Se l'ambiente utilizza Crittografia della macchina virtuale vSphere e si verifica un errore nell'host di ESXi, il dump principale risultante viene codificato per proteggere i dati del cliente. Vengono codificati anche i dump principali inclusi nel pacchetto di supporto della macchina virtuale.

Nota: I core dump possono contenere informazioni riservate. Quando si gestiscono i dump principali, seguire il criterio della privacy e della sicurezza dei dati dell'organizzazione.

Dump principali sugli host ESXi

Quando si verifica un errore in un host, un ambiente di utenti o in una macchina virtuale di ESXi, viene generato un dump principale e l'host viene riavviato. Se nell'host di ESXi è abilitata la modalità di crittografia, il dump principale viene crittografato utilizzando una chiave che si trova nella cache della chiave ESXi. (A seconda del provider di chiavi in uso, la chiave proviene da un server di chiavi esterno, dal servizio del provider di chiavi o da vCenter Server). Per le informazioni di base, vedere In che modo la Crittografia delle macchine virtuali di vSphere protegge l'ambiente.

Quando un host ESXi è crittograficamente "sicuro" e viene generato un dump principale, viene creato un evento. L'evento indica che si è verificato un dump principale insieme alle seguenti informazioni: nome dell'ambiente, tempi di occorrenza, keyID della chiave utilizzata per crittografare il dump principale e nome del file del dump principale. È possibile visualizzare l'evento nel visualizzatore Eventi in Attività ed Eventi per vCenter Server.

Nella tabella seguente sono illustrate le chiavi di crittografia utilizzate per ogni tipo di dump principale, sulla base della versione di vSphere.

Tabella 1. Chiavi di crittografia del dump principale
Tipo di dump principale Chiave di crittografia (ESXi 6.5) Chiave di crittografia (ESXi 6.7 e versioni successive)
Kernel ESXi Chiave host Chiave host
Ambiente di utenti (hostd) Chiave host Chiave host
Macchina virtuale (VM) crittografata Chiave host Chiave macchina virtuale
Le operazioni che è possibile eseguire dopo un riavvio dell'host ESXi dipendono da diversi fattori.
  • Nella maggior parte dei casi, il provider di chiavi tenta di eseguire il push della chiave all'host ESXi dopo il riavvio. Se l'operazione riesce, è possibile generare il pacchetto di supporto della macchina virtuale ed è possibile decrittografare o crittografare nuovamente il dump principale. Vedere Decrittografia o ricrittografia di un core dump crittografato.
  • Se vCenter Server non è in grado di connettersi all'host ESXi, potrebbe essere possibile recuperare la chiave. Vedere Risoluzione dei problemi relativi alla chiave di crittografia mancante.
  • Se l'host ha utilizzato una chiave personalizzata e tale chiave è diversa dalla chiave che vCenter Server invia all'host, non è possibile modificare il dump principale. Evitare di utilizzare chiavi personalizzate.

Dump principali e pacchetti di supporto delle macchine virtuali

Quando si contatta l'Assistenza tecnica VMware a causa di un grave errore, il rappresentante del supporto di chiede in genere di generare un pacchetto di supporto della macchina virtuale. Il pacchetto include file di registro e altre informazioni, inclusi i dump core. Se gli addetti all'assistenza non sono in grado di risolvere i problemi esaminando i file di registro e altre informazioni, potrebbero chiedere di decrittografare i dump principali e rendere disponibili informazioni pertinenti. Per proteggere informazioni sensibili, come le chiavi, è necessario attenersi alle norme sulla sicurezza e sulla privacy dell'organizzazione. Vedere Raccolta di un pacchetto di supporto delle macchine virtuali per un host ESXi che utilizza la crittografia.

Dump principali nei sistemi vCenter Server

Un dump principale in un sistema vCenter Server non è crittografato. vCenter Server contiene già informazioni potenzialmente sensibili. Assicurarsi almeno che il vCenter Server sia protetto. Vedere Protezione dei sistemi vCenter Server. È inoltre possibile disattivare i dump principali per il sistema vCenter Server. Altre informazioni nei file di registro possono consentire di determinare il problema.

Raccolta di un pacchetto di supporto delle macchine virtuali per un host ESXi che utilizza la crittografia

Se la modalità di crittografia degli host è abilitata per l'host ESXi, vengono crittografati tutti i core dump nel pacchetto vm-support. È possibile raccogliere il pacchetto da vSphere Client e specificare una password se si prevede di decrittografare il core dump in un secondo momento.

