테넌트에 대해 보호된 VM - 템플릿 디스크 만들기(선택 사항)
보호된 새 VM을 만들려면 특별히 준비된 서명된 템플릿 디스크를 사용해야 합니다. 서명된 템플릿 디스크의 메타데이터를 사용하면 디스크를 만든 후에 수정되지 않도록 하고 테넌트로서 보호된 VM을 만드는 데 사용할 수 있는 디스크를 제한할 수 있습니다. 이 디스크를 제공하는 한 가지 방법은 이 항목에 설명된 대로 테넌트에서 디스크를 만드는 것입니다.
Important
원하는 경우 호스팅 서비스 공급자가 제공하는 템플릿 디스크를 대신 사용할 수 있습니다. 이렇게 하면 해당 템플릿 디스크를 사용하여 테스트 VM을 배포하고 고유한 도구(바이러스 백신, 취약성 스캐너 등)를 실행하여 디스크의 유효성을 검사하는 것이 중요합니다.
운영 체제 VHDX 준비
보호된 템플릿 디스크를 만들려면 먼저 템플릿 디스크 마법사를 통해 실행될 OS 디스크를 준비해야 합니다. 이 디스크는 보호된 VM에서 OS 디스크로 사용됩니다. 기존 도구를 사용하여 Microsoft DISM(데스크톱 이미지 서비스 관리자)과 같은 이 디스크를 만들거나 빈 VHDX를 사용하여 VM을 수동으로 설정하고 해당 디스크에 OS를 설치할 수 있습니다. 디스크를 설정할 때는 2세대 및/또는 보호된 VM과 관련된 다음 요구 사항을 준수해야 합니다.
| VHDX의 요구 사항 | 원인 |
|---|---|
| GPT(GUID 파티션 테이블) 디스크여야 합니다. | UEFI를 지원하기 위한 2세대 가상 컴퓨터 지원이 필요합니다. |
| 디스크 유형은 동적이 아닌 기본이어야 합니다. 참고: Hyper-V에서 지원하는 "동적 확장" VHDX 기능이 아닌 논리 디스크 유형을 나타냅니다. |
BitLocker는 동적 디스크를 지원하지 않습니다. |
| 디스크에 두 개 이상의 파티션이 있습니다. Windows를 설치할 드라이브를 한 파티션에 포함시켜야 합니다. BitLocker에서 암호화하는 드라이브입니다. 다른 파티션은 부팅 로더를 포함하고 컴퓨터를 시작할 수 있도록 암호화되지 않은 상태로 유지되는 활성 파티션입니다. | BitLocker에 필요 |
| 파일 시스템은 NTFS입니다 | BitLocker에 필요 |
| VHDX에 설치된 운영 체제는 다음 중 하나입니다. - Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 또는 Windows Server 2012 - Windows 10, Windows 8.1, Windows 8 |
2세대 가상 머신 및 Microsoft 보안 부팅 템플릿을 지원하는 데 필요함 |
| 운영 체제를 일반화해야 합니다(sysprep.exe 실행). | 템플릿 프로비저닝에는 특정 테넌트의 워크로드에 대한 특수 VM이 포함됩니다. |
참고 항목
이 단계에서는 템플릿 디스크를 VMM 라이브러리에 복사하지 마세요.
Nano Server 템플릿 디스크를 만드는 데 필요한 패키지
보호된 VM에서 게스트 OS로 Nano Server를 실행하려는 경우 Nano 서버 이미지에 다음 패키지가 포함되어 있는지 확인해야 합니다.
- Microsoft-NanoServer-Guest-Package
- Microsoft-NanoServer-SecureStartup-Package
템플릿 운영 체제에서 Windows 업데이트 실행
템플릿 디스크에서 운영 체제에 최신 Windows 업데이트가 모두 설치되어 있는지 확인합니다. 최근에 릴리스된 업데이트는 템플릿 운영 체제가 최신 상태가 아닌 경우 완료하지 못할 수 있는 프로세스인 엔드 투 엔드 실딩 프로세스의 안정성을 향상시킵니다.
