Se o seu ambiente usar a Criptografia de Máquina Virtual vSphere e se ocorrer um erro no host ESXi, o despejo de memória resultante será criptografado para proteger os dados do cliente. Os despejos principais incluídos no pacote vm-support também são criptografados.

Observação: Os dumps principais podem conter informações confidenciais. Siga a política de privacidade e segurança de dados da sua organização ao lidar com despejos de memória.

Core Dumps em ESXi Hosts

Quando um host ESXi, um mundo de usuário ou uma máquina virtual falha, um despejo de memória é gerado e o host é reinicializado. Se o host ESXi tiver o modo de criptografia ativado, o despejo de memória será criptografado usando uma chave que está no cache de chaves ESXi. (Dependendo do provedor de chaves em uso, a chave vem de um servidor de chaves externo, o Serviço de Provedor de Chaves ou vCenter Server). Consulte Como o vSphere Virtual Machine Encryption protege seu ambiente para obter informações básicas.

Quando um host ESXi é criptograficamente "seguro" e um despejo de memória é gerado, um evento é criado. O evento indica que ocorreu um despejo de memória com as seguintes informações: nome do mundo, horas de ocorrência, keyID da chave usada para criptografar o despejo de memória e nome do arquivo do despejo de memória. Você pode visualizar o evento no Visualizador de eventos em Tarefas e eventos (Tasks and Events) para o vCenter Server.

A tabela a seguir mostra as chaves de criptografia usadas para cada tipo de despejo de memória, por versão vSphere.

Tabela 1. Chaves de criptografia de despejo de núcleo
Tipo de despejo de núcleo Chave de criptografia (ESXi 6.5) Chave de criptografia (ESXi 6.7 e posterior)
ESXi Kernel Chave do host Chave do host
User World (hostd) Chave do host Chave do host
Máquina virtual criptografada (VM) Chave do host Chave da máquina virtual
O que você pode fazer após uma reinicialização do host ESXi depende de vários fatores.
  • Na maioria dos casos, o provedor de chaves tenta enviar a chave para o host ESXi após a reinicialização. Se a operação for bem-sucedida, você poderá gerar o pacote vm-support e descriptografar ou criptografar novamente o despejo de memória. Consulte Descriptografar ou criptografar novamente um despejo de núcleo criptografado.
  • Se vCenter Server não puder se conectar ao host ESXi, você poderá recuperar a chave. Consulte Resolver problemas de chave de criptografia ausente.
  • Se o host tiver usado uma chave personalizada e essa chave for diferente da chave que vCenter Server envia por push para o host, você não poderá manipular o despejo de memória. Evite usar chaves personalizadas.

Core Dumps e pacotes vm-support

Quando você entra em contato com o Suporte técnico da VMware devido a um erro grave, seu representante de suporte geralmente solicita que você gere um pacote vm-support. O pacote inclui arquivos de log e outras informações, incluindo dumps principais. Se os representantes do suporte não puderem resolver os problemas examinando arquivos de log e outras informações, eles poderão solicitar que você descriptografe os despejos de memória e disponibilize as informações relevantes. Para proteger informações confidenciais, como chaves, siga a política de segurança e privacidade da sua organização. Consulte Coletar um pacote vm-support para um host ESXi que usa criptografia.

Core Dumps em sistemas vCenter Server

Um despejo de memória em um sistema vCenter Server não é criptografado. vCenter Server já contém informações potencialmente confidenciais. No mínimo, certifique-se de que o vCenter Server esteja protegido. Consulte Protegendo sistemas vCenter Server. Você também pode considerar desativar os despejos de memória para o sistema vCenter Server. Outras informações nos arquivos de log podem ajudar a determinar o problema.

Coletar um pacote vm-support para um host ESXi que usa criptografia

Se o modo de criptografia do host estiver ativado para o host ESXi, todos os despejos de memória no pacote vm-support serão criptografados. Você pode coletar o pacote do vSphere Client e pode especificar uma senha se quiser descriptografar o despejo de memória posteriormente.

O pacote vm-support inclui arquivos de log, arquivos de despejo de memória e muito mais.

