VMware Hands-on Lab - HOL-1911-04-SDC


실습 개요 - HOL-1911-04-SDC - vSphere 6.7 보안 - 시작하기

실습 지침


참고: 이 실습을 완료하는 데 90분 이상 소요됩니다. 한 번에 전체 실습 모듈을 다 완료하지 못할 수도 있습니다.  각 모듈은 서로 독립적이므로 순서에 관계없이 원하는 모듈부터 실습을 시작할 수 있습니다. 목차를 사용하여 원하는 모듈에 바로 액세스할 수 있습니다.

목차는 실습 설명서 오른쪽 상단에서 볼 수 있습니다.

실습 모듈 목록:

 실습 담당자:

  • 모듈 1~6 - Tim Sandy, 커머셜 현장 시스템 엔지니어, 미국

 이 실습 설명서는 다음 Hands-on Lab 문서 사이트에서 다운로드할 수 있습니다.

http://docs.hol.vmware.com

이 실습은 다른 언어로도 제공될 수 있습니다.  원하는 언어로 설정하고 실습과 함께 배포되는 현지화된 설명서를 보려면 실습 과정을 수행할 때 다음 문서를 참조하십시오.

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

주 콘솔 위치

 

  1. 빨간색 상자로 표시된 영역에 주 콘솔이 표시됩니다.  실습 설명서는 주 콘솔의 오른쪽 탭에 있습니다.
  2. 실습에 따라 왼쪽 위의 별도 탭에 추가 콘솔이 제공될 수 있습니다. 필요할 경우 별도의 콘솔을 열라는 지침이 표시됩니다.
  3. 실습이 시작되면 타이머에 90분이 표시됩니다.  이 실습은 저장할 수 없습니다.  실습 세션 동안 모든 작업을 완료해야 합니다.  그러나 EXTEND(연장)를 클릭하여 시간을 늘릴 수는 있습니다.  VMware에서 수행되는 실습에 참석한 경우 실습 시간을 두 번에 걸쳐 총 30분 연장할 수 있습니다.  한 번 클릭할 때마다 15분이 추가됩니다.  VMware 외부에서 진행되는 행사인 경우 실습 시간을 최대 9시간 30분까지 연장할 수 있습니다. 클릭할 때마다 1시간이 추가됩니다.

 

 

키보드 이외의 데이터 입력 방법

이 모듈에서는 주 콘솔에 텍스트를 입력하게 됩니다. 콘솔에 직접 입력하는 대신, 더 쉽게 복잡한 데이터를 입력할 수 있는 두 가지 다른 방법이 있습니다.

 

 

실습 설명서 컨텐츠를 클릭하여 콘솔 활성 창으로 끌어서 놓기

 
 

실습 설명서에서 바로 텍스트와 명령줄 인터페이스(CLI) 명령을 클릭하여 주 콘솔의 활성 창에 끌어 놓을 수 있습니다.  

 

 

온라인 다국어 키보드 액세스

 

주 콘솔에 있는 온라인 다국어 키보드를 사용할 수도 있습니다.

  1. Windows 빠른 실행 작업 표시줄에 있는 키보드 아이콘을 클릭합니다.

 

 

활성 콘솔 창 클릭

 

이 예에서는 온라인 키보드를 사용하여 e-메일 주소에 사용되는 "@" 기호를 입력합니다. "@" 기호는 미국 키보드 배열에서 Shift+2입니다.

  1. 활성 콘솔 창을 한 번 클릭합니다.
  2. Shift 키를 클릭합니다.

 

 

@ 키 클릭

 

  1. "@" 키를 클릭합니다.

활성 콘솔 창에 @ 기호가 입력됩니다.

 

 

정품 인증 확인 또는 워터마크

 

실습을 처음 시작하면 바탕 화면에 Windows의 정품 인증이 확인되지 않았음을 나타내는 워터마크를 볼 수 있습니다.  

가상화의 주요 이점 중 하나는 가상 머신을 이동하여 모든 플랫폼에서 실행할 수 있다는 점입니다.  Hands-on Lab은 이러한 이점을 활용하므로 여러 데이터 센터에서 실습을 실행할 수 있습니다.  하지만, 이러한 데이터 센터는 동일한 프로세서가 아닐 수 있으므로 인터넷을 통한 Microsoft 정품 인증 확인이 필요합니다.

VMware 및 Hands-on Lab은 Microsoft 라이센싱 요구 사항을 완벽하게 준수하고 있습니다.  사용하는 실습 환경은 독립형 포드로, Windows 정품 인증을 위한 인터넷 전체 액세스 권한을 가지고 있지 않습니다.  인터넷에 대한 전체 액세스 권한이 없으면 자동 프로세스가 실패하게 되며 이 워터마크가 나타납니다.

그러나 이러한 외관상의 문제는 실습에 영향을 미치지 않습니다.  

 

 

화면 오른쪽 아랫부분 확인

 

시작 절차가 모두 완료되어 실습을 시작할 준비가 되었는지 확인합니다. "Ready"(준비) 상태가 아니면 몇 분 더 기다려야 합니다.  5분 후에도 "Ready"(준비) 상태로 바뀌지 않으면 도움을 요청하십시오.

 

모듈 1 - ESXi 사용자의 암호 복잡성 자동화(15분)

소개


이 모듈(모듈 1 - ESXi 사용자의 암호 복잡성 자동화)에서는 시스템 관리자가 모든 ESXi 호스트에 대한 보안 정책을 자동화할 수 있는 방법을 알아봅니다. 이 모듈을 위해 vSphere 호스트의 사용자에 대한 암호 복잡성을 설정합니다. 그러나 이는 시스템 관리자가 어떻게 보안 정책을 자동화할 수 있는지 그 방법을 보여주기 위해서입니다. ESXi의 모든 보안 지침을 시행하는 하나의 완벽한 스크립트가 있다고 가정해보십시오. ESXi 호스트를 프로비저닝하는 즉시 규정 준수를 보장할 수 있을 것입니다. 따라서 소프트웨어 정의 데이터 센터를 보호하기 위한 전반적인 운영 비용을 절감할 수 있습니다.

ESXi 암호 및 계정 폐쇄:

ESXi 호스트의 경우 사전 정의된 요구 사항에 맞는 암호를 사용해야 합니다. Security.PasswordQualityControl 고급 옵션을 사용하여 최소 길이 및 문자 클래스 요구 사항을 변경하거나 암호 구문을 허용할 수 있습니다. ESXi는 암호 관리 및 제어를 위해 pam_passwdqc Linux PAM 모듈을 사용합니다. 자세한 내용은 pam_passwdqc에 관한 맨 페이지(manpage)를 참조하십시오.

참고: 릴리스에 따라 ESXi 암호의 기본 요구 사항이 달라질 수 있습니다. Security.PasswordQualityControl 고급 옵션을 사용하여 기본 암호 제한 사항을 확인하고 변경할 수 있습니다.

 ESXi 암호:

ESXi는 Direct Console User Interface, ESXi Shell, SSH 또는 VMware Host Client에서의 액세스에 암호 요구 사항을 적용합니다. 기본적으로 암호를 만들 때 소문자, 대문자, 숫자 및 특수 문자(예: 밑줄이나 대시)의 4개 문자 클래스에 속한 문자들을 조합하여 구성해야 합니다. 사전에 등재된 단어나 그러한 단어의 일부는 암호에 사용할 수 없습니다.

참고: 암호의 첫 번째 글자인 대문자는 사용된 문자 클래스 수에 포함되지 않으며, 숫자로 끝나는 암호에서 마지막 숫자 또한 사용된 문자 클래스의 수에 포함되지 않습니다.

 ESXi 암호의 예:

retry=3 min=disabled,disabled,disabled,7,7로 옵션이 설정된 경우 사용 가능한 암호의 예가 아래에 나와 있습니다.

이 설정에서 첫 3개 항목이 사용할 수 없는(disabled) 것으로 되어 있으므로 문자 클래스가 1~2개인 암호 및 암호 구문은 허용되지 않습니다.  문자 클래스가 3~4개인 암호는 7자 이상이어야 합니다. 자세한 내용은 pam_passwdqc에 관한 맨 페이지(manpage)를 참조하십시오.

이 설정을 사용할 경우 다음과 같은 암호를 사용할 수 있습니다.

ESXi 암호 문구:

암호 대신 암호 구문을 사용할 수 있지만 암호 구문은 기본적으로 비활성화되어 있습니다. vSphere Web Client에서 Security.PasswordQualityControl 고급 옵션을 사용하여 이 기본 설정 또는 다른 설정을 변경할 수 있습니다.

예를 들어 retry=3 min=disabled,disabled,16,7,7로 옵션을 변경할 수 있습니다.

이렇게 설정하면 공백으로 구분되는 3단어 이상으로 구성된 최소 16자의 암호 구문을 사용할 수 있습니다. 기존 호스트의 경우 /etc/pamd/passwd 파일 변경이 계속 지원되지만 향후 릴리스에서는 파일 변경이 더 이상 지원되지 않습니다. 대신 Security.PasswordQualityControl 고급 옵션을 사용해야 합니다.

기본 암호 제한 사항 변경:

ESXi 호스트의 Security.PasswordQualityControl 고급 옵션을 사용하여 암호 또는 암호 구문의 기본 제한 사항을 변경할 수 있습니다. ESXi 고급 옵션 설정에 대한 정보는 vCenter Server 및 호스트 관리 설명서를 참조하십시오.

예를 들어 최소 15자 및 최소 4개 이상의 단어를 요구하도록 기본 설정을 retry=3 min=disabled,disabled,15,7,7 passphrase=4로 변경할 수 있습니다.

자세한 내용은 pam_passwdqc에 관한 맨 페이지(manpage)를 참조하십시오.

참고: pam_passwdqc의 옵션에 대해 가능한 모든 조합이 테스트된 것은 아닙니다. 기본 암호 설정을 변경한 후 추가 테스트를 수행하십시오.

ESXi 계정 폐쇄 동작:

vSphere 6.0 버전부터 SSH 및 vSphere Web Services SDK를 통한 액세스에 대해 계정 폐쇄가 지원됩니다. Direct Console Interface(DCUI) 및 ESXi Shell은 계정 폐쇄를 지원하지 않습니다. 기본적으로 최대 10번의 시도에 실패하면 계정이 폐쇄됩니다. 또한 기본적으로 2분이 지나면 계정 폐쇄가 해지됩니다.

 로그인 동작 구성:

다음 고급 옵션을 사용하여 ESXi 호스트의 로그인 동작을 구성할 수 있습니다.

ESXi 고급 옵션 설정에 대한 정보는 vCenter Server 및 호스트 관리 설명서를 참조하십시오.

이 모듈에는 다음과 같은 과정이 포함되어 있습니다.

 


 

실행할 스크립트(password.ps1)

참고: ESXi 호스트에서 암호 복잡성을 설정하기 위해 실행할 password.ps1 스크립트의 내용이 아래에 나와 있습니다. 이 명령을 지금 실행하지 마십시오!

#암호 정책 설정

Connect-VIServer -server vcsa-01a.corp.local -user administrator@vsphere.local -password VMware1!

#연결된 ESXi 호스트의 목록 가져오기

$VMHosts = Get-VMHost | Where {$_.ConnectionState -eq "Connected"}

#암호 정책 설정

$passwordpolicy = "retry=3 min=disabled,disabled,disabled,7,7"

#전체 호스트의 목록에 대해 고급 설정을 반복 지정

foreach ($VMHost in $VMHosts) {Get-AdvancedSetting -Entity $VMHost -Name Security.PasswordQualityControl |Set-AdvancedSetting -Value $passwordpolicy -Confirm:$false}

 

암호 복잡성 정책 자동화


이 모듈에서는 PowerCLI를 사용하여 단일 클러스터 내 두 호스트에 대해 암호 정책을 설정하는 스크립트(password.ps1)를 실행합니다. PowerCLI를 사용하면 기본적으로 호스트 암호 정책 변경을 비롯한 대규모 변경 사항을 더 빨리 더 쉽고 간편하게 실행할 수 있습니다. 따라서 다수의 호스트(20개 이상)가 있는 환경의 경우 이 방법을 사용하면 개별 호스트의 웹 클라이언트에서 수행하는 것보다 더 효과적으로 호스트에 일괄 변경을 수행할 수 있습니다.


 

PowerCLI 시작

 

1. 바탕 화면에서 VMware PowerCLI 아이콘을 두 번 클릭합니다.

 

 

화면 지우기

 

  1. 다음 명령을 입력하여 화면을 지웁니다.
cls

 

 

password.ps1 스크립트 위치 확인

 

1. 다음 명령을 입력하여 HOL-1911 디렉토리로 변경합니다.

cd C:\LabFiles\HOL-1911\

2. 다음 명령을 입력하여 HOL-1911 디렉토리의 모든 파일을 표시합니다.

ls

3.  password.ps1이라는 이름의 스크립트가 표시됩니다.

이 스크립트에는 다음과 같은 고급 ESXi 설정을 활용하여 복잡성을 변경하는 코드가 포함되어 있습니다. ESXi 호스트의 경우 사전 정의된 요구 사항의 암호를 사용해야 합니다. Security.PasswordQualityControl 고급 옵션을 사용하여 최소 길이 및 문자 클래스 요구 사항을 변경하거나 암호 문구를을 허용할 수 있습니다.

여기에 password.ps1 스크립트에 포함된 모든 코드 행이 표시됩니다.

#암호 정책 설정

Connect-VIServer -server vcsa-01a.corp.local -user administrator@corp.local -password VMware1!

 

#연결된 ESXi 호스트의 목록 가져오기

$VMHosts = Get-VMHost | Where {$_.ConnectionState -eq "Connected"}

 

#암호 정책 설정

$passwordpolicy = "retry=3 min=disabled,disabled,disabled,7,7"

 

#전체 호스트의 목록에 대해 고급 설정을 반복 지정

foreach ($VMHost in $VMHosts) {Get-AdvancedSetting -Entity $VMHost -Name Security.PasswordQualityControl |Set-AdvancedSetting -Value $passwordpolicy -Confirm:$false}

 

 

 

password.ps1 스크립트 실행

 

  1. 다음 명령을 입력하여 password.ps1 스크립트를 실행합니다.
./password.ps1

참고:   위 명령에서 "./"는 현재 작업 중인 디렉토리에서 명령을 실행한다는 것을 나타냅니다. 다른 디렉토리에서 password.ps1 스크립트를 실행하려는 경우 password.ps1 스크립트의 전체 경로를 제공해야 합니다. (예: 'PS C:\> cd C:\LabFiles\HOL-1911\password.ps1').

  1. 암호 복잡성 값이 "retry=3 min=disabled,disabled,disabled,7,7"로 설정되어 있습니다.

옵션을 "retry=3 min=disabled,disabled,disabled,7,7"로 설정한 경우 첫 3개 항목이 사용할 수 없는(disabled) 것으로 되어 있으므로 문자 클래스가 1~2개인 암호 및 암호 구문은 허용되지 않습니다. 문자 클래스가 3~4개인 암호는 7자 이상이어야 합니다.

 

 

PowerCLI 닫기

 

  1. PowerCLI 창의 빨간색 "X"를 클릭하여 PowerCLI를 닫습니다.

 

 

Putty 시작

 

1. 작업 표시줄에서 Putty 아이콘을 클릭합니다.

 

 

esx-01a.corp.local에 연결

 

  1. Saved Sessions(저장된 세션) 아래 esxi-01a.corp.local 서버를 클릭합니다.
  2. 그런 다음 Load(로딩) 버튼을 클릭합니다.
  3. 그런 다음 Open(열기) 버튼을 클릭하여 호스트에 연결합니다.

 

 

화면 지우기

 

  1. Putty 창에 다음 명령을 입력하면 화면이 지워져 명령을 보기가 더 편리하며 화면 공간이 더 넓어집니다.
clear

 

 

변경되었는지 확인

 

저장된 설정에서 esxi-01a.corp.local 서버를 두 번 클릭했으므로 올바른 암호를 사용하여 루트 사용자 계정으로 자동 로그인됩니다.

이제 명령 프롬프트에서 다음 명령을 입력해야 합니다.

  1. 다음 명령을 입력하여 pam.d 폴더로 디렉토리를 변경합니다.
cd /etc/pam.d
  1. 다음 명령을 입력하여 passwd 파일의 텍스트 행을 출력합니다.
cat passwd
  1. 변경이 적용되어 pam에 복잡성 설정이 제대로 로드되었는지 확인해야 합니다.

참고: esx-02a.corp.local에서 1 ~ 2단계를 반복하여 이 호스트에서도 변경되었는지 확인합니다.

 

 

Putty 닫기

 

  1. Putty 창의 빨간색 "X"를 클릭하여 Putty를 닫습니다.

 

 

Putty 종료 확인

 

  1. OK(확인) 버튼을 클릭합니다.

 

 

암호 복잡성 정책 자동화 - 완료

모듈 1: ESXi 사용자의 암호 복잡성 자동화를 완료했습니다.

주로 사용하는 그래픽 사용자 인터페이스(GUI) 대신 PowerCLI 명령을 사용하여 명령줄에서 암호 복잡성 요구 사항을 변경하는 작업을 수행했습니다. 그런 다음 Putty를 통해 호스트에 연결하여 변경 사항이 제대로 적용되었는지 확인했습니다.

 

결론


모듈 1을 완료했습니다.

스크립트를 활용하여 규정에 맞지 않는 보안 정책을 업데이트하는 것은 소프트웨어 정의 데이터 센터의 전반적인 보안 리스크를 줄이고 시스템 보안에 따른 운영 비용을 절감하는 데 매우 중요합니다. 이 모듈에서는 PowerCLI를 사용하여 암호 복잡성 설정을 자동화하는 방법을 살펴보았습니다. 이 방법은 또한 다른 여러 보안 설정에도 적용할 수 있습니다.

다음 모듈을 계속 진행하거나 원하는 다른 모듈로 건너뛸 수 있습니다.


 

암호 정책 자동화 참고 자료:

참고: 실습 환경은 일반적으로 인터넷 연결이 제공되지 않으므로 실습 환경에서는 아래 링크에 접속할 수 없습니다. 이 링크를 제공하는 것은 저장한 후 나중에 참조할 수 있도록 하기 위해서입니다. 휴대폰으로 사진을 찍어 링크 목록을 저장한 후 나중에 확인해보십시오.

 

 

선택 사항: 실습 종료 방법

 

참고: 실습에서 END(종료) 버튼을 클릭하면 실습이 종료되고 관련 가상 머신이 삭제됩니다. 따라서 실습을 다시 시작하면 이전 실습 인스턴스가 아닌 새 가상 머신의 새 인스턴스가 생성됩니다. 이전의 모든 설정은 사라지고 실습이 처음 배포될 때의 기본 설정으로 돌아갑니다.

이제 다음 모듈을 계속 진행하거나 목차를 사용하여 원하는 다른 모듈로 건너뛸 수 있습니다.

실습을 끝내려면 END(종료) 버튼을 클릭합니다.

참고: 실습을 종료한 후 다른 모듈을 실행하려면 실습에 다시 등록해야 합니다.

 

모듈 2 - vRealize Log Insight를 사용한 보안 분석(30분)

소개


이 모듈(모듈 2 - vRealize Log Insight를 사용한 보안 분석)에서는 vSphere 시스템 관리자가 vSphere 6.7 및 vRealize Log Insight의 로깅 기능을 사용하여 vCenter에서 실제로 누가 무엇을 했는지 알아보는 방법에 대해 살펴봅니다. vRealize Log lnsight는 직관적이고 실행 가능한 대시보드, 정교한 분석 및 광범위한 타사 확장성을 지원하는 이기종의 확장성이 매우 우수한 로그 관리를 제공합니다. 물리적, 가상, 클라우드 환경 간 깊이 있는 운영 가시성을 제공하여 신속하게 문제를 해결할 수 있습니다.

vRealize Log Insight for vCenter FAQ 블로그:  https://blogs.vmware.com/management/2016/02/vrealize-log-insight-for-vcenter-faq.html

또한 이 모듈에서는 시스템 관리자가 신속하게 가상 머신을 재부팅한 사용자는 물론 ESXi에 대한 유효하거나 허용되지 않은 로그인 시도를 확인할 수 있도록 vRealize Log Insight에서 맞춤형 대시보드를 만드는 방법을 알아봅니다. vRealize Log Insight 내 보안 운영 컨텐츠 팩의 보안 대시보드에 대해서도 살펴봅니다. 이 컨텐츠 팩은 추가 확장성을 제공하기 위해 vRealize Log Insight에 설치할 수 있는 여러 팩 중 하나입니다. 다른 컨텐츠 팩은 VMware Solutions Exchange에서 다운로드할 수 있습니다.

vSphere 6.5 이전 버전에서는 각 사용자가 vCenter 수준에서 수행한 작업이 ESXi 로그에 “vpxuser” 사용자 이름으로 기록되었습니다.

 6.7 버전에서는 ESXi 서버에 대한 vCenter의 모든 작업이 이제 vCenter 사용자 이름과 함께 ESXi 로그에 표시됩니다.

이 모듈에는 다음과 같은 과정이 포함되어 있습니다.


 

실행 가능한 로깅

 

vSphere 6.7에서는 이제 실행 가능한 로그 정보가 제공됩니다. 로그를 통해 시스템 관리자 계정이 PCI vSwitch에서 비 PCI vSwitch로 가상 머신을 옮겼다는 것을 알 수 있습니다. 안전한 네트워크에서 안전하지 않은 네트워크로 이동한 것으로 보입니다. 여기서 중요한 점은 이것이 보안 이벤트라는 것입니다.

vRealize Log Insight는 이를 분석하여 알림을 생성할 수 있습니다. 이것이 중요한 이유는 이제 가상 머신이 보안 규정에 위배되는 즉시 IT 시스템 관리자에게 알림을 제공할 수 있기 때문입니다.

참고: 이는 일반적인 예이며 기존 실습 환경과 관련되지 않습니다.

 

vCenter Server 6.7의 사용자 인터페이스 알아보기


이 과정에서는 보안 관련 기능과 관련된 vCenter Server의 사용자 인터페이스에 대해 간략히 알아봅니다. vSphere 6.7에서는 향상된 감사 품질 로깅을 제공합니다. 6.7 버전 이전에는 로그가 IT 운영이나 보안 사용 사례 보다는 "문제 해결"에 보다 집중적으로 사용되었습니다. 예를 들어, 가상 머신이 한 네트워크에서 다른 네트워크로 재구성된 경우 로그에 기록되는 내용은 "Virtual Machine <name> reconfigured"가 다였습니다. 정확하지만 이것만으로는 충분하지 않습니다.

 Syslog를 통해 제공되는 vCenter 로그에 vCenter 이벤트의 데이터가 추가됩니다. 이러한 로그에는 "이전" 및 "이후"의 설정 변경 사항이 명시됩니다.  이를 통해 vSphere 환경의 변경 사항을 정확하게 알 수 있어 IT 및 보안 시스템 관리자의 문제 해결 능력이 향상됩니다. 아래 이미지는 "PCI-vSwitch" 네트워크, 즉 PCI(Payment Card Industry)용 네트워크 트래픽 보안을 제공하는 것으로 추정되는 네트워크에서 "Non-PCI-vSwitch" 네트워크로 가상 머신이 이동했다는 것을 보여줍니다.

현재 vSphere 6.7 이하 버전에서 가상 머신을 변경하면 “Mike Foley reconfigured this VM”(Mike Foley가 이 가상 머신 변경)과 같은 수준의 메시지만 표시됩니다. 이러한 정보는 실행 가능하지 않다는 문제가 있습니다. 보안과 관련되어 있는지, 안전한 네트워크에서 안전하지 않은 네트워크로 옮겼는지 알 수 없습니다.

이 경우에 Log Insight가 도움이 될까요? 아니요, vRealize Log Insight 및 다른 syslog 수집기는 수신되는 정보에 대해서만 조치를 취할 수 있습니다.

PCI에 해당하는 가상 머신을 PCI 네트워크에서 비 PCI 네트워크로 옮기는 것은 중대한 보안 문제를 야기할 수 있습니다. vSphere 6.7의 향상된 로깅 기능은 SYSLOG를 통해 바로 로깅 솔루션으로 이를 알리고, 다시 분석을 거쳐 이러한 심각한 상황에 대한 알림을 생성합니다.

vSphere 6.7에서는 가상 머신 외 모든 vSphere 변경 사항에 대해 더욱 향상된 로깅을 제공합니다. vCenter 역할과 사용 권한의 변경, 가상 머신 다운로드와 같은 데이터스토어 탐색 기능, vCenter 클러스터 및 호스트의 생성 및 수정과 같은 작업이 모두 향상된 로깅에 포함됩니다.

5.x 및 6.0 로깅을 사용한 경우 이러한 변경 사항으로 인해 "info" 이상으로 로깅 레벨을 높일 필요가 없으며, vCenter 또는 vCenter 데이터베이스에 로드가 크게 증가하지도 않습니다. 기존 vCenter 이벤트의 일부로 이미 정보가 기록되고 있기 때문입니다. 단지 향상된 로깅은 Syslog 스트림을 통해 이 정보를 노출하는 것입니다. 문제 해결 및 지원 로그에는 영향이 없으며 필요에 따라 지원 팀에서 계속 사용합니다.


 

Google Chrome 열기

 

Google Chrome이 열려 있지 않을 경우 다음 중 한 가지 방법으로 엽니다.

  1. 빠른 실행 작업 표시줄에 있는 Google Chrome 아이콘을 클릭합니다.

참고: Google Chrome이 이미 열려 있을 경우 다음 단계로 넘어갑니다.

 

 

RegionA vCenter Server(플래시)

 

이 과정에서는 플래시 기반의 이전 vSphere Web Client를 사용하여 이 특정 클라이언트의 시스템 로그를 확인합니다.

  1. 북마크 도구 모음에 있는 RegionA vSphere Client (Flash) 북마크를 클릭합니다.

 

 

RegionA vCenter Server (Flash)에 로그인

 

  1. Username(사용자 이름) 텍스트 필드에 administrator@corp.local을 입력합니다.
  2. Password(암호) 텍스트 필드에 VMware1! 를 입력합니다.
  3. 그런 다음 Login(로그인) 버튼을 클릭합니다.

 

 

 

  1. 컨텐츠 창 상단의 Home(홈) 아이콘 위로 마우스를 가져갑니다.
  2. 드롭다운 메뉴에서 Home(홈)을 클릭합니다.

 

 

창 최소화

 

vCenter Web Client의 창 공간을 늘리기 위해 여러 창을 최소합니다.

  1. Work In Progress(진행 중인 작업) 창 옆에 있는 압정 아이콘을 클릭합니다.
  2. Alarms(경보) 창 옆에 있는 압정 아이콘을 클릭합니다.
  3. Recent Objects(최근 객체) 창 옆에 있는 압정 아이콘을 클릭합니다.
  4. Recent Tasks(최근 작업) 창 옆에 있는 압정 아이콘을 클릭합니다.

 

 

기본 홈 뷰

 

Home(홈) 뷰에서는 왼쪽 탐색 창에 호스트 및 클러스터, 가상 머신 및 템플릿, 스토리지, 네트워킹, 정책 및 프로필 등을 포함하여 다양한 객체 그룹 유형의 목록이 표시됩니다. 오른쪽에는 여러 섹션으로 나뉘어져 있는 컨텐츠 창이 있습니다.