템플릿 디스크 마법사를 사용하여 VHDX 서명 및 보호
보호된 VM에서 템플릿 디스크를 사용하려면 BitLocker를 사용하여 디스크에 서명하고 암호화해야 합니다. 이렇게 하려면 보호된 템플릿 디스크 만들기 마법사를 사용합니다. 이 마법사는 디스크에 대한 해시를 생성하여 VSC(볼륨 서명 카탈로그)에 추가합니다. VSC는 지정하는 인증서를 사용하여 서명되며 테넌트에 대해 배포되는 디스크가 변경되지 않았거나 테스트에서 신뢰하지 않는 디스크로 대체되지 않도록 프로비저닝 프로세스 중에 사용됩니다. 마지막으로, BitLocker는 VM 프로비저닝 중에 암호화를 위해 디스크를 준비하기 위해 디스크의 운영 체제(아직 없는 경우)에 설치됩니다.
참고 항목
템플릿 디스크 마법사는 현재 위치에서 지정한 템플릿 디스크를 수정합니다. 나중에 디스크를 업데이트하기 위해 마법사를 실행하기 전에 보호되지 않은 VHDX의 복사본을 만들 수 있습니다. 템플릿 디스크 마법사로 보호된 디스크는 수정할 수 없습니다.
Windows Server 2016을 실행하는 컴퓨터에서 다음 단계를 수행합니다(보호된 호스트 또는 VMM 서버일 필요는 없음).
운영 체제 VHDX 준비에서 만든 일반화된 VHDX를 서버에 복사합니다(아직 없는 경우).
컴퓨터의 원격 서버 관리 도구에서 보호된 VM 도구 기능을 설치합니다.
Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart새 보호된 VM의 템플릿 디스크가 될 VHDX에 서명하는 인증서를 가져오거나 만듭니다. 이 인증서에 대한 세부 정보는 디스크를 신뢰할 수 있는 디스크로 권한을 부여하는 보호 데이터 파일에 통합됩니다. 따라서 사용자와 호스팅 서비스 공급자가 신뢰하는 인증 기관에서 이 인증서를 가져오는 것이 중요합니다. 호스터 및 테넌트인 엔터프라이즈 시나리오에서는 PKI에서 이 인증서를 발급하는 것이 좋습니다.
테스트 환경을 설정하고 자체 서명된 인증서를 사용하여 템플릿 디스크에 서명하려는 경우 컴퓨터에서 다음과 유사한 명령을 실행합니다.
New-SelfSignedCertificate -DnsName publisher.fabrikam.com시작 메뉴의 관리 도구 폴더에서 템플릿 디스크 마법사를 시작하거나 TemplateDiskWizard.exe를 명령 프롬프트에 입력합니다.
인증서 페이지에서 찾아보기를 클릭하여 인증서 목록을 표시합니다. 디스크 템플릿에 서명할 인증서를 선택합니다. 확인을 클릭하고 다음을 클릭합니다.
가상 디스크 페이지에서 찾아보기를 클릭하여 준비한 VHDX를 선택한 다음, 다음을 클릭합니다.
서명 카탈로그 페이지에서 친숙한 디스크 이름 및 버전을 제공합니다. 이러한 필드는 서명된 후 디스크를 식별하는 데 도움이 됩니다.
예를 들어 디스크 이름의 경우 WS2016을 입력하고 버전에 1.0.0.0을 입력할 수 있습니다.
마법사의 설정 검토 페이지에서 선택 항목을 검토합니다. 생성을 클릭하면 마법사가 템플릿 디스크에서 BitLocker를 사용하도록 설정하고, 디스크의 해시를 계산하고, VHDX 메타데이터에 저장된 볼륨 서명 카탈로그를 만듭니다.
템플릿 디스크를 탑재하거나 이동하기 전에 서명 프로세스가 완료될 때까지 기다립니다. 디스크 크기에 따라 이 프로세스를 완료하는 데 시간이 걸릴 수 있습니다.
요약 페이지에서 디스크 템플릿에 대한 정보, 템플릿에 서명하는 데 사용되는 인증서 및 인증서 발급자 정보가 표시됩니다. 닫기를 클릭하여 마법사를 종료합니다.
보호된 VM을 정의하기 위한 보호 데이터 만들기에 설명된 대로 사용자가 만든 보호 데이터 파일과 함께 보호된 디스크 템플릿을 호스팅 서비스 공급자에게 제공합니다.