Si votre environnement utilise le chiffrement de machines virtuelles vSphere et si une erreur se produit sur l'hôte ESXi, le vidage mémoire qui en résulte est chiffré pour protéger les données clients. Les vidages mémoire qui sont inclus dans le module vm-support sont également chiffrés.
Vidages mémoire sur hôtes ESXi
Lorsqu'un hôte ESXi, un monde utilisateur ou une machine virtuelle échoue, un vidage de mémoire est généré, et l'hôte redémarre. Si le mode de chiffrement est activé sur l'hôte ESXi, le vidage de mémoire est chiffré à l'aide d'une clé qui se trouve dans le cache de la clé ESXi. Cette clé provient du KMS. Pour plus d'informations, reportez-vous à Méthodologie utilisée par le chiffrement de machine virtuelle vSphere pour protéger votre environnement.
Lorsqu'un hôte ESXi est « sécurisé » au niveau du chiffrement et qu'un vidage de mémoire est généré, un événement est créé. L'événement indique qu'un vidage de mémoire s'est produit avec les informations suivantes : nom de monde, heures de déclenchement, ID de clé utilisé pour chiffrer le vidage de mémoire et nom du fichier de vidage de mémoire. Vous pouvez afficher l'événement dans la visionneuse d'événements sous Tâches et événements pour vCenter Server.
Le tableau suivant affiche les clés de chiffrement utilisées pour chaque type de vidage de mémoire, par version de vSphere.
Type de vidage de mémoire | Clé de chiffrement (ESXi 6.5) | Clé de chiffrement (ESXi 6.7 et versions ultérieures) |
---|---|---|
Noyau ESXi | Clé de l'hôte | Clé de l'hôte |
Monde utilisateur (hostd) | Clé de l'hôte | Clé de l'hôte |
Machine virtuelle chiffrée | Clé de l'hôte | Clé de machine virtuelle |
- Dans la plupart des cas, vCenter Server récupère la clé de l'hôte à partir du KMS et tente de transmettre la clé à l'hôte ESXi après le redémarrage. Si l'opération réussit, vous pouvez générer le module vm-support et vous pouvez déchiffrer ou rechiffrer le vidage mémoire. Reportez-vous à la section Déchiffrer ou chiffrer à nouveau un vidage de mémoire chiffré.
- Si vCenter Server ne peut pas se connecter à l'hôte ESXi, vous devriez pouvoir récupérer la clé du KMS. Reportez-vous à la section Résoudre les problèmes de clés manquantes.
- Si l'hôte a utilisé une clé personnalisée et que cette clé diffère de la clé que vCenter Server transmet à l'hôte, vous ne pouvez pas manipuler le vidage mémoire. Évitez d'utiliser des clés personnalisées.
Vidages mémoire et modules vm-support
Lorsque vous contactez le support technique de VMware pour une erreur grave, votre représentant du support vous demande généralement de générer un module vm-support. Le module inclut des fichiers journaux et d'autres informations, notamment les vidages mémoire. Si votre représentant du support ne parvient pas à résoudre les problèmes en examinant les fichiers journaux et les autres informations, il peut vous demander de déchiffrer les vidages mémoire et de lui transmettre les informations pertinentes. Pour protéger les informations sensibles comme les clés, respectez la politique de votre organisation en matière de sécurité et de confidentialité. Reportez-vous à la section Collecter un module vm-support pour un hôte ESXi qui utilise le chiffrement.
Vidages mémoire sur systèmes vCenter Server
Un vidage mémoire sur un système vCenter Server n'est pas chiffré. vCenter Server contient déjà des informations potentiellement sensibles. Assurez-vous au minimum que le vCenter Server est protégé. Reportez-vous à la section Sécurisation des systèmes vCenter Server. Il peut également s'avérer utile de désactiver les vidages mémoire pour le système vCenter Server. Les autres informations contenues dans les fichiers journaux peuvent aider à déterminer le problème.