如果您的 vSAN 集群使用静态数据加密,且 ESXi 主机发生错误,将对生成的核心转储进行加密以保护数据。
还会对
vm-support 软件包中包含的核心转储进行加密。
注: 核心转储可能包含敏感信息。处理核心转储时,请遵循您组织的数据安全和隐私权政策。
ESXi 主机上的核心转储
当
ESXi 主机崩溃时,会生成加密核心转储,然后主机重新引导。核心转储将使用
ESXi 密钥缓存中的主机密钥进行加密。后续操作取决于若干因素。
- 在大多数情况下,重新引导后 vCenter Server 将从 KMS 检索主机密钥并尝试将该密钥推送到 ESXi 主机。如果此操作成功,您可以生成 vm-support 软件包,并对核心转储进行解密或重新加密。
- 如果 vCenter Server 无法连接到 ESXi 主机,您也许可以从 KMS 检索密钥。
- 如果主机使用自定义密钥,且该密钥不同于 vCenter Server 推送到主机的密钥,您将无法处理核心转储。请避免使用自定义密钥。
核心转储和 vm-support 软件包
当您遇到严重错误而联系 VMware 技术支持时,您的支持代表通常会要求您生成 vm-support 软件包。该软件包包含日志文件和其他信息,包括核心转储。如果支持代表无法通过查看日志文件和其他信息解决问题,您可以解密核心转储以提供相关信息。请遵循您组织的安全和隐私权政策,以保护主机密钥等敏感信息。
vCenter Server 系统上的核心转储
vCenter Server 系统上的核心转储未加密。vCenter Server 已包含可能的敏感信息。至少确保 vCenter Server 受到保护。您还可以考虑关闭 vCenter Server 系统的核心转储。日志文件中的其他信息可以帮助确定问题所在。