사용자에게 충분한 권한이 있으면 사용자가 암호화 작업을 수행할 때 호스트 암호화 모드가 자동으로 활성화됩니다. 호스트 암호화 모드가 활성화된 후에는 중요한 정보가 지원 담당자에게 노출되지 않도록 모든 코어 덤프가 암호화됩니다. ESXi 호스트에서 가상 시스템 암호화를 더 이상 사용하지 않는 경우에는 암호화 모드를 비활성화할 수 있습니다.

ESXi 호스트에 대해 암호화 모드가 활성화된 후 비활성화해야 할 수도 있습니다. 예를 들어 ESXi 지원 번들을 생성하기 위해 암호화 모드를 비활성화해야 할 수 있습니다(vm-support 명령 사용). 호스트에 키 자료가 있는 경우 호스트 암호화 모드 토글(호스트 > 구성 > 보안 프로파일 > 호스트 암호화 모드 편집)을 사용하면 작동하지 않습니다.

API를 사용하여 CryptoManagerHostDisable API 메서드를 호출하여 호스트 암호화 모드를 비활성화할 수 있습니다.

ESXi 호스트에 대해 정의된 암호화 모드 또는 상태는 다음과 같습니다.

  • pendingIncapable: 호스트에 암호화가 비활성화되어 있습니다. 즉, 호스트가 vSphere 가상 시스템 암호화 작업을 수행할 수 없습니다.
  • incapable: 호스트가 중요한 자료를 수신하기에 안전하지 않습니다.
  • prepared: 호스트가 중요한 자료를 수신할 준비가 되었지만 호스트 키가 아직 설정되어 있지 않습니다.
  • safe: 호스트가 암호화 보안 상태이고(활성화됨) 호스트 키가 설정되어 있습니다. 즉, vSphere 가상 시스템 암호화 작업이 가능합니다.

호스트에서 CryptoManagerHostDisable을 호출하면 호스트의 암호화 상태가 다음과 같이 변경됩니다.

  • 원래 호스트 암호화 상태가 incapable 또는 prepared이면 호스트 암호화 상태가 incapable로 변경됩니다.
  • 원래 호스트 암호화 상태가 safe이면 호스트 암호화 상태가 pendingIncapable로 변경됩니다.
  • 호스트 암호화 상태가 pendingIncapable이면 호스트 암호화 상태는 여전히 pendingIncapable입니다.

이 작업은 vCenter Server MOB(Managed Object Browser)를 사용하여 호스트 암호화 모드를 비활성화하는 방법을 보여줍니다. API 사용에 대한 자세한 내용은 https://developer.vmware.com/apis/968/vsphere에서 "vSphere Web Services API" 설명서를 참조하십시오.

프로시저

  1. vCenter Server에 관리자로 로그인합니다.
  2. 암호화 모드를 비활성화하려는 ESXi 호스트에서 모든 암호화된 가상 시스템을 등록 취소합니다.
  3. vCenter Server에서 MOB에 액세스합니다.
    https://vcenter_server/mob
  4. 호스트에서 CryptoManagerHostDisable 메서드를 호출합니다.
    1. 컨텐츠 이름에서 content를 클릭합니다.
    2. rootFolder에서 group-D1(Datacenters)을 클릭합니다.
    3. childEntity에서 적절한 데이터 센터를 클릭합니다.
    4. hostFolder에서 적절한 호스트를 클릭합니다.
    5. childEntity에서 적절한 클러스터를 클릭합니다.
    6. host에서 적절한 호스트를 클릭합니다.
    7. configManager에서 configManager를 클릭합니다.
    8. cryptoManager에서 CryptoManagerHost-number를 클릭합니다.
    9. CryptoManagerHostDisable을 클릭합니다.
      호스트 암호화 상태는 원래 암호화 상태에 따라 pendingIncapable 또는 incapable로 변경됩니다.
  5. 암호화 모드를 비활성화하려는 다른 호스트에 대해 4단계를 반복합니다.
  6. 호스트를 재부팅합니다.

결과

호스트 암호화 모드가 비활성화되면 호스트 암호화 모드를 다시 활성화하지 않는 한 암호화 작업(예: 암호화된 가상 시스템 추가)을 수행할 수 없습니다.

참고: 암호화 모드를 비활성화한 ESXi 호스트를 재부팅한 후(호스트 암호화 상태가 원래 pendingIncapable이면) 호스트 암호화 상태는 여전히 pendingIncapable입니다. 호스트 암호화 모드를 다시 활성화하려면 vCenter Server MOB에 다시 액세스하고 ConfigureCryptoKey API 메서드를 호출합니다. 호스트 암호화 모드를 다시 활성화할 때 호스트 암호화 상태가 pendingIncapable이면 원래 호스트 키 ID를 사용합니다.