Azure Stack HCI 버전 23H2의 Azure Arc VM에 대한 신뢰할 수 있는 시작 소개

  • 아티클

적용 대상: Azure Stack HCI, 버전 23H2

이 문서에서는 Azure Stack HCI 버전 23H2에서 Azure Arc VM(가상 머신)에 대한 신뢰할 수 있는 시작을 소개합니다. Azure Portal을 사용하거나 CLI(Azure 명령줄 인터페이스)를 사용하여 신뢰할 수 있는 시작 Arc VM을 만들 수 있습니다.

소개

Azure Arc VM에 대한 신뢰할 수 있는 시작은 VM이 클러스터 내에서 마이그레이션되거나 장애 조치될 때 보안 부팅, vTPM(가상 신뢰할 수 있는 플랫폼 모듈) 및 vTPM 상태 전송을 지원합니다.

신뢰할 수 있는 시작은 Azure Stack HCI에서 Arc VM을 만들 때 지정할 수 있는 보안 유형입니다. 자세한 내용은 Azure Stack HCI의 Azure Arc VM에 대한 신뢰할 수 있는 시작을 참조 하세요.

기능 및 이점

기능 혜택
보안 부팅 부팅 구성 요소가 신뢰할 수 있는 게시자가 서명했는지 확인하여 부팅 중에 맬웨어(루트킷)의 위험을 줄이는 데 도움이 됩니다.
vTPM 키, 인증서 및 비밀에 대한 전용 자격 증명 모음 역할을 하는 하드웨어 TPM의 가상화된 버전입니다.
vTPM 상태 전송 VM이 클러스터 내에서 마이그레이션 또는 장애 조치(failover)될 때 vTPM을 유지합니다.
VBS(가상화 기반 보안) VM의 게스트는 VBS 지원을 사용하여 격리된 메모리 영역을 만들 수 있습니다.

참고 항목

VM 게스트 부팅 무결성 확인을 사용할 수 없습니다.

지침

  • IgvmAgent는 Azure Stack HCI 클러스터의 모든 노드에 설치된 구성 요소입니다. 예를 들어 신뢰할 수 있는 시작 Arc VM과 같은 격리된 VM을 지원할 수 있습니다.

  • 신뢰할 수 있는 시작 Arc VM 만들기의 일환으로 Hyper-V는 VM 상태를 저장하기 위해 디스크에 VM 파일을 만듭니다. 기본적으로 해당 VM 파일에 대한 액세스는 호스트 서버 관리자로 제한됩니다. 호스트 관리자는 해당 VM 파일이 저장된 위치가 항상 적절하게 액세스 제한되도록 해야 합니다.

  • VM 실시간 마이그레이션 네트워크 트래픽은 암호화되지 않습니다. IPsec과 같은 네트워크 계층 암호화 기술을 사용하여 실시간 마이그레이션 네트워크 트래픽을 보호하는 것이 좋습니다.

게스트 운영 체제 이미지

Azure Marketplace의 다음 VM 게스트 OS 이미지가 지원됩니다. Azure Portal 또는 Azure CLI를 사용하여 VM 이미지를 만들 수 있습니다.

자세한 내용은 Azure Marketplace를 사용하여 Azure Stack HCI VM 이미지 만들기를 참조 하세요.

속성 게시자 제안 SKU 버전 번호
Windows 11 Enterprise 다중 세션 버전 22H2 - Gen2 microsoftwindowsdesktop windows-11 win11-22h2-avd 22621.2428.231001
Windows 11 Enterprise 다중 세션 버전 22H2 + Microsoft 365 앱(미리 보기) - Gen2 microsoftwindowsdesktop windows11preview win11-22h2-avd-m365 22621.382.220810
Windows 11 Enterprise 다중 세션 버전 21H2 - Gen2 microsoftwindowsdesktop windows-11 win11-21h2-avd 22000.2538.231001
Windows 11 Enterprise 다중 세션 버전 21H2 + Microsoft 365 앱 - Gen2 microsoftwindowsdesktop office-365 win10-21h2-avd-m365-g2 19044.3570.231010

참고 항목

Azure Marketplace 외부에서 가져온 VM 게스트 이미지는 지원되지 않습니다.

다음 단계