  1. Inventories(인벤토리) 섹션은 호스트 및 클러스터, 가상 머신 및 템플릿, 스토리지, 네트워킹 등에서 주로 사용되는 섹션입니다.
  2. 운영 및 정책 섹션도 있습니다. 작업, 이벤트, 가상 머신 스토리지 정책 등이 표시됩니다.
  3. Administration(관리) 섹션에는 역할, 시스템 구성, 라이센싱 등이 표시됩니다.
  4. 마지막으로 vRealize Orchestrator, Hybrid Cloud Manager, 등의 플러그인을 위한 Plug-ins for Installation(설치용 플러그인) 섹션이 있습니다.

참고: Plug-ins for Installation(설치용 플러그인) 섹션을 보려면 아래로 스크롤해야 할 수 있습니다.

 

 

글로벌 인벤토리 목록

 

  1. 컨텐츠 창의 Inventories(인벤토리) 섹션 아래에서 Global Inventory Lists(글로벌 인벤토리 목록)를 클릭합니다.

 

 

vCenter 홈 뷰

 

이제 vCenter Server의 모든 객체 유형 목록이 제공되는 vCenter 홈 뷰가 표시됩니다.

  1. 왼쪽 탐색 창에서 vCenter Servers 객체를 클릭합니다.

 

 

vCenter Server 시스템 로그

 

vCenter Server의 시스템 로그를 보려면 vCenter Server가 여러 대 있으므로 먼저 로그를 보려는 vCenter Server를 선택해야 합니다. 그럼 다음 추가로 몇 가지 선택을 해야 로그 파일을 볼 수 있습니다.

  1. 왼쪽 탐색 창에서 vcsa-01a.corp.local vCenter Server를 클릭합니다.
  2. 컨텐츠 창에서 Monitor(모니터) 탭을 클릭합니다.
  3. System Logs(시스템 로그) 탭을 클릭합니다.

vCenter Server Log [vpxd-***.log]의 기본 로그가 표시되지만 드롭다운을 통해 다른 vCenter 로그 파일을 선택할 수 있습니다.

참고: 실습 환경에 표시되는 로그 파일은 화면 캡처와 다를 수 있습니다.

 

 

다른 로그 파일 선택

 

이 시점에서 다른 vCenter Server 로그, 즉 vpxd.log를 보려고 합니다.

  1. vCenter Server logs 드롭다운 메뉴를 클릭한 후 vCenter Server log [vpxd.log]를 선택합니다.
  2. 이 로그 파일이 표시되거나 vCenter Server의 이전 버전보다 좀 더 긴 이름으로 표시될 수 있습니다.

 

 

시스템 로그 익스포트

 

많은 시스템 관리자, 특히 VMware의 vRealize Log Insight 솔루션과 같은 로그 분석 솔루션이 없는 시스템 관리자에게는 로그를 익스포트할 수 있는 기능이 매우 중요합니다. 다음과 같이 필요한 로그를 간편하게 익스포트할 수 있습니다.

  1. Export System Logs(시스템 로그 익스포트) 버튼을 클릭합니다.

 참고: 실습 환경에 표시되는 로그 파일은 화면 캡처와 다를 수 있습니다.

 

 

시스템 로그 익스포트 - 호스트 선택

 

이제 vSphere 호스트를 선택하여 해당 로그를 익스포트할 수 있습니다. 이 실습에서는 호스트 1대의 시스템 로그와 vCenter Server 및 vSphere Web Client 로그를 익스포트합니다.

  1. esx-01a.corp.local 옆의 확인란을 클릭하여 이 호스트를 선택합니다.
  2. Include vCenter Server and vSphere Web Client logs(vCenter Server 및 vSphere Web Client 로그 포함) 옆의 확인을 클릭하여 익스포트에 이 로그 파일을 포함합니다. (이 옵션을 선택하면 파일의 크기가 크게 증가함)
  3. Next(다음) 버튼을 클릭합니다.

참고: 실습 환경의 호스트 이름이 화면 캡처와 다를 경우 올바른 vCenter Server에 로그인했는지 확인하십시오.

 

 

로그 선택

 

이제 익스포트할 로그 파일을 선택하는 방법을 알아보겠습니다. 로그 파일의 몇 가지 예로 시스템, 성능 스냅샷, 설치 프로그램, 가상 머신 등이 있습니다. 또한 정해진 기간 동안 성능 데이터를 수집하고 코어 덤프 파일을 암호화하기 위한 암호를 설정할 수 있습니다.

  1. 필요할 경우 페이지 아래로 스크롤하면 Network(네트워크) 확인란이 표시됩니다.
  2. Network(네트워크) 확인란의 선택을 해제합니다.
  3. Gather performance data(성능 데이터 수집)를 클릭하고 기본 설정을 유지합니다.
  4. 시간 및 디스크 공간 문제로 인해 실제로 로그를 익스포트하지는 않을 것이므로 Cancel(취소) 버튼을 클릭합니다.

참고: 로그 파일 수집에 소요되는 시간과 공간 상의 문제로 인해 Finish(마침)를 클릭하지 않습니다. 이 실습은 로그 파일을 익스포트하는 방법과 캡처하기 위해 선택할 수 있는 옵션을 보여주기 위한 것입니다.

 

 

줄 번호 표시

 

로그 파일을 볼 때 로깅되는 각 이벤트의 시작과 끝을 쉽게 구분할 수 있도록 로그에 줄 번호를 추가하는 옵션이 제공됩니다.

  1. Show line numbers(줄 번호 표시) 확인란을 클릭합니다.
  2. 이제 줄 번호가 표시되어 다음 로그 파일이 시작되는 위치를 쉽게 확인할 수 있습니다.
  3. 또한 원할 경우 Show Next 2000 Lines(다음 2,000줄 표시) 및 Show All Lines(모든 줄 표시)도 가능합니다. 각 확인란을 클릭하여 그 결과를 확인할 수 있습니다.

참고: 실습 환경에 표시되는 로그 파일은 화면 캡처와 다를 수 있습니다.

 

 

vSphere Web Client

이것으로 "플래시 기반" vSphere Web Client 사용이 끝났습니다. 하지만 다음 과정의 1단계에서도 사용하므로 종료하지 않고 그대로 두겠습니다.

 

 

vCenter Server 6.7의 사용자 인터페이스 알아보기 - 완료

로그 파일, 이벤트 등 보안 측면의 업데이트를 표시하는 것과 관련하여 vCenter Server 사용자 인터페이스에 대해 알아보는 과정을 완료했습니다. 또한 이를 위해 로그 파일을 익스포트하기 위한 프로세스에 대해서도 살펴보았습니다.

 

vCenter Server 6.7 로그 개요


vSphere 6.5 버전부터 향상된 감사 품질 로깅이 도입되었습니다. vSphere 6.5 이전에는 로그가 IT 운영이나 보안 사용 사례 보다는 "문제 해결"에 보다 집중적으로 사용되었습니다. 예를 들어, 가상 머신이 한 네트워크에서 다른 네트워크로 재구성된 경우 로그에 기록되는 내용은 "Virtual Machine <name> reconfigured"가 다였습니다. 정확하지만 이것만으로는 충분하지 않습니다. vSphere 6.7에서는 로깅 기능을 계속 개선하여 일상적인 작업을 훨씬 더 쉽고 편리하게 수행할 수 있도록 했습니다.


 

vSphere Client(HTML) 실행

 

이제 이전의 플래시 기반 웹 클라이언트를 더 이상 사용하지 않고 HTML5 기반 웹 클라이언트를 실행할 것입니다. HTML5 웹 클라이언트에 대한 이 링크는 Sphere 6.7의 플래시 기반 웹 클라이언트에 새로 추가된 기능입니다. 이를 통해 더 빨리 서로 다른 버전의 클라이언트 간 전환할 수 있습니다.

  1. 웹 클라이언트 오른쪽 상단의 Launch vSphere Client (HTML5)(vSphere Client(HTML5) 실행)를 클릭합니다.

 

 

vSphere Client(HTML) 실행

 

이제 다음 단계를 수행하여 플래시 기반 브라우저를 닫을 수 있습니다.

  1. 플래시 기반 웹 클라이언트의 탭에서 "X"를 클릭합니다.

 

 

RegionA vCenter Server에 로그인(HTML5)

 

필요할 경우 HTML5 웹 인터페이스에 로그인합니다. 하지만 플래시 기반 vSphere Web Client에 로그인된 상태에서 링크를 클릭했으므로 자동으로 로그인되어 있어야 합니다.

  1. 사용자 이름 필드에 administrator@corp.local을 입력합니다.
  2. Password(암호) 필드에 VMware1!를 입력합니다.
  3. Login(로그인) 버튼을 클릭합니다.

 

 

최근 작업 창 최소화

 

이제 최근 작업 창을 최소화하여 vCenter Web Client의 작업 공간을 늘리겠습니다.

  1. 웹 클라이언트 오른쪽 하단의 이중 아래쪽 화살표를 클릭하여 Recent Taks(최근 작업) 창을 최소화합니다.

 

 

기본 vCenter Server 뷰

 

이제 이전 버전보다 훨씬 빠르고 우수한 사용자 환경을 제공하는 HTML5 기반의 최신 웹 클라이언트에서 작업을 시작합니다.

  1. 컨텐츠 창 상단의 Menu(메뉴) 드롭다운 메뉴를 클릭합니다.
  2. Home(홈) 드롭다운 메뉴에서 Global Inventory Lists(글로벌 인벤토리 목록)를 선택합니다.

 

 

vCenter 홈 뷰

 

이제 vCenter 홈 뷰와 여러 다양한 객체가 표시됩니다. vCenter Server 목록으로 이동하겠습니다.

  1. 왼쪽 탐색 창에서 vCenter Servers 객체를 클릭합니다.

 

 

vCenter Server 시스템 문제

 

시스템 관리자에게 문제 해결은 시간이 많이 걸리는 번거로운 작업일 수 있습니다. 그러나 VMware는 관련 정보를 제공하여 시스템 관리자가 신속하게 문제를 찾아 해결할 수 있도록 지원합니다. 이를 위한 첫 번째 방법으로 문제 탭을 제공하여 지속적으로 문제를 알려줍니다. 문제를 확인하는 방법은 다음과 같습니다.

  1. 왼쪽 탐색 창에서 vcsa-01a.corp.local을 클릭합니다.
  2. 컨텐츠 창에서 Monitor(모니터) 탭을 클릭합니다.
  3. 컨텐츠 창에서 All Issues(모든 문제) 선택 항목을 클릭합니다.

All Issues(모든 문제) 탭을 클릭하면 All Issues(모든 문제) 선택 항목이 열립니다. 이는 실습 환경이므로 화면 캡처에는 현재 보고되는 문제가 없는 것으로 표시됩니다. 현재 작업 중인 실습 환경에서는 문제가 표시되거나 표시되지 않을 수도 있습니다. 그러나 실제 운영 환경에서는 몇 가지 문제가 표시될 가능성이 높습니다.

참고: 실습 환경에 표시되는 문제 목록은 화면 캡처와 다를 수 있습니다.

 

 

vCenter Server 작업

 

Tasks & Events(작업 및 이벤트) 탭에는 VMFS 볼륨 및 HBA의 재검색과 같은 작업이 표시됩니다. Events(이벤트) 섹션에는 사용자가 로그인/로그아웃했거나 변경 사항을 적용하는 등의 이벤트가 표시됩니다. Scheduled Tasks(스케줄링된 작업)는 사용자가 생성한 모든 스케줄링된 작업이 표시됩니다. 다시 말하지만 실습 환경이므로 현재 스케줄링된 작업이 구성되어 있지 않습니다.

  1. Tasks & Events(작업 및 이벤트) 아래에 있는 Tasks(작업)를 클릭합니다.

참고: 더 많은 정보를 보려면 스크롤 막대를 사용하거나 화면을 조정해야 할 수 있습니다. 또한 실습 환경에 표시되는 작업 목록은 화면 캡처와 다를 수 있습니다.

 

 

vCenter Server 이벤트

 

Tasks & Events(작업 및 이벤트) 탭에는 VMFS 볼륨 및 HBA의 재검색과 같은 작업이 표시됩니다. Events(이벤트) 섹션에는 사용자가 로그인/로그아웃했거나 변경 사항을 적용하는 등의 이벤트가 표시됩니다. Scheduled Tasks(스케줄링된 작업)는 사용자가 생성한 모든 스케줄링된 작업이 표시됩니다. 다시 말하지만 실습 환경이므로 현재 스케줄링된 작업이 구성되어 있지 않습니다.

  1. Tasks & Events(작업 및 이벤트) 아래에 있는 Events(이벤트)를 클릭합니다.

참고: 더 많은 정보를 보려면 스크롤 막대를 사용하거나 화면을 조정해야 할 수 있습니다. 또한 실습 환경에 표시되는 작업 목록은 화면 캡처와 다를 수 있습니다.

 

 

vCenter Server 세션

 

때로는 시스템 관리자가 vCenter Server에 연결된 대상 및 사용자를 확인하고 이러한 열린 세션을 보기를 원할 수 있습니다. 이러한 열린 세션을 보는 방법은 다음과 같습니다.

  1. Sessions(세션)를 클릭하고 세션 정보를 검토합니다.

참고: 더 많은 정보를 보려면 스크롤 막대를 사용하거나 화면을 조정해야 할 수 있습니다. 또한 실습 환경에 표시되는 작업 목록은 화면 캡처와 다를 수 있습니다.

 

 

vCenter Server 상태

 

Tasks & Events(작업 및 이벤트) 탭에는 VMFS 볼륨 및 HBA의 재검색과 같은 작업이 표시됩니다. Events(이벤트) 섹션에는 사용자가 로그인/로그아웃했거나 변경 사항을 적용하는 등의 이벤트가 표시됩니다. Scheduled Tasks(스케줄링된 작업)는 사용자가 생성한 모든 스케줄링된 작업이 표시됩니다. 다시 말하지만 실습 환경이므로 현재 스케줄링된 작업이 구성되어 있지 않습니다.

  1. Health(상태)를 클릭합니다.

참고: 더 많은 정보를 보려면 스크롤 막대를 사용하거나 화면을 조정해야 할 수 있습니다. 또한 실습 환경에 표시되는 작업 목록은 화면 캡처와 다를 수 있습니다.

 

 

vSphere Web Client

다음 과정에서 사용할 것이므로 HTML5 기반 vSphere Web Client를 계속 열어두시기 바랍니다.

 

 

vCenter Server 사용자 인터페이스 개요 - 완료

모듈 2의 vCenter Server 6.7 로그 개요 섹션을 완료했습니다.

이 vCenter Server 사용자 인터페이스 개요에서는 로그 파일, 이벤트, 작업 등 보안과 관련된 기능을 살펴보았습니다. 보안 관점에서 볼 때 시스템 로그가 가장 중요하게 평가되지만 다른 영역을 살펴보는 것 또한 매우 중요할 수 있습니다.

 

 

vCenter용 Log Insight 이상의 향상된 Log Insight 기능에 대한 소개 정보


이 실습에서는 vCenter 이벤트 및 SysLog 메시지를 사용하여 vCenter Server 인벤토리의 향상된 감사 기능을 살펴봅니다. 이 실습에서는 vCenter 및 ESXi 서버의 향상된 이벤트 로깅 기능도 살펴봅니다. vCenter 데이터베이스의 정형 데이터를 기반으로 하는 이벤트로 새로운 syslog 스트림을 경험하게 됩니다. 그런 다음 vRealize Log Insight 로그 집계 툴을 사용하여 로깅 기능을 살펴볼 것입니다.


 

메뉴

 

이제 다음을 수행하여 Hosts and Clusters(호스트 및 클러스터) 뷰로 이동하겠습니다.

  1. 페이지 상단의 Menu(메뉴) 버튼을 클릭합니다.
  2. 그런 다음 드롭다운 메뉴에서 Hosts and Clusters(호스트 및 클러스터)를 클릭합니다.

 

 

가상 머신 및 템플릿

 

이제 core-01a 템플릿을 사용하여 이 실습에서 여러 용도로 사용할 새 가상 머신을 생성합니다.

  1. core-01a 가상 머신이 표시될 때까지 vcsa-01a.corp.local vCenter Server 아래 모든 항목을 엽니다.

 

 

core-01a - 설정 편집

 

  1. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 그런 다음 Edit Settings(설정 편집)를 클릭합니다.

 

 

core-01a - 메모리 편집

 

이제 core-01a 가상 머신에 대해 몇 가지 변경을 수행하여 로깅을 트리거한 후 이를 확인해 보겠습니다. 첫 번째 변경 사항은 할당된 메모리입니다.

  1. 할당된 메모리를 256에서 128로 변경합니다.
  2. 그런 다음 OK(확인) 버튼을 클릭하여 변경을 완료합니다.

 

 

core-01a 가상 머신

 

  1. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 그런 다음 Edit Settings(설정 편집)를 클릭합니다.

 

 

core-01a - 설정 편집(어댑터)

 

이제 core-01a 가상 머신의 네트워크 어댑터 1을 분리하겠습니다.

  1. 네트워크 어댑터 1에 대한 확인란의 선택을 해제하여 가상 머신의 어댑터를 분리합니다.
  2. 그런 다음 OK(확인) 버튼을 클릭하여 변경을 완료합니다.

 

 

core-01a - 설정 되돌리기

 

  1. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 그런 다음 Edit Settings(설정 편집)를 클릭합니다.

 

 

core-01a - 설정 편집(메모리 및 어댑터)

 

이제 core-01a 가상 머신의 원래 구성으로 모든 설정을 되돌리겠습니다.

  1. 할당된 메모리를 128에서 256으로 변경합니다.
  2. 네트워크 어댑터 1에 대한 확인란을 선택하여 가상 머신의 어댑터를 다시 연결합니다.
  3. 그런 다음 OK(확인) 버튼을 클릭하여 변경을 완료합니다.

 

 

core-01a - 생성된 이벤트 확인

 

  1. core-01a 가상 머신을 클릭합니다.
  2. 그런 다음 컨텐츠 창에서 Monitor(모니터) 탭을 클릭합니다.
  3. 이제 컨텐츠 창의 Tasks & Events(작업 및 이벤트) 아래에서 Tasks(작업)를 선택합니다.
  4. 첫 몇 개의 작업 항목을 보면 core-01a 가상 머신에 가상 머신 재구성 작업이 수행되었음을 알 수 있습니다. 각 항목을 클릭하여 변경된 사항과 관련된 로그 설명을 확인해 보십시오.

참고: 일부 항목은 확장하거나 막대를 위로 이동해야 컨텐츠 창 하단에 표시되는 내용을 모두 볼 수 있습니다.

 

 

Chrome에서 새 탭 열기

 

이제 vRealize Log Insight 서버에 로그인하여 core-01a 가상 머신을 재구성할 때 생성된 로그를 찾아보겠습니다.

  1. Google Chrome에서 New Tab(새 탭) 버튼을 클릭하여 새 탭을 엽니다.

 

 

vRealize Log Insight

 

이제 vRealize Log Insight 서버에 로그인하여 core-01a 가상 머신을 재구성할 때 생성된 로그를 찾아보겠습니다.

  1. 새로 연 새 탭을 클릭합니다.
  2. 이제 북마크 도구 모음에서 vRealize Log Insight 북마크를 클릭합니다.

 

 

vRealize Log Insight 로그인

 

  1. User name(사용자 이름) 텍스트 필드에 admin을 입력합니다.
  2. Password(암호) 필드에 VMware1!를 입력합니다.
  3. LOGIN(로그인) 버튼을 클릭합니다.

 

 

대화형 분석 탭

 

  1. 페이지 상단의 Interactive Analytics(대화형 분석) 탭을 클릭합니다.

 

 

이벤트 변경 로그 찾기

 

core-01a 가상 머신을 변경할 때 생성된 변경 로그를 찾아보겠습니다. 그러려면 vRealize Log Insight 인터페이스에서 검색 기능을 사용하여 찾아야 합니다.

  1. 검색 필드에 core-01a를 입력합니다.  입력을 시작하면 vRealize Log Insight에서 이미 기록된 모든 로그 중에서 선택하여 자동으로 값을 채웁니다.
  2. Time(시간) 드롭다운 메뉴를 클릭하고 Latest hour of data(최근 1시간의 데이터)를 선택합니다. 필요할 경우 더 긴 시간 단위를 선택하여 관련된 core-01a 가상 머신 로그를 찾을 수 있습니다.
  3. 확대경(검색) 아이콘을 클릭하여 검색을 수행합니다.
  4. 이제 core-01a 가상 머신이 포함된 모든 로그가 표시될 것입니다. core-01a 가상 머신의 메모리 변경은 물론 네트워크 어댑터 설정/해제에 대한 로그 항목이 표시되어야 합니다.

 

 

결론

이 과정에서는 vCenter Server 로그 파일의 향상된 기능과 이전 버전보다 더 자세한 정보를 제공하여 시스템 관리자가 훨씬 더 쉽게 문제를 해결할 수 있다는 것을 알아보았습니다. 로그 파일과 함께 vCenter Server 문제, 작업 및 이벤트, 세션에 대해서도 살펴보았습니다. 이러한 기능은 vSphere 환경의 문제를 해결할 때에도 매우 유용하게 사용됩니다.

마지막으로 환경에서 로그를 확인, 검색 및 상호 연관시킬 수 있는 더욱 빠르고 간단한 방법을 제공하는 vRealize Log Insight의 기능에 대해 간략히 살펴보았습니다.

 

보안 감사 작업 수행


vRealize Log Insight에서 데이터 분석을 시작하기 전에 조직 내부에서 발생할 수 있는 이벤트를 모방하기 위해 몇 가지 보안 감사 작업을 수행해야 합니다.

vCenter Server 인터페이스에서 가상 머신을 다시 시작하고 ESXi 호스트에 루트 사용자 및 승인되지 않은 사용자의 로그인을 시도합니다. 이 기능을 시연하기 위해 ESXi를 사용하지만 스토리지 및 네트워크 디바이스 외 Windows 또는 Linux 운영 체제도 가능합니다. vRealize Log Insight는 모든 기기의 로그를 사용할 수 있으므로 가상 및 물리적 디바이스의 로그도 포함할 수 있습니다.


 

vSphere Web Client 탭으로 전환

 

이제 Google Chrome 브라우저의 vSphere Web Client 탭으로 다시 전환합니다.

  1. vSphere Web Client 탭을 클릭하여 vSphere Web Client로 전환합니다.

 

 

호스트 및 클러스터 뷰

 

이제 vSphere Web Client에 Hosts and Clusters(호스트 및 클러스터) 뷰가 표시되어야 합니다. 그렇지 않다면 아래 단계를 수행합니다.

  1. 탐색 창에서 Hosts and Clusters(호스트 및 클러스터) 아이콘을 클릭합니다.

 

 

core-01a 시작

 

이제 core-01a 가상 머신을 시작합니다.

  1. 탐색 창에서 core-01a 가상 머신을 클릭합니다.
  2. 브라우저 창 상단의 ACTIONS(작업) 드롭다운 메뉴를 클릭합니다.
  3. 드롭다운 메뉴에서 Power(전원)를 선택합니다.
  4. Power On(전원 켜기)을 클릭합니다.

 

 

core-01a가 시작되었는지 확인

 

이제 다음 작업을 수행하여 core-01a 가상 머신이 실행 중인지 확인해보겠습니다.

  1. core-01a 가상 머신이 선택된 상태에서 Content Pane(컨텐츠 창)의 Summary(요약) 탭을 클릭합니다.
  2. 이 창에서 가상 머신이 실행 중인지 확인하기 위해 검정색 창의 왼쪽 하단에 Powered On(전원 켜짐)이 표시되는지 확인합니다.

참고: 가상 머신이 실행되는 데 1분 정도 소요될 수 있으며 화면 캡처와 같이 가상 머신 상태가 표시되려면 vSphere Web Client를 새로 고쳐야 할 수 있습니다.

 

 

core-01a 다시 시작

 

이제 core-01a 가상 머신을 다시 시작하여 재부팅 작업에 대한 로그 파일이 생성되도록 해야 합니다.

  1. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 선택합니다.
  3. Power(전원) 드롭다운 메뉴에서 Restart Guest OS(게스트 OS 재시작)를 클릭합니다.

 

 

core-01a가 다시 시작되었는지 확인

 

  1. YES(예) 버튼을 클릭하여 게스트를 다시 시작합니다.

 

 

Google Chrome 최소화

 

이제 vSphere Web Client에서 수행할 작업을 완료했습니다. 이제 원할 경우 Google Chrome 브라우저를 최소화한 후 다음 과정에서 다시 사용할 수 있습니다.

  1. 브라우저 창의 오른쪽 상단에서 Minimize(최소화) 아이콘을 클릭하여 최소화합니다.

 

 

Putty 열기

 

이제 Putty 애플리케이션을 통해 core-01a가 실행되고 있는 호스트에 연결합니다. Putty는 SSH 프로토콜을 사용하여 호스트에 연결하는 데 사용하는 명령줄 애플리케이션입니다. 이 작업을 수행하는 목적은 검색할 새 사용자 로그인 로그를 만들기 위해서입니다.

  1. Windows 작업 표시줄에 있는 Putty 아이콘을 클릭하여 Putty 애플리케이션을 실행합니다.

 

 

esx-02a.corp.local에 로그인

 

이미 올바른 암호가 저장되어 있는 저장된 세션을 사용하여 루트 사용자로 esx-02a.corp.local에 로그인합니다.

  1. Saved Sessions(저장된 세션) 아래 sx-02a.corp.local이 표시될 때까지 아래로 스크롤합니다.
  2. Saved Sessions(저장된 세션) 필드에서 esx-02a.corp.local두 번 클릭합니다.

 

 

루트 인증

 

  1. 이제 루트 사용자로 esx-02a.corp.local에 자동 로그인되었으며 퍼블릭 키를 사용하여 인증되었습니다.

 

 

새 Putty 세션

 

이 Putty 세션을 종료하고 새 Putty 세션을 열어야 합니다. 이번에는 사전 구성된 세션으로 로그인하지 않습니다.

  1. Putty 창 왼쪽 상단의 이중 모니터 아이콘을 클릭합니다.
  2. New Session...(새 세션)을 선택합니다.

 

 

esx-01b.corp.local에 수동으로 다시 연결

 

이번에는 사전 구성된 사용자 이름과 암호를 사용하지 않고 수동으로 호스트 이름을 입력합니다. 의도적으로 잘못된 로그인 정보를 사용하여 로그인하겠습니다.

  1. 호스트 이름(또는 IP 주소) 텍스트 필드에 수동으로 esx-02a.corp.local을 입력합니다.
  2. 이제 Open(열기) 버튼을 클릭합니다.

 

 

액세스 거부 - admin

 

이제 의도적으로 잘못된 암호를 사용하여 admin 사용자 계정에 로그인을 시도합니다.

  1. login as:(다음 사용자로 로그인:) 옆에 아래와 같이 입력하고 Enter 키를 누릅니다.
admin
  1. Password:(암호:) 옆에 아래와 같이 입력하고 Enter 키를 누릅니다.
admin
  1. 각 Putty 창의 오른쪽 상단에 있는 빨간색 X를 클릭하여 Putty 세션을 모두 종료합니다.

참고: 2단계에서 나와야 하는 반응은 액세스 거부입니다.

 

 

Putty 종료 확인

 

마지막 Putty 창의 빨간색 X를 클릭하면 Putty 종료 확인 창이 표시됩니다.

  1. OK(확인) 버튼을 클릭하여 마지막 Putty 창의 종료를 확인합니다.

 

 

보안 감사 작업 수행 - 완료

이것으로 모듈 2보안 감사 작업 수행을 완료했습니다. 가상 머신을 재부팅하거나 올바른 암호와 잘못된 암호를 사용하여 Putty를 통해 호스트에 연결하는 작업을 포함하여 감사 로그를 생성하는 여러 가지 작업을 수행했습니다. 이제 다음 섹션의 vRealize Log Insight 솔루션에서 이러한 로그를 확인할 수 있습니다.

