Si votre environnement utilise le chiffrement de machines virtuelles vSphere et si une erreur se produit sur l'hôte ESXi, le vidage mémoire qui en résulte est chiffré pour protéger les données clients. Les vidages mémoire qui sont inclus dans le module vm-support sont également chiffrés.

Note : Les vidages de mémoire peuvent contenir des informations sensibles. Suivez la politique de votre organisation en matière de sécurité et de confidentialité lorsque vous gérez des vidages mémoire.

Vidages mémoire sur hôtes ESXi

Lorsqu'un hôte ESXi, un monde utilisateur ou une machine virtuelle échoue, un vidage de mémoire est généré, et l'hôte redémarre. Si le mode de chiffrement est activé sur l'hôte ESXi, le vidage de mémoire est chiffré à l'aide d'une clé qui se trouve dans le cache de la clé ESXi. (En fonction du fournisseur de clés utilisé, la clé provient d'un serveur de clés externe, du service de fournisseur de clés ou de vCenter Server). Pour plus d'informations, reportez-vous à Méthodologie utilisée par le chiffrement de machine virtuelle vSphere pour protéger votre environnement.

Lorsqu'un hôte ESXi est « sécurisé » au niveau du chiffrement et qu'un vidage de mémoire est généré, un événement est créé. L'événement indique qu'un vidage de mémoire s'est produit avec les informations suivantes : nom de monde, heures de déclenchement, ID de clé utilisé pour chiffrer le vidage de mémoire et nom du fichier de vidage de mémoire. Vous pouvez afficher l'événement dans la visionneuse d'événements sous Tâches et événements pour vCenter Server.

Le tableau suivant affiche les clés de chiffrement utilisées pour chaque type de vidage de mémoire, par version de vSphere.

Tableau 1. Clés de chiffrement de vidage de mémoire
Type de vidage de mémoire Clé de chiffrement (ESXi 6.5) Clé de chiffrement (ESXi 6.7 et versions ultérieures)
Noyau ESXi Clé de l'hôte Clé de l'hôte
Monde utilisateur (hostd) Clé de l'hôte Clé de l'hôte
Machine virtuelle chiffrée Clé de l'hôte Clé de machine virtuelle
Ce que vous pouvez faire après le redémarrage d'un hôte ESXi dépend de plusieurs facteurs.
  • Dans la plupart des cas, le fournisseur de clés tente de transférer la clé à l'hôte ESXi après le redémarrage. Si l'opération réussit, vous pouvez générer le module vm-support et vous pouvez déchiffrer ou rechiffrer le vidage mémoire. Reportez-vous à la section Déchiffrer ou chiffrer à nouveau un vidage de mémoire chiffré.
  • Si vCenter Server ne peut pas se connecter à l'hôte ESXi, vous devriez pouvoir récupérer la clé. Reportez-vous à la section Résoudre les problèmes de clés de chiffrement manquantes.
  • Si l'hôte a utilisé une clé personnalisée et que cette clé diffère de la clé que vCenter Server transmet à l'hôte, vous ne pouvez pas manipuler le vidage mémoire. Évitez d'utiliser des clés personnalisées.

Vidages mémoire et modules vm-support

Lorsque vous contactez le support technique de VMware pour une erreur grave, votre représentant du support vous demande généralement de générer un module vm-support. Le module inclut des fichiers journaux et d'autres informations, notamment les vidages mémoire. Si votre représentant du support ne parvient pas à résoudre les problèmes en examinant les fichiers journaux et les autres informations, il peut vous demander de déchiffrer les vidages mémoire et de lui transmettre les informations pertinentes. Pour protéger les informations sensibles comme les clés, respectez la politique de votre organisation en matière de sécurité et de confidentialité. Reportez-vous à la section Collecter un module vm-support pour un hôte ESXi qui utilise le chiffrement.

Vidages mémoire sur systèmes vCenter Server

Un vidage mémoire sur un système vCenter Server n'est pas chiffré. vCenter Server contient déjà des informations potentiellement sensibles. Assurez-vous au minimum que le vCenter Server est protégé. Reportez-vous à la section Sécurisation des systèmes vCenter Server. Il peut également s'avérer utile de désactiver les vidages mémoire pour le système vCenter Server. Les autres informations contenues dans les fichiers journaux peuvent aider à déterminer le problème.

Collecter un module vm-support pour un hôte ESXi qui utilise le chiffrement

Si le mode de chiffrement de l'hôte est activé pour l'hôte ESXi, tout vidage de mémoire intervenant dans le module vm-support est chiffré. Vous pouvez collecter le module auprès de vSphere Client. Vous pouvez également spécifier un mot de passe si vous prévoyez de déchiffrer le vidage de mémoire à une date ultérieure.

