ESXi 호스트의 보안 수준을 높이려면 호스트를 잠금 모드로 설정합니다. 잠금 모드에서는 기본적으로 작업을 vCenter Server를 통해 수행해야 합니다.

정상 잠금 모드 또는 엄격 잠금 모드를 선택하여 다른 수준의 잠금을 제공할 수 있습니다. 예외 사용자 목록을 사용할 수도 있습니다. 예외 사용자는 호스트가 잠금 모드에 들어갈 때 권한을 잃지 않습니다. 예외 사용자 목록을 사용하면 호스트가 잠금 모드에 있을 때 직접 호스트에 액세스해야 하는 외부 애플리케이션 및 타사 솔루션 계정을 추가할 수 있습니다.

잠금 모드 동작

잠금 모드에서, 일부 서비스는 비활성화되고 일부 서비스에는 특정 사용자만 액세스할 수 있습니다.

다양한 사용자가 사용할 수 있는 잠금 모드 서비스

호스트가 실행 중일 때 사용 가능한 서비스는 잠금 모드 활성화 여부와 잠금 모드의 유형에 따라 달라집니다.

  • 엄격 및 정상 잠금 모드에서, 권한 있는 사용자는 vCenter Server를 통해, vSphere Client에서 또는 vSphere Web Services SDK를 사용하여 호스트에 액세스할 수 있습니다.
  • DCUI(Direct Console Interface) 동작은 엄격 잠금 모드와 정상 잠금 모드에서 서로 다릅니다.
    • 엄격 잠금 모드에서 DCUI(Direct Console User Interface) 서비스는 비활성화됩니다.
    • 정상 잠금 모드에서 관리자 권한이 있는 예외 사용자 목록의 계정은 DCUI에 액세스할 수 있습니다. 또한 DCUI.Access 고급 시스템 설정에서 지정된 사용자는 DCUI에 액세스할 수 있습니다.
  • ESXi Shell 또는 SSH가 활성화되고 호스트가 잠금 모드로 설정된 경우 관리자 권한이 있는 예외 사용자 목록의 계정은 이러한 서비스를 사용할 수 있습니다. 기타 모든 사용자의 경우, ESXi Shell 또는 SSH 액세스가 비활성화됩니다. 관리자 권한이 없는 사용자에 대한 ESXi 또는 SSH 세션은 닫힙니다.

엄격 및 정상 잠금 모드 모두에 대해 모든 액세스가 기록됩니다.

표 1. 잠금 모드 동작
서비스 정상 모드 정상 잠금 모드 엄격 잠금 모드
vSphere Web Services API 모든 사용자, 권한 기반 vCenter(vpxuser)

예외 사용자, 권한 기반

vCloud Director(vslauser, 사용 가능한 경우)

vCenter(vpxuser)

예외 사용자, 권한 기반

vCloud Director(vslauser, 사용 가능한 경우)

CIM Providers 호스트에서 관리자 권한이 있는 사용자 vCenter(vpxuser) 예외 사용자, 권한 기반

vCloud Director(vslauser, 사용 가능한 경우)

vCenter(vpxuser) 예외 사용자, 권한 기반

vCloud Director(vslauser, 사용 가능한 경우)

DCUI(Direct Console User Interface) 호스트에 대한 관리자 권한이 있는 사용자 및 DCUI.Access 고급 시스템 설정의 사용자

DCUI.Access 고급 시스템 설정에 정의된 사용자

호스트에서 관리자 권한이 있는 예외 사용자 		DCUI 서비스가 중지됩니다.
ESXi Shell(활성화된 경우) 및 SSH(활성화된 경우) 호스트에서 관리자 권한이 있는 사용자

DCUI.Access 고급 옵션에서 정의된 사용자

호스트에서 관리자 권한이 있는 예외 사용자

DCUI.Access 고급 시스템 설정에 정의된 사용자

호스트에서 관리자 권한이 있는 예외 사용자

잠금 모드가 활성화된 경우 ESXi Shell에 로그인한 사용자의 잠금 모드 동작

잠금 모드가 활성화되기 전에 사용자가 ESXi Shell에 로그인하거나 SSH를 통해 호스트에 액세스할 수 있습니다. 예외 사용자 목록에 있고 호스트에서 관리자 권한이 있는 사용자는 계속 로그인된 상태로 남아 있습니다. 다른 모든 사용자에 대해서는 세션이 닫힙니다. 종료는 정상 및 엄격 잠금 모드에 모두 적용됩니다.