 

감사 쿼리 및 대시보드 생성


VMware vRealize Log Insight는 직관적이고 실행 가능한 대시보드, 정교한 분석 및 광범위한 타사 확장성과 함께 확장성이 매우 우수한 이기종 로그 관리를 제공하므로 운영에 대한 심층적 가시성을 확보하고 신속하게 문제를 해결할 수 있습니다.

지능적이고 확장 가능

우수한 확장성

직관적이고 저렴함

참고: 실습 설명서의 VMware 참고 자료에 대한 링크는 참조용으로만 제공됩니다. 실습 환경은 인터넷 연결이 제공되지 않을 수 있으므로 이러한 참고 자료를 보지 못할 수 있습니다. 제공되는 링크에 연결할 수 없는 경우 링크를 수동으로 기록하거나 모바일 기기를 사용하여 사진을 찍으십시오.


 

Google Chrome 복원

 

이전 세션에서 사용한 vRealize Log Insight 탭이 열려 있습니다.

1. 작업 표시줄에서 최소화되어 있는 Google Chrome 브라우저를 클릭하여 다시 엽니다.

참고: 이전 세션의 vRealize Log Insight가 Chrome에 열려 있지 않은 경우 새 탭을 열고 vRealize Log Insight 북마크를 클릭한 후 다시 로그인합니다.

 

 

vRealize Log Insight 열기

 

이전 세션에서 사용한 vRealize Log Insight 탭이 열려 있습니다.

1. vRealize Log Insight 탭을 클릭하여 전환합니다.

 

 

vRealize Log Insight 재인증(필요할 경우)

 

vRealize Log Insight 세션이 만료되어 다시 인증해야 한다는 팝업 창이 표시될 수 있습니다. 이 경우 아래 단계를 수행하고 그렇지 않으면 다음 단계로 건너뜁니다.

  1. Password (암호) 필드에 VMware1!를 입력합니다.
  2. LOGIN(로그인) 버튼을 클릭합니다.

 

 

대시보드

 

대시보드 탭이 열려 있지 않은 경우 아래 단계를 수행합니다.

  1. 사용자 인터페이스 상단의 Dashboards(대시보드) 탭을 클릭합니다.

 

 

대시보드 기본 개요

 

왼쪽 탐색 창에 여러 대시보드 유형이 있습니다. 이 목록은 vRealize Log Insight에 설치된 VMware 및 타사 관리 팩에 따라 크게 달라질 수 있습니다.  

  1. 맞춤형 대시보드 - 내 대시보드 및 공유 대시보드가 포함됩니다.
  2. 컨텐츠 팩 대시보드 - 컨텐츠 팩을 통해 설치된 대시보드의 목록입니다.

참고: vRealize Log Insight에 제공되는 VMware Marketplace에 대한 링크를 통해 유료 또는 무료의 다양한 VMware 및 타사 관리 팩을 찾아볼 수 있습니다. 또한 vRealize Operations Manager와 같은 VMware의 다른 관리 솔루션을 위한 관리 팩도 있습니다. vRealize Log Insight용 관리 팩이 포함된 VMware Marketplace의 주소는 https://marketplace.vmware.com/vsx/?product=2054,2055,2052,3509,2056,2058,2061,2059,2057,3397,2060입니다.

 

 

대시보드 - 컨텐츠 창

 

이제 탐색 창 오른쪽에 표시되는 기본 컨텐츠 창을 살펴보겠습니다. 컨텐츠 창 상단에는 몇 가지 필터링 옵션이 있고 그 아래에는 여러 위젯이 있습니다.

  1. 시간 범위. 여기에서 선택한 대시보드에 대해 5분 ~ 48시간 또는 맞춤 시간 범위의 데이터 시간 범위를 설정할 수 있습니다.
  2. 필터. 선택한 대시보드에서 사용할 수 있는 필터가 여기에 정의되어 관련 정보에 한해 쿼리를 실행할 수 있습니다.
  3. 위젯. 주 패널에는 선택된 대시보드에 대한 위젯이 포함됩니다. 위젯은 그래프, 차트, 그림 등을 사용하여 이전 영역에서 선택된 데이터를 표시합니다.

참고: 대시보드의 모든 위젯을 보려면 스크롤 막대를 사용해야 할 수 있습니다. 실습 환경의 각 대시보드에 표시되는 데이터는 화면 캡처와 약간 다를 수 있습니다.

 

 

위젯 정보

 

  1. 각 위젯의 오른쪽 상단에는 몇 가지 옵션 메뉴가 표시될 수 있습니다.

3가지 옵션은 다음과 같습니다.

 

 

대화형 분석

 

대화형 분석을 사용하면 시스템 관리자와 엔지니어가 자세한 로그 메시지를 확인하여 문제 영역을 판별하고 문제 해결을 위한 근본 원인 분석을 수행할 수 있습니다.

1. Interactive Analytics(대화형 분석) 탭을 클릭합니다.

 

 

쿼리 작성

 

  1. 쿼리 텍스트 필드에 reboot(재부팅)를 입력합니다.
  2. 드롭다운 메뉴를 클릭하고 Last hour of data(최근 1시간의 데이터)를 선택합니다.
  3. +ADD FILTER(필터 추가) 링크를 클릭하여 추가 검색 조건을 추가합니다.

 

 

쿼리 작성

 

이전 과정에서는 core-01a 가상 머신의 전원을 켠 다음 재부팅했습니다. 이제 가상 머신의 재부팅에 대한 로그를 검색해보겠습니다. 수행한 재부팅을 검색하는 방법은 다음과 같습니다.

  1. 드롭다운에서 현재 선택된 does not contain(포함하지 않음)을 contains(포함)로 변경합니다.
  2. 변경한 드롭다운 오른쪽의 텍스트 필드에 core-01a를 입력합니다.
  3. 확대경 버튼을 클릭하여 입력한 조건에 대해 검색을 수행합니다.
  4. 이제 이전에 수행한 core-01a 가상 머신의 재부팅 작업에 대한 로그가 표시됩니다.

참고: 입력을 시작하면 vRealize Log Insight는 색인된 로그 파일을 기반으로 쿼리와 구문을 제안합니다.

 

 

쿼리 기반 대시보드 생성

 

vRealize Log Insight는 수행한 쿼리에서 대시보드를 생성할 수 있는 매우 유용한 기능을 제공합니다. 시스템 관리자가 매일 실행하는 쿼리가 있을 경우 특정 쿼리로 대시보드를 만들 수 있습니다. 그러면 사용자가 매번 쿼리를 실행할 필요 없이 대시보드만 검토하면 됩니다.

재부팅을 위해 방금 실행한 쿼리로 자체 대시보드를 만들려면 다음 작업을 수행합니다.

  1. "Add current query to dashboard"(현재 쿼리를 대시보드에 추가) 버튼을 클릭하여 완료한 쿼리를 저장합니다.

 

 

대시보드 생성

 

  1. Name(이름) 텍스트 필드에 Reboot Dashboard(재부팅 대시보드)를 입력합니다.

 

 

대시보드 저장

 

  1. Name(이름) 텍스트 필드에 My Dashboard를 입력합니다.
  2. SAVE(저장) 버튼을 클릭합니다.

 

 

대시보드 저장

 

  1. ADD(추가) 버튼을 클릭합니다.

참고: Dashboard(대시보드) 및 Widget(위젯) 드롭다운 메뉴 옵션에서 제공하는 서로 다른 옵션을 확인해 보십시오.

 

 

대시보드 탭

 

이제 대시보드 탭에서 방금 만든 Reboot Dashboard(재부팅 대시보드)를 살펴보겠습니다.

  1. 화면 상단의 Dashboards(대시보드) 탭을 클릭합니다.

 

 

내 대시보드

 

vRealize Log Insight 사용자는 필요에 따라 다양한 항목에 대해 맞춤형 대시보드와 쿼리를 만들 수 있습니다. 몇 가지 일반적인 시나리오를 지원하는 즉시 사용 가능한 컨텐츠 팩이 제공되지만 그 외 다른 대시보드도 필요할 수 있습니다.

  1. My Dashboards(내 대시보드)를 확장하여 My Dashboard(내 대시보드)가 표시되면 이를 클릭합니다.
  2. Time(시간) 드롭다운 메뉴를 선택하고 Latest hour of data(최근 1시간의 데이터)를 선택합니다.
  3. 앞서 실습에서 수행한 재부팅이 표시됩니다.

참고: core-01a 가상 머신을 재부팅한 후 1시간 이상 경과한 경우 더 긴 기간으로 시간 드롭다운을 조정해야 합니다.

참고: 실습 환경의 재부팅 대시보드 위젯에 표시되는 내용은 화면 캡처와 약간 다를 수 있습니다. 중요한 것은 앞서 실습에서 수행한 재부팅 이벤트가 표시되는 것입니다.

 

 

감사 쿼리 및 대시보드 생성 - 완료

감사 쿼리 및 대시보드 생성 방법에 대한 이 과정에서는 시스템 관리자 계정에서 완료한 재부팅 작업을 검색하기 위한 쿼리를 실행했습니다. 그런 다음 재부팅 작업에 대한 로그를 확인했습니다. 또한 해당 쿼리를 대시보드로 저장하고 이를 My Dashboards(내 대시보드) 대시보드에 저장했습니다. 그리고 My Dashboards(내 대시보드)에서 새로 생성된 My Dashboards(내 대시보드)에 대한 위젯도 살펴보았습니다. vRealize Log Insight는 Google Search Engine과 유사한 방식으로 vRealize Log Insight 내에서 비정형 로그를 검색할 수 있는 로그 검색 기능을 제공합니다.

 

SOC(보안 운영 센터) 컨텐츠 팩


이 과정에서는 VMware 자체 vRealize Log Insight 컨텐츠 팩 및 vRealize Log Insight에 사용하도록 VMware에서 인증한 컨텐츠 팩에 대해 살펴보겠습니다. 이러한 컨텐츠 팩은 모두 가상 시스템 관리자에게 일상 운영에 도움이 되는 보안 관련 정보를 제공하는 데 사용됩니다. 이는 VMware Solutions Exchange(https://marketplace.vmware.com)에서 제공되는 여러 가지 vRealize Log Insight용 컨텐츠 팩 중 하나입니다.

SOC(보안 운영 센터) 컨텐츠 팩은 다음과 같은 수많은 보안 이벤트와 관련하여 이벤트 알림을 제공합니다.

이벤트를 발생시켜 관련 대시보드에서 확인할 수 있도록 호스트 및 가상 머신의 일부 구성을 변경해 보겠습니다. SOC 컨텐츠 팩의 위젯이 vSphere 6.7용으로 아직 업데이트되지 않은 경우 이러한 변경의 일부가 해당 위젯에 표시되지 않을 수 있습니다. 그러나 변경 사항이 발생할 때마다 활동 수가 증가하는 것을 볼 수 있습니다.


 

컨텐츠 팩

 

이제 vRealize Log Insight에 컨텐츠 팩을 설치할 수 있는 곳으로 이동하겠습니다.

  1. vRealize Log Insight 사용자 인터페이스의 오른쪽 상단에서 3줄 아이콘을 클릭합니다.
  2. 드롭다운 메뉴에서 Content Packs(컨텐츠 팩)를 선택합니다.

 

 

컨텐츠 팩 임포트

 

  1. 탐색 창 왼쪽 상단에서 + IMPORT CONTENT PACK(컨텐츠 팩 임포트) 링크를 클릭합니다.

 

 

파일 탐색

 

  1. 컨텐츠 팩 임포트 팝업 창에서 BROWSE(찾아보기) 버튼을 클릭합니다.

 

 

Security Operations v1.0-RC7.vlcp

 

작업 중인 Control 가상 머신의 드라이브에 대한 Security Operations v1.0-RC7.vlcp 파일을 찾습니다. 이 관리 팩을 설치하려면 다음 작업을 수행합니다.

  1. "C:\LabFiles\HOL-1911\" 경로를 찾습니다.
  2. Security Operations v1.0-RC7.vlcp 파일을 선택합니다.
  3. Open(열기) 버튼을 클릭합니다.

 

 

컨텐츠 팩으로 설치

 

  1. IMPORT(임포트) 버튼을 클릭합니다.

 

 

보안 운영 설정 지침

 

  1. 팝업 창에서 OK(확인) 버튼을 클릭하여 컨텐츠 팩의 임포트를 완료합니다.

 

 

보안 운영 컨텐츠 팩

 

확인 버튼을 클릭하면 Security Operations(보안 운영) 컨텐츠 팩 대시보드가 표시됩니다.

  1. 컨텐츠 창에서 이 컨텐츠 팩과 함께 자동으로 설치되는 다른 위젯 및 위젯 유형과 같은 이 컨텐츠 팩과 관련된 세부 정보를 확인할 수 있습니다.
  2. 관련 컨텐츠 팩 정보를 모두 볼 수 있도록 스크롤 막대를 사용하여 페이지 아래로 스크롤합니다.

 

 

SOC 컨텐츠 팩 설치

 

SOC 컨텐츠 팩이 설치되었습니다. 각 탭(Dashboards, Queries, Alerts, Agent Groups, Extracted Fields(대시보드, 쿼리, 알림, 에이전트 그룹 및 추출된 필드))을 클릭하여 내용을 확인해 보십시오.

참고: 컨텐츠 창에서 모든 위젯을 보려면 페이지 아래로 스크롤하거나 모든 컨텐츠를 보기 위해 오른쪽으로 이동해야 할 수 있습니다.

 

 

보안 운영 대시보드

 

  1. 사용자 인터페이스 상단의 Dashboards(대시보드) 탭을 클릭합니다.
  2. 컨텐츠 팩 대시보드 아래 Security Operations(보안 운영) 옆의 화살표를 클릭하여 컨텐츠 팩의 대시보드 리스트를 확장합니다. 기본적으로 Activity(활동) 대시보드까지 표시합니다.

참고: 컨텐츠 창에서 모든 위젯을 보려면 페이지 아래로 스크롤하거나 모든 컨텐츠를 보기 위해 오른쪽으로 이동해야 할 수 있습니다.

 

 

기타 위젯

 

  1. 보안 운영 아래 사전 구성된 각 대시보드를 확인하여 관련 각 대시보드가 어떤 기능을 하는지 알아보십시오. 잠시 후 보안 운영 대시보드에서 확인할 이벤트를 로깅하기 위해 작업을 수행할 것입니다.
    • 활동
    • 로그인/로그아웃 및 API 호출
    • 방화벽 이벤트
    • ESXi 구성 변경
    • 가상 머신 구성 변경
    • VMRC/MKS 이벤트
    • 데이터스토어 브라우저 이벤트
    • 사용 권한 변경

 

 

Google Chrome - 새 탭

 

  1. Google Chrome 브라우저에서 New Tab(새 탭) 아이콘을 클릭합니다.

 

 

vCenter Server Appliance 로그인

 

이제 관리 팩의 대시보드에서 확인할 로그 파일을 생성하기 위해 vcsa-01a vCenter Server Appliance 관리 포털에 로그인한 후 로그아웃합니다.

  1. 북마크 도구 모음에서 HOL Admin 폴더를 클릭합니다.
  2. 드롭다운 메뉴에서 vcsa-01a Mgmt(vcsa-01a 관리)를 클릭합니다.

 

 

vCenter Server Appliance에 로그인

 

  1. 사용자 이름 필드에 root를 입력합니다.
  2. Password(암호) 텍스트 필드에 VMware1!를 입력합니다.
  3. Login(로그인) 버튼을 클릭하여 vCenter Server Appliance에 로그인합니다.

 

 

vCenter Server Appliance 로그아웃

 

  1. 컨텐츠 창 오른쪽 상단에서 Logout(로그아웃) 링크를 클릭합니다.

 

 

vCenter Server Appliance에 로그인

 

이제 의도적으로 잘못된 자격 증명을 사용하여 다시 로그인합니다.

  1. Username(사용자 이름) 텍스트 필드에 admin을 입력합니다.
  2. Password(암호) 텍스트 필드에 VMware1!를 입력합니다.
  3. Login(로그인) 버튼을 클릭하여 vCenter Server Appliance에 로그인합니다.

참고: 예상대로 빨간색의 "Unable to authenticate user"(사용자를 인증할 수 없음) 오류 메시지가 표시됩니다.

 

 

vCenter Server Appliance 탭 닫기

 

  1. VMware Appliance Management 탭은 더 이상 필요 없으므로 탭의 "X"를 클릭하여 닫습니다.

 

 

vCenter Server 탭

 

  1. vCenter에서 몇 가지 추가 작업을 수행하기 위해 vCenter Server Google Chrome 탭을 클릭합니다.

 

 

esx-01a-corp.local - 설정 편집

 

이제 ESXi 호스트에서 몇 가지 설정을 변경합니다.

  1. esx-01a.corp.local 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 컨텐츠 창에서 Configure(구성) 탭을 클릭합니다.
  3. 스크롤 막대를 사용하여 System(시스템) 아래 Firewall(방화벽)이 표시될 때까지 아래로 스크롤합니다.
  4. System(시스템) 아래에 있는 Firewall(방화벽)을 클릭합니다.

 

 

esx-01a-corp.local - 방화벽

 

  1. EDIT(편집) 버튼을 클릭합니다.

 

 

esx-01a-corp.local - 방화벽

 

  1. SSH Client(SSH 클라이언트) 확인란을 클릭하여 활성화합니다.
  2. 스크롤 막대를 사용하여 SNMP server(SNMP 서버)가 표시될 때까지 아래로 스크롤합니다.
  3. SNMP Server(SNMP 서버) 확인란을 클릭하여 비활성화합니다.
  4. OK(확인) 버튼을 클릭합니다.

 

 

가상 머신 구성 변경

 

이제 가상 머신의 메모리 및 하드 드라이브 크기를 변경하여 이러한 가상 머신 수정 사항을 대시보드에서 확인해보겠습니다.

  1. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Edit Settings(설정 편집)를 클릭합니다.

 

 

가상 머신 설정 편집

 

  1. Memory(메모리) 크기를 256에서 128로 변경합니다.
  2. Hard Disk(하드 디스크) 크기를 100에서 101로 변경합니다.
  3. OK(확인) 버튼을 클릭합니다.

 

 

가상 머신 구성 변경

 

  1. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Edit Settings(설정 편집)를 클릭합니다.

 

 

가상 머신 설정 편집

 

이제 가상 머신의 메모리를 원래대로 되돌리겠습니다.

  1. Memory(메모리) 크기를 다시 256으로 변경합니다.
  2. OK(확인) 버튼을 클릭합니다.

 

 

core-01a - 전원 켜기

 

이제 가상 머신 전원을 켜고 웹 콘솔을 시작합니다.

  1. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 클릭합니다.
  3. Power(전원) 드롭다운 메뉴에서 Power On(전원 켜기)을 클릭합니다.

참고: 가상 머신을 부팅하는 데 1분 정도 소요됩니다.

 

 

웹 콘솔 시작

 

새로운 대시보드 중 하나는 가상 머신 웹 콘솔의 시작을 모니터링하므로 가상 머신 중 하나를 사용하여 이를 수행합니다.

  1. Launch Web Console(웹 콘솔 시작) 링크를 클릭합니다.

 

 

Google Chrome 탭 닫기

 

  1. core-01a 탭의 "X"를 클릭하여 닫습니다.

 

 

vRealize Log Insight로 돌아가기

 

  1. vRealize Log Insight로 돌아가기 위해 해당 Google Chrome 탭을 클릭합니다.

 

 

활동 대시보드

 

  1. 왼쪽 탐색 창에서 Activity(활동)를 클릭하여 모든 이벤트 유형을 확인합니다.
  2. 시간 드롭다운 메뉴 옆에 있는 새로 고침 아이콘을 클릭합니다.
  3. 이 과정에서 수행한 이전 작업으로 인해 이벤트 수가 증가되어야 합니다.  

참고: 대시보드의 정보와 이벤트가 현재 실습 환경과 약간 다르게 표시될 수 있지만 두 이벤트는 표시되어야 합니다.

참고:  SOC 컨텐츠 팩의 위젯이 vSphere 6.7용으로 아직 업데이트되지 않은 경우 이러한 변경의 일부가 해당 위젯에 표시되지 않을 수 있습니다. 그러나 변경 사항이 발생할 때마다 활동 수가 증가하는 것을 볼 수 있습니다.

 

 

로그인/로그아웃 및 API 호출 대시보드

 

  1. 왼쪽 탐색 창에서 Login/Logout & API Invocations(로그인/로그아웃 및 API 호출) 링크를 클릭하여 관련 이벤트를 확인합니다.
  2. 두 번의 vCenter Server 관리 포털 로그인을 통해 몇 가지 이벤트가 확인됩니다.

참고: 대시보드의 정보와 이벤트가 현재 실습 환경과 약간 다르게 표시될 수 있지만 두 이벤트는 표시되어야 합니다.

참고:  SOC 컨텐츠 팩의 위젯이 vSphere 6.7용으로 아직 업데이트되지 않은 경우 이러한 변경의 일부가 해당 위젯에 표시되지 않을 수 있습니다. 그러나 변경 사항이 발생할 때마다 활동 수가 증가하는 것을 볼 수 있습니다.

 

 

SOC 관리 팩 - ESXi 구성 변경

 

ESXi Shell 서비스 작동 이벤트를 보기 위해 다음 작업을 수행합니다.

  1. 왼쪽 탐색 창에서 ESXi Config Changes(ESXi 구성 변경) 링크를 클릭합니다.
  2. 이제 설정을 수정하고 ESXi Shell 서비스를 작동한 이벤트가 표시됩니다. 실습 환경과 비교하여 화면 캡처에서는 이벤트 막대의 색과 이벤트 발생 타임라인이 다르게 표시됩니다.

참고: 대시보드의 정보와 이벤트가 현재 실습 환경과 약간 다르게 표시될 수 있지만 두 이벤트는 표시되어야 합니다.

참고:  SOC 컨텐츠 팩의 위젯이 vSphere 6.7용으로 아직 업데이트되지 않은 경우 이러한 변경의 일부가 해당 위젯에 표시되지 않을 수 있습니다. 그러나 변경 사항이 발생할 때마다 활동 수가 증가하는 것을 볼 수 있습니다.

 

 

SOC 관리 팩 - VMRC/MKS 이벤트

 

이제 다음 작업을 수행하여 VMRC/MKS 이벤트를 확인할 수 있습니다.

  1. 왼쪽 탐색 창에서 Security Operations(보안 운영) 아래 VMRC/MKS Events(VMRC/MKS 이벤트)를 클릭합니다.
  2. 이제 가상 머신 콘솔 열기에서 발생한 몇 가지 이벤트가 표시됩니다.

참고: 대시보드의 정보와 이벤트가 현재 실습 환경과 약간 다르게 표시될 수 있지만 두 이벤트는 표시되어야 합니다.

참고:  SOC 컨텐츠 팩의 위젯이 vSphere 6.7용으로 아직 업데이트되지 않은 경우 이러한 변경의 일부가 해당 위젯에 표시되지 않을 수 있습니다. 그러나 변경 사항이 발생할 때마다 활동 수가 증가하는 것을 볼 수 있습니다.

 

 

vRealize Log Insight 탭 닫기

 

  1. vRealize Log Insight 탭은 더 이상 필요 없으므로 탭의 "X"를 클릭하여 닫습니다.

 

 

SOC(보안 운영 센터) 컨텐츠 팩 - 완료

vRealize Log Insight SOC(보안 운영 센터) 컨텐츠 팩에 대한 과정을 완료했습니다. vRealize Log Insight에 컨텐츠 팩을 설치하는 과정과 보안 이벤트와 관련하여 이 컨텐츠 팩에서 제공하는 사전 구성 대시보드에 대해 살펴보았습니다. 그런 다음 가성 머신과 호스트의 구성을 변경하여 이를 통해 발생한 몇 가지 보안 이벤트를 대시보드에서 확인했습니다.

 

결론


모듈 2가 완료되었습니다.

vRealize Log Insight는 보안 관리자가 소프트웨어 정의 데이터 센터에서 보안 사고를 분석할 때 사용자를 감사하여 누가 무엇을 했는지 확인할 수 있는 유용한 솔루션입니다. 이 모듈에서는 vSphere 6.7 및 Linux 컨텐츠 팩의 로깅 기능에 대해 살펴보았으며, 쿼리를 작성하여 누가 머신을 재부팅했는지 정확히 확인할 수 있었습니다.

다음 모듈()을 계속 진행하거나 원하는 다른 모듈로 건너뛸 수 있습니다.


 

vSphere 및 vCenter Server의 향상된 로그 참고 자료:

참고: 실습 설명서의 VMware 참고 자료에 대한 링크는 참조용으로만 제공됩니다. 실습 환경은 인터넷 연결이 제공되지 않을 수 있으므로 실습 환경 내에서 이러한 참고 자료를 보지 못할 수 있습니다. 제공되는 링크에 연결할 수 없는 경우 링크를 수동으로 기록하거나 모바일 기기를 사용하여 사진을 찍으십시오. 또한 이 링크 중 일부는 새 버전 릴리스로 인해 제공이 중단되어 더 이상 사용하지 못할 수 있습니다.  

 

 

선택 사항: 실습 종료 방법

 

참고: 실습에서 END(종료) 버튼을 클릭하면 실습이 종료되고 관련 가상 머신이 삭제됩니다. 따라서 실습을 다시 시작하면 이전 실습 인스턴스가 아닌 새 가상 머신의 새 인스턴스가 생성됩니다. 이전의 모든 설정은 사라지고 실습이 처음 배포될 때의 기본 설정으로 돌아갑니다.

이제 다음 모듈을 계속 진행하거나 목차를 사용하여 원하는 다른 모듈로 건너뛸 수 있습니다.

실습을 끝내려면 END(종료) 버튼을 클릭합니다.

참고: 실습을 종료한 후 다른 모듈을 실행하려면 실습에 다시 등록해야 합니다.

 

모듈 3 - 가상 머신 암호화 및 암호화된 vMotion(60분)

소개


이 모듈(모듈 3: 가상 머신 암호화 및 암호화된 vMotion)에서는 vSphere 6.7의 가상 머신 암호화 보안 기능에 대해 알아봅니다. vSphere 6.7에서 암호화는 스토리지 정책을 통해 구현됩니다. 기존의 전원이 꺼진 가상 머신에 암호화 스토리지 정책을 적용하면 디스크가 암호화됩니다. 이는 오늘날의 보안 요구 사항을 충족하는 데 필요한 수준의 보안을 제공하기 위해 많은 기업에서 요청한 기능입니다.

다른 솔루션과의 주요 차이점은 이 솔루션은 암호화가 가상 머신과 독립되어 가상 머신보다 낮은 수준에서 수행되며, 정책에 기반하고 있으며, 무엇보다 관리 워크플로우에 쉽게 통합할 수 있다는 것입니다. 다음에 나오는 PowerCLI의 예를 통해 이에 대해 알아보겠습니다.

이 모듈에서는 가상 머신을 암호화하는 데 필요한 2개의 HyTrust KMS Server가 이미 구축되어 있습니다.

이 모듈에서 다음과 같은 작업을 수행합니다.

참고: 실습 설명서의 VMware 참고 자료에 대한 링크는 참조용으로만 제공됩니다. 실습 환경은 인터넷 연결이 제공되지 않을 수 있으므로 이러한 참고 자료를 보지 못할 수 있습니다. 제공되는 링크에 연결할 수 없는 경우 링크를 수동으로 기록하거나 모바일 기기를 사용하여 사진을 찍으십시오.


 

주요 기능

다음은 vSphere 가상 머신 암호화의 주요 기능입니다.

