Geek of All Trades: 유휴 VM 패치
Microsoft Offline Virtual Machine Servicing Tool을 사용하여 유휴 VM을 패치하면 VM을 온라인 상태로 만들 준비를 하고 최신 패치가 적용되지 않아 발생하는 문제를 방지하는 데 도움이 됩니다.
작성자: Greg Shields
패치가 싫으십니까? 사실 저는 그렇습니다. 패치는 항상 성가시고 대가가 없는 일로 보이며 업무적으로 보았을 때에도 가치가 없는 하찮은 일로 여겨지기도 합니다. 사실 알 수 없는 몇 가지 심각한 문제를 피할 수 있다는 것 외에는 업무적으로 가치가 없는 일일 수도 있습니다.
맞습니다. 패치는 IT 세계에서 아주 귀찮고 성가신 일입니다. 근사하게 저녁을 차려 놓고 “미안하지만 저녁 못 먹을 것 같아”라는 전화를 받는 것과도 같은 일, 패치 관리는 우리가 정말 싫어하는 일입니다.
하지만 근래는 패치 관리가 그다지 나쁜 일만은 아닙니다. 얼마 전만 해도 패치를 위해서는 방대한 스프레드시트가 필요했고, 각 패치마다 “MS” 번호와 “q” 번호를 연결해야 했으며 Microsoft로 인해 회사의 우선적인 일에 위협을 받기도 했습니다. 어떤 패치가 더 중요한지 평가하는 데 매달 반나절 이상은 소비해야 했던 것도 사실입니다.
하지만 가장 큰 변화는 Windows Server Update Services(WSUS)가 출시되었다는 점입니다. 간단하고 환상적인 이 도구는 패치를 위한 대부분의 수작업을 없애 줍니다. WSUS에 약간의 스크립트를 결합하면 예정된 다음 패치 주기를 기다릴 필요 없이 당장 컴퓨터를 패치하도록 명령할 수도 있습니다. (제게 스크립트가 있습니다. 복사본을 원하시면 concentratedtech.com에 방문해 보십시오.)
WSUS의 한 가지 한계는 패치하려는 서버나 데스크톱이 실제로 켜져 있어야만 자동화된 패치 매커니즘이 작동한다는 것입니다. 어떤 이유에서든 컴퓨터가 꺼져 있으면 WSUS에게 문제가 됩니다. 때문에 패치 주기는 다음날 아침 컴퓨터가 켜지고 나서야 작동하게 되고, 관리자가 꺼져 있는 컴퓨터를 찾아서 켜야 하는 수고가 필요하게 됩니다.
하지만 지금은 WSUS의 이러한 한계가 큰 문제는 아닙니다. 저녁 패치 주기 동안 사용자가 컴퓨터를 꺼 두었더라도, 다음날 아침 컴퓨터를 켜면 친절하게 풍선 도움말이 표시되고, 패치 설치가 시작됩니다. 게다가 근래는 서버가 항상 켜져 있는 경우도 많습니다. 즉 WSUS 패치 작업의 명령을 언제나 받을 수 있다는 것입니다.
조합의 변화
이러한 편리하고 정적인 환경은 데이터센터가 가상화 단계로 접어들면서 다시 변화하고 있습니다. 서버가 가상화되면 지속적으로 켜져 있는 상태로 유지되기 쉽습니다. 하지만 이러한 가상 서버 역시 어딘가에서 오는 것이고, 대부분의 경우 이 “어딘가”는 서버 템플릿의 복사로부터 시작됩니다.
서버 템플릿은 최소한의 작업만으로 새 서버를 만들어 온라인 상태를 유지할 수 있는 훌륭한 방법입니다. 또한 모든 서버가 동일한 핵심 구성을 가지고 시작하도록 만들어 줍니다. 하지만 서버 템플릿에도 단점은 있습니다. 컴퓨터를 새로운 서버로 탄생시키는 데 유용하지만, 템플릿 자체는 스스로 온라인 상태가 되도록 의도된 것이 아닙니다.
서버 템플릿은 파일 공유 위치 어딘가에 VHD 파일로 존재합니다. 그리고 전원이 꺼지면 이 파일은 효율적으로 유휴 상태가 됩니다. 큰 Word 파일이나 Excel 스프레드시트와 다를 것이 없습니다. 다시 전원이 켜지면 유휴 파일은 완전하게 작동하는 서버가 되고, 일반적인 업무를 처리하거나 현대의 맬웨어나 다른 위협 요소와 같은 악의적인 작업을 처리하기도 합니다.
간단히 말해 유휴 템플릿이 패치되지 않으면 새로운 맬웨어 위협의 근원이 될 수도 있다는 뜻입니다. 단지 전원이 켜졌다는 이유로 말이죠.
이해가 되셨는지요? 네, 이것이 바로 현재 버전 2.1인 Microsoft Offline Virtual Machine Servicing Tool의 핵심 테마입니다. 이 무료 Solution Accelerator는 여러분의 유휴 VM(가상 컴퓨터) 템플릿에 WSUS의 최신 패치를 자동으로 적용할 수 있도록 지원합니다.
.png)
그림 1 오프라인 VM 서비스의 세 가지 주요 구성 요소.
