如果您的环境使用 vSphere 虚拟机加密,且 ESXi 主机发生错误,则将对生成的核心转储进行加密,以便保护客户数据。还会对 vm-support 软件包中包含的核心转储进行加密。
注: 核心转储可以包含敏感信息。处理核心转储时,请遵循您组织的数据安全和隐私策略。
ESXi 主机上的核心转储
当 ESXi 主机、用户环境或虚拟机崩溃时,将生成核心转储,并且主机会重新引导。如果 ESXi 主机已启用加密模式,则会使用 ESXi 密钥缓存中的密钥对核心转储进行加密。该密钥来自 KMS。有关背景信息,请参见vSphere 虚拟机加密如何保护您的环境。
下表按 vSphere 版本显示了用于每种核心转储类型的加密密钥。
核心转储类型 | 加密密钥 (ESXi 6.5) | 加密密钥(ESXi 6.7 及更高版本) |
---|---|---|
ESXi 内核 | 主机密钥 | 主机密钥 |
用户环境 (hostd) | 主机密钥 | 主机密钥 |
加密虚拟机 (VM) | 主机密钥 | 虚拟机密钥 |
ESXi 主机重新引导后可执行的操作取决于多个因素。
- 在大多数情况下,重新引导后 vCenter Server 将从 KMS 检索主机密钥并尝试将该密钥推送到 ESXi 主机。如果此操作成功,您可以生成 vm-support 软件包,并对核心转储进行解密或重新加密。请参见解密或重新加密已加密核心转储。
- 如果 vCenter Server 无法连接到 ESXi 主机,您也许可以从 KMS 检索密钥。请参见解决缺少密钥问题。
- 如果主机使用自定义密钥,且该密钥不同于 vCenter Server 推送到主机的密钥,您将无法处理核心转储。请避免使用自定义密钥。
核心转储和 vm-support 软件包
当您遇到严重错误而联系 VMware 技术支持时,您的支持代表通常会要求您生成 vm-support 软件包。该软件包包含日志文件和其他信息,包括核心转储。如果您的支持代表无法通过查看日志文件和其他信息解决问题,他们可能会要求您解密核心转储并提供相关信息。为保护诸如密钥等敏感信息,请遵循您所在组织的安全和隐私权政策。请参见为使用加密的 ESXi主机收集 vm-support 软件包。
vCenter Server 系统上的核心转储
vCenter Server 系统上的核心转储未加密。vCenter Server 已包含可能的敏感信息。请至少确保运行 vCenter Server 的 Windows 系统或 vCenter Server Appliance 受保护。请参见确保 vCenter Server 系统安全。您还可以考虑关闭 vCenter Server 系统的核心转储。日志文件中的其他信息可以帮助确定问题所在。