암호화된 가상 시스템을 복제하는 경우 키를 변경하지 않는 한 클론은 동일한 키를 사용하여 암호화됩니다. 키를 변경하려면 vSphere Client, PowerCLI 또는 API를 사용할 수 있습니다.

PowerCLI 또는 API를 사용하면 암호화된 가상 시스템을 복제하고 키를 한 번에 변경할 수 있습니다. 자세한 내용은 "vSphere Web Services SDK 프로그래밍 가이드" 를 참조하십시오.

복제 중에 다음 작업을 수행할 수 있습니다.
  • 암호화되지 않은 가상 시스템 또는 가상 시스템 템플릿에서 암호화된 가상 시스템을 생성합니다.
  • 암호화된 가상 시스템 또는 가상 시스템 템플릿에서 암호 해독된 가상 시스템을 생성합니다.
  • 소스 가상 시스템의 키와 다른 키를 사용하여 대상 가상 시스템을 이중 암호화합니다.
  • vSphere 8.0부터 vTPM 디바이스가 있는 가상 시스템에 대해 바꾸기 옵션을 선택하면 비어 있는 새 vTPM으로 시작되어 고유한 암호와 ID를 가져옵니다.
참고: vSphere 8.0에는 vTPM에 대한 기본 복제 동작이 "바꾸기"가 되도록 하는 vpxd.clone.tpmProvisionPolicy 고급 설정이 포함되어 있습니다.
즉시 복제에서 소스 가상 시스템과 동일한 키를 공유한다는 주의 사항과 함께 암호화된 가상 시스템에서 즉시 복제 가상 시스템을 생성할 수 있습니다. 소스 또는 즉시 복제 가상 시스템 중 하나에서 키를 이중 암호화할 수 없습니다. " vSphere Web Services SDK 프로그래밍 가이드" 를 참조하십시오.

사전 요구 사항

  • 키 제공자를 구성하고 사용하도록 설정해야 합니다.
  • 암호화 스토리지 정책을 생성하거나 번들로 제공되는 VM 암호화 정책 샘플을 사용합니다.
  • 필요한 권한:
    • 암호화 작업.복제
    • 암호화 작업.암호화
    • 암호화 작업.암호 해독
    • 암호화 작업.이중 암호화
    • 호스트 암호화 모드가 사용이 아닌 경우 암호화 작업.호스트 등록 권한도 있어야 합니다.

프로시저

  1. vSphere Client 인벤토리의 가상 시스템으로 이동합니다.
  2. 가상 시스템을 마우스 오른쪽 버튼으로 클릭하고 복제 > 가상 시스템으로 복제 > 를 선택합니다.
  3. 마법사의 페이지를 이동합니다.
    1. 이름 및 폴더 선택 페이지에서 이름을 입력하고 배포할 데이터 센터 또는 폴더를 선택합니다.
    2. 계산 리소스 선택에서 암호화된 가상 시스템을 생성할 권한이 있는 개체를 선택합니다. 사전 요구 사항 및 암호화 작업에 필요한 권한에 대한 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.
    3. 복제된 vTPM의 키를 변경합니다.

      가상 시스템을 복제하면 시스템의 ID를 확인하는 데 사용할 수 있는 vTPM 및 해당 암호를 포함한 전체 가상 시스템이 복제됩니다. vTPM에 대한 암호를 변경하려면 TPM 프로비저닝 정책에 대해 바꾸기를 선택합니다.

      참고:

      vTPM의 암호를 바꾸면 워크로드 관련 키를 포함한 모든 키가 바뀝니다. 키를 바꾸기 전에 워크로드가 더 이상 vTPM을 사용하지 않는지 확인하는 것이 좋습니다. 그렇게 하지 않으면 복제된 가상 시스템의 워크로드가 올바르게 작동하지 않을 수 있습니다.

    4. 스토리지 선택 페이지에서 템플릿 구성 파일 및 모든 가상 디스크를 저장할 데이터스토어 또는 데이터스토어 클러스터를 선택합니다. 복제 작업의 일부로 스토리지 정책을 변경할 수 있습니다. 예를 들어 암호화 사용에서 비암호화 정책으로 변경하면 디스크의 암호가 해독됩니다.
    5. 복제 옵션 선택에서 추가 사용자 지정 옵션을 선택합니다.
    6. 준비 완료 페이지에서 정보를 검토하고 마침을 클릭합니다.
  4. (선택 사항) 복제된 가상 시스템의 키를 변경합니다.
    복제된 가상 시스템은 기본적으로 상위 가상 시스템과 동일한 키를 사용하여 생성됩니다. 여러 가상 시스템이 동일한 키를 사용하는 일이 없도록 복제된 가상 시스템 키를 변경하는 것이 좋습니다.
    1. 얕은 또는 깊은 이중 암호화를 결정합니다.

      다른 DEK 및 KEK를 사용하려면 복제된 가상 시스템의 깊은 이중 암호화를 수행합니다. 다른 KEK를 사용하려면 복제된 가상 시스템의 얕은 이중 암호화를 수행합니다. 깊은 이중 암호화를 수행하려면 가상 시스템의 전원을 꺼야 합니다. 가상 시스템의 전원이 켜져 있고 가상 시스템에 스냅샷이 있다면 얕은 이중 암호화 작업을 수행할 수 있습니다. 스냅샷이 있는 암호화된 가상 시스템의 얕은 이중 암호화는 단일 스냅샷 분기(디스크 체인)에서만 허용됩니다. 여러 개의 스냅샷 분기는 지원되지 않습니다. 새 KEK를 사용하여 체인에 있는 모든 링크를 업데이트하기 전에 얕은 이중 암호화가 실패하는 경우 이전 및 새 KEK가 있다면 암호화된 가상 시스템에 계속 액세스할 수 있습니다.

    2. API를 사용하여 복제본의 이중 암호화를 수행합니다. 자세한 내용은 "vSphere Web Services SDK 프로그래밍 가이드" 를 참조하십시오.