 

 

가상 머신 암호화

 

스토리지 정책을 통해 암호화가 관리되며 관련 단계에 대한 개요는 다음과 같습니다.

  1. 호스트에 가상 머신을 등록하고 암호화 지원 스토리지 정책과 KMIP(Key Management Interoperability Protocol) Server를 사용하여 신규 또는 기존 가상 머신을 구성합니다.
  2. KMIP Server로부터 vCenter에 가상 머신 파일과 가상 머신 디스크를 암호화하는 데 사용되는 키가 전송됩니다.
  3. vCenter Server는 ESXi 호스트에 키를 로드합니다. 키가 없는 모든 호스트에는 Distributed Resource Scheduler(DRS)/High Availability(HA)를 지원하기 위해 키가 제공됩니다.
  4. 키가 ESXi 호스트의 KeyCache로 로드되면 IO Filter(6.0 U1에서 도입됨) 수준에서 디스크의 암호화 및 암호화 해제를 수행합니다.

 

 

암호화된 vMotion

 

이 과정에서는 가상 머신의 암호화된 vMotion 실행 단계를 수행하는 방법을 살펴보겠습니다. 암호화 여부에 관계없이 모든 가상 머신의 vMotion을 암호화할 수 있습니다. 암호화된 가상 머신은 항상 암호화된 vMotion을 사용합니다. 중요한 점은 혼합 클러스터를 실행하며 암호화된 vMotion이 필요할 경우 "필수"로 설정해도 vSphere 6.0 호스트와 같이 vMotion을 지원하지 않는 호스트에서는 vMotion을 사용할 수 없습니다.

가상 머신의 중요한 데이터가 기존 IT 환경을 벗어나 퍼블릭 네트워크를 통해 전송되는 하이브리드 클라우드 컴퓨팅이 증가하면서 IT 시스템 관리자와 아키텍트는 클라우드를 통해 장거리를 이동하는 중요한 가상 머신 데이터를 보호하기 위한 간단하고 안전한 방법을 필요로 합니다. VMware vSphere 6.7에서 제공되는 암호화된 vMotion 기능은 vMotion 네트워크 트래픽에 대한 종단 간 암호화를 제공하는 소프트웨어 접근 방식을 도입함으로써 이러한 문제를 해결합니다. 이 기능은 가장 널리 사용되는 AES-GCM 암호화 표준을 사용하여 vmkernel 내부의 모든 vMotion 데이터를 암호화하므로 vMotion 트래픽이 신뢰할 수 없는 네트워크 링크를 통과할 경우에도 데이터 기밀성, 무결성 및 신뢰성을 제공합니다.

이제 “VMware vSphere 6.5의 암호화된 vMotion 아키텍처, 성능 및 모범 사례”라는 새로운 백서를 참조할 수 있습니다. 이 백서에서는 vSphere 6.7의 암호화된 vMotion 아키텍처에 대해 설명하고, vSphere 6.7의 암호화된 vMotion을 사용하여 일반적인 Tier 1 애플리케이션을 실행하는 가상 머신의 라이브 마이그레이션 성능을 종합적으로 분석합니다. 테스트를 통해 총 마이그레이션 시간 및 라이브 마이그레이션 시의 애플리케이션 성능과 같은 특성을 측정합니다. 또한 장거리 네트워크와 같은 지연 시간이 긴 네트워크에서 vSphere 6.7의 암호화된 vMotion 성능에 대해 검증합니다. 마지막으로 vSphere 6.7의 암호화된 vMotion 사용 시 따라야 할 여러 가지 모범 사례를 소개합니다.

 

 

PowerCLI를 사용한 암호화

VMware는 가상 머신 암호화 엔지니어링 팀이 가상 머신 암호화를 위한 PowerCLI 모듈을 릴리스했다고 발표했습니다. 이 소식을 몰랐다면 VMware PowerShell 모듈의 Github 저장소를 확인해 보시기 바랍니다.

가상 머신 암호화용 새 PowerCLI 모듈이 포함되어 있습니다. 여러 가지 유용한 cmdlets 및 새 VI 속성을 통해 vSphere 6.7 가상 머신 암호화의 일상적인 관리를 보다 쉽게 자동화할 수 있습니다. 이 모듈을 만든 이유는 가능한 쉽게 보안을 운영할 수 있도록 하기 위해서입니다. 간편하게 일상 운영에 보안을 적용할 수 없다면 이를 회피할 방법을 찾게 될 것입니다.

가상 머신을 암호화하기 위해 가상 머신 내에서 암호화 솔루션을 관리할 필요는 없습니다. 가상 머신을 생성하고 바로 가상 머신 암호화를 간편하게 활성화할 수 있다면 좋을 것입니다. 가상 머신 암호화가 바로 그러한 기능을 제공합니다. 이 실습에서 가상 머신을 암호화하는 데 사용되는 몇 가지 PowerCLI 명령을 살펴보겠습니다.

암호화 작업을 수행하는 것은 뒤에 나오는 모듈 7: 가상 머신 암호화를 위한 PowerCLI에서 자세히 살펴보겠습니다.

 

 

vSphere 6.7 암호화의 주의 사항

제한 사항:

가상 머신 암호화 전략을 세울 때 다음과 같은 사항에 주의해야 합니다.

가상 머신 잠김 상태:

가상 머신 암호화 주의 사항: https://docs.vmware.com/en/VMware-vSphere/6.7/com.vmware.vsphere.security.doc/GUID-AE7BECB0-1BBC-4123-AAA9-A07EB8D458DF.html

 

 

몇 가지 KMIP 1.1 호환 Key Manager

 

 

 

vCenter Server에 HyTrust KMS Server 구성


이 과정에서는 가상 머신을 암호화하고 암호화된 vMotion을 사용하기 위해 2대의 HyTrust KMS Server를 추가합니다. 새로운 vSphere 6.7 암호화 기능을 사용하려면 vCenter Server와 KMS Server 간에 신뢰가 형성되어야 합니다.


 

Google Chrome 실행

 

Google Chrome이 열려있지 않을 경우 다음 단계를 수행하고 그렇지 않으면 이 단계를 건너뜁니다.

  1. 빠른 실행 작업 표시줄에 있는 Google Chrome 아이콘을 클릭합니다.

 

 

RegionA

 

새 Google Chrome 브라우저 창을 열려는 경우 아래 단계를 수행하고 그렇지 않으면 이 단계를 건너뛸 수 있습니다.

  1. 북마크 도구 모음에서 RegionA 폴더를 클릭합니다.
  2. RegionA vSphere Client (HTML)를 클릭합니다.

 

 

RegionA vCenter Server에 로그인

 

이미 RegionA vCenter Server에 로그인되어 있으면 아래 단계를 건너뛸 수 있습니다. 그렇지 않으면 아래 단계를 완료합니다.

  1. Username(사용자 이름) 텍스트 필드에 administrator@corp.local을 입력합니다.
  2. Password(암호) 텍스트 필드에 VMware1! 를 입력합니다.
  3. Login(로그인) 버튼을 클릭합니다.

 

 

메뉴 드롭다운

 

  1. 화면 상단의 Menu(메뉴) 드롭다운 아이콘을 클릭합니다.
  2. Menu(메뉴) 드롭다운 메뉴에서 Global Inventory Lists(글로벌 인벤토리 목록)를 선택합니다.

 

 

vCenter Server 선택

 

  1. Global Inventory Lists(전체 인벤토리 목록)에서 vCenter Servers를 클릭합니다.

 

 

vcsa-01a.corp.local

 

  1. vcsa-01a.corp.local vCenter Server를 클릭합니다.

 

 

HyTrust Key Manager(KMS) Server 추가

 

vSphere에서 모든 유형의 암호화를 사용하려면 먼저 KMS(키 관리 서버)를 가동해야 합니다. 그런 다음 1대 이상의 KMS Server를 vCenter Server에 추가하고 KMS 및 vCenter Server 간 신뢰 관계를 구성해야 합니다. 따라서 첫 번째로 해야 할 작업은 vCenter에 KMS Server를 추가하는 것이며, 이를 위해 다음을 수행합니다.

  1. 컨텐츠 창에서 Configure(구성) 탭을 클릭합니다.
  2. More(기타) 카테고리에서 Key Management Servers(키 관리 서버)를 클릭합니다.
  3. 컨텐츠 창에서 ADD(추가)를 클릭하여 KMS Server를 추가합니다.

 

 

vcsa-01a.corp.local - KMS 추가

 

  1. New cluster name(새 클러스터 이름) 텍스트 필드에 HOL-KMS-01a를 입력합니다.
  2. Server name(서버 이름) 텍스트 필드에 kms-01a를 입력합니다.
  3. Server address(서버 주소) 텍스트 필드에 kms-01a.corp.local을 입력합니다.
  4. Server port(서버 포트) 텍스트 필드에 5696을 입력합니다.
  5. ADD(추가) 버튼을 클릭합니다.

 

 

kms-01a.corp.local - 신뢰

 

  1. Make vCenter Trust KMS(vCenter가 KMS를 신뢰하도록 설정) 팝업 창에서 TRUST(신뢰) 버튼을 클릭합니다.

 

 

KMS가 vCenter를 신뢰하도록 설정

 

HyTrust KMS Server의 연결 상태에는 아직 아무 것도 표시되지 않으며, vCenter Server 및 HyTrust KMS Server 간 신뢰 설정을 완료해야 합니다.

HyTrust KMS Server 및 vCenter Server 간 신뢰 관계를 형성하려면 다음을 수행합니다.

  1. kms-01a KMS Server 이름 옆의 옵션 버튼을 선택합니다.
  2. MAKE KMS TRUST VCENTER(KMS가 vCenter를 신뢰하도록 설정) 링크를 클릭합니다.

 

 

KMS 인증서 및 개인 키

 

  1. KMS certificate and private key(KMS 인증서 및 개인 키) 옆의 옵션 버튼을 선택합니다.
  2. Next(다음) 버튼을 클릭합니다.

 

 

KMS 인증서 및 개인 키 임포트

 

  1. 팝업 창 상단에서 Upload file(파일 업로드) 버튼을 클릭합니다.

 

 

인증서 선택

 

이미 HyTrust KMS Server 웹 인터페이스에서 이 인증서 PEM 파일을 다운로드했습니다.

  1. "C:\LabFiles\HOL-1911\KMIPvcsa01a\" 경로를 찾습니다.
  2. KMIPvcsa01a.pem 파일을 선택합니다.
  3. Open(열기) 버튼을 클릭합니다.

참고: KMIPvcsa01b 폴더가 아닌 KMIPvcsa01a 폴더의 KMIPvcsa01a.pem 파일을 선택해야 합니다.

 

 

인증서 업로드

 

  1. Upload file(파일 업로드) 버튼을 클릭합니다.

 

 

인증서 선택

 

이미 HyTrust KMS Server 웹 인터페이스에서 이 인증서 PEM 파일을 다운로드했습니다.

  1. "C:\LabFiles\HOL-1911\KMIPvcsa01a\" 경로를 찾습니다.
  2. KMIPvcsa01a.pem 파일을 선택합니다.
  3. Open(열기) 버튼을 클릭합니다.

참고: KMIPvcsa01b 폴더가 아닌 KMIPvcsa01a 폴더의 KMIPvcsa01a.pem 파일을 선택해야 합니다.

 

 

신뢰 구축

 

  1. ESTABLISH TRUST(신뢰 구축) 버튼을 클릭합니다.

 

 

신뢰 및 연결 상태 확인

 

HyTrust KMS Server 및 vCenter Server 간 신뢰 관계가 형성되었는지 확인하기 위해 다음을 수행합니다.

  1. Connection State(연결 상태) 열 아래에 HyTrust KMS Server가 Connected(연결됨) 상태이고 vCenter Certificate Status(vCenter 인증서 상태) 열에 Valid(유효)라고 표시되는지 확인합니다.

 

 

vcsa-01b.corp.local 선택

 

이제 vcsa-01b.corp.local vCenter Server에 kms-01b.corp.local HyTrust KMS Server를 추가합니다.

  1. 왼쪽 탐색 창에서 vcsa-01b.corp.local vCenter Server를 클릭합니다.

 

 

HyTrust Key Manager(KMS) Server 추가

 

이 두 번째 HyTrust KMS Server는 이 과정에서 앞서 수행한 것과 조금 다른 방법으로 추가하겠습니다.

  1. 컨텐츠 창에서 Configure(구성) 탭을 클릭합니다.
  2. More(기타) 카테고리에서 Key Management Servers(키 관리 서버)를 클릭합니다.
  3. 컨텐츠 창에서 ADD(추가)를 클릭하여 KMS Server를 추가합니다.

 

 

vcsa-01b.corp.local - KMS 추가

 

  1. New cluster name(새 클러스터 이름) 텍스트 필드에 HOL-KMS-01b를 입력합니다.
  2. Server name(서버 이름) 텍스트 필드에 kms-01b를 입력합니다.
  3. Server address(서버 주소) 텍스트 필드에 kms-01b.corp.local을 입력합니다.
  4. Server port(서버 포트) 텍스트 필드에 5696을 입력합니다.
  5. ADD(추가) 버튼을 클릭합니다.

 

 

kms-01b.corp.local - 신뢰

 

  1. Make vCenter Trust KMS(vCenter가 KMS를 신뢰하도록 설정) 팝업 창에서 TRUST(신뢰) 버튼을 클릭합니다.

 

 

KMS가 vCenter를 신뢰하도록 설정

 

HyTrust KMS Server의 연결 상태에는 아직 아무 것도 표시되지 않으며, vCenter Server 및 HyTrust KMS Server 간 신뢰 설정을 완료해야 합니다.

HyTrust KMS Server 및 vCenter Server 간 신뢰 관계를 형성하려면 다음을 수행합니다.

  1. kms-01b KMS Server 이름 옆의 옵션 버튼을 선택합니다.
  2. MAKE KMS TRUST VCENTER(KMS가 vCenter를 신뢰하도록 설정) 링크를 클릭합니다.

 

 

KMS 인증서 및 개인 키

 

  1. KMS certificate and private key(KMS 인증서 및 개인 키) 옆의 옵션 버튼을 선택합니다.
  2. Next(다음) 버튼을 클릭합니다.

 

 

KMS 인증서 및 개인 키 임포트

 

  1. 팝업 창 상단에서 Upload file(파일 업로드) 버튼을 클릭합니다.

 

 

인증서 선택

 

이미 HyTrust KMS Server 웹 인터페이스에서 이 인증서 PEM 파일을 다운로드했습니다.

  1. "C:\LabFiles\HOL-1911\KMIPvcsa01b\" 경로를 찾습니다.
  2. KMIPvcsa01b.pem 파일을 선택합니다.
  3. Open(열기) 버튼을 클릭합니다.

참고: KMIPvcsa01a 폴더가 아닌 KMIPvcsa01b 폴더의 KMIPvcsa01b.pem 파일을 선택해야 합니다.

 

 

인증서 업로드

 

  1. Upload file(파일 업로드) 버튼을 클릭합니다.

 

 

인증서 선택

 

이미 HyTrust KMS Server 웹 인터페이스에서 이 인증서 PEM 파일을 다운로드했습니다.

  1. "C:\LabFiles\HOL-1911\KMIPvcsa01b\" 경로를 찾습니다.
  2. KMIPvcsa01b.pem 파일을 선택합니다.
  3. Open(열기) 버튼을 클릭합니다.

참고: KMIPvcsa01a 폴더가 아닌 KMIPvcsa01b 폴더의 KMIPvcsa01b.pem 파일을 선택해야 합니다.

 

 

신뢰 구축

 

  1. ESTABLISH TRUST(신뢰 구축) 버튼을 클릭합니다.

 

 

신뢰 및 연결 상태 확인

 

HyTrust KMS Server 및 vCenter Server 간 신뢰 관계가 형성되었는지 확인하기 위해 다음을 수행합니다.

  1. Connection State(연결 상태) 열 아래에 HyTrust KMS Server가 Connected(연결됨) 상태이고 vCenter Certificate Status(vCenter 인증서 상태) 열에 Valid(유효)라고 표시되는지 확인합니다.

 

 

vCenter Server에 HyTrust KMS Server 구성 - 완료

이 모듈의 첫 번째 과정인 "vCenter Server에서 HyTrust KMS Server 구성"을 완료했습니다.

2대의 HyTrust KMS Server를 추가한 후 이 서버들과 vCenter Server 간 신뢰를 형성하는 과정을 완료했습니다. 또한 첫 번째로 추가된 HyTrust KMS Server가 항상 클러스터의 기본 KMS Server로 자동 선택되는 것을 확인했습니다.

 

HyTrust KMS Server를 사용하여 가상 머신 암호화


이 과정에서는 이미 설치된 HyTrust KMS Server를 사용하여 가상 머신을 암호화합니다. vSphere Web Client(HTML5)를 사용하여 가상 머신을 암호화하고 다시 해제합니다.


 

메뉴 드롭다운

 

먼저 vCenter의 Policies and Profiles(정책 및 프로필) 섹션에서 기본 가상 머신 암호화 정책에 대해 살펴보겠습니다.

  1. 페이지 상단의 Menu(메뉴) 아이콘을 클릭합니다.
  2. Menu(메뉴) 드롭다운에서 Policies and Profiles(정책 및 프로필)를 선택합니다.

 

 

기본 가상 머신 암호화 정책

 

  1. 탐색 창에서 VM Storage Policies(가상 머신 스토리지 정책)를 클릭합니다.
  2. 기본적으로 각 vCenter Server당 하나씩, 이미 2개의 가상 머신 암호화 정책이 있다는 것을 알 수 있습니다.

참고: VMware가 생성된 기본 가상 머신 암호화 정책이 있지만 원할 경우 사용자가 직접 정책을 생성할 수 있습니다.

 

 

기본 암호화 속성

 

  1. 탐색 창에서 Storage Policy Components(스토리지 정책 구성 요소)를 클릭합니다.
  2. 각 vCenter Server당 하나씩, 2개의 기본 암호화 속성 구성 요소가 표시됩니다.
  3. 또한 컨텐츠 창 하단에 설명이 표시됩니다.

 

 

메뉴 드롭다운

 

이제 Hosts and Clusters(호스트 및 클러스터) 뷰에서 core-01a 가상 머신의 암호화 프로세스를 시작합니다.

  1. 페이지 상단의 Menu(메뉴) 아이콘을 클릭합니다.
  2. Menu(메뉴) 드롭다운에서 Hosts and Clusters(호스트 및 클러스터)를 선택합니다.

 

 

esx-01a 선택

 

이제 core-01a 가상 머신을 암호화하기 위해 다음 단계를 수행합니다.

  1. 왼쪽 탐색 창에서 core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 VM Policies(가상 머신 정책)를 클릭합니다.
  3. VM Policies(가상 머신 정책) 드롭다운 메뉴에서 Edit VM Storage Policies(가상 머신 스토리지 정책 편집)를 클릭합니다.

 

 

core-01a - 가상 머신 스토리지 정책 편집

 

VMware에서 이미 생성한 몇 가지 기본 정책이 있지만 다음을 수행하여 가상 머신 암호화 정책을 구체적으로 선택합니다.

  1. VM storage policy(가상 머신 스토리지 정책) 드롭다운 메뉴에서 화살표를 클릭하여 VM Encryption Policy(가상 머신 암호화 정책)를 선택합니다.
  2. Configure per disk(디스크별 구성) 슬라이더를 클릭하여 설정합니다.

참고: 이 실습에서는 가상 머신의 모든 구성 요소를 암호화합니다. 하지만 옵션을 선택하여 가상 머신 홈 폴더 또는 하드 디스크 1만 암호화할 수 있습니다. 개별 항목만 암호화하려면 창의 오른쪽 상단에 있는 슬라이더를 클릭하여 개별 항목을 선택할 수 있습니다.

 

 

core-01a - 디스크별 구성

 

Configure per disk(디스크별 구성) 옵션을 활성화하면 VM Home folder(가상 머신 홈 폴더) 및 Hard disk 1(하드 디스크 1)이 더 이상 회색으로 표시되지 않아 정책을 개별적으로 관리할 수 있습니다.

  1. 임시로 Hard disk 1(하드 디스크 1) 드롭다운을 클릭하여 VM Encryption Policy(가상 머신 암호화 정책)를 선택합니다. 이제 가상 머신의 두 구성 요소에 대한 정책을 개별적으로 지정하는 방법을 알 수 있습니다. 옵션을 검토한 후 Datastore Default(데이터스토어 기본값) 옵션으로 되돌립니다.

참고: 이 실습에서는 가상 머신의 모든 구성 요소를 암호화합니다. 하지만 옵션을 선택하여 가상 머신 홈 폴더 또는 하드 디스크 1만 암호화할 수 있습니다.

 

 

core-01a - 가상 머신 스토리지 정책 편집

 

  1. 슬라이더를 클릭하여 Configure per disk(디스크별 구성)를 해제합니다.
  2. 이미 선택되어 있지 않은 경우 VM storage policy(가상 머신 스토리지 정책) 드롭다운 메뉴에서 화살표를 클릭하여 VM Encryption Policy(가상 머신 암호화 정책)를 선택합니다.
  3. OK(확인) 버튼을 클릭합니다.

 

 

core-01a - 가상 머신 스토리지 정책 규정 준수 확인

 

탐색 창에 core-01a 가상 머신이 선택된 상태에서 다음 단계를 수행합니다.

  1. core-01a의 컨텐츠 창에서 스크롤 막대를 사용하여 VM Storage Policies(가상 머신 스토리지 정책) 위젯이 표시될 때까지 페이지 하단으로 이동합니다.
  2. 필요할 경우 VM Storage Policies(가상 머신 스토리지 정책) 위젯의 오른쪽 상단에서 화살표를 클릭합니다.
  3. 이제 가상 머신에 VM Encryption Policy(가상 머신 암호화 정책)이 지정되어 있고 녹색 확인 표시를 통해 규정을 준수하고 있음을 알 수 있습니다.

 

 

core-01a - 규정을 준수하지 않음(필요할 경우)

 

어떤 이유로든 1~2분 후에도 VM Storage Policy(가상 머신 스토리지 정책) 위젯에 정보가 표시되지 않거나 규정을 준수하지 않는다고 표시될 경우 다음 단계를 수행합니다.

  1. Check Compliance(규정 준수 확인) 링크를 클릭하여 규정 준수 정보를 업데이트합니다.

참고: 이제 Check Compliance(규정 준수 확인) 링크를 클릭한 후 1분 이내에 정보가 업데이트되어 규정 준수 상태를 표시해야 합니다. 상태가 변경되지 않으면 웹 브라우저 창을 새로 고쳐보십시오. 그래도 여전히 제대로 정보가 반영되도록 업데이트되지 않으면 Hands-on Lab 인터페이스를 사용하거나 실제 손을 들어 실습 진행자의 지원을 요청하십시오.

 

 

esx-01a 선택

 

이제 core-01a 가상 머신의 암호화를 해제하기 위해 다음 단계를 수행합니다.

  1. 왼쪽 탐색 창에서 core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. VM Policies(가상 머신 정책)를 클릭합니다.
  3. Edit VM Storage Policies(가상 머신 스토리지 정책 편집)를 선택합니다.

 

 

core-01a - 가상 머신 스토리지 정책 편집

 

  1. VM storage policy(가상 머신 스토리지 정책) 드롭다운 메뉴에서 화살표를 클릭하여 Datastore Default(데이터스토어 기본값)를 선택합니다.
  2. OK(확인) 버튼을 클릭합니다.

 

 

core-01a - 가상 머신 암호화 해제 확인

 

  1. Check Compliance(규정 준수 확인) 링크를 클릭하여 규정 준수 정보를 업데이트합니다.
  2. 이제 가상 머신 암호화 정책이 더 이상 표시되지 않습니다.

참고: 이제 Check Compliance(규정 준수 확인) 링크를 클릭한 후 몇 분 내에 정보가 업데이트되어 가상 머신 스토리지 정책 위젯이 비어 있어야 합니다. 상태가 변경되지 않으면 웹 브라우저 창을 새고 고치고 가상 머신 스토리지 정책 위젯을 다시 확인합니다. 여전히 암호화 정책이 표시되면 Hands-on Lab 인터페이스를 사용하거나 실제 손을 들어 실습 진행자의 지원을 요청하십시오.

 

 

HyTrust KMS Server를 사용하여 가상 머신 암호화 - 완료

이 과정에서는 vSphere Web Client를 사용하여 core-01a 가상 머신에 가상 머신 암호화 정책을 적용했습니다. 정책을 적용한 후 가상 머신에서 가상 머신 암호화 정책을 준수하는 것을 확인했습니다. 그런 다음 동일한 단계를 거쳐 core-01a 가상 머신에서 암호화 정책을 제거했습니다. 이 작업을 완료한 후 가상 머신 저장소 정책 위젯이 다시 빈 상태로 표시되는 것을 확인할 수 있었습니다. 이는 예상된 동작으로 가상 머신 파일 암호화가 제거되었음을 나타냅니다.

vSphere Web Client를 사용하는 것이 가상 머신의 암호화 및 암호화 해제를 수행하는 유일한 방법은 아닙니다. 또한 PowerCLI 명령을 사용하면 단일 가상 머신 또는 다수의 가상 머신에 일괄적으로 동일한 작업을 더 효율적으로 수행할 수 있습니다. 한 번에 많은 수의 가상 머신에서 암호화 상태를 변경할 경우 PowerCLI 명령을 사용하는 것이 가장 좋습니다.

다음 과정에서는 여러 암호화 관련 작업에서 PowerCLI를 사용하는 것에 대해 자세히 살펴보겠습니다. 또한 이 모듈의 뒷부분에서는 PowerCLI 명령을 사용하여 실제로 가상 머신을 암호화하고 다시 해제합니다.

 

암호화된 vMotion 모드로 가상 머신 설정


이 과정에서는 암호화된 vMotion 모드를 사용하도록 가상 머신을 설정하는 단계를 수행합니다. vSphere Web Client에서 이를 구성하는 과정을 살펴보겠지만 리소스 제약으로 인해 실습 환경에서 실제로 vMotion 작업을 수행하지는 않습니다. 또한 가상 머신에서 vMotion 작업을 수행하고 암호화되는 것도 실제로 "볼" 수는 없습니다.


 

core-01a - 설정 편집

 

  1. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Edit Settings(설정 편집)를 선택합니다.

참고: 실습 환경의 가상 머신의 목록은 화면 캡처와 약간 다르게 표시될 수 있습니다.

 

 

core-01a - 가상 머신 옵션

 

다음 실습 단계에서는 암호화된 vMotion을 설정하는 단계를 살펴보겠지만 실제로 vMotion 작업이 암호화되는지 확인할 수 없으므로 이 단계를 실제로 완료하지는 않습니다. 또한 이렇게 하면 실습에 필요한 리소스의 양을 줄일 수 있습니다.

  1. 팝업 창의 VM Options(가상 머신 옵션) 탭을 클릭합니다.
  2. Encryption(암호화) 옆의 화살표를 클릭하여 확장하면 Encrypt VM(가상 머신 암호화) 및 Encrypted vMotion(암호화된 vMotion) 설정이 표시됩니다.
  3. Policies and Profiles(정책 및 프로필) 섹션 외 또 다른 가상 머신 암호화를 설정하는 방법으로 여기서 None(없음) 또는 VM Encryption Policy(가상 머신 암호화 정책) 중 하나를 선택할 수 있습니다.

 

 

core-01a - 암호화된 vMotion

 

참고로 이미 가상 머신이 암호화되도록 설정된 경우 자동으로 암호화된 vMotion을 사용합니다. 그러나 암호화된 vMotion에는 3가지 옵션이 있습니다.