잠금 모드를 비활성화하는 방법

다음과 같이 잠금 모드를 비활성화할 수 있습니다.
vSphere Client에서
사용자는 vSphere Client에서 정상 잠금 모드와 엄격 잠금 모드를 모두 비활성화할 수 있습니다. vSphere Client에서 잠금 모드 비활성화의 내용을 참조하십시오.
DCUI(Direct Console User Interface)에서
ESXi 호스트의 DCUI(Direct Console User Interface)에 액세스할 수 있는 사용자는 정상 잠금 모드를 비활성화할 수 있습니다. 엄격 잠금 모드에서는 DCUI(Direct Console Interface) 서비스가 중지됩니다. Direct Console User Interface에서 정상 잠금 모드 활성화 또는 비활성화의 내용을 참조하십시오.

vSphere Client에서 잠금 모드 활성화

모든 호스트 구성 변경이 vCenter Server를 거치도록 요구하려면 잠금 모드를 선택합니다. vSphere는 정상 잠금 모드 및 엄격 잠금 모드를 지원합니다.

호스트에 대한 모든 직접 액세스를 완전하게 허용하지 않으려면 엄격 잠금 모드를 선택하면 됩니다. vCenter Server를 사용할 수 없고 SSH와 ESXi Shell이 비활성화된 경우 엄격 잠금 모드를 사용하면 호스트에 액세스할 수 없습니다. 잠금 모드 동작의 내용을 참조하십시오.

프로시저

  1. vSphere Client 인벤토리에서 호스트를 찾습니다.
  2. 구성을 클릭합니다.
  3. 시스템 아래에서 보안 프로파일을 선택합니다.
  4. [잠금 모드] 패널에서 편집을 클릭합니다.
  5. 잠금 모드를 클릭하고 잠금 모드 옵션 중 하나를 선택합니다.
    옵션 설명
    일반 vCenter Server를 통해 호스트에 액세스할 수 있습니다. 예외 사용자 목록에 있고 관리자 권한을 가진 사용자만 DCUI(Direct Console User Interface)에 로그인할 수 있습니다. SSH 또는 ESXi Shell이 활성화되어 있으면 액세스가 가능할 수 있습니다.
    엄격 vCenter Server를 통해서만 호스트에 액세스할 수 있습니다. SSH 또는 ESXi Shell이 활성화된 경우 DCUI.Access 고급 시스템 설정의 계정 및 관리자 권한이 있는 예외 사용자 계정에 대해 실행 중인 세션은 사용 상태로 유지됩니다. 기타 모든 세션은 닫힙니다.
  6. 확인을 클릭합니다.

vSphere Client에서 잠금 모드 비활성화

ESXi 호스트에 대한 직접 연결의 구성 변경 사항을 허용하도록 잠금 모드를 비활성화합니다. 잠금 모드를 활성화된 상태로 두면 보다 안전한 환경을 구현할 수 있습니다.

사용자는 vSphere Client에서 정상 잠금 모드와 엄격 잠금 모드를 모두 비활성화할 수 있습니다.

프로시저

  1. vSphere Client 인벤토리에서 호스트를 찾습니다.
  2. 구성을 클릭합니다.
  3. 시스템 아래에서 보안 프로파일을 선택합니다.
  4. [잠금 모드] 패널에서 편집을 클릭합니다.
  5. 잠금 모드를 클릭하고 사용 안 함을 선택하여 잠금 모드를 비활성화합니다.
  6. 확인을 클릭합니다.

