적용 대상: Azure Local 2311.2 이상의 하이퍼컨버지드 배포
이 문서에서는 Azure Arc에서 사용하도록 설정된 Azure 로컬 VM(가상 머신)에 대한 신뢰할 수 있는 시작을 소개합니다. Azure Portal을 사용하거나 AZURE CLI(Azure Command-Line Interface)를 사용하여 Azure 로컬 VM에 대해 신뢰할 수 있는 시작을 만들 수 있습니다.
Introduction
Azure 로컬 VM에 대한 신뢰할 수 있는 시작은 보안 부팅을 사용하도록 설정하고, vTPM(가상 신뢰할 수 있는 플랫폼 모듈) 디바이스를 설치하고, VM이 시스템 내의 다른 컴퓨터로 마이그레이션하거나 장애 조치할 때 vTPM 상태를 자동으로 전송하며, VM이 알려진 정상 상태에서 시작되었는지 여부를 증명하는 기능을 지원합니다.
신뢰할 수 있는 시작은 Azure 로컬 VM을 만들 때 지정할 수 있는 보안 유형입니다. 자세한 내용은 Azure Arc에서 사용하도록 설정된 Azure 로컬 VM에 대한 신뢰할 수 있는 시작을 참조하세요.
기능 및 이점
| Capability | Benefit |
|---|---|
| 보안 부팅 | 부팅 구성 요소가 신뢰할 수 있는 게시자가 서명했는지 확인하여 부팅 중에 맬웨어(루트킷)의 위험을 줄이는 데 도움이 됩니다. |
| vTPM | 하드웨어 TPM의 가상화된 버전으로, 키, 인증서 및 비밀을 위한 전용 금고 역할을 합니다. |
| vTPM 상태 전송 | VM이 클러스터 내에서 마이그레이션하거나 장애 조치 시에도 vTPM을 유지합니다. |
| VBS(가상화 기반 보안) | VM의 게스트는 VBS 지원을 사용하여 격리된 메모리 영역을 만들 수 있습니다. |
Note
VM 게스트 부팅 무결성 확인을 사용할 수 없습니다.
Guidance
IgvmAgent는 Azure 로컬 시스템의 모든 컴퓨터에 설치된 구성 요소입니다. 예를 들어 Azure 로컬 VM에 대한 신뢰할 수 있는 시작과 같은 격리된 VM을 지원할 수 있습니다.
Azure 로컬 VM에 대한 신뢰할 수 있는 시작은 현재 선택한 Azure Marketplace 이미지 집합만 지원합니다. 지원되는 이미지 목록은 게스트 운영 체제 이미지를 참조하세요. Azure Portal에서 신뢰할 수 있는 시작 VM을 만들 때 이미지 드롭다운 목록에는 신뢰할 수 있는 시작에서 지원하는 이미지만 표시됩니다. 사용자 지정 이미지를 포함하여 지원되지 않는 이미지를 선택하면 이미지 드롭다운이 비어 표시됩니다. 신뢰할 수 있는 시작에서 Azure 로컬 시스템에서 사용할 수 있는 이미지가 지원되지 않는 경우에도 목록이 비어 있는 것으로 표시됩니다.
Azure 로컬 VM 만들기에 대한 신뢰할 수 있는 시작의 일환으로 Hyper-V VM 상태를 저장하기 위해 디스크의 기본 위치에 VM 파일을 만듭니다. 기본적으로 해당 VM 파일에 대한 액세스는 호스트 서버 관리자로만 제한됩니다. 해당 VM 파일을 다른 위치에 저장하는 경우 해당 위치가 호스트 서버 관리자만 액세스하도록 제한되었는지 확인해야 합니다.
VM 실시간 마이그레이션 네트워크 트래픽은 암호화되지 않습니다. IPsec과 같은 네트워크 계층 암호화 기술을 사용하여 실시간 마이그레이션 네트워크 트래픽을 보호하는 것이 좋습니다.
게스트 운영 체제 이미지
Azure 로컬 VM에서 지원하는 Azure Marketplace의 모든 Windows 이미지 및 Windows Server 이미지가 지원됩니다. 지원되는 모든 Windows 11 이미지 목록은 Azure Marketplace 이미지를 사용하여 Azure 로컬 VM 이미지 만들기 를 참조하세요.
Note
Azure Marketplace 외부에서 가져온 VM 게스트 이미지는 지원되지 않습니다.
백업 및 재해 복구 고려 사항
신뢰할 수 있는 시작 Azure 로컬 VM을 사용하는 경우 VM 백업 및 복구와 관련된 다음과 같은 주요 고려 사항 및 제한 사항을 이해해야 합니다.
VM 백업
모든 VM 파일을 백업합니다. 모든 백업 솔루션 또는 도구를 사용하여 표준 Hyper-V Backup 접근 방식을 따르는 한 모든 VM 파일을 백업할 수 있습니다.
VM 게스트 상태 보호 키를 백업합니다. 표준 Azure 로컬 VM과 달리 신뢰할 수 있는 시작 Azure 로컬 VM은 VM 게스트 상태 보호 키를 사용하여 미사용 상태에서 vTPM(가상 TPM) 상태를 비롯한 VM 게스트 상태를 보호합니다. VM 게스트 상태 보호 키는 VM이 있는 Azure 로컬 인스턴스의 로컬 키 자격 증명 모음에 저장됩니다. VM 게스트 상태 보호 키의 수동 백업 및 복구에 설명된 대로 신뢰할 수 있는 시작 VM을 만드는 즉시 VM 게스트 상태 보호 키를 수동으로 백업해야 합니다. 게스트 상태 보호 키가 없으면 VM을 시작할 수 없습니다.
VM 복구
모든 VM 파일을 복원합니다. 백업 솔루션 또는 도구가 표준 Hyper-V Backup 접근 방식을 따르는 한 모든 백업 솔루션 또는 도구를 사용하여 모든 VM 파일을 복원할 수 있습니다.
VM 게스트 상태 보호 키를 복원합니다. VM 게스트 상태 보호 키의 수동 백업 및 복구에 설명된 대로 VM 게스트 상태 보호 키를 Azure 로컬 인스턴스의 로컬 키 자격 증명 모음으로 복원해야 합니다.
동일한 Azure 로컬 인스턴스로 복원
- 경우에 따라 VM이 실패하기 전에 VM이 상주한 Azure 로컬 인스턴스와 동일한 Azure 로컬 인스턴스로 복원될 수 있습니다. 신뢰할 수 있는 시작 VM이 동일한 Azure 로컬 인스턴스로 성공적으로 복원되면 이전과 마찬가지로 Azure 로컬 컨트롤 플레인을 통해 VM을 관리할 수 있습니다.
다른 Azure 로컬 인스턴스로 복원
- 경우에 따라 VM이 실패하기 전에 VM이 상주한 Azure 로컬 인스턴스와 다른 다른 Azure 로컬 인스턴스로 복원될 수 있습니다. 신뢰할 수 있는 시작 VM이 다른 Azure 로컬 인스턴스로 성공적으로 복원되면 더 이상 Azure Arc 컨트롤 플레인을 통해 VM을 관리할 수 없지만 로컬 VM 관리 도구를 사용하여 관리할 수 있습니다.
VM 복제
Azure 로컬 인스턴스의 가상 머신을 Azure에 복제할 수 있는 Azure Site Recovery는 지원되지 않습니다.