vSphere 가상 시스템 암호화에는 상호 운용할 수 있는 디바이스 및 기능에 관한 몇 가지 제한 사항이 있습니다.
다음 제한 사항 및 설명은 vSphere 가상 시스템 암호화사용에 관한 것입니다. vSAN 암호화 사용에 대한 유사한 정보는 "VMware vSAN 관리" 설명서를 참조하십시오.
특정 암호화 작업에 대한 제한 사항
암호화된 가상 시스템에서 특정 작업을 수행할 때 몇 가지 제한 사항이 적용됩니다.
- 대부분의 암호화된 가상 시스템 작업의 경우 가상 시스템의 전원을 꺼야 합니다. 가상 시스템의 전원이 켜져 있는 동안에는 암호화된 가상 시스템을 복제하고 단순 암호 해독을 수행할 수 있습니다.
참고: 얕은 수준 키 재생성 작업을 수행하려면 IDE 컨트롤러로 구성된 가상 시스템의 전원을 꺼야 합니다.
- 스냅샷이 포함된 가상 시스템에서 깊은 이중 암호화를 수행할 수 없습니다. 스냅샷이 포함된 가상 시스템에서 얕은 이중 암호화를 수행할 수 있습니다.
신뢰할 수 있는 가상 플랫폼 모듈 디바이스 및 vSphere 가상 시스템 암호화
vTPM(가상의 신뢰할 수 있는 플랫폼 모듈)은 물리적 TPM(신뢰할 수 있는 플랫폼 모듈) 2.0 칩의 소프트웨어 기반 표현입니다. 새 가상 시스템 또는 기존 가상 시스템에 vTPM을 추가할 수 있습니다. 가상 시스템에 vTPM을 추가하려면 vSphere 환경에서 키 제공자를 구성해야 합니다. vTPM을 구성할 때 가상 시스템 "홈" 파일(메모리 스왑, NVRAM 파일 등)이 암호화됩니다. 디스크 파일 또는 VMDK 파일은 자동으로 암호화되지 않습니다. 가상 시스템 디스크에 대해 명시적으로 암호화를 추가하도록 선택할 수 있습니다.
vSphere 8.0 이상에서는 vTPM이 포함된 가상 시스템을 복제할 때 비어 있는 새 vTPM으로 시작하도록 선택할 수 있습니다. 그러면 고유한 암호와 ID를 갖게 됩니다.
vSphere 가상 시스템 암호화 및 일시 중단 상태 및 스냅샷
암호화된 가상 시스템의 일시 중단된 상태에서 재개하거나 암호화된 시스템의 메모리 스냅샷으로 되돌릴 수 있습니다. 메모리 스냅샷이 있고 일시 중단된 상태인 암호화된 가상 시스템을 ESXi 호스트 간에 마이그레이션할 수 있습니다.
vSphere 가상 시스템 암호화 및 IPv6
IPv6 전용 모드 또는 혼합 모드에서 vSphere 가상 시스템 암호화 기능을 사용할 수 있습니다. IPv6 주소를 사용하여 키 서버를 구성할 수 있습니다. IPv6 주소만 사용하여 vCenter Server 및 키 서버를 모두 구성할 수 있습니다.
vSphere 가상 시스템 암호화의 복제에 대한 제한 사항
-
전체 복제가 지원됩니다. 복제는 키를 포함하여 상위 암호화 상태를 상속합니다. 전체 복제를 암호화하고 전체 복제를 다시 암호화하여 새 키를 사용하거나 해당 전체 복제의 암호를 해독할 수 있습니다.
연결된 복제는 지원되며 복제는 키를 포함하여 상위 암호화 상태를 상속받습니다. 연결된 복제의 암호를 해독하거나 다른 키를 사용하여 연결된 복제를 다시 암호화할 수 없습니다.
참고: 다른 애플리케이션이 연결된 복제를 지원하는지 확인합니다. 예를 들어 VMware Horizon ® 7은 전체 복제와 즉시 복제를 모두 지원하지만 연결된 복제는 지원하지 않습니다. - [즉시 복제]는 모든 키 제공자 유형에서 지원되지만 복제 시 암호화 키를 변경할 수는 없습니다.
- 암호화된 가상 시스템에서 연결된 클론 가상 시스템을 생성할 수 있습니다. 연결된 클론 가상 시스템에는 동일한 키가 포함되어 있습니다. 연결된 클론의 암호화된 가상 시스템 "홈" 파일 키는 재생성할 수 있지만 디스크 키는 재생성할 수 없습니다.
vSphere Native Key Provider에 대한 제한 사항
vSphere Native Key Provider에서는 특정 작업이 지원되지 않습니다.