결과

시스템이 잠금 모드를 종료하고 vCenter Server가 경보를 표시하고 항목이 감사 로그에 추가됩니다.

Direct Console User Interface에서 정상 잠금 모드 활성화 또는 비활성화

DCUI(Direct Console User Interface)에서 정상 잠금 모드를 활성화 및 비활성화할 수 있습니다. 엄격 잠금 모드는 vSphere Client에서만 활성화 및 비활성화할 수 있습니다.

호스트가 정상 잠금 모드에 있을 때 DCUI(Direct Console User Interface)에 액세스할 수 있는 계정은 다음과 같습니다.
  • 호스트에 대한 관리자 권한을 가지고 있는 예외 사용자 목록의 계정. 예외 사용자 목록은 백업 에이전트와 같은 서비스 계정용입니다.
  • 호스트에 대해 DCUI.Access 고급 옵션에서 정의된 사용자. 이 옵션은 심각한 오류가 발생했을 때 액세스를 활성화하는 데 사용할 수 있습니다.

잠금 모드를 활성화하면 사용자 권한이 유지됩니다. DCUI(Direct Console Interface)에서 잠금 모드를 비활성화하면 사용자 권한이 복원됩니다.

참고: 잠금 모드에 있는 호스트를 잠금 모드 종료 없이 ESXi 버전 6.0으로 업그레이드하고 업그레이드 후에 잠금 모드를 종료하면 호스트가 잠금 모드로 전환하기 전에 정의된 모든 사용 권한은 손실됩니다. 시스템에서는 호스트를 액세스 가능한 상태로 유지할 수 있도록 DCUI.Access 고급 옵션에 있는 모든 사용자에게 관리자 역할을 할당합니다.

사용 권한을 유지하려면 업그레이드하기 전에 vSphere Client에서 호스트에 대해 잠금 모드를 비활성화하십시오.

프로시저

  1. 호스트의 DCUI(Direct Console User Interface)에서 F2 키를 누르고 로그인합니다.
  2. 잠금 모드 구성 설정으로 스크롤하고 Enter 키를 눌러 현재 설정을 전환합니다.
  3. Direct Console User Interface의 기본 메뉴로 돌아갈 때까지 Esc 키를 누릅니다.

잠금 모드에서 액세스 권한을 가진 계정 지정

서비스 계정을 예외 사용자 목록에 추가하여 ESXi 호스트에 직접 액세스할 수 있는 서비스 계정을 지정할 수 있습니다. 심각한 vCenter Server 오류가 발생하는 경우 ESXi 호스트에 액세스할 수 있는 단일 사용자를 지정할 수 있습니다.

vSphere가 잠금 모드일 때 계정으로 수행할 수 있는 작업

잠금 모드가 활성화되었을 때 각 계정에서 기본적으로 수행할 수 있는 작업과 기본 동작을 변경할 수 있는 방법은 vSphere 버전에 따라 다릅니다.
  • vSphere 5.0 이하 버전에서는 루트 사용자만 잠금 모드에 있는 ESXi 호스트의 DCUI(Direct Console User Interface)에 로그인할 수 있습니다.
  • vSphere 5.1 이상에서는 각 호스트의 DCUI.Access 고급 시스템 설정에 사용자를 추가할 수 있습니다. 이 설정은 vCenter Server에 심각한 오류가 발생하는 경우를 위한 것으로 일반적으로 이 액세스 권한이 있는 사용자의 암호가 안전하게 잠깁니다. DCUI.Access 목록의 사용자는 호스트에 대한 전체 관리 권한이 필요하지 않습니다.
  • vSphere 6.0 이상에서 DCUI.Access 고급 시스템 설정은 계속 지원됩니다. 또한 vSphere 6.0 이상은 예외 사용자 목록을 지원하는데, 이는 호스트에 직접 로그인해야 하는 서비스 계정을 위한 것입니다. 예외 사용자 목록에 있는 관리자 권한을 가진 계정은 ESXi Shell에 로그인할 수 있습니다. 또한 그러한 사용자는 정상 잠금 모드에 있는 호스트의 DCUI에 로그인할 수 있으며 잠금 모드를 종료할 수 있습니다.
    예외 사용자는 vSphere Client에서 지정합니다.
    참고: 예외 사용자는 ESXi 호스트에 대해 로컬로 정의된 권한을 가진 Active Directory 사용자 또는 호스트 로컬 사용자로서 호스트가 잠금 모드에 있는 경우 Active Directory 그룹의 멤버인 사용자가 자신의 사용 권한을 잃을 수 있습니다.

