피드로 돌아가기
Dev.toInfrastructure
원문 읽기
VMware Tools 제거 후 Kerberos 5분 오차로 인한 Trust Layer 붕괴 방지
The VM That Survived the Migration But Lost Its Identity
AI 요약
Context
VMware 환경에서 AHV/KVM으로 마이그레이션 시 Compute Layer의 포터빌리티에만 집중하여 Guest OS의 시간 동기화 메커니즘 상실을 간과함. VMware Tools가 암묵적으로 수행하던 Time Synchronization 기능이 제거되면서 Domain Trust 관계를 유지하는 Kerberos 인증 체계에 치명적 결함 발생.
Technical Solution
- VMware Tools 기반의 시간 동기화 의존성을 제거하고 독립적인 NTP Source 설정으로 전환
- Kerberos의 5분 Clock Skew Tolerance 임계치를 고려한 시간 동기화 검증 단계 도입
- Guest Agent 교체 후 단순 프로세스 헬스체크가 아닌 kinit을 통한 실제 Kerberos 인증 성공 여부 확인
- SPN(Service Principal Name) 및 Certificate Renewal 프로세스가 새로운 하이퍼바이저 환경에서 정상 작동하는지 사후 검증
- 단순 VM 구동 여부가 아닌 Identity Continuity(정체성 연속성)를 마이그레이션 완료의 게이트 조건으로 설정
실천 포인트
- Guest Agent 교체 직후 Domain Time과의 동기화 오차 범위 확인 - kinit 등 도메인 인증 명령어를 통한 Kerberos 티켓 발급 테스트 수행 - 인증서 갱신(Certificate Renewal) 프로세스의 End-to-End 정상 작동 여부 검증 - SPN 등록 상태 및 도메인 컨트롤러와의 통신 신뢰성 확인