Le module vm-support inclut des fichiers journaux, des fichiers de vidage de mémoire, etc.

Conditions préalables

Informez votre représentant de l'assistance technique que le mode de chiffrement de l'hôte est activé pour l'hôte ESXi. Votre représentant de l'assistance technique vous demandera peut-être de déchiffrer les vidages de mémoire et d'extraire les informations appropriées.

Note : Les vidages de mémoire peuvent contenir des informations sensibles. Suivez la politique de votre organisation en matière de sécurité et de confidentialité pour protéger les informations sensibles comme les clés des hôtes.

Procédure

  1. Connectez-vous au système vCenter Server en utilisant vSphere Client.
  2. Cliquez sur Hôtes et clusters, puis cliquez avec le bouton droit de la souris sur l'hôte ESXi.
  3. Sélectionnez l'option Exporter les journaux système.
  4. Dans la boîte de dialogue, sélectionnez l'option Mot de passe pour les vidages de mémoire chiffrés, puis indiquez un mot de passe et confirmez-le.
  5. Pour les autres options, conservez les paramètres par défaut ou effectuez des modifications si l'assistance technique VMware vous y invite, puis cliquez sur Exportation des journaux.
  6. Indiquez l'emplacement du fichier.
  7. Si votre représentant de l'assistance technique vous a demandé de déchiffrer le vidage de mémoire dans le module vm-support, connectez-vous à n'importe quel hôte ESXi et appliquez la procédure suivante.
    1. Connectez-vous à l'ESXi, puis au répertoire dans lequel se trouve le module vm-support.
      Le nom de fichier est de type esx.date_et_heure.tgz.
    2. Assurez-vous que le répertoire dispose de suffisamment d'espace pour le module, le module décompressé et le module recompressé, ou déplacez le module.
    3. Procédez à l'extraction du module dans le répertoire local.
      vm-support -x *.tgz .
      La hiérarchie de fichiers qui en résulte peut contenir des fichiers de vidage de mémoire pour l'hôte ESXi, en général dans /var/core. Elle peut contenir plusieurs fichiers de vidage de mémoire pour des machines virtuelles.
    4. Déchiffrez individuellement chaque fichier de vidage de mémoire chiffré.
      crypto-util envelope extract --offset 4096 --keyfile vm-support-incident-key-file 
      --password encryptedZdump decryptedZdump
      vm-support-incident-key-file est le fichier de clé d'incident se trouvant au niveau supérieur du répertoire.

      encryptedZdump est le nom du fichier de vidage de mémoire chiffré.

      decryptedZdump est le nom du fichier généré par la commande. Rendez le nom semblable à celui du fichier encryptedZdump.

    5. Fournissez le mot de passe que vous avez spécifié lors de la création du module vm-support.
    6. Supprimez les vidages de mémoire chiffrés et compressez à nouveau le module.
      vm-support --reconstruct 
  8. Supprimez tout fichier contenant des informations confidentielles.

Déchiffrer ou chiffrer à nouveau un vidage de mémoire chiffré

Vous pouvez déchiffrer, ou chiffrer à nouveau, un vidage de mémoire chiffré sur votre hôte ESXi à l'aide de l'interface de ligne de commande crypto-util.

Vous pouvez vous-même déchiffrer et examiner les vidages de mémoire dans le module vm-support. Les vidages de mémoire peuvent contenir des informations sensibles. Suivez la déclaration de confidentialité et de sécurité de votre entreprise en ce qui concerne la protection des informations sensibles telles que les clés.

Pour plus de détails sur le rechiffrement d'un vidage de mémoire et sur d'autres fonctionnalités de crypto-util, consultez l'aide de la ligne de commande.
Note : crypto-util est destinée à des utilisateurs expérimentés.

Conditions préalables

La clé ayant servi à chiffrer le vidage de mémoire doit être disponible sur l'hôte ESXi qui a généré le vidage de mémoire.

Procédure

  1. Connectez-vous directement à l'hôte ESXi sur lequel le vidage de mémoire s'est produit.
    Si l'hôte ESXi est en mode de verrouillage, ou si l'accès SSH est désactivé, vous devrez peut-être commencer par activer l'accès.
  2. Déterminez si le vidage de mémoire est chiffré.
    Option Description
    Surveiller le vidage de mémoire
    crypto-util envelope describe vmmcores.ve
    fichier zdump
    crypto-util envelope describe --offset 4096 zdumpFile 
  3. Déchiffrez le vidage de mémoire; selon son type.
    Option Description
    Surveiller le vidage de mémoire
    crypto-util envelope extract vmmcores.ve vmmcores
    fichier zdump
    crypto-util envelope extract --offset 4096 zdumpEncrypted zdumpUnencrypted