DCUI.Access 고급 시스템 설정에 사용자 추가

심각한 오류가 발생하는 경우 vCenter Server에서 호스트에 액세스할 수 없을 때 DCUI.Access 고급 시스템 설정을 사용하여 잠금 모드를 종료할 수 있습니다. vSphere Client에서 호스트에 대한 고급 설정을 편집하여 사용자를 목록에 추가합니다.

참고: DCUI.Access 목록의 사용자는 권한과 관계없이 잠금 모드 설정을 변경할 수 있습니다. 잠금 모드를 변경하는 기능은 호스트 보안에 영향을 줄 수 있습니다. 호스트에 직접 액세스해야 하는 서비스 계정의 경우에는 사용자를 예외 사용자 목록에 추가하는 것을 고려하십시오. 예외 사용자는 권한이 있는 작업만 수행할 수 있습니다. 이 항목의 뒷부분에서 잠금 모드 예외 사용자 지정을 참조하십시오.
  1. vSphere Client 인벤토리에서 호스트를 찾습니다.
  2. 구성을 클릭합니다.
  3. [시스템] 아래에서 고급 시스템 설정을 선택하고 편집을 클릭합니다.
  4. DCUI로 필터링합니다.
  5. DCUI.Access 텍스트 상자에 쉼표로 구분된 로컬 ESXi 사용자 이름을 입력합니다.
    참고: Active Directory 사용자를 입력할 수 없습니다. 로컬 ESXi 사용자만 지원됩니다.

    기본적으로 루트 사용자가 포함됩니다. DCUI.Access 목록에서 루트 사용자를 제거하고 감사 가능성 향상을 위해 명명된 계정을 지정하는 것을 고려해 보십시오.

  6. 확인을 클릭합니다.

잠금 모드 예외 사용자 지정

vSphere Client에서 예외 사용자 목록에 사용자를 추가할 수 있습니다. 이러한 사용자는 호스트가 잠금 모드에 들어갈 때 권한을 잃지 않습니다.

보통 이러한 사용자는 잠금 모드에서 계속 작동해야 하는 타사 솔루션과 외부 애플리케이션을 나타내는 계정입니다. 예를 들어 예외 사용자 목록에 백업 에이전트와 같은 서비스 계정을 추가합니다.
참고: 예외 사용자 목록은 매우 한정된 작업을 수행하는 서비스 계정에 대한 것으로 관리자용이 아닙니다. 예외 사용자 목록에 관리자 사용자를 추가하면 잠금 모드의 존재 목적이 무효화됩니다.

예외 사용자는 ESXi 호스트에 대해 로컬로 정의된 권한을 가진 Active Directory 사용자 또는 호스트 로컬 사용자로서 Active Directory 그룹의 멤버가 아니며 vCenter Server 사용자가 아닙니다. 이러한 사용자는 해당 권한을 기반으로 호스트에서 작업을 수행할 수 있습니다. 이것은 예를 들어 읽기 전용 사용자가 호스트에서 잠금 모드를 비활성화할 수 없음을 의미합니다.

  1. vSphere Client 인벤토리에서 호스트를 찾습니다.
  2. 구성을 클릭합니다.
  3. 시스템 아래에서 보안 프로파일을 선택합니다.
  4. [잠금 모드] 패널에서 편집을 클릭합니다.
  5. 예외 사용자를 클릭하고 사용자 추가 아이콘을 클릭하여 예외 사용자를 추가합니다.
  6. 확인을 클릭합니다.