Si el entorno utiliza cifrado de máquinas virtuales de vSphere y si se produce un error en el host ESXi, el volcado de núcleo resultante se cifra para proteger los datos del cliente. Los volcados de núcleo que se incluyen en el paquete de vm-support también están cifrados.

Nota: Los volcados de núcleo pueden contener información confidencial. Siga la directiva de seguridad de datos y privacidad de la organización al gestionar el volcado de núcleo.

Volcados de núcleo en hosts ESXi

Cuando un host ESXi, el ámbito de un usuario o una máquina virtual fallan, se genera un volcado de núcleo y se reinicia el host. Si el host ESXi tiene habilitado el modo de cifrado, el volcado de núcleo se cifra con una clave que se encuentra en la memoria caché de claves de ESXi. (Según el proveedor de claves en uso, la clave proviene de un servidor de claves externo, el servicio de proveedor de claves o vCenter Server). Consulte Cómo el cifrado de máquinas virtuales de vSphere protege el entorno para obtener información general.

Cuando un host ESXi es "seguro" desde el punto de vista de cifrado y se genera un volcado de núcleo, se crea un evento. El evento indica que produjo un volcado de núcleo, junto con la siguiente información: nombre del mundo, horas en que se produjo, identificador de la clave que se utiliza para cifrar el volcado de núcleo y el nombre de archivo del volcado de núcleo. Puede ver el evento en Visor de eventos en Tareas y eventos para vCenter Server.

En la siguiente tabla, se muestran las claves de cifrado que se utilizan para cada tipo de volcado de núcleo, según la versión de vSphere.

Tabla 1. Claves de cifrado de volcado de núcleo
Tipo de volcado de núcleo Clave de cifrado (ESXi 6.5) Clave de cifrado (ESXi 6.7 y versiones posteriores)
Kernel de ESXi Clave de host Clave de host
Ámbito del usuario (hostd) Clave de host Clave de host
Máquina virtual cifrada Clave de host Clave de la máquina virtual
Las acciones que puede realizar después de un reinicio del host ESXi dependen de varios factores.
  • En la mayoría de los casos, el proveedor de claves intenta insertar la clave en el host ESXi después de reiniciarlo. Si la operación se realiza correctamente, se puede generar el paquete de vm-support y descifrar el volcado de núcleo, o bien volver a cifrarlo. Consulte Descifrar o volver a cifrar un volcado de núcleo cifrado.
  • Si vCenter Server no puede conectarse al host ESXi, tal vez pueda recuperar la clave. Consulte Resolver problemas de claves de cifrado que faltan.
  • Si el host usó una clave personalizada que no es igual a la clave que vCenter Server inserta en el host, no podrá manipular el volcado de núcleo. Evite usar claves personalizadas.

Volcados de núcleo y paquetes de vm-support

Si se comunica con el soporte técnico de VMware debido a un error grave, el representante de soporte, por lo general, le pedirá que genere un paquete de vm-support. El paquete incluye archivos de registro y otra información, incluso volcados de núcleo. Si los representantes de soporte no pueden resolver los inconvenientes al analizar los archivos de registro y otra información, tal vez le soliciten que descifre los volcados de núcleo y que habilite la información relevante. Para proteger información confidencial, como las claves, siga la directiva de privacidad y seguridad de su organización. Consulte Recopilar un paquete de vm-support para un host ESXi que usa cifrado.

Volcados de núcleo de sistemas de vCenter Server

Un volcado de núcleo de un sistema de vCenter Server no está cifrado. vCenter Server ya contiene información posiblemente confidencial. Como mínimo, asegúrese de que vCenter Server esté protegido. Consulte Proteger sistemas vCenter Server. Asimismo, también se recomienda apagar los volcados de núcleo del sistema de vCenter Server. Otra información de los archivos de registro puede ayudar a determinar el problema.

Recopilar un paquete de vm-support para un host ESXi que usa cifrado

Si se habilita el modo de cifrado de hosts para el host ESXi, se cifran los volcados de núcleo presentes en el paquete de vm-support. Puede recopilar el paquete desde vSphere Client y especificar una contraseña si piensa descifrar el volcado de núcleo más adelante.

El paquete de vm-support incluye archivos de registro, archivos de volcado de núcleo, entre otros.