  1. 이미 가상 머신이 암호화되었으므로 Encrypted vMotion(암호화된 vMotion) 설정이 Required(필수)로 설정되어 있지만 변경할 수 있습니다.
  2. 실제 vMotion 작업을 수행하지 않을 것이기 때문에 실제로 변경할 필요가 없으므로 CANCEL(취소) 버튼을 클릭합니다.

 

 

core-01a - 마이그레이션

 

다음 몇 단계에서는 vMotion 작업이 실제로 암호화되는지 확인할 수 없으므로 vMotion 작업을 실제로 완료하지는 않습니다. 또한 이렇게 하면 실습 환경에 필요한 리소스의 양을 줄일 수 있습니다.

  1. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Migrate(마이그레이션)를 선택합니다.

 

 

core-01a - 마이그레이션 유형 선택

 

  1. Change compute resource only(컴퓨팅 리소스만 변경) 옵션 버튼을 기본 설정대로 두고 NEXT(다음) 버튼을 클릭합니다.

 

 

core-01a - 컴퓨팅 리소스 선택

 

현재 core-01a 가상 머신은 esx-02a.corp.local에 있으므로 esx-01a.corp.local로 마이그레이션하겠습니다.

  1. 마이그레이션 대상으로 esx-01a.corp.local 호스트를 선택합니다.
  2. Compatibility(호환성) 아래에 Compatibility checks succeeded(호환성 확인 성공)가 표시되는지 확인합니다.
  3. Next(다음) 버튼을 클릭합니다.

 

 

core-01a - 네트워크 선택

 

  1. Compatibility(호환성) 아래에 Compatibility checks succeeded(호환성 확인 성공)가 표시되는지 확인합니다.
  2. 선택된 기본 네트워크를 그대로 두고 Next(다음) 버튼을 클릭합니다.

 

 

core-01a - 완료 준비

 

참고: 다음과 같은 이유로 실제로 vMotion 작업을 수행하지 않습니다.

마지막 단계를 완료하기 위해서는 다음을 수행합니다.

  1. 정보를 검토하여 모든 선택 사항이 올바른지 확인합니다.
  2. 이는 실습 환경이므로 vMotion 작업이 시작되지 않도록 CANCEL(취소) 버튼을 선택합니다. 실제 운영 환경이라면 Finish(마침) 버튼을 선택할 것입니다.

 

 

암호화된 vMotion 모드로 가상 머신 설정- 완료

암호화된 vMotion 모드를 사용하도록 가상 머신을 설정하는 과정을 완료했습니다. 가상 머신이 이미 암호화되어 있는지 여부에 관계없이 소스 호스트에서 가상 머신을 암호화한 다음 대상 호스트에서 암호화를 해제할 수 있음을 알게 되었습니다. 또한 이미 가상 머신이 암호화된 경우 추가 설정 없이 암호화된 vMotion을 사용할 수 있다는 것도 알게 되었습니다. 그러나 가상 머신이 이미 암호화되지 않은 경우 원한다면 호스트 간 vMotion을 수행하기 위해 암호화하도록 수동으로 선택할 수 있습니다.

 

PowerCLI - vCenter 및 암호화된 가상 머신 목록에 연결


이 과정에서는 PowerCLI를 사용하여 vCenter Server에 연결합니다. 그런 다음 vCenter Server에서 가상 머신 목록을 가져와 암호화되어 있는지 여부를 확인하는 명령을 실행합니다. 하지만 PowerCLI 암호화 명령에 액세스하려면 먼저 VMware 암호화 모듈을 추가해야 합니다. VMware.VMEncryption.psd1 VMware.VMEncryption.psm1의 두 파일은 작업 중인 "C:\LabFiles\HOL-1911\" 폴더의 가상 머신에 있습니다.


 

PowerCLI 시작

 

  1. 바탕 화면에서 VMware PowerCLI 아이콘을 두 번 클릭하여 PowerCLI를 시작합니다.

 

 

PowerCLI - 모듈 임포트

 

VMware.VMEncryption 모듈을 이미 임포트한 경우 아래 단계는 건너뛸 수 있습니다.

  1. PowerCLI 텍스트 창에 다음 명령을 입력한 후 Enter 키를 누릅니다.
Import-Module -Name "C:\Labfiles\HOL-1911\VMware.VMEncryption.psd1"
  1. PowerCLI 텍스트 창에 다음 명령을 입력한 후 Enter 키를 누릅니다.
Import-Module -Name "C:\Labfiles\HOL-1911\VMware.VMEncryption.psm1"

 

 

PowerCLI - vCenter Server에 연결

 

PowerCLI에서 vcsa-01a.corp.local vCenter Server에 다시 연결해야 합니다.

  1. PowerCLI 텍스트 창에 다음 명령을 입력한 후 Enter 키를 누릅니다.
Connect-VIServer -server vcsa-01a.corp.local -user administrator@corp.local -password VMware1!
  1. vCenter Server에 성공적으로 연결한 경우 이름과 포트, 연결한 관련 사용자 계정이 표시됩니다.

 

 

PowerCLI - 암호화 상태 나열

 

PowerCLI 명령을 사용하여 vSphere Web Client에서와 같이 core-01a가 암호화되었는지 여부를 확인할 수 있습니다.

  1. vCenter Server의 가상 머신 암호화 상태를 확인하려면 다음 명령을 입력합니다.
Get-VM | Select Name, Encrypted

Encrypted(암호화됨) 열의 False 값을 통해 가상 머신(app-01a, kms-01a, core-01a and template-01a) 중에서 현재 암호화된 가상 머신이 없다는 것을 알 수 있습니다.

참고: 이 명령을 실행해도 TRUE 또는 FALSE 상태가 확인되지 않을 경우 이는 두 Import-Module 명령을 다시 실행해야 함을 의미합니다. 이 과정의 시작 부분에 나와 있는 단계에서 해당 명령을 참조하십시오.

참고: 다음 두 과정에서 사용해야 하므로 PowerCLI 창을 닫지 마십시오. 또한 PowerCLI 창을 닫으면 암호화 모듈을 다시 임포트하기 위해 Import-Module PowerCLI 명령을 다시 실행해야 합니다.

 

 

PowerCLI - vCenter 및 암호화된 가상 머신 목록에 연결 - 완료

이 과정에서는 Connect-VIServer -Server vcenterservername -User username -Password password 명령을 실행하여 vCenter Server에 연결했습니다. 명령을 실행하기 위해서는 먼저 vCenter Server 에 연결해야 합니다. 또한 연결된 vCenter Server의 모든 가상 머신 목록에 대해 암호화 여부를 true 또는 false 상태로 표시하는 Get-VM | Select Name, Encrypted를 실행했습니다. true 상태는 가상 머신이 이미 암호화되었음을 의미합니다.

 

PowerCLI - 가상 머신 암호화/암호화 해제


이 과정에서는 PowerCLI를 사용하여 가상 머신을 암호화하고 다시 해제합니다. 그런 다음 또 다른 PowerCLI 명령을 사용하여 가상 머신이 실제로 암호화되었는지 확인합니다.


 

PowerCLI - core-01a 암호화

 

  1. core-01a 가상 머신을 암호화하기 위해 PowerCLI 텍스트 창에 다음 명령을 입력한 후 Enter 키를 누릅니다.
Get-VM -Name "core-01a" | Enable-VMEncryption
  1. 그런 다음 Type Value(유형 값) 아래 Task-1723이 반환되는지 확인합니다. 이 값은 가상 머신에 대해 vSphere Web Client의 monitoring(모니터링) 탭 아래 Tasks(작업) 섹션에서 참조하기 위해 사용할 수 있습니다.

참고: 실습 환경의 작업 번호는 화면 캡처와 다를 수 있습니다. 암호화/암호화 해제 PowerCLI 명령을 실행할 때마다 다른 Task-#### 번호가 반환됩니다.

 

 

vSphere Web Client - core-01a

 

  1. 이제 core-01a 가상 머신이 암호화되었는지 확인하기 위해 PowerCLI 텍스트 창에 다음 명령을 입력한 후 Enter 키를 누릅니다.
Get-VM | Select Name, Encrypted
  1. core-01a 가상 머신에 True 상태가 표시되어 이제 암호화되었음을 알 수 있습니다.

참고: 이 실습에서 이전 모듈을 완료했는지 여부에 따라 실습 환경의 가상 머신의 이름과 순서는 화면 캡처와 다를 수 있습니다.

참고: 이 명령을 실행해도 TRUE 또는 FALSE 상태가 확인되지 않을 경우 이는 두 Import-Module 명령을 다시 실행해야 함을 의미합니다. 이 과정의 시작 부분에 나와 있는 단계에서 해당 명령을 참조하십시오.

 

 

vSphere Web Client - Google Chrome 최대화

 

이제 이번에는 vSphere Web Client를 통해 core-01a 가상 머신이 실제로 암호화되었는지 확인해보겠습니다.

  1. 작업 표시줄에서 최소화되어 있는 Google Chrome 아이콘을 클릭하여 vSphere Web Client를 최대화합니다.

 

 

vSphere Web Client - core-01a

 

  1. 탐색 창의 vcsa-01a.corp.local vCenter Server 아래에서 core-01a 가상 머신을 클릭합니다.

 

 

vSphere Web Client - 규정 준수 확인

 

탐색 창에 core-01a 가상 머신이 선택된 상태에서 다음 단계를 수행합니다.

  1. core-01a의 컨텐츠 창에서 스크롤 막대를 사용하여 VM Storage Policies(가상 머신 스토리지 정책) 위젯이 표시될 때까지 페이지 하단으로 이동합니다.
  2. Check Compliance(규정 준수 확인) 링크를 클릭합니다.
  3. 이제 가상 머신에 VM Encryption Policy(가상 머신 암호화 정책)이 지정되어 있고 녹색 확인 표시를 통해 규정을 준수하고 있음을 알 수 있습니다.

 

 

Chrome 최소화

 

  1. 최소화 아이콘을 클릭하여 Google Chrome을 최소화합니다.

 

 

PowerCLI - 최대화(필요할 경우)

 

PowerCLI 창이 최대화되어 있지 않은 경우 아래 단계를 수행합니다. 최대화되어 있으면 아래 단계를 건너뛸 수 있습니다.

  1. 작업 표시줄에서 최소화되어 있는 PowerCLI 아이콘을 클릭하여 Chrome을 최대화합니다.

 

 

PowerCLI - core-01a 암호화 해제

 

  1. core-01a 가상 머신의 암호화를 해제하기 위해 PowerCLI 텍스트 창에 다음 명령을 입력한 후 Enter 키를 누릅니다.
Get-VM -Name core-01a | Disable-VMEncryption
  1. 그런 다음 Type Value(유형 값) 아래 Task-1724가 반환되는지 확인합니다. 이 값은 가상 머신에 대해 vSphere Web Client의 monitoring(모니터링) 탭 아래 Tasks(작업) 섹션에서 참조하기 위해 사용할 수 있습니다.

참고: 실습 환경의 작업 번호는 화면 캡처와 다를 수 있습니다. 암호화/암호화 해제 PowerCLI 명령을 실행할 때마다 다른 Task-#### 번호가 반환됩니다.

 

 

PowerCLI - core-01a의 암호화 상태

 

  1. 이제 core-01a 가상 머신의 암호화가 해제되었는지 확인하기 위해 PowerCLI 텍스트 창에 다음 명령을 입력한 후 Enter 키를 누릅니다.
Get-VM | Select Name, Encrypted
  1. core-01a의 상태가 False로 표시되어 더 이상 암호화되지 않고 있음을 알 수 있습니다.

참고: 이 실습에서 이전 모듈을 완료했는지 여부에 따라 실습 환경의 가상 머신의 이름과 순서는 화면 캡처와 다를 수 있습니다.

 

 

Google Chrome 최대화

 

이제 이번에는 vSphere Web Client를 통해 core-01a 가상 머신이 실제로 암호화가 해제되었는지 확인해보겠습니다.

  1. 작업 표시줄에서 최소화되어 있는 Google Chrome 아이콘을 클릭하여 vSphere Web Client를 최대화합니다.

 

 

vSphere Web Client - core-01a

 

  1. 탐색 창의 vcsa-01a.corp.local vCenter Server 아래에서 core-01a 가상 머신을 클릭합니다.

 

 

vSphere Web Client - 규정 준수 확인

 

탐색 창에 core-01a 가상 머신이 선택된 상태에서 다음 단계를 수행합니다.

  1. core-01a의 컨텐츠 창에서 스크롤 막대를 사용하여 VM Storage Policies(가상 머신 스토리지 정책) 위젯이 표시될 때까지 페이지 하단으로 이동합니다.
  2. VM Storage Policies(가상 머신 스토리지 정책) 위젯에서 Check Compliance(규정 준수 확인) 링크를 클릭합니다.
  3. 가상 머신의 암호화가 해제되어 이제 VM Storage Policies(가상 머신 스토리지 정책)에 아무 것도 표시되지 않습니다.

 

 

PowerCLI - 가상 머신 암호화/암호화 해제 - 완료

이 과정에서는 PowerCLI를 사용하여 가상 머신을 암호화하고 다시 해제하는 방법을 알아보았습니다. 이 방법은 더 간편하고 효율적으로 작업을 수행할 수 있어 한 번에 여러 가상 머신을 암호화 및 암호화 해제할 때 특히 유용합니다. 또한 모든 가상 머신의 목록에 대해 암호화되었는지에 따라 True/False 값을 제공하는 Get-VM | Select Name, Encrypted PowerCLI 명령을 사용하여 각 단계를 확인했습니다.

 

PowerCLI - 암호화된 가상 머신 및 사용된 KMS Server 표시


이 과정에서는 암호화된 가상 머신의 상태를 반환하고 화면을 지우며 사용 중인 기본 KMS Server를 확인하고 가상 머신의 목록에 대해 암호화 여부 및 사용된 KMS Server를 나열하는 PowerCLI 명령을 실행합니다.


 

Chrome 최소화

 

  1. 최소화 아이콘을 클릭하여 Google Chrome을 최소화합니다.

 

 

화면 지우기

 

  1. PowerCLI 창에 다음 명령을 입력하여 화면을 지웁니다.
clear

 

 

PowerCLI - core-01a 암호화

 

  1. core-01a 가상 머신을 암호화하기 위해 PowerCLI 텍스트 창에 다음 명령을 입력한 후 Enter 키를 누릅니다.
Get-VM -Name core-01a | Enable-VMEncryption
  1. 그런 다음 Type Value(유형 값) 아래 Task-1723이 반환되는지 확인합니다. 이 값은 가상 머신에 대해 vSphere Web Client의 monitoring(모니터링) 탭 아래 Tasks(작업) 섹션에서 참조하기 위해 사용할 수 있습니다.

참고: 실습 환경의 작업 번호는 화면 캡처와 다를 수 있습니다. 암호화/암호화 해제 PowerCLI 명령을 실행할 때마다 다른 Task-#### 번호가 반환됩니다.

 

 

PowerCLI - Get-VM -Name core-01a | Get-VMEncryptionInfo

 

  1. core-01a에 대한 추가 암호화 관련 정보를 확인하기 위해 다음 명령을 입력합니다.
Get-VM -Name core-01a | Get-VMEncryptionInfo
  1. core-01a에 지정된 가상 머신 암호화 정책 및 KMS Server와의 연결 상태, 사용 중인 KeyId가 표시됩니다.

참고: 이 예에서는 core-01a에 대한 정보를 확인하기 위해 "Get-VM core-01a | Get-VMEncryptionInfo" 명령을 사용했습니다. vCenter Server의 모든 가상 머신에 대한 정보를 확인하려면 이 명령 대신 "Get-VM | Get-VMEncryptionInfo"를 사용합니다.

 

 

PowerCLI - Get-VM | Select name, KMSServer

 

  1. 가상 머신을 암호화하는 데 사용된 KMS Server를 확인하려면 다음 명령을 입력합니다.
Get-VM | Select Name, KMSServer
  1. KMS 클러스터 서버 이름으로 HOL-KMS-01a가 표시되는 것을 통해 현재 core-01a가 암호화된 상태라는 것을 알 수 있습니다.

 

 

PowerCLI - Get-DefaultKMSCluster

 

  1. 기본 KMS 클러스터를 확인하려면 다음 명령을 입력합니다.
VMware.VimAutomation.Storage\Get-KmsCluster
  1. 예상대로 기본 KMS 클러스터로 HOL-KMS-01a가 표시됩니다.

참고: 이전 버전의 PowerCLI에서는 같은 정보를 확인하기 위해 Get-DefaultKMSCluster 명령을 사용했습니다. 그러나 이 명령은 더 이상 사용되지 않습니다.

 

 

PowerCLI 닫기

 

  1. 사용이 끝난 PowerCLI 애플리케이션을 닫기 위해 "X"를 클릭합니다.

 

 

PowerCLI - 암호화된 가상 머신 및 사용된 KMS Server 표시 - 완료

이 과정에서는 Get-VM | Get-VMEncryptionInfo 명령을 사용하여 각 가상 머신에 대한 몇 가지 세부 정보 및 암호화 관련 정보를 확인했습니다. 또한 Get-VM | Select Name, KMSServer를 사용하여 모든 가상 머신의 목록과 암호화된 경우 사용된 KMS Server에 대한 정보를 확인했습니다. 그런 다음 VMware.VimAutomation.Storage\Get-KmsCluster 명령을 사용하여 가상 머신 암호화에 사용되는 기본 KMS 클러스터를 확인했습니다.

 

PowerCLI - 기본 KMS Server 변경


이 과정에서 실습 환경의 설정 방식으로 인해 기본 KMS Server를 변경하는 실제 PowerCLI 명령을 실행하지 않습니다. 이 명령을 실행하려면 둘 이상의 KMS Server가 연결되어 있고 단일 vCenter Server와 신뢰 관계가 형성되어야 합니다. 따라서 참조를 위해 명령을 알아보기만 하고 실습 환경에서 실행하지는 않습니다.


 

PowerCLI - Get-KmsCluster

현재 기본 KMS 클러스터를 확인하려면 다음 명령을 입력합니다.

예:  VMware.VimAutomation.Storage\Get-KmsCluster

 

 

새 KMS 클러스터 설정

새 기본 KMS 클러스터를 설정하려면 다음 명령을 입력합니다. 

예:  Set-DefaultKMSCluster -KMSCluster "New_KMS_Cluster_Name"

 

 

PowerCLI - 새 KMS Server에 대해 가상 머신 암호화

새 기본 KMS Server로 전환한 후 이 서버를 사용하여 가상 머신을 암호화할 수 있는지 확인해보겠습니다.

예:  Get-VM -Name "VM-Name" | Enable-VMEncryption

이 명령을 입력하면 작업 번호가 반환되며 이는 오류 없이 성공적으로 명령을 실행했음을 나타냅니다. 따라서 새 기본 KMS Server를 사용하여 가상 머신을 암호화할 수 있음을 알 수 있습니다.

 

 

PowerCLI - Get-KmsCluster

KMS 클러스터를 변경한 후 현재의 기본 KMS 클러스터를 확인하기 위해 다음 명령을 다시 실행합니다.

예:  VMware.VimAutomation.Storage\Get-KmsCluster

 

 

 

PowerCLI - 기본 KMS Server 변경 - 완료

PowerCLI를 사용하여 가상 머신에서 다양한 암호화 관련 작업을 수행하는 모듈을 완료했습니다. 먼저 VMware.VimAutomation.Storage\Get-KmsCluster 명령을 실행하여 기본 KMS 클러스터/서버를 확인했습니다. 그런 다음 Set-DefaultKMSCluster -KMSCluster "New_KMS_Cluster_Name" 명령을 실행하여 HyTrust KMS Cluster 2로 기본 클러스터를 변경했습니다. 기본 클러스터가 변경되었는지 확인한 후 마지막으로 가상 머신을 암호화하여 새 기본 KMS Server를 사용할 수 있는지 확인했습니다.

 

결론


모듈 3을 완료했습니다.

이 실습에서는 HyTrust KMS Server를 vCenter Server에 추가하여 두 서버 간 신뢰를 형성하는 방법을 알아보았습니다. 그런 다음 vSphere Web Client를 사용하여 기본 가상 머신 암호화 스토리지 정책을 검토했습니다. 그런 다음 여러 PowerCLI 명령을 수행하여 가상 머신을 암호화 및 암호화 해제하고 새로운 KMS Server로 변경하는 방법 등에 대해 알아보았습니다.

다음 모듈()을 계속 진행하거나 원하는 다른 모듈로 건너뛸 수 있습니다.


 

가상 머신 암호화 참고 자료:

다음은 새로운 암호화 관련 vSphere 6.7 기능 조합에 대해 알아보는 데 도움이 되는 몇 가지 추가 참고 자료입니다.

참고: 실습 설명서의 VMware 참고 자료에 대한 링크는 참조용으로만 제공됩니다. 실습 환경은 인터넷 연결이 제공되지 않을 수 있으므로 실습 환경 내에서 이러한 참고 자료를 보지 못할 수 있습니다. 제공되는 링크에 연결할 수 없는 경우 링크를 수동으로 기록하거나 모바일 기기를 사용하여 사진을 찍으십시오. 또한 이 링크 중 일부는 새 버전 릴리스로 인해 제공이 중단되어 더 이상 사용하지 못할 수 있습니다.  

 

 

선택 사항: 실습 종료 방법

 

참고: 실습에서 END(종료) 버튼을 클릭하면 실습이 종료되고 관련 가상 머신이 삭제됩니다. 따라서 실습을 다시 시작하면 이전 실습 인스턴스가 아닌 새 가상 머신의 새 인스턴스가 생성됩니다. 이전의 모든 설정은 사라지고 실습이 처음 배포될 때의 기본 설정으로 돌아갑니다.

이제 다음 모듈을 계속 진행하거나 목차를 사용하여 원하는 다른 모듈로 건너뛸 수 있습니다.

실습을 끝내려면 END(종료) 버튼을 클릭합니다.

참고: 실습을 종료한 후 다른 모듈을 실행하려면 실습에 다시 등록해야 합니다.

 

모듈 4 - 호스트 및 가상 머신의 보안 부팅(30분)

소개


이 모듈(모듈 4 - 호스트 및 가상 머신의 보안 부팅)에서는 호스트 및 가상 머신에 대해 보안 부팅을 구성하는 단계를 수행해봅니다. ESXi 호스트의 보안 부팅은 vSphere 6.5에서 처음 도입되었으며, 새로 추가된 vSphere 6.7 보안 기능을 구성하여 vSphere 호스트에 가상 TPM(vTPM)을 추가할 것입니다. 하드웨어 TPM(Trusted Platform Module)이 있어야 하거나 매핑할 필요가 없습니다. 새 네트워크 카드를 추가하는 것처럼 새 디바이스로 vTPM을 추가하기만 하면 됩니다. 표준 Microsoft 드라이버를 사용하며, 또한 OS 변경이나 특별한 소프트웨어가 필요 없습니다.

다음과 같은 단계를 수행합니다.


 

보안 부팅 및 UEFI 개요

참고: 실습 설명서의 VMware 참고 자료에 대한 링크는 참조용으로만 제공됩니다. 실습 환경은 인터넷 연결이 제공되지 않을 수 있으므로 이러한 참고 자료를 보지 못할 수 있습니다. 제공되는 링크에 연결할 수 없는 경우 링크를 수동으로 기록하거나 모바일 기기를 사용하여 사진을 찍으십시오.

UEFI(Unified Extensible Firmware Interface)는 원래 IBM PC에서 유래된 기존 BIOS 펌웨어를 대체합니다.  UEFI가 제공하는 기능에 대해 자세히 알아보려면 Wikipedia의 UEFI 개요를 읽어보시기 바랍니다. 이 실습에서는 ESXi와 관련된 UEFI 및 보안 부팅에 대해 집중적으로 살펴보겠습니다.

UEFI에서 보안 부팅은 UEFI 펌웨어의 한 “프로토콜”을 말합니다. 이 기능은 부트로더가 손상되지 않았는지 확인하기 위해 펌웨어의 디지털 인증서에 대해 디지털 서명을 검증하도록 설계되었습니다. 데스크톱 또는 랩톱의 손상은 일반적으로 루트킷에 맬웨어가 설치된 경우에 발생합니다. 그렇게 되면 디지털 서명이 변경되며, 이를 확인한 UEFI 펌웨어는 부팅을 중단합니다. UEFI는 허용된/유효한 디지털 인증서를 서명 데이터베이스(DB)에 저장할 수 있습니다. 금지된 인증서(DBX), KEK(Key Exchange Keys) 데이터베이스 및 플랫폼 키에 대한 차단 목록도 있습니다. 이는 호스트에 설치된 펌웨어부터 시작하는 신뢰 루트의 기반이 됩니다.

이러한 디지털 인증서는 UEFI 펌웨어가 부트로더를 검증하는 데 사용됩니다. 부트로더는 일반적으로 암호화된 방식으로 서명되며 디지털 서명은 펌웨어의 인증서에 연결됩니다.  거의 모든 UEFI 펌웨어 구현에서 기본 디지털 인증서는 x509 Microsoft UEFI 공개 CA 인증서입니다. 대부분의 UEFI 구현에서는 추가 디지털 인증서를 설치할 수도 있습니다. 이는 자신의 고유 인증서와 대조하여 서명된 사용자 지정 부트로더를 개발하는 경우에 주로 사용됩니다. UEFI 펌웨어에 해당 인증서를 설치할 수 있으며 UEFI는 이 인증서와 비교하여 부트로더를 검증합니다.

기본 인증서는 VMware가 아닌 서버 벤더의 펌웨어 설치에 포함되며, 서버에서 UEFI 펌웨어를 업데이트할 때 디지털 인증서도 포함됩니다.

 

 

ESXi의 UEFI 및 보안 부팅 구현 방법

ESXi 6.7은 디지털 인증서를 저장하고 부트로더를 검증하는 펌웨어의 기능을 기반으로 구축되었습니다. ESXi를 구성하는 몇 가지 요소로는 부트로더, 가상 머신 커널, 보안 부팅 검증 도구, VIB(“vSphere Installation Bundles”)가 있습니다. 각 구성 요소는 암호화된 방식으로 서명되어 있습니다. 각 구성 요소에 대해 살펴보겠습니다.

부트로더

위에서 설명했듯이 UEFI 펌웨어는 부트로더의 무결성을 검증하기 위해 부트로더의 디지털 서명을 확인합니다. 일반적으로 루트킷의 보안 위협을 완화하는 이 단계까지만 수행하는 운영 체제가 많습니다. 그러나 ESXi는 아닙니다. 여기서 더 나아가 제공되는 모든 컨텐츠가 암호화된 방식으로 서명되도록 보장합니다.

ESXi 부트로더는 Microsoft UEFI Public CA 인증서를 사용하여 서명됩니다. 따라서 표준 UEFI 보안 부팅 펌웨어가 VMware 부트로더를 검증할 수 있습니다. 부트로더 코드에도 VMware 퍼블릭 키가 포함됩니다. 이 VMware 키는 VIB 검증에 사용되는 보안 부팅 검증 도구를 포함하여 몇 가지 시스템 요소와 가상 머신 커널을 검증하는 데 사용됩니다.

가상 머신 커널

가상 머신 커널 또한 VMware 퍼블릭 키를 사용하여 암호화된 방식으로 서명됩니다. 부트로더는 보유하고 있는 VMware 퍼블릭 키를 사용하여 커널을 검증합니다. 가상 머신 커널은 가장 먼저 보안 부팅 검증 도구를 실행합니다.

