복제되고 암호화된 가상 시스템은 사용자가 변경하지 않는 한 동일한 키로 암호화됩니다. 키를 변경하려면 vSphere Client, PowerCLI 또는 API를 사용하면 됩니다. PowerCLI 또는 API를 사용하면 암호화된 가상 시스템을 복제하고 키를 한 번에 변경할 수 있습니다.

복제 중에 다음 작업을 수행할 수 있습니다.

  • 암호화되지 않은 가상 시스템 또는 템플릿 가상 시스템에서 암호화된 가상 시스템을 생성합니다.
  • 암호화된 가상 시스템 또는 템플릿 가상 시스템에서 암호 해독된 가상 시스템을 생성합니다.
  • 소스 가상 시스템의 키와 다른 키를 사용하여 대상 가상 시스템을 이중 암호화합니다.
  • vSphere 8.0 이상에서 vTPM이 있는 가상 시스템에 대해 바꾸기 옵션을 선택하면 비어 있는 새 vTPM으로 시작되어 고유한 암호와 ID를 가져옵니다.
참고: vSphere 8.0 이상에는 vTPM의 기본 복제 동작을 "바꾸기"로 설정하는 vpxd.clone.tpmProvisionPolicy 고급 설정이 포함되어 있습니다.

인스턴트 클론이 소스 가상 시스템과 동일한 키를 공유한다는 점에 유의하여 암호화된 가상 시스템에서 인스턴트 클론 가상 시스템을 생성할 수 있습니다. 소스 또는 즉시 복제 가상 시스템 중 하나에서 키를 이중 암호화할 수 없습니다.

API를 사용하여 암호화된 시스템을 복제하려면 "vSphere Web Services SDK 프로그래밍 가이드" 항목을 참조하십시오.

사전 요구 사항

  • 키 제공자를 구성하고 사용하도록 설정해야 합니다.
  • 암호화 스토리지 정책을 생성하거나 번들로 제공되는 VM 암호화 정책 샘플을 사용합니다.
  • 필요한 권한(모든 키 제공자에 적용):
    • 암호화 작업.복제
    • 암호화 작업.암호화
    • 암호화 작업.암호 해독
    • 암호화 작업.이중 암호화
    • 호스트 암호화 모드를 사용하도록 설정되어 있지 않으면 암호화 작업.호스트 등록 권한도 있어야 합니다.

프로시저

  1. vSphere Client 인벤토리에서 가상 시스템을 찾습니다.
  2. 암호화된 시스템의 복제본을 생성하려면 가상 시스템을 마우스 오른쪽 버튼으로 클릭하고 복제 > 가상 시스템으로 복제를 선택한 후 표시되는 메시지를 따릅니다.
    1. 이름 및 폴더 선택 페이지에서 클론의 이름과 대상 위치를 지정합니다.
    2. 계산 리소스 선택 페이지에서 권한이 있는 개체를 지정합니다.
    3. (선택 사항) 복제된 vTPM의 키를 변경합니다.
      그림 1. TPM 프로비저닝 정책 선택
      이 스크린샷은 vTPM이 있는 가상 시스템을 복제하는 경우 TPM 프로비저닝 정책에 대한 선택 사항을 보여줍니다.
      가상 시스템을 복제하면 시스템의 ID를 확인하는 데 사용할 수 있는 vTPM 및 해당 암호를 포함한 전체 가상 시스템이 복제됩니다. vTPM에 대한 암호를 변경하려면 TPM 프로비저닝 정책에 대해 바꾸기를 선택합니다.
      참고: vTPM의 암호를 바꾸면 워크로드 관련 키를 포함한 모든 키가 바뀝니다. 키를 바꾸기 전에 워크로드가 더 이상 vTPM을 사용하지 않는지 확인하는 것이 좋습니다. 그렇게 하지 않으면 복제된 가상 시스템의 워크로드가 올바르게 작동하지 않을 수 있습니다.
    4. 스토리지 선택 페이지에서 데이터스토어를 선택합니다. 복제 작업의 일부로 스토리지 정책을 변경할 수 있습니다. 예를 들어 암호화 정책 사용에서 비 암호화 정책으로 변경하면 디스크의 암호가 해독됩니다.
    5. 복제 옵션 선택 페이지에서 "vSphere 가상 시스템 관리" 설명서에 설명된 대로 복제 옵션을 선택합니다.
    6. 준비 완료 페이지에서 정보를 검토하고 마침을 클릭합니다.
  3. (선택 사항) 복제된 가상 시스템의 키를 변경합니다.
    복제된 가상 시스템은 기본적으로 상위 가상 시스템과 동일한 키를 사용하여 생성됩니다. 여러 가상 시스템이 동일한 키를 사용하는 일이 없도록 복제된 가상 시스템의 키를 변경하는 것이 가장 좋습니다.
    1. 얕은 또는 깊은 이중 암호화를 결정합니다.
      다른 DEK 및 KEK를 사용하려면 복제된 가상 시스템의 깊은 이중 암호화를 수행합니다. 다른 KEK를 사용하려면 복제된 가상 시스템의 얕은 이중 암호화를 수행합니다. 깊은 이중 암호화를 수행하려면 가상 시스템의 전원을 꺼야 합니다. 가상 시스템의 전원이 켜져 있고 가상 시스템에 스냅샷이 있다면 얕은 이중 암호화 작업을 수행할 수 있습니다. 스냅샷이 있는 암호화된 가상 시스템의 얕은 이중 암호화는 단일 스냅샷 분기(디스크 체인)에서만 허용됩니다. 여러 개의 스냅샷 분기는 지원되지 않습니다. 새 KEK를 사용하여 체인에 있는 모든 링크를 업데이트하기 전에 얕은 이중 암호화가 실패하는 경우 이전 및 새 KEK가 있다면 암호화된 가상 시스템에 계속 액세스할 수 있습니다.
    2. API를 사용하여 복제본의 이중 암호화를 수행합니다. "vSphere Web Services SDK 프로그래밍 가이드" 의 내용을 참조하십시오.