IBM Cloud Docs
KMIP for VMware 구현 및 관리

KMIP for VMware 구현 및 관리

마케팅 종료: 2025년 10월 31일부로 신규 고객에게는 VMware Solutions 오퍼링의 신규 배포가 더 이상 제공되지 않습니다. 기존 고객은 IBM Cloud® 에서 활성 VMware® 워크로드를 계속 사용하고 확장할 수 있습니다. 자세한 내용은 IBM Cloud 에서 마케팅 종료(VMware)를 참조하세요.

Key Protect에 대한 VMware®용 KMIP™(Key Management Interoperability Protocol) 지원이 2026년 7월 16일에 종료되며, 이후에는 Key Protect 서비스와의 상호 운용이 불가능해집니다. IBM® 를 IBM Cloud® Key Protect 로 마이그레이션하세요.

이전 사용 중단 공지는 Key Protect 에 대한 VMware 지원을 위해 KMIP를 사용하는 고객에게만 적용됩니다. Hyper Protect Crypto Services (HPCS)에 대한 VMware 지원을 위해 KMIP를 사용 중인 경우에는 KMIP 사용 중단 공지가 적용되지 않습니다. HPCS에 대한 VMware 지원은 아무런 영향 없이 계속 작동합니다.

계획

KMIP™ for VMware 서비스에는 요금이 부과되지 않습니다. Hyper Protect Crypto Services 요금제를 검토하려면 다음을 참조하세요 Hyper Protect Crypto Services 카탈로그 페이지를 참조하세요.

VMware vSAN™ 암호화를 사용하는 경우 Hyper Protect Crypto Services 에서 하나의 루트 키를 사용하고 암호화하는 각 vSAN 클러스터에 대해 두 개의 표준 키를 사용하도록 계획하세요.

VMware vSphere® 암호화를 사용하는 경우, 하나의 루트 키, vSphere 클러스터당 하나의 표준 키, 암호화된 가상 머신(VM) 당 하나의 표준 키를 사용하도록 계획하세요.

Hyper Protect Crypto Services 는 멀티존 지역(MZR)에서만 사용할 수 있습니다. HPCS(Hyper Protect Crypto Service)는 선택된 MZR에서만 사용할 수 있습니다. VMware® 용 KMIP는 HPCS 인스턴스와 동일한 지역에 자동으로 배포됩니다. VMware vCenter Server®는 KMIP 서비스에 대한 높은 지연 시간을 견딜 수 있으므로 일반적으로 거리는 걱정할 필요가 없습니다.

키 관리 서버 연결

KMIP for VMware를 사용하여 vSphere 암호화 또는 vSAN 암호화를 사용으로 설정하려면 다음 태스크를 완료해야 합니다.

  1. 계정에서 서비스 엔드포인트를 사용으로 설정하십시오.
  2. 를 사용하여 키 관리자 인스턴스를 만듭니다 IBM Cloud Hyper Protect Crypto Services. HPCS(Hyper Protect Crypto Service)를 사용하는 경우 Hyper Protect Crypto Services가 키 관련 기능을 제공할 수 있도록 암호화 인스턴스를 초기화해야 합니다.
  3. 키 관리자 인스턴스 내의 고객 루트 키(CRK)를 작성하십시오.
  4. IBM Cloud for VMware Solutions 콘솔에서 KMIP for VMware 인스턴스를 작성하십시오.
  5. HPCS를 사용하는 경우 KMIP for VMware 인스턴스에 대한 IAM 서비스 권한을 HPCS 인스턴스에 작성하십시오. KMIP for VMware 인스턴스에 HPCS 인스턴스에 대한 플랫폼 뷰어 액세스 권한과 VMware KMIP Manager 액세스 권한을 둘 다 부여하십시오.
  6. HPCS 인스턴스에 연결하도록 VMware 인스턴스에 대한 KMIP를 구성하고 KMIP와 함께 사용할 CRK를 선택합니다.
  7. vCenter 서버 내에서 키 공급자 클러스터를 만듭니다.
    • HPCS를 사용하는 경우 KMIP for VMware 인스턴스에 고유하게 지정된 호스트 이름과 포트에 연결하도록 이 클러스터를 구성하십시오.
  8. VMware 방법 중 하나를 선택하여 vCenter 서버에서 KMS 클라이언트 인증서를 생성하거나 설치합니다.
  9. 인증서의 공용 버전을 내보내고 KMIP for VMware 인스턴스에서 허용된 클라이언트 인증서로 인증서의 공용 버전을 구성하십시오. 키 관리자 인스턴스는 구성된 클라이언트 인증서를 가져오는 데 최대 5분의 간격을 가집니다. 따라서 vCenter 서버에 대한 KMS 신뢰를 구축할 수 없는 경우 5분간 기다렸다가 다시 시도하세요.

