Wenn in Ihrer Umgebung vSphere VM-Verschlüsselung verwendet wird und auf dem ESXi-Host ein Fehler auftritt, wird der dadurch entstandene Core-Dump verschlüsselt, um Kundendaten zu schützen. Auch die Core-Dumps im vm-support-Paket sind verschlüsselt.

Hinweis: Core-Dumps können vertrauliche Informationen enthalten. Befolgen Sie beim Umgang mit Core-Dumps die Datensicherheits- und Datenschutzrichtlinien Ihrer Organisation.

Core-Dumps auf ESXi-Hosts

Wenn ein ESXi-Host, eine Benutzer-World oder eine virtuelle Maschine fehlschlägt, wird ein Core-Dump erstellt und der Host neu gestartet. Wenn für den ESXi-Host der Verschlüsselungsmodus aktiviert ist, wird der Core-Dump mit einem Schlüssel verschlüsselt, der sich im ESXi-Schlüssel-Cache befindet. (Abhängig vom verwendeten Schlüsselanbieter stammt der Schlüssel von einem externen Schlüsselserver, dem Schlüsselanbieterdienst oder vCenter Server). Weitere Hintergrundinformationen finden Sie unter Wie vSphere Virtual Machine Encryption Ihre Umgebung schützt.

Wenn ein ESXi-Host aus kryptografischer Sicht „sicher“ ist und ein Core-Dump erzeugt wird, löst dies ein Ereignis aus. Das Ereignis gibt an, dass ein Core-Dump zusammen mit folgenden Informationen durchgeführt wurde: Name der World, Zeitpunkt des Auftretens, keyID des zum Verschlüsseln des Core-Dumps verwendeten Schlüssel sowie der Dateiname des Core-Dumps. Sie können das Ereignis im Ereignis-Viewer unter Aufgaben und Ereignisse für den vCenter Server anzeigen.

In der folgenden Tabelle werden die für jeden Core-Dump-Typ verwendeten Verschlüsselungsschlüssel nach vSphere-Version angezeigt.

Tabelle 1. Core-Dump-Verschlüsselungsschlüssel
Core-Dump-Typ Verschlüsselungsschlüssel (ESXi 6.5) Verschlüsselungsschlüssel (ESXi 6.7 und höher)
ESXi-Kernel Hostschlüssel Hostschlüssel
Benutzer-World (hostd) Hostschlüssel Hostschlüssel
Verschlüsselte virtuelle Maschine (VM) Hostschlüssel VM-Schlüssel
Die Vorgehensweise nach dem Neustart eines ESXi-Hosts hängt von mehreren Faktoren ab.
  • In den meisten Fällen versucht der Schlüsselanbieter, den Schlüssel nach dem Neustart an den ESXi-Host zu übertragen. Wenn der Vorgang erfolgreich war, können Sie das vm-support-Paket generieren und den Core-Dump entschlüsseln bzw. neu verschlüsseln. Weitere Informationen hierzu finden Sie unter Entschlüsseln oder erneutes Verschlüsseln eines verschlüsselten Core-Dump.
  • Wenn vCenter Server keine Verbindung zum ESXi-Host herstellen kann, können Sie den Schlüssel möglicherweise abrufen. Weitere Informationen hierzu finden Sie unter Beheben von Problemen in Bezug auf fehlende Verschlüsselungsschlüssel.
  • Wenn der Host einen benutzerdefinierten Schlüssel verwendet hat und es sich bei diesem Schlüssel nicht um den Schlüssel handelt, den vCenter Server an den Host übermittelt, können Sie den Core-Dump nicht verändern. Vermeiden Sie die Verwendung von benutzerdefinierten Schlüsseln.

Core-Dumps und vm-support-Pakete

Wenn Sie sich an den technischen Support von VMware wenden, um einen schwerwiegenden Fehler zu melden, werden Sie in der Regel von dem Support-Mitarbeiter gebeten, ein vm-support-Paket zu generieren. Das Paket enthält Protokolldateien und weitere Informationen, einschließlich Core-Dumps. Wenn die Support-Mitarbeiter mithilfe der Protokolldateien und weiteren Informationen die Probleme nicht beheben können, werden Sie möglicherweise gebeten, die Core-Dumps zu entschlüsseln und relevante Informationen zur Verfügung zu stellen. Befolgen Sie zum Schutz vertraulicher Informationen wie z. B. Schlüssel die Sicherheits- und Datenschutzrichtlinie Ihres Unternehmens. Weitere Informationen hierzu finden Sie unter Erfassen eines vm-support-Pakets für einen ESXi-Host, auf dem Verschlüsselung verwendet wird.

Core-Dumps auf vCenter Server-Systemen

Ein Core-Dump auf einem vCenter Server-System ist nicht verschlüsselt. vCenter Server enthält bereits potenziell vertrauliche Informationen. Stellen Sie mindestens sicher, dass vCenter Server geschützt ist. Weitere Informationen hierzu finden Sie unter Sichern von vCenter Server-Systemen. Alternativ können Sie Core-Dumps für das vCenter Server-System deaktivieren. Weitere Informationen in den Protokolldateien können zum Ermitteln der Ursache des Problems dienlich sein.

Erfassen eines vm-support-Pakets für einen ESXi-Host, auf dem Verschlüsselung verwendet wird

Wenn der Hostverschlüsselungsmodus für den ESXi-Host aktiviert ist, werden alle Core-Dumps im vm-support-Paket verschlüsselt. Sie können das Paket vom vSphere Client erfassen und ein Kennwort angeben, falls Sie davon ausgehen, dass der Core-Dump zu einem späteren Zeitpunkt entschlüsselt werden muss.