Requisitos previos

Informe a su representante de soporte si se habilita el modo de cifrado para el host ESXi. Es posible que el representante le pida descifrar los volcados de núcleo y extraer información relevante.

Nota: Los volcados de núcleo pueden contener información confidencial. Siga la directiva de seguridad y privacidad de la organización para proteger información confidencial, como claves de host.

Procedimiento

  1. Inicie sesión en el sistema vCenter Server mediante vSphere Client.
  2. Haga clic en Hosts y clústeres, y haga clic con el botón secundario en el host ESXi.
  3. Seleccione Exportar registros del sistema.
  4. En el cuadro de diálogo, seleccione Contraseña para volcados de núcleo cifrados y, a continuación, especifique y confirme una contraseña.
  5. Deje los valores predeterminados para las otras opciones o realice cambios si así lo requiere el soporte técnico de VMware, y haga clic en Exportar registros.
    Si no ha configurado el navegador para preguntar dónde guardar los archivos antes de la descarga, esta se iniciará. Si efectivamente ha configurado el navegador para tal fin, especifique una ubicación para el archivo.
  6. Si su representante de soporte le pidió descifrar el volcado de núcleo en el paquete de vm-support, inicie sesión en cualquier host ESXi y siga estos pasos.
    1. Inicie sesión en el host ESXi y conéctese al directorio donde está ubicado el paquete de vm-support.
      El nombre de archivo sigue el patrón esx.fecha_hora.tgz.
    2. Asegúrese de que el directorio tenga suficiente espacio para el paquete, el paquete descomprimido y el paquete nuevamente comprimido; o bien mueva el paquete.
    3. Extraiga el paquete en el directorio local. 
      vm-support -x *.tgz .
      La jerarquía de archivos resultante puede contener los archivos de volcado de núcleo del host ESXi, generalmente en /var/core, y puede contener varios archivos de volcado de núcleo de las máquinas virtuales.
    4. Descifre cada archivo de volcado de núcleo cifrado por separado. 
      crypto-util envelope extract --offset 4096 --keyfile vm-support-incident-key-file 
--password encryptedZdump decryptedZdump
      vm-support-incident-key-file es el archivo de clave del incidente que se encuentra en el nivel superior del directorio.

      encryptedZdump es el nombre del archivo de volcado de núcleo cifrado.

      decryptedZdump es el nombre del archivo que genera el comando. Procure que el nombre sea similar al nombre de encryptedZdump.

    5. Proporcione la contraseña que especificó al crear el paquete de vm-support.
    6. Elimine los volcados de núcleo cifrados y vuelva a comprimir el paquete. 
      vm-support --reconstruct
  7. Elimine los archivos que contienen información confidencial.

Descifrar o volver a cifrar un volcado de núcleo cifrado

Para descifrar o volver a cifrar un volcado de núcleo cifrado en el host ESXi, puede usar la CLI crypto-util.

Puede descifrar y examinar por su cuenta los volcados de núcleo en el paquete de vm-support. Los volcados de núcleo pueden contener información confidencial. Siga la directiva de seguridad y privacidad de su organización para proteger información confidencial como las claves.

Para obtener detalles sobre cómo volver a cifrar un volcado de núcleo y sobre otras funciones de crypto-util, consulte la ayuda de la línea de comandos.
Nota: crypto-util es para usuarios avanzados.

Requisitos previos

La clave que se usó para cifrar el volcado de núcleo debe estar disponible en el host ESXi que generó el volcado de núcleo.

Procedimiento

  1. Inicie sesión directamente en el host ESXi en donde se produjo el volcado de núcleo.
    Si el host ESXi se encuentra en el modo de bloqueo o si el acceso SSH está desactivado, es posible que deba activar el acceso en primer lugar.
  2. Determine si el volcado de núcleo está cifrado.
    Opción Descripción
    Supervisar el volcado de núcleo 
    crypto-util envelope describe vmmcores.ve
    archivo zdump 
    crypto-util envelope describe --offset 4096 zdumpFile
  3. Descifre el volcado de núcleo según su tipo.
    Opción Descripción
    Supervisar el volcado de núcleo 
    crypto-util envelope extract vmmcores.ve vmmcores
    archivo zdump 
    crypto-util envelope extract --offset 4096 zdumpEncrypted zdumpUnencrypted