2025-03-14(FRI)
1. [ESXi 설치 관련] BIOS Setup에서 TPM(Trusted Platform Module) 확인 사항
1-1.ESXi 설치 후 HPE BIOS에서 TPM Enabled 상태 확인, Enabled에서 Disabled로 Status 변경 후 ESXi 부팅 불가 PSOD 발생 확인
(1) 모든 서버 벤더사마다 TPM 모듈이 존재한다.
(2) TPM은 하드웨어 벤더사에서 제공되는 보안 모듈로 Enabled 시, Memory Fault 등으로 인한 H/W 교체 작업이 발생한다면 교체 이후 TPM으로부터 제공받은 암호화 키를 입력해야 한다. 만약 해당 키가 관리되지 않아 입력할 수 없는 상황이 생긴다면 하드웨어 교체 작업 자체가 불가능하다.
(3) ESXi 정책 상 TPM Enabled → Disabled로 상태 변경 시 부팅 불가 PSOD(Purple Screen of Death)가 발생한다.
(4) 설치 환경 : HPE ProLiant Gen11
- IT 업계에서 여러 보안 이슈로 인해, TPM 사용이 필요한 경우가 있고, HPE 시스템 역시 TPM 기능을 지원한다.
- HPE Gen10 plus 이하 모델에서는 TPM 모듈(별도 HW chip)을 System board에 장착하여 활성화하지만 Gen11 이상부터는 BIOS에서 TPM을 기본적으로 포함한다.
- TPM은 기본 활성화(Default: Enabled)되어 있다.
(5) 만약 TPM을 활성화할 거면 관리자가 TPM 키 값을 관리할 수 있어야 하고 이 부분을 감수하지 못한다면 TPM 옵션을 Disabled한다.
1-2. VMware ESXi의 경우(TPM)
(1) 대부분의 윈도우나 리눅스 환경에서는 TPM이 활성화되어 있더라도 별도로 활성화해야 하는 구성 작업이 필요하지만 VMware ESXi의 경우 7.0u2 이상부터 바이오스나 하드웨어 레벨에서 TPM이 활성화되어 있다면 자동으로 동작하게 된다. (자동 암호화 진행)
(2) 따라서 ESXi를 운영하는 경우 TPM 암호화 키를 미리 백업해 두어야 한다. 위에서 설명한 하드웨어 교체 작업 등으로 인해 System Board(TPM)이 변경된다면 위의 케이스처럼 부팅 불가하며, 백업한 암호화 키를 통해 복원 절차가 필요하다.
(3) TPM Status 확인
esxcli hardware trustedboot get
(4) Recovery Key 백업
esxcli system settings encryption recovery list
(5) ESXi 부팅 과정에서 Shift + O로 Boot Options으로 진입
(6) Boot Options 하단에서 복구 키 입력 후 부팅 진행
- encryptionRecoveryKey="Recovery Key"
(7) 만약 내부적으로 복구 키를 백업하지 않았거나 분실했다면 ESXi 재배포 필요
1-3. HPE ProLiant에서 제공하는 iLO(Intergrated Lights-Out)
(1) HPE에서 독점으로 만든 서버 관리 모듈로 물리 Ethernet 포트를 통해 원격지에서 HPE 서버 활동을 원격으로 제어할 수 있는 기술이다.
(2) HPE TPM Mode Disabled Process
- 부팅 시 F9로 바이오스로 진입 (진입 후 아래 순서대로 들어가서 설정값 변경)
- System Configuration
- BIOS/Platform Configuration (RBSU, ROM Based Setup Utility))
- Server Security
- Advanced Server Security Options
- Platform Cerfiticate Support → Disabled까지 설정 후 Reboot
- 이후 Server Security > Trusted Platform Module Options > Hidden까지 설정 후 Reboot
- 여기까지 진행한 후 Trusted Platform Module Options에서 확인해 보면 Current TPM State 값이 Present and Disable로 설정되어 있다.
2. 보안 Patch : ESXi 8.0u2 → 8.0u2d
2-1. esxcli command
(1) ESXi 8.0 이상부터 esxcli 커맨드를 통해 패치를 진행하는 과정에서 "vib install" 커맨드는 지원되지 않고 "software profile update"로 패치해야 한다.
(2) ESXi 버전업으로 인한 이슈로 확인된다.
(3) 적용 예시
esxcli software profile update -d /vmfs/volumes/datastore1/VMware-ESXi-8.0U2d-24585300-depot.zip -p ESXi-8.0U2d-24585300-standard
(4) 관련 Broadcom References
https://knowledge.broadcom.com/external/article/380215/esxi-version-change-is-not-allowed-using.html
Error "ESXi version change is not allowed using esxcli software vib commands..."
Error "ESXi version change is not allowed using esxcli software vib commands..." book Article ID: 380215 calendar_today Updated On: Products VMware vSphere ESXi Show More Show Less Issue/Introduction Unable to update ESXi 8.0 Update 2 or apply patches usin
knowledge.broadcom.com
3. ESXi Shell
(1) ESXi DCUI > Troubleshooting Mode Options로 접속해보면 기본적으로 Shell은 비활성화되어 있다.
(2) Enabled로 활성화 가능하고, Alt + F1으로 Shell 접속, Alt + F2로 Shell에서 Exit 가능하다.
댓글