Das vm-support-Paket enthält u. a. Protokolldateien und Core-Dump-Dateien.

Voraussetzungen

Informieren Sie den Supportmitarbeiter darüber, dass der Hostverschlüsselungsmodus für den ESXi-Host aktiviert ist. Der Supportmitarbeiter bittet Sie möglicherweise darum, Core-Dumps zu entschlüsseln und relevante Informationen zu extrahieren.

Hinweis: Core-Dumps können vertrauliche Informationen enthalten. Beachten Sie die Sicherheits- und Datenschutzrichtlinie Ihres Unternehmens, um den Schutz vertraulicher Daten wie Hostschlüssel zu gewährleisten.

Prozedur

  1. Melden Sie sich mit dem vSphere Client beim vCenter Server-System an.
  2. Klicken Sie auf Hosts und Cluster und klicken Sie dann mit der rechten Maustaste auf den ESXi-Host.
  3. Wählen Sie Systemprotokolle exportieren aus.
  4. Wählen Sie im Dialogfeld Kennwort für verschlüsselte Core-Dumps aus, geben Sie ein Kennwort an und bestätigen Sie es.
  5. Behalten Sie die Standardeinstellungen für die anderen Optionen bei oder nehmen Sie Änderungen vor, wenn dies vom technischen Support von VMware gefordert wird, und klicken Sie dann auf Protokolle exportieren.
  6. Geben Sie einen Speicherort für die Datei an.
  7. Falls der Supportmitarbeiter Sie dazu aufgefordert hat, den Core-Dump im vm-support-Paket zu entschlüsseln, melden Sie sich bei einem ESXi-Host an und führen Sie die folgenden Schritte aus.
    1. Melden Sie sich beim ESXi-Host an und stellen Sie eine Verbindung zu dem Verzeichnis her, in dem sich das vm-support-Paket befindet.
      Der Dateiname richtet sich nach folgendem Muster: esx.date_and_time.tgz.
    2. Stellen Sie sicher, dass das Verzeichnis ausreichend Speicherplatz für das Paket, das dekomprimierte Paket und das erneut komprimierte Paket enthält, oder verschieben Sie das Paket.
    3. Extrahieren Sie das Paket in das lokale Verzeichnis.
      vm-support -x *.tgz .
      Die daraus resultierende Dateihierarchie enthält möglicherweise Core-Dump-Dateien für den ESXi-Host (üblicherweise im Verzeichnis /var/core) und mehrere Core-Dump-Dateien für virtuelle Maschinen.
    4. Entschlüsseln Sie jede verschlüsselte Core-Dump-Datei separat.
      crypto-util envelope extract --offset 4096 --keyfile vm-support-incident-key-file 
      --password encryptedZdump decryptedZdump
      vm-support-incident-key-file ist die Schlüsseldatei des Vorfalls. Sie befindet sich auf der obersten Ebene im Verzeichnis.

      encryptedZdump ist der Name der verschlüsselten Core-Dump-Datei.

      decryptedZdump ist der von dem Befehl generierte Name der Datei. Legen Sie einen Namen fest, der encryptedZdump ähnelt.

    5. Geben Sie das Kennwort an, das Sie beim Erstellen des vm-support-Pakets angegeben haben.
    6. Entfernen Sie die verschlüsselten Core-Dumps und komprimieren Sie das Paket erneut.
      vm-support --reconstruct 
  8. Entfernen Sie alle Dateien, die vertrauliche Informationen enthalten.

Entschlüsseln oder erneutes Verschlüsseln eines verschlüsselten Core-Dump

Ein verschlüsselter Core-Dump auf einem ESXi-Host kann mithilfe der CLI crypto-util entschlüsselt oder erneut verschlüsselt werden.

Sie können die Core-Dumps im vm-support-Paket selbst entschlüsseln und untersuchen. Core-Dumps können vertrauliche Informationen enthalten. Beachten Sie die Sicherheits- und Datenschutzrichtlinie Ihres Unternehmens, um den Schutz vertraulicher Daten wie Schlüssel zu gewährleisten.

Nähere Informationen zum erneuten Verschlüsseln eines Core-Dump und weiteren Funktionen von crypto-util finden Sie in der Befehlszeilenhilfe.
Hinweis: crypto-util ist für fortgeschrittene Benutzer vorgesehen.

Voraussetzungen

Der zum Verschlüsseln des Core-Dumps verwendete Schlüssel muss auf dem ESXi-Host verfügbar sein, der den Core-Dump generiert hat.

Prozedur

  1. Melden Sie sich direkt beim ESXi-Host an, auf dem der Core-Dump generiert wurde.
    Falls sich der ESXi-Host im Sperrmodus befindet, oder wenn der SSH-Zugriff deaktiviert ist, müssen Sie möglicherweise zuerst den Zugriff aktivieren.
  2. Ermitteln Sie, ob der Core-Dump verschlüsselt ist.
    Option Beschreibung
    Core-Dump überwachen
    crypto-util envelope describe vmmcores.ve
    zdump-Datei
    crypto-util envelope describe --offset 4096 zdumpFile 
  3. Entschlüsseln Sie den Core-Dump, je nach Typ.
    Option Beschreibung
    Core-Dump überwachen
    crypto-util envelope extract vmmcores.ve vmmcores
    zdump-Datei
    crypto-util envelope extract --offset 4096 zdumpEncrypted zdumpUnencrypted