- vSphere Native Key Provider를 사용하여 독립형 호스트의 가상 시스템을 암호화할 수 없습니다. vSphere Native Key Provider를 사용하려면 호스트가 클러스터에 있어야 합니다.
- vSphere Native Key Provider를 사용하여 암호화된 가상 시스템이 포함된 호스트는 대상 클러스터에 동일한 vSphere Native Key Provider가 포함되어 있지 않으면 다른 클러스터로 이동할 수 없습니다. (암호화 키가 없고 대상 클러스터에 동일한 vSphere Native Key Provider가 없으면 이동한 호스트의 암호화된 가상 시스템이 잠깁니다.)
- vSphere Native Key Provider에 대한 지원이 부족하기 때문에 vSphere Native Key Provider로 암호화된 가상 시스템을 레거시 호스트에 등록할 수 없습니다.
- vSphere Native Key Provider로 암호화된 가상 시스템은 호스트가 클러스터에 상주해야 하기 때문에 독립형 호스트에 등록할 수 없습니다.
vSphere 가상 시스템 암호화로 지원되지 않는 디스크 구성
특정 유형의 가상 시스템 디스크 구성은 vSphere 가상 시스템 암호화로 지원되지 않습니다.
- RDM(원시 디바이스 매핑). 하지만 vVols(vSphere Virtual Volumes)는 지원됩니다.
- 다중 작성기 또는 공유 디스크(MSCS, WSFC 또는 Oracle RAC). 암호화된 가상 시스템 "홈" 파일은 다중 작성기 디스크에 대해 지원됩니다. 다중 작성기 디스크에는 암호화된 가상 디스크가 지원되지 않습니다. 암호화된 가상 디스크가 있는 가상 시스템의 설정 편집 페이지에서 다중 작성기를 선택하려고 하면 확인 버튼이 비활성화되어 있습니다.
vSphere 가상 시스템 암호화의 기타 제한 사항
vSphere 가상 시스템 암호화와 함께 작동하지 않는 기타 기능은 다음과 같습니다.
- vSphere ESXi Dump Collector
- 컨텐츠 라이브러리
- 컨텐츠 라이브러리는 OVF 템플릿 유형과 VM 템플릿 유형의 두 가지 템플릿 유형을 지원합니다. 암호화된 가상 시스템은 OVF 템플릿 유형으로 내보낼 수 없습니다. OVF Tool은 암호화된 가상 시스템을 지원하지 않습니다. VM 템플릿 유형을 사용하여 암호화된 VM 템플릿을 생성할 수 있습니다. vSphere 8.0 이상에서는 ovftool 명령에 vTPM 자리 표시자를 OVF 설명자 파일에 추가하는 옵션이 포함됩니다. 이러한 템플릿에서 가상 시스템을 배포하는 경우 vCenter Server는 대상 가상 시스템에 고유한 암호를 사용하여 vTPM을 생성합니다. "vSphere 가상 시스템 관리" 설명서를 참조하십시오.
- 암호화된 가상 디스크를 백업하기 위한 소프트웨어는 VADP(VMware vSphere Storage API - Data Protection)를 사용하여 SSL을 사용하도록 설정한 상태에서 무중단 추가 모드 또는 NBD 모드로 디스크를 백업해야 합니다. 단, 가상 디스크 백업에 VADP를 사용하는 백업 솔루션이 모두 지원되는 것은 아닙니다. 자세한 내용은 백업 벤더에 문의하십시오.
- VADP SAN 전송 모드 솔루션은 암호화된 가상 디스크 백업용으로 지원되지 않습니다.
- VADP 무중단 추가 솔루션은 암호화된 가상 디스크에 대해 지원됩니다. 백업 소프트웨어는 무중단 추가 백업 워크플로의 일부로 사용되는 프록시 VM의 암호화를 지원해야 합니다. 벤더에게 권한이 있어야 합니다.
- 암호화된 가상 디스크 백업에는 NBD-SSL 전송 모드를 사용하는 백업 솔루션이 지원됩니다. 벤더 애플리케이션에 권한이 있어야 합니다.
- 암호화된 가상 시스템에서 직렬 포트 또는 병렬 포트로 출력을 전송할 수 없습니다. 구성이 성공한 것으로 보이는 경우에도 출력은 파일로 전송됩니다.
- vSphere 가상 시스템 암호화는 VMware Cloud on AWS에서 지원되지 않습니다. "VMware Cloud on AWS 데이터 센터 관리" 설명서를 참조하십시오.