Il pacchetto vm-support include file di registro, file core dump e numerosi altri elementi.

Prerequisiti

Informare il proprio rappresentante del supporto tecnico che la modalità di crittografia dell'host è stata abilitata per l'host ESXi. Il rappresentante del supporto tecnico potrebbe richiedere di decrittografare i core dump ed estrarre le informazioni pertinenti.

Nota: I core dump possono contenere informazioni riservate. Attenersi ai criteri di sicurezza e privacy della propria azienda per proteggere le informazioni sensibili, come ad esempio le chiavi degli host.

Procedura

  1. Accedere al sistema di vCenter Server utilizzando vSphere Client.
  2. Selezionare Host e cluster e fare clic con il pulsante destro del mouse sull'host ESXi.
  3. Selezionare Esporta registri di sistema.
  4. Nella finestra di dialogo, selezionare Password per i core dump crittografati, quindi specificare e confermare una password.
  5. Lasciare le impostazioni predefinite per le altre opzioni oppure apportare modifiche se richiesto dal supporto tecnico di VMware, quindi fare clic su Esporta registri.
    Se il browser non è stato configurato in modo da chiedere dove salvare i file prima del download, il download viene avviato. Se il browser è stato configurato in modo da chiedere dove salvare i file, specificare una posizione per il file.
  6. Se il rappresentante del supporto tecnico ha richiesto di decrittografare il core dump nel pacchetto vm-support, accedere a qualsiasi host ESXi ed eseguire i passaggi seguenti.
    1. Accedere all'host ESXi e connettersi alla directory in cui si trova il pacchetto vm-support.
      Il nome file segue lo schema esx.date_and_time.tgz.
    2. Assicurarsi che la directory disponga di spazio sufficiente per il pacchetto, il pacchetto non compresso e il pacchetto compresso nuovamente compresso oppure spostare il pacchetto.
    3. Estrarre il pacchetto nella directory locale. 
      vm-support -x *.tgz .
      La gerarchia dei file risultante può contenere file core dump per l'host ESXi, in genere in /var/core, e più file core dump per le macchine virtuali.
    4. Decrittografare separatamente ogni file core dump crittografato. 
      crypto-util envelope extract --offset 4096 --keyfile vm-support-incident-key-file 
--password encryptedZdump decryptedZdump
      vm-support-incident-key-file è il file della chiave di incidente contenuto nel livello superiore della directory.

      encryptedZdump è il nome del file core dump crittografato.

      decryptedZdump è il nome del file generato dal comando. Rendere il nome simile al nome encryptedZdump.

    5. Fornire la password specificata al momento della creazione del pacchetto vm-support.
    6. Rimuovere i core dump crittografati e comprimere nuovamente il pacchetto. 
      vm-support --reconstruct
  7. Rimuovere tutti i file che contengono informazioni riservate.

Decrittografia o ricrittografia di un core dump crittografato

È possibile decrittografare o crittografare nuovamente un core dump crittografato sull'host ESXi utilizzando la CLI crypto-util.

È possibile decrittografare ed esaminare autonomamente i core dump del pacchetto vm-support. I core dump potrebbero contenere informazioni riservate. Seguire i criteri di sicurezza e privacy della propria organizzazione per proteggere le informazioni sensibili come le chiavi.

Per informazioni dettagliate sulla riesecuzione della crittografia di un core dump e su altre funzionalità di crypto-util, vedere la guida della riga di comando.
Nota: crypto-util è per gli utenti avanzati.

Prerequisiti

La chiave utilizzata per crittografare il core dump deve essere disponibile sull'host ESXi che ha generato il core dump.

Procedura

  1. Accedere direttamente all'host ESXi in cui si è verificato il core dump.
    Se l'host ESXi è in modalità di blocco o se l'accesso SSH è disattivato, potrebbe essere innanzitutto necessario attivare l'accesso.
  2. Determinare se il core dump è crittografato.
    Opzione Descrizione
    Monitora core dump 
    crypto-util envelope describe vmmcores.ve
    File zdump 
    crypto-util envelope describe --offset 4096 zdumpFile
  3. Decrittografare il core dump in base alla tipologia corrispondente.
    Opzione Descrizione
    Monitora core dump 
    crypto-util envelope extract vmmcores.ve vmmcores
    File zdump 
    crypto-util envelope extract --offset 4096 zdumpEncrypted zdumpUnencrypted