Azure Local의 Azure Arc VM에 대한 신뢰할 수 있는 시작 소개
적용 대상: Azure Local 2311.2 이상
이 문서에서는 Azure Local에서 Azure Arc VM(가상 머신)에 대한 신뢰할 수 있는 시작을 소개합니다. Azure Portal을 사용하거나 CLI(Azure 명령줄 인터페이스)를 사용하여 신뢰할 수 있는 시작 Arc VM을 만들 수 있습니다.
소개
Azure Arc VM에 대한 신뢰할 수 있는 시작은 보안 부팅을 사용하도록 설정하고, vTPM(가상 신뢰할 수 있는 플랫폼 모듈) 디바이스를 설치하고, VM이 시스템 내의 다른 컴퓨터로 마이그레이션하거나 장애 조치할 때 vTPM 상태를 자동으로 전송하며, VM이 알려진 정상 상태에서 시작되었는지 여부를 증명하는 기능을 지원합니다.
신뢰할 수 있는 시작은 Azure Local에서 Arc VM을 만들 때 지정할 수 있는 보안 유형입니다. 자세한 내용은 Azure Local의 Azure Arc VM에 대한 신뢰할 수 있는 시작을 참조 하세요.
기능 및 이점
| 기능 | 장점 |
|---|---|
| 보안 부팅 | 부팅 구성 요소가 신뢰할 수 있는 게시자가 서명했는지 확인하여 부팅 중에 맬웨어(루트킷)의 위험을 줄이는 데 도움이 됩니다. |
| vTPM | 키, 인증서 및 비밀에 대한 전용 자격 증명 모음 역할을 하는 하드웨어 TPM의 가상화된 버전입니다. |
| vTPM 상태 전송 | VM이 클러스터 내에서 마이그레이션하거나 장애 조치 시에도 vTPM을 유지합니다. |
| VBS(가상화 기반 보안) | VM의 게스트는 VBS 지원을 사용하여 격리된 메모리 영역을 만들 수 있습니다. |
참고
VM 게스트 부팅 무결성 확인을 사용할 수 없습니다.
지침
IgvmAgent는 Azure 로컬 시스템의 모든 컴퓨터에 설치된 구성 요소입니다. 예를 들어 신뢰할 수 있는 시작 Arc VM과 같은 격리된 VM을 지원할 수 있습니다.
신뢰할 수 있는 시작 Arc VM 만들기의 일환으로 Hyper-V VM 상태를 저장하기 위해 디스크의 기본 위치에 VM 파일을 만듭니다. 기본적으로 해당 VM 파일에 대한 액세스는 호스트 서버 관리자로만 제한됩니다. 해당 VM 파일을 다른 위치에 저장하는 경우 해당 위치가 호스트 서버 관리자만 액세스하도록 제한되었는지 확인해야 합니다.
VM 실시간 마이그레이션 네트워크 트래픽은 암호화되지 않습니다. IPsec과 같은 네트워크 계층 암호화 기술을 사용하여 실시간 마이그레이션 네트워크 트래픽을 보호하는 것이 좋습니다.
게스트 운영 체제 이미지
Azure Arc VM에서 지원하는 Azure Marketplace의 모든 Windows 11 이미지(24H2 Windows 11 SKU 제외) 및 Windows Server 2022 이미지가 지원됩니다. 지원되는 모든 Windows 11 이미지 목록은 Azure Marketplace 이미지를 사용하여 Azure 로컬 VM 이미지 만들기 참조하세요.
참고
Azure Marketplace 외부에서 가져온 VM 게스트 이미지는 지원되지 않습니다.
백업 및 재해 복구 고려 사항
신뢰할 수 있는 시작 Arc VM을 사용하는 경우 백업 및 복구와 관련된 다음과 같은 주요 고려 사항 및 제한 사항을 이해해야 합니다.
신뢰할 수 있는 시작 Arc VM과 표준 Arc VM 간의 차이점: 표준 Azure Arc VM과 달리, 신뢰할 수 있는 시작 Arc VM은 휴지 상태에서 vTPM(가상 TPM) 상태를 포함한 VM 게스트 상태를 보호하기 위해 VM 게스트 상태 보호 키를 사용합니다. VM 보호 키는 VM이 있는 Azure 로컬 시스템의 로컬 키 자격 증명 모음에 저장됩니다. 신뢰할 수 있는 시작 Arc VM은 VM 게스트 상태와 VM 런타임 상태의 두 파일에 VM 게스트 상태를 저장합니다. 신뢰할 수 있는 시작 VM을 백업하고 복원하려면 백업 솔루션이 게스트 상태 및 런타임 상태 파일을 비롯한 모든 VM 파일을 백업 및 복원하고 VM 보호 키를 추가로 백업 및 복원해야 합니다.
Backup 및 재해 복구 도구 지원: 현재 신뢰할 수 있는 시작 Arc VM은 Azure Backup, Azure Site Recovery, Veeam 및 Commvault를 비롯한 타사 또는 Microsoft 소유의 백업 및 재해 복구 도구를 지원하지 않습니다. 신뢰할 수 있는 시작 Arc TVM을 대체 클러스터로 이동해야 하는 경우 수동 프로세스 신뢰할 수 있는 시작 Arc VM 수동 백업 및 복구를 참조하여 필요한 모든 파일 및 VM 보호 키를 관리하여 VM을 성공적으로 복원할 수 있는지 확인합니다.
참고
대체 Azure 로컬 시스템에서 복원된 신뢰할 수 있는 시작 Arc VM은 Azure 컨트롤 플레인에서 관리할 수 없습니다.
다음 단계
- 신뢰할 수 있는 시작 VM만듭니다.