어떻게 작동하는지 요지를 파악하기 위해 그림 1을 보시기 바랍니다. System Center Virtual Machine Manager(VMM)를 호스트하는 서버가 공유 라이브러리, Hyper-V 호스트, 그리고 소프트웨어 업데이트 관리 서버와 어떻게 상호 작용하는지 보실 수 있습니다. 업데이트 관리 서버는 WSUS 서버일 수도 있고, 다른 사용 가능한 System Center Configuration Manager(SCCM) 서버일 수도 있습니다. 어떤 경우이든 프로세스는 동일합니다.
Offline VM Servicing Tool은 서비스 작업이라는 것을 사용하여 VMM 라이브러리에 있는 VM에 업데이트 배포하는 작업을 관리합니다. 이 서비스 작업은 미리 정해진 시간에 시작되는 Windows 작업 스케줄러에 의해 제어됩니다.
서비스 작업이 활동할 준비가 되면 먼저 템플릿 위치의 VM을 “깨우는” 작업부터 시작합니다. 이 작업은 VM을 Hyper-V에 배포하고 전원을 켜는 과정입니다. VM의 전원이 켜지면 VM 내부에 구성된 WUA(Windows Update Agent)가 소프트웨어 업데이트 주기를 시작하도록 명령을 내입니다.
VM의 WUA 구성은 여러분이 모든 컴퓨터에 구성한 설정과 동일하게 설정되어 있습니다. 이 과정은 그룹 정책 응용 프로그램을 통해 수행될 수도 있고, VM 내에서 수동으로 설정할 수도 있습니다. 이 프로세스가 작동하려면 업데이트 서비스 위치, 모든 WSUS 컴퓨터 그룹, 그리고 보안 정책에 정의된 모든 특정한 특성을 포함하여 일반적인 모든 WSUS 구성을 설정해야 합니다.
VM을 성공적으로 업데이트하고 나면 서비스 작업은 VM의 전원을 끄고 라이브러리로 돌려보냅니다. 자동화된 이 프로세스를 통해 VM뿐 아니라 인프라의 나머지 부분까지 올바른 패치로 최신 상태를 유지할 수 있습니다. Offline VM Servicing Tool은 자체적인 업데이트 관리 구성을 추가하지 않으며, 여러분이 WSUS 또는 SCCM에 구성한 기존 설정만 사용합니다.
Offline VM Servicing Tool을 설치하려면 몇 가지 단계가 필요한데, 아마도 연계된 Solution Accelerator 가이드를 읽지 않으면 왜 이런 단계가 필요한지 명확하게 이해하기 어려울 것입니다. 버전 2.1이긴 하지만 이 도구가 아직 초기 단계에 있는 것으로 느껴지는 부분입니다. 설치하려면 Microsoft 웹 사이트에서 콘솔을 다운로드해야 합니다. 또한 실행하려면 몇 가지를 더 다운로드하고 PSExec의 바이너리(psexec.exe와 pdh.dll 모두)를 도구의 bin 폴더인 C:\Program Files\Microsoft Offline Virtual Machine Servicing Tool\bin에 복사해야 합니다. RemoteSigned를 위해 Windows PowerShell 실행 정책을 구성하는 과정도 필요합니다.
.png)
그림 2 Offline VM Servicing Tool 콘솔.
설치가 끝나면 그림 2와 같은 콘솔이 어떤 컴퓨터를 언제 패치해야 하는지 판단하기 위해 가상 컴퓨터 그룹을 파악합니다. 또한 업데이트 작업의 특성이 포함된 서비스 작업도 파악합니다. 서비스 도구는 또한 VMM 라이브러리 내에 포함된 VM에 대해서만 작동합니다. 즉 전원이 꺼진 VM일지라도 이미 Hyper-V 호스트에 배포된 VM은 이 도구의 영향을 받지 않습니다.
서비스 도구는 오류 발생 후 온라인 상태로 만들 준비가 되었거나 추가 서버가 필요할 때 사용하는 핫 스페어(hot spare) VM과 같이 특정한 템플릿이 아닌 VM에 대해서도 작동합니다. 이러한 경우 도구는 핫 스페어 서버의 보조 NIC를 사용하여 독립된 네트워크에 배포하도록 권장합니다. 이를 통해 핫 스페어 서버에 패치만 적용하려고 할 때 의도하지 않게 서버가 작동해 버리는 것을 방지할 수 있습니다.
여러분의 오프라인 패치 작업에 Microsoft Offline Virtual Machine Servicing Tool이 완벽한 솔루션은 아닐 수 있습니다. 하지만 몇 개의 유휴 VM만 최신 상태로 유지하려는 상황이라면 가격이 무료라는 점과 기능이 제한되어 있다는 점이 오히려 장점이 될 것입니다. 이 모든 작업을 직접 할 때의 고통을 생각해 보십시오. 패치가 누락되어 유휴 VM에서 문제가 발생하고, 위험할 수도 있다는 점도 생각해 보십시오.
.jpg)
Greg Shields는 Concentrated Technology의 파트너이자 MVP입니다. ConcentratedTech.com에서 더 많은 유용한 팁을 살펴보십시오.