보안 부팅 검증 도구

보안 부팅 검증 도구는 VMware 퍼블릭 키에 대해 암호화된 방식으로 서명된 모든 VIB를 검증합니다. VMware 퍼블릭 키는 보안 부팅 검증 도구의 코드 베이스에 포함되어 있습니다. (그림에 나와 있듯이 ESXi 부트로더 및 보안 부팅 검증 도구의 두 곳에 VMware 퍼블릭 키가 저장됨)

VIB

VIB(vSphere Installation Bundle)는 하나의 “패키지”로서 파일 아카이브(TAR g-zipped 파일), XML 설명자 파일 및 디지털 서명 파일로 구성됩니다.  (자세한 내용은 https://blogs.vmware.com/vsphere/2011/09/whats-in-a-vib.html 참조)

ESXi가 부팅되면 VIB(vSphere Installation Bundle)의 컨텐츠에 매핑되는 파일 시스템을 메모리에 생성합니다.  암호화된 방식으로 서명된 “패키지” 내에서만 파일이 사용될 경우 모든 파일을 서명할 필요 없이 패키지만 서명하면 됩니다.

사전 요구 사항:

호스트를 6.7로 업그레이드했지만 보안 부팅을 한 번도 사용하지 않은 경우 ESXi 호스트에 있는 검증 스크립트를 실행할 수 있습니다. 스크립트를 실행하는 명령은 다음과 같습니다.

/usr/lib/vmware/secureboot/bin/secureBoot.py -c

실행 후 보안 부팅을 사용하도록 설정할 수 있음 또는 보안 부팅을 사용하도록 설정할 수 없음으로 결과를 표시합니다. 보안 부팅을 사용하도록 설정할 수 없는 경우 위에서 “업그레이드 관련 문제”를 참조하십시오. 클린 설치가 필요한 상황일 수 있습니다. ESXi는 계속 실행할 수 있지만 ESXi의 보안 부팅은 사용할 수 없습니다.

 

PSOD, 서명되지 않은 VIB 및 파일 무결성 모니터링(FIM)

PSOD(Purple Screen of Death)

ESXi 호스트에 서명되지 않은 VIB(vSphere Installation Bundle)가 있는 상태에서 펌웨어에 보안 부팅을 사용하도록 설정한 경우 ESXi는 VIB(vSphere Installation Bundle)가 서명되지 않았음을 나타내는 보라색 화면으로 부팅됩니다. 다음과 유사한 오류 메시지가 표시됩니다.

이 문제를 해결하기 위해서는 다음을 수행합니다.

이미 서명되지 않은 코드가 설치된 경우에만 이 상황이 발생할 수 있습니다.

 

보안 부팅을 사용하는 호스트의 전원 켜기


이 레슨에서는 UEFI 보안 부팅을 사용하도록 설정한 호스트에서 정상적으로 전원을 켜보겠습니다.


 

Google Chrome 시작

 

새 Google Chrome 브라우저 창을 열려는 경우 아래 단계를 수행하고 그렇지 않으면 이 단계를 건너뛸 수 있습니다.

  1. 빠른 실행 작업 표시줄에 있는 Google Chrome 아이콘을 클릭합니다.

참고: Google Chrome이 이미 열려 있을 경우 다음 단계로 넘어갑니다.

 

 

RegionA vCenter

 

RegionA vCenter Server Web Client가 열려 있지 않을 경우 아래 단계를 수행합니다.

  1. 북마크 도구 모음에서 RegionA 폴더를 클릭합니다.
  2. RegionA vSphere Client (HTML)를 클릭합니다.

 

 

 

RegionA vCenter Server에 로그인

 

RegionA vCenter Server에 로그인되어 있으면 이 단계를 건너뛸 수 있지만 그렇지 않다면 아래 단계를 완료합니다.

  1. 사용자 이름 필드에 administrator@corp.local을 입력합니다.
  2. 암호 필드에 VMware1! 를 입력합니다.
  3. Login(로그인) 버튼을 클릭합니다.

 

 

호스트 메뉴

 

  1. 컨텐츠 창 상단의 Menu(메뉴) 아이콘을 클릭합니다.
  2. Menu(메뉴) 드롭다운에서 Hosts and Clusters(호스트 및 클러스터)를 선택합니다.

 

 

esx-03b 중첩 ESXi Server

 

이제esx-03b 중첩 ESXi 호스트에 대해 살펴보겠습니다. 여기서는 보안 부팅을 사용하지 않습니다.

  1. 탐색 창에서 esx-03b 가상 머신을 클릭합니다.

참고: 시작한 모듈에 따라 실습 환경의 가상 머신의 목록은 화면 캡처와 다르게 표시될 수 있습니다.

 

 

esx-03b - 콘솔 열기

 

탐색 창에 esx-03b 가상 머신이 선택된 상태에서 컨텐츠 창으로 이동하여 다음 단계를 수행합니다.

  1. 컨텐츠 창에서 Launch Web Console(웹 콘솔 시작) 링크를 선택합니다.

 

 

esx-03b - 콘솔 창

 

이전 단계에서 Launch Web Console(웹 콘솔 시작) 링크를 클릭하면 자동으로 콘솔이 열린 새 탭이 표시되어야 합니다.

  1. 호스트는 이전에 정상적으로 시작되어 문제가 되는 PSOD(Purple Screen of Death)없어야 합니다. 보안 부팅을 사용하지 않으며 서명되지 않은 VIB가 설치되지 않은 호스트가 정상적으로 부팅된 경우 다음과 같은 화면이 표시됩니다.

 

 

Google Chrome 최소화

 

  1. Google Chrome 창의 오른쪽 상단에서 Minimize(최소화) 아이콘을 클릭합니다.

 

서명되지 않은 VIB 설치


이 레슨에서는 서명되지 않은 VIB(vSphere Installation Bundle) ZIP 파일을 ESXi 가상 호스트(esx-03b) 디렉토리에 복사하여 설치 준비를 합니다. 그런 다음 가상 ESXi 호스트에 연결하여 서명되지 않은 VIB(vSphere Installation Bundle) 설치 명령을 실행합니다. 서명되지 않은 VIB를 설치한 후 보안 부팅을 사용하도록 설정된 상태에서 ESXi 호스트를 재부팅하면 PSOD(Purple Screen of Death)가 표시됩니다.


 

프로그램 메뉴

 

이제 esx-03b 가상 머신에 서명되지 않은 VIB(vSphere Installation Bundle) 파일을 복사해야 하며, 이를 위해 WinSCP 애플리케이션을 사용하겠습니다.

  1. 가상 머신 왼쪽 하단의 Windows 버튼을 클릭합니다.
  2. 메뉴에서 All Programs(모든 프로그램) 항목을 클릭합니다.

 

 

WinSCP 열기

 

  1. All Applications(모든 애플리케이션) 드롭다운 메뉴에서 WinSCP 애플리케이션을 클릭합니다.

 

 

esx-03b에 연결

 

  1. 애플리케이션 왼쪽의 메뉴에서 New Site(새 사이트)를 클릭합니다.
  2. Host name(호스트 이름) 텍스트 필드에 esx-03b.corp.local을 입력합니다.
  3. User name(사용자 이름) 텍스트 필드에 root를 입력합니다.
  4. Password(암호) 텍스트 필드에 VMware1!를 입력합니다.
  5. Login(로그인) 버튼을 클릭하여 esx-03b.corp.local에 연결합니다.

 

 

WinSCP - 보안(필요할 경우)

 

처음으로 WinSCP를 통해 esx-03b.corp.local에 연결할 경우 보안 팝업 창이 표시되며 다음 단계를 수행해야 합니다. 이전 실습에서 이미 수락한 경우 이 단계를 다시 수행하지 않아도 됩니다.

  1. Yes(예) 버튼을 클릭하여 중첩 호스트에 대한 연결을 허용합니다.

 

 

WinSCP - 드라이브 루트

 

  1. 백슬래시가 있는 폴더 아이콘을 클릭하여 창 왼쪽의 Control(제어) 가상 머신의 C:\ 드라이브 루트로 이동합니다.

 

 

WinSCP - 실습 파일 폴더

 

  1. 실습 파일 폴더를 두 번 클릭하여 엽니다.

 

 

WinSCP - HOL-1911 폴더

 

  1. HOL-1911 폴더를 두 번 클릭하여 엽니다.

 

 

net-tulip-1.1.15-1-offline_bundle.zip

 

  1. net-tulip-1.1.15-1-offline_bundle.zip 파일을 클릭합니다.

 

 

esx-03b - /tmp 폴더

 

 

 

net-tulip-1.1.15-1-offline_bundle.zip 파일을 호스트로 복사

 

  1. 왼쪽(Control 가상 머신)에서 net-tulip-1.1.15-1-offline_bundle.zip 파일을 창 오른쪽 esx-03b 호스트의 /tmp 폴더로 끌어서 놓습니다.

 

 

WinSCP 닫기

 

  1. WinSCP 창의 오른쪽 상단에 있는 "X"를 클릭하여 애플리케이션을 닫습니다.

 

 

WinSCP 종료 확인

 

  1. OK(확인) 버튼을 클릭하여 WinSCP 애플리케이션의 종료를 확인합니다.

 

 

Putty 열기

 

이제 Putty를 사용하여 가상 호스트에 연결한 후 서명되지 않은 VIB(vSphere Installation Bundle) 설치 명령을 실행합니다.

  1. 작업 표시줄에서 Putty 아이콘을 클릭합니다.

 

 

esx-03b - Putty를 통해 연결

 

  1. 스크롤 막대를 사용하여 목록에서 esx-03b.corp.local이 표시될 때까지 아래로 스크롤합니다.
  2. esx-03b.corp.local을 클릭합니다.
  3. Load(로드) 버튼을 클릭합니다.
  4. Open(열기) 버튼을 클릭합니다.

 

 

Putty 보안 알림(필요할 경우)

 

처음으로 Putty를 사용하여 esx-03b에 연결할 경우 다음 단계를 수행해야 합니다. 그렇지 않으면 다음 단계로 건너뛸 수 있습니다.

  1. Putty 보안 알림 팝업 창에서 Yes(확인) 버튼을 클릭하여 호스트에 연결합니다.

 

 

esx-03b - Putty를 통해 로그인

 

  1. Password(암호)에 아래와 같이 입력하고 Enter 키를 누릅니다.
VMware1!
  1. 다음 명령을 입력하고 Enter 키를 눌러 읽기 쉽도록 화면을 지웁니다.
clear

 

 

esx-03b - VIB 설치

 

이제 esx-03b에 서명되지 않은 VIB 설치를 시도합니다.

  1. Putty에 다음 명령을 입력합니다(실습 설명서에서 텍스트를 복사하여 Putty 창으로 끌어 놓을 수 있으며, 단, 명령 텍스트 필드 앞뒤에 추가 문자를 복사하지 않도록 주의해야 함).
esxcli software vib install -d /tmp/net-tulip-1.1.15-1-offline_bundle.zip --force --no-sig-check
  1. "The Update Completed successfully, but the system needs to be rebooted for the changes to be effective".(업데이트가 성공적으로 완료되었지만 변경 사항을 적용하려면 시스템을 재부팅해야 합니다.)라는 내용의 메시지가 표시됩니다. 이 메시지를 통해 문제 없이 설치가 완료되었음을 알 수 있습니다.
  2. 이제 다음 명령을 입력하여 Putty를 종료합니다.
exit

 

 

esx-03b - Chrome 최대화

 

서명되지 않은 VIB를 설치할 수 있도록 esx-03b의 보안 부팅을 해제해야 합니다.

  1. 작업 표시줄에서 최소화된 Google Chrome 창을 클릭하여 다시 최대화합니다.

 

 

esx-03b - 탭 닫기

 

  1. Google Chrome 탭의 "X"를 클릭하여 종료합니다.

 

 

esx-03b - 게스트 OS 종료

 

  1. esx-03b마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 클릭합니다.
  3. Shut Down Guest OS(게스트 OS 종료)를 클릭합니다.  

 

 

서명되지 않은 VIB 설치 - 완료

esx-03b 호스트에 서명되지 않은 VIB(vSphere Installation Bundle)를 설치하는 이 레슨을 완료했습니다. 원할 경우 VIB(vSphere Installation Bundle)를 설치하는 이 방법을 사용하여 vSphere 패치 및 업데이트를 설치할 수도 있습니다. 이후 다음 레슨을 준비하기 위해 호스트의 전원을 껐습니다.

 

보안 부팅 설정 및 호스트 전원 켜기


호스트 전원을 켜기 전에 호스트 설정에서 보안 부팅을 사용하도록 설정해야 합니다. 일반 물리적 호스트일 경우 호스트의 BIOS 설정에서 보안 부팅을 사용하도록 설정해야 합니다. 물리적 서버의 정확한 BIOS 설정 및 위치는 서버 벤더에 따라 서로 조금씩 다를 수 있습니다.


 

esx-03b - 설정 편집

 

참고: 가상 머신이 완전히 종료된 후 다음 단계를 수행해야 합니다.

  1. esx-03b마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Edit Settings(설정 편집)를 클릭합니다.

 

 

esx-03b - 가상 머신 옵션

 

  1. VM Options(가상 머신 옵션) 탭을 클릭합니다.
  2. Secure Boot(보안 부팅) 설정의 오른쪽에 있는 확인란선택합니다.
  3. OK(확인) 버튼을 클릭합니다.

 

 

esx-03b - 전원 켜기

 

  1. esx-03b마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 선택합니다.
  3. Power On(전원 켜기)을 클릭합니다.

 

 

esx-03b - 웹 콘솔 시작

 

다음 단계를 계속하기 전에 esx-03b의 부팅이 완료될 때까지 기다립니다.

  1. 탐색 창에 esx-03b가 선택된 상태에서 Launch Web Console(웹 콘솔 시작) 링크를 클릭하여 브라우저 탭에 콘솔 세션을 엽니다.

 

 

esx-03b - PSOD(Purple Screen of Death)

 

  1. 부팅 완료 후 PSOD(Purple Screen of Death)에 "UEFI Secure Boot: Failed" Failed to verify signatures of the following vib(s): [ProFTPD]. All tardisks validated"(UEFI 보안 부팅: 실패, 다음 VIB의 서명 검증 실패: [ProFTPD], 모든 압축 디스크 검증됨)라는 메시지가 표시됩니다.

참고: 전 단계에서 호스트에 서명되지 않은 VIB(vSphere Installation Bundle)를 설치했기 때문에 이는 예상된 결과입니다. 보안 부팅을 사용하도록 설정하면 서명되지 않은 VIB(vSphere Installation Bundle)가 설치되어 있는 것이 확인될 경우 호스트의 부팅을 중단합니다. 서명된 VIB(vSphere Installation Bundle) 파일만 허용되어 호스트 부팅이 가능합니다.

 

 

esx-03b - 탭 닫기

 

  1. Google Chrome 탭의 "X"를 클릭하여 종료합니다.

 

 

esx-03b - 게스트 OS 종료

 

이제 더 이상 필요 없으므로 호스트의 전원을 끄겠습니다.

  1. esx-03b 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 선택합니다.
  3. (해당될 경우) Shut Down Guest OS(게스트 OS 종료)를 클릭하거나 드롭다운 메뉴에서 Power OFF(전원 끄기)를 클릭합니다.

 

 

esx-03b - 호스트 전원 켜기 - 확인

 

가상 머신의 전원을 끌 것인지 확인하는 팝업 창이 표시됩니다.

  1. Yes(예) 버튼을 클릭하여 가상 머신의 전원을 끕니다.

 

 

보안 부팅 설정 및 호스트 전원 켜기 - 완료

이 레슨에서는 esx-03b 가상 머신의 가상 머신 옵션 설정에서 보안 부팅을 사용하도록 설정했습니다. 그런 다음 가상 머신의 전원을 켜자 예상대로 PSOD(Purple Screen of Death)가 표시되었습니다. 이는 앞서 보안 부팅을 사용하도록 설정할 경우 허용되지 않는 서명되지 않은 VIB(vSphere Installation Bundle)를 호스트에 설치했기 때문입니다. 끝으로 다음 레슨을 준비하기 위해 esx-03b 가상 머신의 전원을 껐습니다.

 

보안 부팅 해제


이 레슨에서는 보안 부팅이 설정되어 있어도 정상적으로 부팅될 수 있도록 esx-01c.corp.local 가상 호스트에서 보안 부팅을 해제할 것입니다.


 

esx-03b - 설정 편집

 

  1. esx-03b마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Edit Settings(설정 편집)를 클릭합니다.

 

 

esx-03b - 보안 부팅 해제

 

  1. VM Options(가상 머신 옵션) 탭을 클릭합니다.
  2. Secure Boot(보안 부팅) 설정의 오른쪽에 있는 확인란선택 해제하여 보안 부팅을 해제합니다.
  3. OK(확인) 버튼을 클릭합니다.

 

 

보안 부팅 해제 - 완료

esx-03b.corp.local 가상 머신의 보안 부팅을 해제하는 레슨을 완료했습니다.

 

서명되지 않은 VIB 제거


이 레슨에서 이전에 esx-03b에 설치한 서명되지 않은 VIB(vSphere Installation Bundle)를 제거하겠습니다.


 

esx-03b - 전원 켜기

 

  1. esx-03b마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 선택합니다.
  3. Power On(전원 켜기)을 클릭합니다.

 

 

Google Chrome 최소화

 

아래 단계를 수행하여 Google Chrome 창을 최소화하기 전에 esx-03b.corp.local이 완전히 부팅되었는지 확인합니다.

  1. 브라우저 창의 오른쪽 상단에서 Minimize(최소화) 아이콘을 클릭하여 Google Chrome을 최소화합니다.

 

 

Putty 시작

 

이전에 작업한 Putty 인스턴스가 아직 esx-03b.corp.local에 연결되어 열려 있는 경우 이 단계를 건너뛸 수 있습니다. 이제 Putty를 시작하고 esx-03b에 연결한 후 서명되지 않은 VIB(vSphere Installation Bundle)를 제거해야 합니다.

  1. 작업 표시줄에서 Putty 아이콘을 클릭합니다.

 

 

esx-03b - Putty를 통해 연결

 

이전에 작업한 Putty 인스턴스가 아직 esx-03b.corp.local에 연결되어 열려 있는 경우 이 단계를 건너뛸 수 있습니다.

  1. Saved Sessions(저장된 세션) 목록에서 esx-03b.corp.local을 클릭합니다. (필요할 경우 목록 아래로 스크롤해야 볼 수 있음)
  2. Load(로드) 버튼을 클릭합니다.
  3. Open(열기) 버튼을 클릭하여 esx-03b에 연결합니다.

 

 

esx-03b - 로그인

 

  1. Password:(암호:) 다음의 Putty 텍스트 필드에 아래 명령을 입력하고 Enter 키를 누릅니다.
VMware1!
  1. 로그인되면 아래 명령을 입력하고 Enter 키를 눌러 화면을 지웁니다.  
clear

 

 

esx-03b - VIB 제거

 

  1. 다음 명령을 입력하고 Enter 키를 눌러 이전에 설치한 서명되지 않은 VIB(vSphere Installation Bundle)를 제거합니다.
esxcli software vib remove -n net-tulip

참고: 이전에 설치한 서명되지 않은 VIB(vSphere Installation Bundle)의 이름(net-tulip-1.1.15-1-offline_bundle.zip)을 모두 입력하지 않아도 됩니다. 해당 명명 규칙의 설치된 VIB가 하나 뿐이기 때문입니다.

  1. "The Update Completed successfully, but the system needs to be rebooted for the changes to be effective".(업데이트가 성공적으로 완료되었지만 변경 사항을 적용하려면 시스템을 재부팅해야 합니다.)라는 내용의 메시지가 표시됩니다. 이 메시지를 통해 성공적으로 제거되었음을 알 수 있습니다.

 

 

Putty 종료

 

  1. 다음 명령을 입력한 후 Enter 키를 눌러 Putty 세션을 종료합니다.
exit

 

 

esx-03b - Chrome 최대화

 

vSphere Web Client로 돌아가야 합니다.

  1. 작업 표시줄에서 최소화된 Google Chrome 창을 클릭하여 다시 최대화합니다.

 

 

esx-03b - 게스트 OS 종료

 

이제 다음 레슨을 준비하기 위해 호스트의 전원을 끄겠습니다.

  1. esx-03b 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 선택합니다.
  3. Power(전원) 드롭다운 메뉴에서 Shut Down Guest OS(게스트 OS 종료)를 클릭합니다.

 

 

esx-03b - 호스트 전원 켜기 - 확인

 

가상 머신의 전원을 끌 것인지 확인하는 팝업 창이 표시됩니다.

  1. Yes(예) 버튼을 클릭하여 가상 머신의 전원을 끕니다.

 

 

서명되지 않은 VIB 제거 - 완료

이 레슨에서는 "esxcli software vib remove -n ProFTPD"를 사용하여 이전에 설치한 서명되지 않은 VIB(vSphere Installation Bundle)를 제거했습니다. 이제 보안 부팅을 사용하도록 설정한 상태에서도 호스트의 전원을 켜고 끌 수 있으며, PSOD(Purple Screen of Death) 없이 정상적으로 전원이 켜집니다. 그런 다음 실습 리소스를 절감하기 위해 호스트를 종료했습니다.

 

vTPM 2.0을 위한 ESXi 호스트 구성


이 레슨에서는 PowerCLI를 사용하여 esx-03b 중첩 호스트에 vTPM을 추가합니다. 이중 중첩 호스트이므로 vSphere Web Client를 사용하여 esx-03b에 vTPM을 추가할 수 없습니다. 따라서 대신 명령줄을 사용하여 vTPM을 추가할 수 있는 방법을 알아보겠습니다.

참고: 이미 vCenter Server로 관리 중인 ESXi 호스트에 TPM 2.0 칩을 추가하려면 먼저 호스트를 분리한 후 다시 연결해야 합니다. 호스트 분리 및 재연결에 대한 정보는 vCenter Server 및 호스트 관리 설명서를 참조하십시오.


 

esx-03b - 설정 편집

 

  1. esxi-03b 호스트를 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Edit Settings(설정 편집)를 클릭합니다.

 

 

esx-03b - 부팅 옵션

 

  1. Edit Settings(설정 편집) 팝업 창 상단에서 VM Options(가상 머신 옵션) 탭을 클릭합니다.
  2. Boot Options(부팅 옵션) 옆에 있는 아래쪽 화살표를 클릭합니다.
  3. 호스트의 Secure Boot(보안 부팅)을 사용하도록 설정하기 위한 확인란을 클릭합니다.
  4. OK(확인) 버튼을 클릭합니다.

 

 

esx-03b - 전원 켜기

 

이제 esx-03b 중첩 ESXi 호스트의 전원을 켜겠습니다.

  1. esx-03b 가상 머신이 선택된 상태에서 ACTIONS(작업)를 클릭합니다.
  2. Menu(메뉴) 드롭다운 메뉴에서 Power(전원)를 선택합니다.
  3. Power On(전원 켜기)을 클릭합니다.

참고: 시작한 모듈에 따라 실습 환경의 가상 머신의 목록은 화면 캡처와 다르게 표시될 수 있습니다.

 

 

Google Chrome 최소화

 

  1. Google Chrome의 최소화 아이콘을 클릭합니다.

 

 

PowerCLI - 시작

 

  1. 바탕 화면에서 VMware PowerCLI 아이콘을 두 번 클릭하여 PowerCLI를 시작합니다.

 

 

PowerCLI - 모듈 임포트(필요할 경우)

 

참고: 모듈 3: "가상 머신 암호화 및 암호화된 vMotion"에서 이미 VMware.VMEncryption PowerShell 모듈을 임포트한 후 실습을 종료하지 않은 경우 다음 단계를 건너뛸 수 있습니다.

  1. PowerCLI 텍스트 창에 다음 명령을 입력한 후 Enter 키를 누릅니다.
Import-Module -Name "C:\Labfiles\HOL-1911\VMware.VMEncryption.psd1"
  1. PowerCLI 텍스트 창에 다음 명령을 입력한 후 Enter 키를 누릅니다.
Import-Module -Name "C:\Labfiles\HOL-1911\VMware.VMEncryption.psm1"

 

 

PowerCLI - esx-03b.corp.local에 연결

 

  1. PowerCLI 창에 다음 명령을 입력하여 vcsa-01b.corp.local vCenter Server에 연결합니다.
Connect-VIServer -Server vcsa-01b.corp.local -User administrator@corp.local -Password VMware1!
  1. esx-01b.corp.local  vCenter Server에 연결되었다는 것을 알 수 있습니다.

 

 

PowerCLI - esx-03b에 vTPM 추가

 

이중 중첩 호스트이므로 vSphere Web Client를 사용하여 esx-03b에 vTPM을 추가할 수 없습니다. 따라서 대신 명령줄을 사용하여 vTPM을 추가할 수 있는 방법을 알아보겠습니다. 이 방법은 가상 머신 홈을 암호화하고 호스트에 가상 TPM을 추가합니다.

esx-03b에 vTPM을 추가하기 위한 두 명령을 실행하기 위해 임의의 변수($vm1)를 사용합니다. 변수 $vm1은 Get-VM -Name cmdlet으로 인해 esx-03b 가상 머신 이름과 일치합니다. 그런 다음 esx-03b 가상 머신을 나타내는 $vm1 변수와 함께 Add-Vtpm cmdlet을 사용합니다.

  1. PowerCLI 창에 다음 명령을 입력합니다.
$vm1 = Get-VM -Name esx-03b
  1. PowerCLI 창에 다음 명령을 입력합니다. (명령에서 대소문자 구분에 주의해야 함)
Add-Vtpm $vm1
  1. 작업 번호가 반환되는 것을 통해 명령이 성공적으로 실행되었음을 알 수 있습니다.

참고: PowerCLI 명령을 실행할 때마다 작업 번호가 달라집니다. 이 번호는 여러 로그에서 사용하기 위한 참조 번호입니다. 따라서 실습 환경의 작업 번호는 화면 캡처와 다를 수 있습니다.

  1. 다음 명령을 입력하여 PowerCLI를 종료합니다.
exit

 

 

 

Google Chrome 최대화

 

  1. 작업 표시줄에서 Google Chrome 탭을 클릭하여 최대화합니다.

 

 

esx-03b - vTPM 검증

 

이제 실제 운영 환경에서 작업할 경우 vSphere Web Client로 이동하여 증명 상태를 확인할 것입니다. 하지만 이 실습 환경에서는 중첩 호스트를 사용하므로 일반적인 경우처럼 확인할 수 없습니다. 운영 환경에서 이를 확인하는 방법을 살펴보겠습니다.

  1. 탐색 창에서 RegionB01 데이터 센터를 클릭합니다.
  2. Content(컨텐츠) 창에서 Monitor(모니터) 탭을 클릭합니다.
  3. Tasks and Events(작업 및 이벤트) 하단의 Security(보안)를 클릭합니다.
  4. 현재 2대의 호스트만 표시되고 이중 중첩 호스트인 esx-03b는 보이지 않습니다. 운영 환경에서는 여기에 esx-03b 호스트가 표시되고 TPM version(TPM 버전) 열에도 정보가 표시될 것입니다.

참고: 시작한 모듈에 따라 실습 환경의 가상 머신의 목록은 화면 캡처와 다르게 표시될 수 있습니다.

 

 

vTPM 2.0을 위한 ESXi 호스트 구성 - 완료

ESXi 호스트에 vTPM 2.0을 추가하는 이 레슨을 완료했습니다.

다시 말하지만 가상화된 ESXI 호스트를 사용했기 때문에 ESXi 호스트에 vTPM을 추가하고 이를 확인할 수 있는 방법이 제한적이었습니다.

 

가상 머신의 보안 부팅


이 레슨에서는 PowerShell 명령을 사용하여 가상 머신에 보안 부팅이 설정되었는지 확인하는 단계를 수행합니다.


