Wenn in Ihrer Umgebung vSphere VM-Verschlüsselung verwendet wird und auf dem ESXi-Host ein Fehler auftritt, wird der dadurch entstandene Core-Dump verschlüsselt, um Kundendaten zu schützen. Auch die Core-Dumps im vm-support-Paket sind verschlüsselt.
Core-Dumps auf ESXi-Hosts
Wenn ein ESXi-Host, eine Benutzer-World oder eine virtuelle Maschine fehlschlägt, wird ein Core-Dump erstellt und der Host neu gestartet. Wenn für den ESXi-Host der Verschlüsselungsmodus aktiviert ist, wird der Core-Dump mit einem Schlüssel verschlüsselt, der sich im ESXi-Schlüssel-Cache befindet. Dieser Schlüssel stammt aus dem KMS. Weitere Hintergrundinformationen finden Sie unter Wie vSphere Virtual Machine Encryption Ihre Umgebung schützt.
Wenn ein ESXi-Host aus kryptografischer Sicht „sicher“ ist und ein Core-Dump erzeugt wird, löst dies ein Ereignis aus. Das Ereignis gibt an, dass ein Core-Dump zusammen mit folgenden Informationen durchgeführt wurde: Name der World, Zeitpunkt des Auftretens, keyID des zum Verschlüsseln des Core-Dumps verwendeten Schlüssel sowie der Dateiname des Core-Dumps. Sie können das Ereignis im Ereignis-Viewer unter Aufgaben und Ereignisse für den vCenter Server anzeigen.
In der folgenden Tabelle werden die für jeden Core-Dump-Typ verwendeten Verschlüsselungsschlüssel nach vSphere-Version angezeigt.
Core-Dump-Typ | Verschlüsselungsschlüssel (ESXi 6.5) | Verschlüsselungsschlüssel (ESXi 6.7 und höher) |
---|---|---|
ESXi-Kernel | Hostschlüssel | Hostschlüssel |
Benutzer-World (hostd) | Hostschlüssel | Hostschlüssel |
Verschlüsselte virtuelle Maschine (VM) | Hostschlüssel | VM-Schlüssel |
- In den meisten Fällen ruft vCenter Server den Schlüssel für den Host vom KMS ab und versucht, nach dem Neustart den Schlüssel an den ESXi-Host zu übermitteln. Wenn der Vorgang erfolgreich war, können Sie das vm-support-Paket generieren und den Core-Dump entschlüsseln bzw. neu verschlüsseln. Weitere Informationen hierzu finden Sie unter Entschlüsseln oder erneutes Verschlüsseln eines verschlüsselten Core-Dump.
- Wenn vCenter Server keine Verbindung zum ESXi-Host herstellen kann, können Sie den Schlüssel möglicherweise vom KMS abrufen. Weitere Informationen hierzu finden Sie unter Beheben von Problemen in Bezug auf fehlende Schlüssel.
- Wenn der Host einen benutzerdefinierten Schlüssel verwendet hat und es sich bei diesem Schlüssel nicht um den Schlüssel handelt, den vCenter Server an den Host übermittelt, können Sie den Core-Dump nicht verändern. Vermeiden Sie die Verwendung von benutzerdefinierten Schlüsseln.
Core-Dumps und vm-support-Pakete
Wenn Sie sich an den technischen Support von VMware wenden, um einen schwerwiegenden Fehler zu melden, werden Sie in der Regel von dem Support-Mitarbeiter gebeten, ein vm-support-Paket zu generieren. Das Paket enthält Protokolldateien und weitere Informationen, einschließlich Core-Dumps. Wenn die Support-Mitarbeiter mithilfe der Protokolldateien und weiteren Informationen die Probleme nicht beheben können, werden Sie möglicherweise gebeten, die Core-Dumps zu entschlüsseln und relevante Informationen zur Verfügung zu stellen. Befolgen Sie zum Schutz vertraulicher Informationen wie z. B. Schlüssel die Sicherheits- und Datenschutzrichtlinie Ihres Unternehmens. Weitere Informationen hierzu finden Sie unter Erfassen eines vm-support-Pakets für einen ESXi-Host, auf dem Verschlüsselung verwendet wird.
Core-Dumps auf vCenter Server-Systemen
Ein Core-Dump auf einem vCenter Server-System ist nicht verschlüsselt. vCenter Server enthält bereits potenziell vertrauliche Informationen. Stellen Sie mindestens sicher, dass vCenter Server geschützt ist. Weitere Informationen hierzu finden Sie unter Sichern von vCenter Server-Systemen. Alternativ können Sie Core-Dumps für das vCenter Server-System deaktivieren. Weitere Informationen in den Protokolldateien können zum Ermitteln der Ursache des Problems dienlich sein.