----------- ------------- ------------- -------
192.168.110.51     Connected       PoweredOn       4         200        9576         1.614         7.999   7.0.0

PS C:\Users\Administrator.CORP> $vmhost = Get-VMHost
PS C:\Users\Administrator.CORP> $tpm2 = Get-Tpm2EndorsementKey -VMHost $vmhost
PS C:\> Export-Tpm2CACertificate -Tpm2EndorsementKey $tpm2 -FilePath C:\vta\cacert.zip

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        10/8/2019   6:55 PM           1004 cacert.zip

PS C:\Users\Administrator.CORP> Export-VMHostImageDb -VMHost $vmhost -FilePath C:\vta\image.tgz

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:02 PM          2391 image.tgz

PS C:\Users\Administrator.CORP> Disconnect-VIServer -server * -Confirm:$false
PS C:\Users\Administrator.CORP> Connect-VIServer -server 192.168.110.22 -User trustedadmin@vsphere.local -Password 'VMware1!'

Name                           Port  User
----                           ----  ----
192.168.110.22                  443  VSPHERE.LOCAL\trustedadmin

PS C:\Users\Administrator.CORP> Export-TrustedPrincipal -FilePath C:\vta\principal.json

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         10/8/2019  11:14 PM           1873 principal.json

다음에 수행할 작업

신뢰 기관 클러스터로 신뢰할 수 있는 호스트 정보 가져오기으로 계속 진행합니다.