 

win10 - 게스트 OS 종료

 

  1. win10 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 선택합니다.
  3. Power(전원) 드롭다운 메뉴에서 Shut Down Guest OS(게스트 OS 종료)를 클릭합니다.

 

 

win10 - 종료 확인

 

  1. 드롭다운 메뉴에서 Edit Settings(설정 편집)를 클릭합니다.

 

 

win10 - 설정 편집

 

  1. win10 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Edit Settings(설정 편집)를 클릭합니다.

 

 

win10 - 보안 부팅 설정

 

  1. Edit Settings(설정 편집) 팝업 창에서 VM Options(가상 머신 옵션) 탭을 클릭합니다.
  2. Boot Options(부팅 옵션) 옆에 있는 아래쪽 화살표를 클릭하여 확장합니다.
  3. Secure Boot(보안 부팅)에 대한 Enabled(설정) 확인란을 클릭하여 보안 부팅을 사용하도록 설정합니다.  
  4. OK(확인) 버튼을 클릭합니다.

참고: 시작한 모듈에 따라 실습 환경의 가상 머신의 목록은 화면 캡처와 다르게 표시될 수 있습니다.

 

 

win10 - 전원 켜기

 

  1. win10 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 선택합니다.
  3. Power(전원) 드롭다운 메뉴에서 Power On(전원 켜기)을 클릭합니다.

 

 

win10 - 웹 콘솔 시작

 

  1. win10 가상 머신을 클릭합니다.
  2. Launch Web Console(웹 콘솔 열기) 링크를 클릭하여 다른 탭에 콘솔을 엽니다.

참고: 시작한 모듈에 따라 실습 환경의 가상 머신의 목록은 화면 캡처와 다르게 표시될 수 있습니다.

 

 

win10 - 콘솔 창

 

  1. 가상 머신의 바탕 화면을 클릭하여 Login(로그인) 화면을 표시합니다.

 

 

win10 - 로그인

 

  1. Password (암호) 필드에 VMware1!를 입력합니다.
  2. 화살표 아이콘을 클릭하여 가상 머신에 로그인합니다.

 

 

win10 - PowerShell(Admin) 실행

 

가상 머신에 로그인이 완료되면 다음과 같이 PowerShell 명령줄 툴을 시작합니다.

  1. 작업 표시줄의 Windows Start (Windows 시작) 아이콘을 마우스 오른쪽 버튼으로 클릭합니다.
  2. Start(시작) 메뉴에서 Windows PowerShell (Admin)을 클릭합니다.

 

 

win10 - 가상 머신 보안 부팅 확인

 

  1. 다음 명령을 입력하고 Enter 키를 눌러 디렉토리를 C:\Windows\system32\:로 변경합니다.
cd C:\Windows\system32\
  1. PowerCLI 텍스트 필드에 다음 명령을 입력한 후 Enter 키를 누릅니다.
Confirm-SecureBootUEFI
  1. 보안 부팅을 사용하도록 설정했으므로 예상대로 명령 실행 결과가 True로 반환됩니다.

 

 

Powershell 종료

 

  1. PowerCLI 텍스트 필드에 다음 명령을 입력한 후 Enter 키를 누릅니다.
exit

 

 

Google Chrome 탭 닫기

 

  1. win10 Google Chrome 탭의 "X"를 클릭하여 종료합니다.

 

 

가상 머신의 보안 부팅 - 완료

이 레슨에서는 Windows 10 가상 데스크톱에 로그인한 다음 관리 권한으로 PowerShell을 시작했습니다. 그런 다음 Confirm-SecureBootUEFI 명령을 입력하면 가상 머신에 아직 보안 부팅을 구성하지 않았으므로 False 상태가 반환됩니다. 다음 세션에서는 가상 머신에 보안 부팅을 사용하도록 설정합니다.

 

결론


모듈 4가 완료되었습니다.

이 모듈에서는 vSphere 6.7의 호스트 및 가상 머신 보안 부팅 기능에 대해 살펴보았습니다. 이 기능을 통해 시스템 관리자는 회사가 승인한 ESXi 이미지만 설치하여 부팅할 수 있으므로 항상 호스트가 안전하게 유지됩니다. 이어서 모듈 6을 계속하거나 다른 모듈로 건너뛸 수 있습니다.

다음 모듈을 계속 진행하거나 관심 있는 다른 모듈로 건너뛸 수 있습니다.


 

호스트 및 가상 머신의 보안 부팅 참고 자료:

참고: 실습 설명서의 VMware 참고 자료에 대한 링크는 참조용으로만 제공됩니다. 실습 환경은 인터넷 연결이 제공되지 않을 수 있으므로 이러한 참고 자료를 보지 못할 수 있습니다. 제공되는 링크에 연결할 수 없는 경우 링크를 수동으로 기록하거나 모바일 기기를 사용하여 사진을 찍으십시오.

 

 

선택 사항: 실습 종료 방법

 

참고: 실습에서 END(종료) 버튼을 클릭하면 실습이 종료되고 관련 가상 머신이 삭제됩니다. 따라서 실습을 다시 시작하면 이전 실습 인스턴스가 아닌 새 가상 머신의 새 인스턴스가 생성됩니다. 이전의 모든 설정은 사라지고 실습이 처음 배포될 때의 기본 설정으로 돌아갑니다.

이제 다음 모듈을 계속 진행하거나 목차를 사용하여 원하는 다른 모듈로 건너뛸 수 있습니다.

실습을 끝내려면 END(종료) 버튼을 클릭합니다.

참고: 실습을 종료한 후 다른 모듈을 실행하려면 실습에 다시 등록해야 합니다.

 

모듈 5 - 암호화 제외 시스템 관리자 역할 및 사용 권한(15분)

소개


중요 참고 사항: 모듈 3(가상 머신 암호화 및 암호화된 vMotion)을 완료한 후 바로 이어서 이 모듈을 시작한 경우 첫 두 레슨은 건너뛰고 바로 세 번째 레슨(암호화 제외 사용자 계정을 사용하여 로그인)을 시작할 수 있습니다. 이 모듈(모듈 5)을 시작하기 전에 모듈 3을 수행하지 않은 경우 실습 준비를 위해 몇 가지 추가 단계를 수행해야 합니다. 먼저 가상 머신을 암호화할 수 있도록 vCenter Server에 단일 HyTrust KMS Server를 추가합니다. 그런 다음 암호화 제외 사용자 계정을 사용하여 로그인 레슨을 시작하기 전에 가상 머신을 암호화해야 합니다.

이 모듈(모듈 5 - 암호화 제외 시스템 관리자 역할 및 사용 권한)에서는 vSphere 6.7에 추가된 새로운 암호화 제외 시스템 관리자 역할에 대해 알아봅니다. 가상 머신 암호화 및 암호화된 vMotion의 새로운 보안 기능을 사용하려는 경우 KMS(키 관리 서버)가 필요합니다. 그러나 vCenter Server에 대한 관리 액세스 권한을 가진 모든 시스템 관리자가 객체를 암호화하거나 암호화를 해제할 수 있는 것은 원치 않습니다.

객체에 대해 암호화 제외 시스템 관리자 역할이 부여된 사용자는 암호화 작업 권한을 제외하고 시스템 관리자 역할이 부여된 사용자와 동일한 권한을 갖습니다. 이 역할은 시스템 관리자가 가상 머신의 암호화 또는 암호화 해제, 암호화된 데이터 액세스를 제외한 모든 관리 작업을 수행할 수 있는 다른 시스템 관리자를 지정할 수 있도록 합니다.

KMS 로그인을 위한 자격 증명은 vCenter Server에만 있으며, ESXi 호스트에는 이러한 자격 증명이 없습니다. vCenter Server는 KMS에서 키를 가져와 ESXi 호스트로 키를 푸시합니다. vCenter Server는 KMS 키를 저장하지 않지만 키 ID 목록을 보유합니다. vCenter Server는 암호화 작업을 수행하는 사용자의 권한을 확인합니다. vSphere Web Client를 사용하여 사용자 그룹에 암호화 작업 권한 또는 암호화 제외 시스템 관리자 사용자 지정 역할을 지정할 수 있습니다.

암호화 작업은 vCenter Server가 포함된 환경에서만 가능합니다. 또한 ESXi 호스트는 대부분의 암호화 작업에 대해 암호화 모드가 설정되어 있어야 합니다. 작업을 수행하는 사용자는 적절한 권한을 보유하고 있어야 합니다. 암호화 작업 권한의 조합은 세부 제어가 가능합니다. 가상 머신 암호화 작업에서 호스트 암호화 모드 변경이 필요할 경우 추가 권한이 필요합니다.

암호화 권한 및 역할이 기본 제공됩니다. 즉 vCenter Server 시스템 관리자 역할이 부여된 사용자에게는 모든 암호화 작업 권한이 부여됩니다. 암호화 권한이 필요 없는 vCenter Server 시스템 관리자에게는 암호화 제외 시스템 관리자 역할을 지정할 수 있습니다. vCenter Server 시스템 관리자 역할의 사용자에게는 기본적으로 모든 권한이 부여됩니다. 암호화 작업 권한이 필요 없는 vCenter Server 사용자에게는 암호화 제외 시스템 관리자 역할을 지정할 수 있습니다. 암호화 제외 시스템 관리자는 다음과 같은 암호화 작업 권한이 제외됩니다.

사용자가 수행할 수 있는 작업을 추가로 제한하려면 암호화 제외 시스템 관리자 역할을 복제한 후 일부 암호화 작업 권한만 사용하여 사용자 지정 역할을 생성합니다. 예를 들어 가상 머신의 암호화는 가능하지만 암호화 해제는 할 수 없는 역할 또는 관리 작업에 대한 권한을 부여하는 역할을 생성할 수 있습니다. 자세한 내용은 vSphere 보안 설명서를 참조하십시오.

이 모듈에서는 다음과 같은 작업을 수행합니다.


 

실습 가정

이미 Active Directory 사용자 계정(nocrypto@corp.local)을 생성하여 암호화 제외 역할을 지정했습니다. 사전 정의된 계정을 사용하여 vCenter Server에 로그인합니다.

 

HyTrust KMS Server를 사용하여 가상 머신 암호화


이 레슨에서는 이미 설치된 HyTrust KMS Server를 사용하여 가상 머신을 암호화합니다. vSphere Web Client(HTML5)를 사용하여 가상 머신의 암호화 및 암호화 해제를 수행합니다.


 

메뉴 드롭다운

 

먼저 vCenter의 Policies and Profiles(정책 및 프로필) 섹션에서 기본 가상 머신 암호화 정책에 대해 살펴보겠습니다.

  1. 페이지 상단의 Menu(메뉴) 아이콘을 클릭합니다.
  2. Menu(메뉴) 드롭다운에서 Policies and Profiles(정책 및 프로필)를 선택합니다.

 

 

기본 가상 머신 암호화 정책

 

  1. 탐색 창에서 VM Storage Policies(가상 머신 스토리지 정책)를 클릭합니다.
  2. 기본적으로 각 vCenter Server당 하나씩, 이미 2개의 가상 머신 암호화 정책이 있다는 것을 알 수 있습니다.

참고: VMware가 생성된 기본 가상 머신 암호화 정책이 있지만 원할 경우 사용자가 직접 정책을 생성할 수 있습니다.

 

 

기본 암호화 속성

 

  1. 탐색 창에서 Storage Policy Components(스토리지 정책 구성 요소)를 클릭합니다.
  2. 각 vCenter Server당 하나씩, 2개의 기본 암호화 속성 구성 요소가 표시됩니다.
  3. 또한 컨텐츠 창 하단에 설명이 표시됩니다.

 

 

메뉴 드롭다운

 

이제 Hosts and Clusters(호스트 및 클러스터) 뷰에서 core-01a 가상 머신의 암호화 프로세스를 시작합니다.

  1. 페이지 상단의 Menu(메뉴) 아이콘을 클릭합니다.
  2. Menu(메뉴) 드롭다운에서 Hosts and Clusters(호스트 및 클러스터)를 선택합니다.

 

 

esx-01a 선택

 

이제 core-01a 가상 머신을 암호화하기 위해 다음 단계를 수행합니다.

  1. 왼쪽 탐색 창에서 core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 VM Policies(가상 머신 정책)를 클릭합니다.
  3. VM Policies(가상 머신 정책) 드롭다운 메뉴에서 Edit VM Storage Policies(가상 머신 스토리지 정책 편집)를 클릭합니다.

 

 

core-01a - 가상 머신 스토리지 정책 편집

 

VMware에서 이미 생성한 몇 가지 기본 정책이 표시되지만 다음을 수행하여 구체적인 가상 머신 암호화 정책을 선택합니다.

  1. VM storage policy(가상 머신 스토리지 정책) 드롭다운 메뉴에서 화살표를 클릭하여 VM Encryption Policy(가상 머신 암호화 정책)를 선택합니다.
  2. Configure per disk(디스크별 구성) 슬라이더를 클릭하여 설정합니다.

참고: 이 실습에서는 가상 머신의 모든 구성 요소를 암호화합니다. 하지만 옵션을 선택하여 VM Home(가상 머신 홈) 폴더 또는 Hard disk 1(하드 디스크 1)만 암호화할 수 있습니다. 개별 항목만 암호화하려면 창의 오른쪽 상단에 있는 슬라이더를 클릭하여 개별 항목을 선택할 수 있습니다.

 

 

core-01a - 디스크별 구성

 

Configure per disk(디스크별 구성) 옵션을 사용하도록 설정하면 VM Home folder(가상 머신 홈 폴더) 및 Hard disk 1(하드 디스크 1)이 더 이상 회색으로 표시되지 않아 정책을 개별적으로 관리할 수 있습니다.

  1. 임시로 Hard disk 1(하드 디스크 1) 드롭다운을 클릭하여 VM Encryption Policy(가상 머신 암호화 정책)를 선택합니다. 이제 가상 머신의 두 구성 요소에 개별적으로 정책을 지정할 수 있는 방법을 알 수 있습니다. 옵션을 검토한 후 Datastore Default(데이터스토어 기본값) 옵션으로 되돌립니다.

참고: 이 실습에서는 가상 머신의 모든 구성 요소를 암호화합니다. 하지만 옵션을 선택하여 VM Home(가상 머신 홈) 폴더 또는 Hard disk 1(하드 디스크 1)만 암호화할 수 있습니다.

 

 

core-01a - 가상 머신 스토리지 정책 편집

 

  1. 이미 선택되어 있지 않은 경우 VM storage policy(가상 머신 스토리지 정책) 드롭다운 메뉴에서 화살표를 클릭하여 VM Encryption Policy(가상 머신 암호화 정책)를 선택합니다.
  2. OK(확인) 버튼을 클릭합니다.

 

 

core-01a - 가상 머신 스토리지 정책 규정 준수 확인

 

탐색 창에 core-01a 가상 머신이 선택된 상태에서 다음 단계를 수행합니다.

  1. core-01a의 컨텐츠 창에서 스크롤 막대를 사용하여 VM Storage Policies(가상 머신 스토리지 정책) 위젯이 표시될 때까지 페이지 하단으로 이동합니다.
  2. 필요할 경우 화살표를 클릭하여 VM Storage Policies(가상 머신 스토리지 정책) 위젯을 열어야 할 수 있습니다.
  3. 이제 가상 머신에 VM Encryption Policy(가상 머신 암호화 정책)이 지정되어 있고 녹색 확인 표시를 통해 규정을 준수하고 있음을 알 수 있습니다.

 

 

core-01a - 미준수(필요할 경우)

 

어떤 이유로든 1~2분 후에도 VM Storage Policy(가상 머신 스토리지 정책) 위젯에 정보가 표시되지 않거나 규정을 준수하지 않는다고 표시될 경우 다음 단계를 수행합니다.

  1. Check Compliance(규정 준수 확인) 링크를 클릭하여 규정 준수 정보를 업데이트합니다.

참고: 이제 Check Compliance(규정 준수 확인) 링크를 클릭한 후 1분 이내에 정보가 업데이트되어 규정 준수 상태를 표시해야 합니다. 상태가 변경되지 않으면 웹 브라우저 창을 새로 고쳐보십시오. 그래도 여전히 제대로 정보가 반영되도록 업데이트되지 않으면 Hands-On Lab 인터페이스를 사용하거나 실제 손을 들어 실습 진행자의 지원을 요청하십시오.

 

 

HyTrust KMS Server를 사용하여 가상 머신 암호화 - 완료

이 레슨에서는 vSphere Web Client를 사용하여 core-01a 가상 머신에 가상 머신 암호화 정책을 적용했습니다. 정책을 적용한 후 가상 머신에서 가상 머신 암호화 정책을 준수하는 것을 확인했습니다. 그런 다음 동일한 단계를 거쳐 core-01a 가상 머신에서 암호화 정책을 제거했습니다. 이 작업을 완료한 후 VM Storage Policy(가상 머신 스토리지 정책) 위젯이 다시 빈 상태로 표시되는 것을 확인할 수 있었습니다. 이는 예상된 동작으로 가상 머신 파일 암호화가 제거되었음을 나타냅니다.

vSphere Web Client를 사용하는 것이 가상 머신의 암호화 및 암호화 해제를 수행하는 유일한 방법은 아닙니다. 또한 PowerCLI 명령을 사용하면 단일 가상 머신 또는 다수의 가상 머신에 일괄적으로 동일한 작업을 더 효율적으로 수행할 수 있습니다. 한 번에 많은 수의 가상 머신에서 암호화 상태를 변경할 경우 PowerCLI 명령을 사용하는 것이 가장 좋습니다.

다음 레슨에서는 여러 암호화 관련 작업에서 PowerCLI를 사용하는 것에 대해 자세히 살펴보겠습니다. 또한 이 모듈의 뒷부분에서는 PowerCLI 명령을 사용하여 실제로 가상 머신을 암호화하고 다시 해제합니다.

 

암호화 제외 사용자 계정을 사용하여 로그인


이 레슨에서는 암호화 제외 역할이 지정된 nocrypto@corp.local Active Directory 사용자 계정으로 로그인합니다.


 

vCenter 탐색

 

암호화 제외 역할을 표시하기 위해 먼저 vCenter의 Roles(역할) 선택 항목으로 이동해야 합니다.

 

 

전역 사용 권한

 

  1. Access Control(액세스 제어)에서 Global Permissions(전역 사용 권한)을 클릭합니다.
  2. CORP.LOCAL\nocrypto Active Directory 계정에 이미 암호화 제외 시스템 관리자 역할이 지정되었음을 알 수 있습니다.

 

 

vCenter Server 로그아웃

 

이제 vCenter Server에 시스템 관리자로 로그인되어 있으므로 다음과 같이 로그아웃합니다.

  1. Administrator@CORP.LOCAL 드롭다운 화살표를 클릭합니다.
  2. Logout(로그아웃)을 선택하여 vCenter Server에서 로그아웃합니다.

 

 

nocrypto 사용자로 로그인

 

암호화 제외 역할이 지정된 사용자가 암호화된 가상 머신 파일 등을 볼 수 없는지 확인하기 위해 사전 정의된 nocrypto Active Directory 사용자 계정으로 로그인해야 합니다.

  1. User name:(사용자 이름:) 텍스트 필드에 nocrypto@corp.local을 입력합니다.
  2. Password:(암호:) 텍스트 필드에 VMware1!를 입력합니다.
  3. Login(로그인) 버튼을 클릭합니다.

 

 

암호화 제외 사용자 계정을 사용하여 로그인 - 완료

이 레슨에서는 vCenter Server에서 nocrypto Active Directory 사용자 계정에 암호화 제외 역할이 지정되었는지 확인했습니다. 그런 다음 nocrypto@corp.local 사용자 계정으로 로그인했습니다. 다음 레슨에서는 이 계정이 암호화된 가상 머신의 데이터스토어를 탐색하거나 파일을 다운로드할 수 없는지 확인해보겠습니다.

 

암호화된 가상 머신의 파일 다운로드 시도


nocrypto@corp.local Active Directory 사용자 계정으로 로그인된 상태에서 암호화된 가상 머신의 파일을 다운로드해보겠습니다.

중요 참고 사항: 이 모듈(모듈 5 - 암호화 제외 시스템 관리자 역할 및 사용 권한)을 시작하기 전에 모듈 3 및 4의 모든 단계를 수행한 경우 이 설명서의 "가상 머신 암호화가 설정되었는지 확인"하는 섹션은 건너뛸 수 있습니다. 그렇지 않은 경우 처음부터 모든 단계를 수행해야 합니다.


 

최근 작업 창 최소화

 

Recent Objects(최근 객체) 및 Recent Tasks(최근 작업) 창이 최대화되어 있는 경우 다음 단계를 수행하고 그렇지 않으면 이 3단계를 건너뛸 수 있습니다.

  1. vSphere Web Client 하단의 Recent Tasks(최근 작업) 이중 아래쪽 화살표를 클릭하여 창을 최소화합니다.

 

 

호스트 및 클러스터

 

이미 Hosts and Clusters(호스트 및 클러스터) 뷰가 표시되어 있으면 아래 단계를 건너뛸 수 있습니다. 그렇지 않으면 아래 단계를 수행하여 Hosts and Clusters(호스트 및 클러스터) 뷰를 표시합니다.

  1. 페이지 상단의 Menu(메뉴) 버튼을 클릭합니다.
  2. Host and Clusters(호스트 및 클러스터)를 클릭합니다.

 

 

core-02a - 호스트 검증

 

  1. 필요할 경우 가상 머신의 목록이 표시될 때까지 vcsa-01a.corp.local 아래 객체 목록을 확장합니다.
  2. 탐색 창에서 core-01a 가상 머신을 클릭합니다.
  3. core-01a가 있는 ESXi 호스트가 esx-02a.corp.local인지 확인합니다.

참고: 이 모듈에 앞서 이전 모듈을 완료했는지 여부에 따라 실습 환경의 가상 머신 목록은 화면 캡처와 다를 수 있습니다.

 

 

스토리지 탭

 

이 nocrypto Active Directory 사용자 계정에 권한이 적절히 부여되었는지 확인하기 위한 테스트로 이 사용자 계정에서 암호화된 가상 머신의 파일을 다운로드해보겠습니다. 맞게 구성된 경우 가상 머신 파일을 다운로드할 수 없어야 합니다.

이 사용자에 대해 역할이 제대로 구성되었는지 확인하기 위해 다음을 수행합니다.

  1. 탐색 창에서 Storage(스토리지) 아이콘을 클릭합니다.
  2. RegionA01-ISCSI01-COMP01 데이터스토어가 표시될 때까지 vcsa-01a.corp.local옆의 화살표를 클릭하여 확장합니다.
  3. RegionA01-ISCSI01-COMP01 데이터스토어를 클릭합니다.
  4. 컨텐츠 창에서 Files(파일) 탭을 클릭합니다.

 

 

 

core-01a VMX 파일

 

  1. core-01a 가상 머신의 폴더를 클릭합니다.
  2. core-01a.vmx 파일을 선택합니다.
  3. Download(다운로드) 버튼을 클릭합니다.  

참고:  .vmx 파일을 찾기 위해 "Name"(이름) 열을 확장하여 파일 확장 유형을 확인해야 할 수도 있습니다.

 

 

로그인 팝업 창

 

nocrypto@corp.local 계정으로 vCenter에 로그인했으므로 가상 머신과 그 파일이 모두 암호화되어 있어 VMX 파일을 다운로드할 수 없다는 것을 알 수 있습니다. 로그인 자격 증명을 묻는 팝업 창을 통해 이를 확인할 수 있습니다. vCenter에 대한 관리 액세스 권한이 있고 암호화 제외 역할이 지정되지 않은 사용자로 로그인했다면 VMX 파일을 다운로드할 수 있었을 것입니다.

  1. Cancel(취소) 버튼을 클릭합니다.

 

 

Google Chrome 탭 닫기

 

  1. Google Chrome 탭의 "X"를 클릭하여 종료합니다.

 

 

암호화된 가상 머신의 파일 다운로드 시도 - 완료

이 레슨에서는 nocrypto@corp.local Active Directory 사용자 계정을 사용하여 vCenter Server에 로그인했습니다. 이 계정에는 이미 vCenter Server에서 암호화 제외 시스템 관리자 역할이 지정되었습니다. 암호화 제외 시스템 관리자 역할이 지정된 사용자는 암호화된 가상 머신 파일을 다운로드할 수 없습니다. 또한 암호화 제외 시스템 관리자 역할은 가상 머신을 암호화 및 암호화 해제할 수 없습니다.

 

암호화된 가상 머신의 콘솔 열기 시도


이 레슨에서는 암호화된 가상 머신의 원격 콘솔을 열어볼 것입니다. 맞게 구성되었다면 암호화된 가상 머신 파일의 콘솔을 열어서 볼 수 없어야 합니다.


 

core-01a - 전원 켜기

 

  1. 탐색 창에서 Hosts and Clusters(호스트 및 클러스터) 아이콘을 클릭합니다.
  2. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  3. 드롭다운 메뉴에서 Power(전원)를 클릭합니다.
  4. Power(전원) 드롭다운 메뉴에서 Power On(전원 켜기)을 클릭합니다.

참고: 시작한 모듈에 따라 실습 환경의 가상 머신의 목록은 화면 캡처와 다르게 표시될 수 있습니다.

 

 

core-01a - 웹 콘솔 시작

 

  1. 탐색 창에서 core-01a 가상 머신을 클릭합니다.
  2. 컨텐츠 창에서 Launch Web Console(웹 콘솔 시작) 링크를 클릭합니다.

참고: 이 모듈에 앞서 이전 모듈을 완료했는지 여부에 따라 실습 환경의 가상 머신 목록은 화면 캡처와 다를 수 있습니다.

 

 

core-01a 요약 탭

 

  1. nocrypto@corp.local 계정으로 로그인했으므로 core-01a 가상 머신의 콘솔에 연결할 수 없습니다.
  2. Google Chrome 탭의 "X"를 클릭하여 종료합니다.

 

 

암호화된 가상 머신의 콘솔 열기 시도 - 완료

이 레슨을 통해 암호화 제외 시스템 관리자 역할이 지정된 사용자는 암호화된 가상 머신의 콘솔을 열 수 없다는 것을 확인했습니다.

 

가상 머신의 암호화 해제 시도


nocrypto@corp.local Active Directory 사용자 계정으로 로그인된 상태에서 암호화된 가상 머신의 파일을 다운로드해보겠습니다.


 

core-01a - 전원 끄기

 

가상 머신의 암호화를 해제하기 위해서는 core-01a 가상 머신의 전원을 꺼야 합니다.

  1. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 클릭합니다.
  3. Power(전원) 드롭다운 메뉴에서 Shut Down Guest OS(게스트 OS 종료)를 클릭합니다.

 

 

core-01a - 전원 끄기 확인(필요할 경우)

 

  1. 확인 팝업 창이 표시되면 Yes(예) 버튼을 클릭하고, 그렇지 않으면 이 단계를 건너뜁니다.

 

 

core-01a - 가상 머신 스토리지 정책 편집

 

  1. core-01a 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 VM Policies(가상 머신 정책)를 클릭합니다.
  3. VM Policies(가상 머신 정책) 메뉴에서 Edit VM Storage Policies(가상 머신 스토리지 정책 편집)를 클릭합니다.

 

 

데이터스토어 기본 정책

 

  1. VM Storage Policy(가상 머신 스토리지 정책) 드롭다운 메뉴에서 Datastore Default(데이터스토어 기본)를 선택합니다.
  2. OK(확인) 버튼을 클릭합니다.

 

 

core-01a - 작업

 

nocrypto@corp.local 사용자는 core-01a 가상 머신의 암호화 해제를 수행할 수 없다는 것을 확인하기 위해 Monitor(모니터) 탭을 살펴보겠습니다.