Pré-requisitos

Informe ao representante de suporte que o modo de criptografia do host está ativado para o host ESXi. Seu representante de suporte pode solicitar que você descriptografe os despejos de memória e extraia informações relevantes.

Observação: Os dumps principais podem conter informações confidenciais. Siga a política de segurança e privacidade da sua organização para proteger informações confidenciais, como chaves de host.

Procedimento

  1. Faça login no sistema vCenter Server com o vSphere Client.
  2. Clique em Hosts & Clusters e clique com o botão direito do mouse no host ESXi.
  3. Selecione Exportar logs do sistema (Export System Logs).
  4. Na caixa de diálogo, selecione Senha para dumps de memória criptografados (Password for encrypted core dumps), especifique e confirme uma senha.
  5. Deixe os padrões para outras opções ou faça alterações, se solicitado pelo VMware Suporte técnico, e clique em Exportar logs (Export Logs).
    Se você não tiver configurado seu navegador para perguntar onde salvar os arquivos antes de fazer o download, o download será iniciado. Se você tiver configurado seu navegador para perguntar onde salvar arquivos, especifique um local para o arquivo.
  6. Se o representante do suporte tiver solicitado que você descriptografe o despejo de memória no pacote vm-support, faça login em qualquer host ESXi e siga estas etapas.
    1. Faça login no host ESXi e conecte-se ao diretório em que o pacote vm-support está localizado.
      O nome do arquivo segue o padrão esx.date_and_time.tgz.
    2. Certifique-se de que o diretório tenha espaço suficiente para o pacote, o pacote descompactado e o pacote recomprimido ou mova o pacote.
    3. Extraia o pacote para o diretório local. 
      vm-support -x *.tgz .
      A hierarquia de arquivos resultante pode conter arquivos de despejo de memória para o host ESXi, geralmente em /var/core, e pode conter vários arquivos de despejo de memória para máquinas virtuais.
    4. Descriptografar cada arquivo de despejo de memória criptografado separadamente. 
      crypto-util envelope extract --offset 4096 --keyfile vm-support-incident-key-file 
--password encryptedZdump decryptedZdump
      vm-support-incident-key-file é o arquivo de chave de incidente que você encontra no nível superior do diretório.

      encryptedZdump é o nome do arquivo de despejo de memória criptografado.

      decryptedZdump é o nome do arquivo que o comando gera. Torne o nome semelhante ao nome encryptedZdump.

    5. Forneça a senha que você especificou quando criou o pacote vm-support.
    6. Remova os despejos de memória criptografados e compacte o pacote novamente. 
      vm-support --reconstruct
  7. Remova todos os arquivos que contenham informações confidenciais.

Descriptografar ou criptografar novamente um despejo de núcleo criptografado

Você pode descriptografar ou criptografar novamente um despejo de memória criptografado no host ESXi usando a CLI do crypto-util.

Você mesmo pode descriptografar e examinar os despejos de memória no pacote vm-support. Os dumps principais podem conter informações confidenciais. Siga a política de segurança e privacidade da sua organização para proteger informações confidenciais, como chaves.

Para obter detalhes sobre como criptografar novamente um despejo de memória e outros recursos do crypto-util, consulte a ajuda da linha de comando.
Observação: crypto-util é para usuários avançados.

Pré-requisitos

A chave que foi usada para criptografar o despejo de memória deve estar disponível no host ESXi que gerou o despejo de memória.

Procedimento

  1. Faça login diretamente no host ESXi no qual o despejo de memória ocorreu.
    Se o host ESXi estiver no modo de bloqueio ou se o acesso SSH estiver desativado, talvez você precise ativar o acesso primeiro.
  2. Determine se o despejo de memória está criptografado.
    Opção Descrição
    Monitorar despejo de memória 
    crypto-util envelope describe vmmcores.ve
    arquivo zdump 
    crypto-util envelope describe --offset 4096 zdumpFile
  3. Descriptografar o despejo de memória, dependendo do tipo.
    Opção Descrição
    Monitorar despejo de memória 
    crypto-util envelope extract vmmcores.ve vmmcores
    arquivo zdump 
    crypto-util envelope extract --offset 4096 zdumpEncrypted zdumpUnencrypted