암호화 사용

vSAN 암호화를 사용하려면 vCenter 서버 클러스터에서 vSAN 일반 설정을 편집하고 암호화 확인란을 선택합니다.

vSAN 상태 검사 시 하나 이상의 vSphere 호스트에서 KMS 클러스터에 연결할 수 없다는 경고를 주기적으로 보낼 수 있습니다. 이러한 경고는 vSAN 상태 검사 연결 제한시간이 너무 빨리 초과하기 때문에 발생합니다. 이 경고는 무시해도 됩니다. 자세한 내용은 vSAN SSL 핸드셰이크 시간 초과 오류로 KMS 상태 확인이 간헐적으로 실패하는 경우를 참조하세요.

vSphere 암호화를 사용하려면 디스크 암호화를 요구하도록 VM 스토리지 정책을 편집하십시오.

중요한 주의 사항

일부 가상 머신은 특히 자체 작동을 위한 핵심 자료를 얻기 위해 순환 종속성이 발생할 수 있는 경우 암호화를 위한 특별한 계획이 필요합니다. 다음 정보를 고려하십시오.

  • vCenter 서버는 암호화 키를 검색하는 데 관여합니다. 이 VM은 vSphere 암호화를 사용하여 암호화되어서는 안 되며 암호화된 vSAN 데이터스토어에 있지 않아야 합니다.
  • 사용자 환경의 Microsoft Windows® Active Directory 컨트롤러는 키 관리에 연결하기 위한 호스트 이름 확인에 사용됩니다. 환경을 다시 시작해야 하는 경우 대체 호스트 이름 확인을 제공할 준비가 되어 있지 않다면 vSphere 암호화를 사용하여 암호화하거나 암호화된 vSAN 데이터스토어에 배치하지 마십시오.
  • VMware에서는 VMware NSX® VM을 vSphere 암호화를 사용하여 암호화하는 것을 권장하지 않습니다.

키 순환

고객 루트 키 Hyper Protect Crypto Services 고객 루트 키(CRK)를 회전합니다( IBM Cloud 콘솔 또는 API 사용).

  • vSAN 암호화의 경우, VMware 키 암호화 키와 데이터 암호화 키(선택 사항)를 vSAN 서버 클러스터의 일반 설정에서 회전합니다.
  • vSphere 암호화의 경우 Set-VMEncryptionKey PowerShell 명령을 사용하여 (선택적으로) VMware 키 암호화 키와 데이터 암호화 키를 회전합니다.

키 취소

키 관리자에서 원하는 CRK를 삭제하여 KMIP for VMware로 사용 중인 모든 키를 취소할 수 있습니다.

키가 취소되면 이 키와 KMIP for VMware 인스턴스로 보호되는 모든 데이터가 이 방법을 통해 암호로 제거됩니다. VMware는 ESXi 호스트의 전원이 켜져 있는 동안 일부 키를 보존하므로 모든 암호화된 데이터가 더 이상 사용되지 않는지 확인하려면 vSphere 클러스터를 다시 시작해야 합니다.

VMware 용 KMIP는 VMware 에 알려진 키 ID와 연관된 이름을 사용하여 Hyper Protect Crypto Services 인스턴스에 개별 래핑된 KEK를 저장합니다. 개별 키를 삭제하여 개별 디스크 또는 드라이브의 암호화를 취소할 수 있습니다.

VMware는 암호화된 디스크가 있는 VM을 인벤토리에서 삭제할 때 KMS에서 키를 삭제하지 않습니다. 이 프로세스는 백업에서 해당 VM의 복구를 허용하거나 백업이 인벤토리로 복원되는 경우를 위한 것입니다. 키를 재확보하고 암호로 모든 백업을 무효화하려면 VM 삭제 후에 키 관리자 인스턴스에서 키를 삭제해야 합니다.