  1. 탐색 창에서 core-01a 가상 머신을 클릭합니다.
  2. Monitor(모니터) 탭을 클릭합니다.
  3. 컨텐츠 창의 Tasks and Events(작업 및 이벤트) 섹션 아래 Tasks(작업)를 클릭합니다.

 

 

core-01a - 사용 권한

 

  1. nocrypto@corp.local 계정으로 로그인한 상태에서 core-01a 가상 머신의 암호화를 해제하려는 경우 Permissions to perform this operation was denied(이 작업을 수행할 수 있는 권한이 거부되었음)라는 오류 메시지가 표시되는 것을 확인했습니다. 이는 예상된 결과입니다.

 

 

nocrypto 사용자 로그오프

 

이제 웹 클라이언트에서 nocrypto@corp.local 사용자 계정을 로그아웃합니다.

  1. 웹 클라이언트 오른쪽 상단의 nocrypto@CORP.LOCAL 사용자 계정을 클릭합니다.
  2. Logout(로그아웃)을 클릭합니다.

 

 

Administrator@corp.local로 로그인

 

이미 RegionA vCenter Server에 로그인되어 있으면 아래 단계를 건너뛸 수 있습니다. 그렇지 않으면 아래 단계를 완료합니다.

  1. User name:(사용자 이름:) 텍스트 필드에 administrator@corp.local을 입력합니다.
  2. Password:(암호:) 텍스트 필드에 VMware1! 를 입력합니다.
  3. Login(로그인) 버튼을 클릭합니다.

 

 

암호화된 가상 머신의 파일 다운로드 시도 - 완료

이 레슨에서는 nocrypto@corp.local Active Directory 사용자 계정을 사용하여 vCenter Server에 로그인했습니다. 이 계정에는 이미 vCenter Server에서 암호화 제외 시스템 관리자 역할이 지정되었습니다. 암호화 제외 시스템 관리자 역할이 지정된 사용자는 가상 머신을 암호화하거나 암호화를 해제할 수 없습니다.

 

결론


모듈 5를 완료했습니다.

이 모듈에서는 객체에 대해 암호화 제외 시스템 관리자 역할이 부여된 사용자는 암호화 작업 권한을 제외하고 시스템 관리자 역할의 사용자와 동일한 권한을 갖는 것에 대해 알아보았습니다. 이 역할은 시스템 관리자가 가상 머신의 암호화 또는 암호화 해제, 암호화된 데이터 액세스를 제외한 모든 관리 작업을 수행할 수 있는 다른 시스템 관리자를 지정할 수 있도록 합니다.

이 레슨에서 다음과 같은 여러 작업을 수행했습니다.

이 실습(HOL-1911-04-SDC - vSphere 6.7 보안 개념 및 구현)에서 다음과 같은 모듈을 수행했습니다. 

아래에서 원하는 다른 모듈을 다시 실행할 수 있습니다.


 

암호화 제외 역할 참고 자료:

참고: 실습 설명서의 VMware 참고 자료에 대한 링크는 참조용으로만 제공됩니다. 실습 환경은 인터넷 연결이 제공되지 않을 수 있으므로 이러한 참고 자료를 보지 못할 수 있습니다. 제공되는 링크에 연결할 수 없는 경우 링크를 수동으로 기록하거나 모바일 기기를 사용하여 사진을 찍으십시오.

아래에는 암호화 제외 시스템 관리자 역할과 관련하여 도움이 되는 추가 자료에 대한 링크가 나와 있습니다.

 

 

선택 사항: 실습 종료 방법

 

참고: 실습에서 END(종료) 버튼을 클릭하면 실습이 종료되고 관련 가상 머신이 삭제됩니다. 따라서 실습을 다시 시작하면 이전 실습 인스턴스가 아닌 새 가상 머신의 새 인스턴스가 생성됩니다. 이전의 모든 설정은 사라지고 실습이 처음 배포될 때의 기본 설정으로 돌아갑니다.

이제 다음 모듈을 계속 진행하거나 목차를 사용하여 원하는 다른 모듈로 건너뛸 수 있습니다.

실습을 끝내려면 END(종료) 버튼을 클릭합니다.

참고: 실습을 종료한 후 다른 모듈을 실행하려면 실습에 다시 등록해야 합니다.

 

모듈 6 - 가상 머신용 vTPM 2.0 및 VBS(30분)

소개


이 모듈(모듈 6: 가상 머신용 vTPM 2.0 및 VBS)에서는 새로 추가된 vSphere 6.7 보안 기능을 통해 vSphere 호스트에 가상 TPM(vTPM)을 추가하는 방법을 알아봅니다. 하드웨어 TPM(Trusted Platform Module)이 있어야 하거나 매핑할 필요가 없습니다. 새 네트워크 카드를 추가하는 것처럼 새 디바이스로 vTPM을 추가하기만 하면 됩니다. 표준 Microsoft 드라이버를 사용하며, 또한 OS 변경이나 특별한 소프트웨어가 필요 없습니다. 또한 Windows 10 가상 머신에 VBS(Virtualization Based Security)를 사용하도록 설정하는 방법도 알아봅니다.

이 모듈에서 다룰 내용은 다음과 같습니다.

 

ESXi 호스트용 vTPM 2.0:

ESXi는 TPM(Trusted Platform Module) 칩을 사용할 수 있습니다. 이는 소프트웨어가 아니라 하드웨어에 기반한 신뢰 보증을 제공하여 호스트 보안을 강화하는 안전한 암호화 프로세서입니다.

TPM은 안전한 암호화 프로세서에 대해 업계에서 널리 사용되는 표준입니다. TPM 칩은 랩톱에서 데스크톱, 서버에 이르기까지 오늘날 대부분의 컴퓨터에서 사용됩니다. vSphere 6.7은 TPM 버전 2.0을 지원합니다.

TPM 2.0 칩은 ESXi 호스트의 ID에 대한 증명을 제공합니다. 호스트 증명은 특정 시점의 호스트 소프트웨어 상태를 인증하고 증명하는 프로세스입니다. 성공적인 증명을 위해서는 부팅 시 서명된 소프트웨어만 로드되도록 보장하는 UEFI 보안 부팅이 필요합니다. TPM 2.0 칩이 시스템에서 부팅된 소프트웨어 모듈을 평가하여 그 결과를 기록하고 안전하게 저장하면 vCenter Server가 원격으로 이를 검증합니다.

원격 증명 프로세스의 단계를 간략하게 설명하면 다음과 같습니다.

  1. 원격 TPM의 신뢰성을 확립하고 이에 대한 증명 키(AK)를 생성합니다.
  2. ESXi 호스트가 vCenter Server에 추가되거나 재부팅되거나 다시 연결될 때 vCenter Server는 호스트의 AK를 요청합니다. AK 생성 과정에는 TPM 하드웨어 자체의 검증도 포함되어 알려진(신뢰할 수 있는) 벤더가 제작한 하드웨어인지 확인합니다.
  3. 호스트에서 증명 보고서를 검색합니다.
  4. vCenter Server는 TPM에 의해 서명된 PCR(Platform Configuration Register)의 인용 구문 및 기타 서명된 호스트의 바이너리 메타데이터가 포함된 증명 보고서를 보내도록 호스트에 요청합니다. vCenter Server는 이 정보를 통해 신뢰할 수 있는 것으로 간주되는 구성에 해당하는지 확인하여 이전에 신뢰할 수 없다고 확인된 호스트에 대해 플랫폼을 식별합니다.
  5. 호스트의 신뢰성을 검증합니다.
  6. vCenter Server는 서명된 구문의 신뢰성을 확인하고 소프트웨어 버전을 유추하며 해당 소프트웨어 버전의 신뢰성을 결정합니다. vCenter Server에서 서명된 구문이 유효하지 않다고 판단할 경우 원격 증명에 실패하고 호스트에 대한 신뢰가 수립되지 않습니다.

TPM 2.0 칩을 사용하려면 vCenter Server 환경에서 다음 요구 사항을 충족해야 합니다.

ESXi 호스트의 BIOS에서 TPM이 SHA-256 해싱 알고리즘 및 CRB(Command Response Buffer)가 아닌 TIS/FIFO(First-In, First-Out) 인터페이스를 사용하도록 구성되었는지 확인합니다. 이러한 필수 BIOS 옵션 설정에 대한 자세한 내용은 벤더 설명서를 참조하십시오.

 

가상 머신용 vTPM 2.0:

vTPM(Virtual Trusted Platform Module) 개요

vTPM은 암호화 코프로세서 기능을 소프트웨어로 수행합니다. vTPM이 가상 머신에 추가되면 게스트 운영 체제에서 개인 키를 생성하고 저장할 수 있도록 합니다. 이 키는 게스트 운영 체제에 노출되지 않습니다. 따라서 가상 머신의 공격 범위가 감소합니다. 일반적으로 게스트 운영 체제가 손상되면 그 기밀 정보도 손상되지만 vTPM을 사용하면 이 리스크가 크게 줄어듭니다. 이 키는 게스트 운영 체제에서만 암호화 또는 서명에 사용할 수 있습니다. 연결된 vTPM을 사용하면 제3자가 원격으로 펌웨어 및 게스트 운영 체제의 ID를 증명(검증)할 수 있습니다.

신규 가상 머신 또는 기존 가상 머신에 vTPM을 추가할 수 있습니다. vTPM은 가상 머신 암호화를 사용하여 중요한 TPM 데이터를 보호합니다. vTPM을 구성하면 가상 머신 암호화가 자동으로 가상 머신 파일을 암호화하지만 디스크는 암호화하지 않습니다. 명시적으로 가상 머신과 그 디스크에 암호화를 추가하도록 선택할 수 있습니다.

vTPM이 설정된 가상 머신을 백업할 수도 있습니다. 백업에는 *.nvram 파일을 포함하여 모든 가상 머신 데이터가 포함되어야 합니다. 백업에 *.nvram 파일이 포함되지 않으면 vTPM을 사용하여 가상 머신을 복원할 수 없습니다. 또한 vTPM이 설정된 가상 머신은 가상 머신 홈 파일이 암호화되므로 복원 시 암호화 키를 사용할 수 있어야 합니다.

vTPM은 물리적 TPM(Trusted Platform Module) 2.0 칩 없이도 ESXi 호스트에 표시됩니다. 그러나 호스트 증명을 수행하려면 TPM 2.0 물리적 칩과 같은 외부 엔티티가 필요합니다. TPM(Trusted Platform Module)을 사용하여 ESXi 호스트 보호를 참조하십시오.

참고:

vTPM이 설정된 가상 머신에는 기본적으로 스토리지 정책이 연결되지 않습니다. 가상 머신 파일(가상 머신 홈)만 암호화됩니다. 원할 경우 가상 머신과 그 디스크에 암호화를 추가하도록 명시적으로 선택할 수 있지만 가상 머신 파일은 이미 암호화되어 있을 것입니다.

 

가상 머신용 VBS(Virtualization Based Security):

Windows 10 및 Windows Server 2016 운영 체제의 기능인 Microsoft VBS는 시스템 보안을 개선하기 위해 분리되고 하이퍼바이저에 제한된 전용 하위 시스템을 생성하여 하드웨어 및 소프트웨어 가상화를 사용합니다. vSphere 6.7부터 지원되는 Windows 게스트 운영 체제에서 Microsoft VBS(Virtualization Based Security)를 사용하도록 설정할 수 있습니다.

다음은 VBS를 관리하기 위한 PowerShell 명령의 예입니다.

  1. 지원되는 Windows 게스트 운영 체제에 대해 기존 가상 머신에 Microsoft VBS(Virtualization Based Security)를 사용하도록 설정할 수 있습니다.
    • 게스트 운영 체제에 VBS(Virtualization Based Security)를 사용하도록 설정
  2. 지원되는 Windows 게스트 운영 체제에 대해 Microsoft VBS(Virtualization Based Security)를 사용하도록 설정할 수 있습니다. 
    • VBS(Virtualization Based Security) 해제
  3. 가상 머신에서 더 이상 VBS(Virtualization Based Security)를 사용하지 않을 경우 VBS를 해제할 수 있습니다. 가상 머신에서 VBS를 해제할 때 Windows VBS 옵션은 변경되지 않지만 성능 문제를 유발할 수 있습니다. 가상 머신에서 VBS를 해제하기 전에 Windows의 VBS 옵션을 해제하십시오. 
    • VBS가 설정된 가상 머신 식별

VBS에 대해 Windows 10 구성


이 레슨에서는 Windows 10 가상 머신에 VBS(Virtualization Based Security)를 사용하도록 설정하는 방법을 알아보겠습니다.


 

Google Chrome 실행

 

Google Chrome이 열려있으면 아래 단계를 건너뛰고, 그렇지 않을 경우 아래 단계를 수행합니다.

  1. 빠른 실행 작업 표시줄에 있는 Google Chrome 아이콘을 클릭합니다.

 

 

RegionA

 

새 Google Chrome 브라우저 창을 열려는 경우 아래 단계를 수행하고 그렇지 않으면 이 단계를 건너뛸 수 있습니다.

  1. 북마크 도구 모음에서 RegionA 폴더를 클릭합니다.
  2. RegionA vSphere Client (HTML)를 클릭합니다.

 

 

RegionA vCenter Server에 로그인

 

이미 RegionA vCenter Server에 로그인되어 있으면 아래 단계를 건너뛸 수 있습니다. 그렇지 않으면 아래 단계를 완료합니다.

  1. User name:(사용자 이름:) 텍스트 필드에 administrator@corp.local을 입력합니다.
  2. Password:(암호:) 텍스트 필드에 VMware1! 를 입력합니다.
  3. Login(로그인) 버튼을 클릭합니다.

 

 

호스트 및 클러스터

 

  1. 탐색 창에서 Hosts and Clusters(호스트 및 클러스터) 아이콘을 클릭합니다.
  2. 필요할 경우 vcsa-01a.corp.local vCenter Server 옆의 화살표를 클릭하여 가상 머신의 목록이 표시될 때까지 모든 항목을 확장합니다.

 

 

win10 - 전원 끄기

 

  1. 탐색 창에서 win10 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 클릭합니다.
  3. Power(전원) 드롭다운 메뉴에서 Power Off(전원 끄기)를 클릭합니다.

 

 

win10 - 전원 끄기 확인

 

  1. 팝업 창에서 YES(예) 버튼을 클릭하여 전원 끄기를 확인합니다.

 

 

win10 - 설정 편집

 

  1. 탐색 창에서 win10 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. Edit Settings(설정 편집)를 클릭합니다.

 

 

win10 - 보안 부팅 설정

 

이제 win10 가상 머신에서 보안 부팅이 설정되었는지 확인하겠습니다. 설정되지 않은 경우 보안 부팅을 설정하는 확인란을 선택했는지 확인합니다.

  1. Edit Settings(설정 편집) 팝업 창에서 VM Options(가상 머신 옵션)를 클릭합니다.
  2. Enabled(사용) 확인란을 클릭하여 Secure Boot(보안 부팅)를 설정합니다.
  3. OK(확인) 버튼을 클릭합니다.

 

 

win10 - 전원 켜기

 

  1. 탐색 창에서 win10 가상 머신을 마우스 오른쪽 버튼으로 클릭합니다.
  2. 드롭다운 메뉴에서 Power(전원)를 클릭합니다.
  3. Power(전원) 드롭다운 메뉴에서 Power On(전원 켜기)을 클릭합니다.

 

 

win10 - 가상 머신

 

  1. 탐색 창에서 VMs and Templates(가상 머신 및 템플릿) 아이콘을 클릭합니다.
  2. 탐색 창에서 vcsa-01b.corp.local vCenter Server를 클릭합니다.
  3. 컨텐츠 창에서 VMs(가상 머신) 탭을 클릭합니다.

 

 

win10 - 보이기/숨기기 열

 

  1. 열 머리글에서 아래쪽 화살표를 클릭합니다.
  2. Show/Hide(보이기/숨기기) 열을 클릭합니다.
  3. 스크롤 막대를 사용하여 목록 하단까지 스크롤합니다.
  4. TPMVBS 열의 확인란을 선택하여 설정합니다.
  5. 빈 공간을 클릭하여 드롭다운 메뉴가 표시되지 않도록 하면 TPM 열을 볼 수 있습니다.

 

 

win10 - VBS 열

 

  1. 이제 VBS 열에서 win10 가상 머신이 Not Present(없음)로 표시됩니다.

 

 

win10 - 웹 콘솔 시작

 

  1. 탐색 창에서 Hosts and Clusters(호스트 및 클러스터) 아이콘을 클릭합니다.
  2. 탐색 창에서 win10 가상 머신을 클릭합니다.
  3. Summary(요약) 탭을 클릭합니다.
  4. Launch Web Console(웹 콘솔 열기) 링크를 클릭하여 가상 머신의 콘솔 창을 엽니다.

 

 

win10 - 바탕 화면

 

  1. 바탕 화면을 클릭하여 Login(로그인) 화면을 표시합니다.

 

 

win10 - 로그인

 

  1. Password (암호) 필드에 VMware1!를 입력합니다.
  2. 화살표 아이콘을 클릭하여 가상 머신에 로그인합니다.

 

 

win10 - PowerShell(Admin) 실행

 

  1. 바탕 화면 왼쪽 하단의 Windows 아이콘을 클릭합니다.
  2. 메뉴에서 Windows PowerShell (Admin)을 클릭합니다.

 

 

PowerShell - Set-ExecutionPolicy

 

먼저 DG_Readiness_Tool_v3.5.ps1 스크립트를 실행할 수 있도록 실행 정책을 설정해야 합니다.

  1. PowerShell에 다음 명령을 입력하여 디렉토리 위치를 변경합니다.
Set-ExecutionPolicy Unrestricted
  1. PowerShell에 다음 명령을 입력하여 전체적으로 변경 사항을 적용합니다.
A

 

 

PowerShell - 디렉토리 변경 및 스크립트 실행

 

  1. PowerShell에 다음 명령을 입력하여 디렉토리 위치를 변경합니다.
cd C:\DG_Readiness_Tool_v3.5\
  1. PowerShell에 다음 명령을 입력하여 DG Readiness Tool 스크립트를 실행합니다.
./DG_Readiness_Tool_v3.5.ps1 -Capable -DG -CG -HVCI

 

 

PowerShell - 스크립트 결과

 

  1. DG Readiness Tool 스크립트 실행 결과를 통해 win10 가상 머신의 보안 부팅이 설정되었음을 알 수 있습니다. 이는 VBS를 사용하도록 설정하기 위한 필수 요건입니다.

 

 

VBS에 대해 Windows 10 구성 - 완료

이 레슨에서는 win10 가상 머신의 설정에서 EFI Firmware(EFI 펌웨어), Secure Boot(보안 부팅) 및 VBS(Virtualization Based Security)를 사용하도록 설정되었는지 확인합니다.

 

Device Guard 및 Credential Guard 설정


 

이 레슨에서는 Windows 10 머신에서 Microsoft DG Readiness Tool을 사용하여 Device Guard 및 Credential Guard의 상태를 확인하고 설정 및 해제할 것입니다. 아래에 툴 폴더에 포함된 ReadMe.txt 파일의 내용이 일부 나와 있습니다.

###########################################################################

Readiness Tool 3.4 버전 릴리스.

Device Guard 및 Credential Guard를 실행할 수 있는 디바이스인지 확인하는 툴입니다.

###########################################################################

Device Guard 및 Credential Guard를 사용하도록 설정하기 위한 OS 및 하드웨어 요구 사항

1. OS SKU: Enterprise, Professional, Home, Education, Server 및 Enterprise IoT OS SKU에서만 Device Guard 및 Credential Guard가 제공됨

2. OS 버전: Windows 10, Version 1607 또는 Windows Server 2016 이상의 OS 버전에서 툴을 실행할 수 있음

3. 하드웨어: SLAT로 가상화 확장을 지원하는 최신 하드웨어

###########################################################################

실행 정책이 스크립트 실행을 허용하도록 설정되지 않은 경우 아래와 같이 수동으로 설정한 후 준비 스크립트를 사용해야 합니다.

Set-ExecutionPolicy Unrestricted

용법: DG_Readiness.ps1 -[Capable/Ready/Enable/Disable] -[DG/CG/HVCI] -[AutoReboot] -Path

세부 정보를 제공하는 로그 파일의 위치: C:\DGLogs

DG/CG를 사용하도록 설정하기 위해서는 맞춤형 SIPolicy.p7b가 있을 경우 -Path 매개 변수를 사용하고 그렇지 않으면 하드코드된 기본 정책이 사용됨

용법: DG_Readiness.ps1 -Enable OR DG_Readiness.ps1 -Enable -Path <full path to the SIPolicy.p7b>

HVCI만 사용하려는 경우

용법: DG_Readiness.ps1 -Enable -HVCI

CG만 사용하려는 경우

용법: DG_Readiness.ps1 -Enable -CG

DG/CG가 설정되었는지 확인하려면

용법: DG_Readiness.ps1 -Ready

DG/CG를 해제하려면

용법: DG_Readiness.ps1 -Disable

DG/CG가 해제되었는지 확인하려면

용법: DG_Readiness.ps1 -Ready

이 디바이스가 DG/CG를 지원하는지 확인하려면

용법: DG_Readiness.ps1 -Capable

이 디바이스가 HVCI를 지원하는지 확인하려면

용법: DG_Readiness.ps1 -Capable -HVCI

각 옵션을 사용하여 자동 재부팅하려면

용법: DG_Readiness.ps1 -[Capable/Enable/Disable] -AutoReboot

###########################################################################

'-capable'을 포함하여 Readiness Tool을 실행하면 다음과 같은 RegKey 값이 설정됩니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities

CG_Capable

DG_Capable

HVCI_Capable

값 0 = 이 디바이스에는 DG/CG/HVCI를 설정할 수 없음

값 1 = 이 디바이스는 DG/CG/HVCI를 실행할 수 있지만 추가 보안 자격에 필요한 일부 펌웨어/하드웨어/소프트웨어가 누락되었음

값 2 = DG/CG/HVCI와 완벽하게 호환됨

###########################################################################

유용한 참고 자료:

Device Guard 및 Credential Guard에 대한 PC OEM 요구 사항: https://msdn.microsoft.com/library/windows/hardware/mt767514(v=vs.85).aspx

Credential Guard 배포: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential-guard#hardware-and-software-requirements

Device Guard 배포: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/requirements-and-deployment-planning-guidelines-for-device-guard

 


 

PowerShell - 화면 지우기

 

  1. PowerShell에 다음 명령을 입력하여 화면을 지웁니다.
clear

 

 

PowerShell - Device Guard 설정

 

  1. PowerShell에 다음 명령을 입력하여 디렉토리 위치를 변경합니다.
./DG_Readiness_Tool_v3.5.ps1 -Enable -DG
  1. win10 가상 머신이 Device Guard(DG)를 사용하도록 설정되었다는 것을 알 수 있습니다.

 

 

PowerShell - Credential Guard 설정

 

  1. PowerShell에 다음 명령을 입력하여 디렉토리 위치를 변경합니다.
./DG_Readiness_Tool_v3.5.ps1 -Enable -CG

2.   win10 가상 머신에 Credential Guard(CG)가 설정된 것이 확인되었습니다.

 

 

PowerShell - Device Guard 확인

 

  1. PowerShell에 다음 명령을 입력하여 디렉토리 위치를 변경합니다.
./DG_Readiness_Tool_v3.5.ps1 -Ready

2.   Device Guard(DG)가 설정되었지만 아직 실행되지 않는 것으로 표시됩니다. win10 가상 머신을 다시 부팅한 후 명령을 다시 실행해야 실행 중으로 표시되기 때문입니다. 이는 실습 환경이므로 win10 가상 머신을 재부팅하여 다시 구성하려면 시간이 너무 오래 걸립니다. 따라서 시간 상의 이유로 실제로 win10 가상 머신을 재부팅하여 확인하지 않을 것입니다.

 

 

PowerShell - 종료

 

  1. PowerShell 창의 "X"를 클릭하여 종료합니다.

 

 

win10 탭 닫기

 

  1. win10 Google Chrome 탭의 "X"를 클릭하여 종료합니다.

 

 

win10 - 확인

 

가상 머신의 리소스가 한정된 실습 환경이므로 win10 가상 머신을 재부팅하지 않았습니다. 일반적으로는 Windows 10 머신을 재부팅한 후 PowerShell 명령을 다시 실행하여 DG(Device Guard) 및 CG(Credential Guard)가 설정되었는지 상태를 확인합니다.

  1. 명령 결과를 통해 Device Guard 및 Credential Guard가 설정 및 실행되고 있음을 확인할 수 있습니다. 실습 환경에서 win10 가상 머신을 실행했다면 이와 같은 결과를 확인할 수 있었을 것입니다.

 

 

Device Guard 및 Credential Guard 설정 - 완료

이 레슨에서는 win10 가상 머신에 Device Guard(DG) 및 Credential Guard(CG)를 설정하고 이를 확인했습니다.

 

결론


"HOL-1911-04-SDC - vSphere 6.7 보안 개념 및 구현" 실습의 마지막 모듈인 모듈 6을 완료했습니다.

이 모듈에서는 vSphere 호스트에 가상 TPM(vTPM)을 추가할 수 있는 vSphere 6.7의 새로운 보안 기능에 대해 알아보았습니다. 하드웨어 TPM(Trusted Platform Module)이 있어야 하거나 매핑할 필요가 없습니다. 새 네트워크 카드를 추가하는 것처럼 새 디바이스로 vTPM을 추가하기만 하면 됩니다. 표준 Microsoft 드라이버를 사용하며, 또한 OS 변경이나 특별한 소프트웨어가 필요 없습니다. 또한 Windows 10 가상 머신에 VBS(Virtualization Based Security)를 사용하도록 설정하는 방법도 알아보았습니다.

이 레슨에서 다음과 같은 여러 작업을 수행했습니다.

 

아래에서 원하는 다른 모듈을 다시 실행할 수 있습니다.


 

참고 자료(vTPM/Credential Guard/Device Guard):

참고: 실습 설명서의 VMware 참고 자료에 대한 링크는 참조용으로만 제공됩니다. 실습 환경은 인터넷 연결이 제공되지 않을 수 있으므로 이러한 참고 자료를 보지 못할 수 있습니다. 제공되는 링크에 연결할 수 없는 경우 링크를 수동으로 기록하거나 모바일 기기를 사용하여 사진을 찍으십시오.

아래에는 암호화 제외 시스템 관리자 역할과 관련하여 도움이 되는 추가 자료에 대한 링크가 나와 있습니다.

 

 

 

선택 사항: 실습 종료 방법

 

참고: 실습에서 END(종료) 버튼을 클릭하면 실습이 종료되고 관련 가상 머신이 삭제됩니다. 따라서 실습을 다시 시작하면 이전 실습 인스턴스가 아닌 새 가상 머신의 새 인스턴스가 생성됩니다. 이전의 모든 설정은 사라지고 실습이 처음 배포될 때의 기본 설정으로 돌아갑니다.

이제 다음 모듈을 계속 진행하거나 목차를 사용하여 원하는 다른 모듈로 건너뛸 수 있습니다.

실습을 끝내려면 END(종료) 버튼을 클릭합니다.

참고: 실습을 종료한 후 다른 모듈을 실행하려면 실습에 다시 등록해야 합니다.

 

결론

VMware Hands-on Lab에 참여해 주셔서 감사합니다. http://hol.vmware.com/ 에서 더 많은 온라인 실습을 체험하시기 바랍니다.

실습 SKU: HOL-1911-04-SDC

버전: 20190205-182115