如果您的環境使用 vSphere 虛擬機器加密,且ESXi主機上發生錯誤,則產生的核心傾印會加密以保護客戶資料。此外,vm-support 套件中包含的核心傾印也會加密。

備註: 核心傾印可能包含敏感資訊。處理核心傾印時,請遵循您組織的資料安全性和隱私權政策。

ESXi主機上的核心傾印

ESXi主機、使用者環境或虛擬機器出現故障時,會產生核心傾印,並且主機將重新開機。如果 ESXi 主機已啟用加密模式,會使用 ESXi 金鑰快取中的金鑰加密核心傾印。(根據使用的金鑰提供者,金鑰來自外部金鑰伺服器、金鑰提供者服務或 vCenter Server)。如需背景資訊,請參閱vSphere 虛擬機器加密如何保護您的環境

ESXi主機「安全無憂」時,會產生核心傾印,並建立一個事件。此事件表示發生了核心傾印,並顯示下列資訊:環境名稱、發生時間、用於加密核心傾印的金鑰的 keyID,以及核心傾印檔案名稱。您可以在 vCenter Server工作和事件下的「事件」檢視器中檢視事件。

下表顯示依 vSphere 版本列出的用於每個核心傾印類型的加密金鑰。

表 1. 核心傾印加密金鑰
核心傾印類型 加密金鑰 (ESXi6.5) 加密金鑰 (ESXi6.7 及更新版本)
ESXi 核心 主機金鑰 主機金鑰
使用者環境 (hostd) 主機金鑰 主機金鑰
加密的虛擬機器 (VM) 主機金鑰 虛擬機器金鑰
ESXi主機重新開機後可執行的動作,視多個因素而定。
  • 在大多數情況下,金鑰提供者會在重新開機後嘗試將金鑰推送到 ESXi 主機。如果此作業成功,您可以產生 vm-support 套件,並且可以解密或重新加密此核心傾印。請參閱解密或重新加密已加密的核心傾印
  • 如果 vCenter Server 無法連線至 ESXi 主機,您可能能夠擷取金鑰。請參閱解決缺少加密金鑰問題
  • 如果主機使用自訂金鑰,且該金鑰不同於vCenter Server推送給主機的金鑰,則您無法操縱核心傾印。請避免使用自訂金鑰。

核心傾印和 vm-support 套件

當您因嚴重錯誤連絡 VMware 技術支援時,您的支援代表通常會要求您產生 vm-support 套件。此套件包含記錄檔和其他資訊,包括核心傾印。如果支援代表無法透過查看記錄檔和其他資訊解決此問題,他們可能會要求您解密核心傾印並提供相關資訊。若要保護金鑰等敏感資訊,請遵循組織的安全性和隱私權政策。請參閱針對使用加密的 ESXi 主機收集 vm-support 套件

vCenter Server系統上的核心傾印

vCenter Server系統上的核心傾印未加密。vCenter Server已包含潛在的敏感資訊。至少確保vCenter Server受到保護。請參閱保護 vCenter Server 系統的安全。您也可以考慮關閉vCenter Server系統的核心傾印。記錄檔中的其他資訊可協助判定此問題。

針對使用加密的 ESXi 主機收集 vm-support 套件

如果已為 ESXi 主機啟用主機加密模式,則 vm-support 套件中的所有核心傾印皆已加密。您可以從 vSphere Client 收集套件,如果打算稍後解密核心傾印,您可以指定密碼。

vm-support 套件包含記錄檔、核心傾印檔案等。

必要條件

通知您的支援代表已針對 ESXi 主機啟用主機加密模式。您的支援代表可能會要求您解密核心傾印並擷取相關資訊。

備註: 核心傾印可能包含敏感資訊。請遵循組織的安全性和隱私權政策以保護敏感資訊 (如主機金鑰)。

程序

  1. 使用 vSphere Client 登入 vCenter Server 系統。
  2. 按一下主機和叢集,然後在 ESXi 主機上按一下滑鼠右鍵。
  3. 選取匯出系統記錄
  4. 在對話方塊中,選取已加密核心傾印的密碼,然後指定並確認密碼。
  5. 其他選項保留預設值,或進行變更 (如果 VMware 技術支援要求),然後按一下匯出記錄
    如果沒有將瀏覽器設定為在下載之前詢問檔案的儲存位置,會開始下載。如果已將瀏覽器設定為詢問檔案的儲存位置,請指定檔案的位置。
  6. 如果您的支援代表要求您解密 vm-support 套件中的核心傾印,請登入任一 ESXi 主機並遵循下列步驟。
    1. 登入 ESXi 主機並連線至 vm-support 套件所在的目錄。
      檔案名稱遵循 esx.date_and_time.tgz 模式。
    2. 確保有足夠的空間來儲存套件、未壓縮的套件和重新壓縮的套件,或移動套件。
    3. 將套件解壓縮到本機目錄。 
      vm-support -x *.tgz .
      產生的檔案階層可能包含 ESXi 主機的核心傾印檔案 (通常位於 /var/core 中),並且可能包含虛擬機器的多個核心傾印檔案。
    4. 分別解密每個加密的核心傾印檔案。 
      crypto-util envelope extract --offset 4096 --keyfile vm-support-incident-key-file 
--password encryptedZdump decryptedZdump
      vm-support-incident-key-file 為您在目錄頂層找到的事件金鑰檔案。

      encryptedZdump 為加密的核心傾印檔案的名稱。

      decryptedZdump 為命令產生的檔案的名稱。讓該名稱與 encryptedZdump 名稱類似。

    5. 提供您在建立 vm-support 套件時所指定的密碼。
    6. 移除加密的核心傾印,並再次壓縮套件。 
      vm-support --reconstruct
  7. 移除包含機密資訊的任何檔案。

解密或重新加密已加密的核心傾印

您可以透過使用 crypto-util CLI 解密或重新加密 ESXi 主機上的加密核心傾印。

您可以親自解密並檢查 vm-support 套件中的核心傾印。核心傾印可能包含敏感資訊。請遵循您組織的安全性和隱私權政策以保護金鑰等敏感資訊。

如需有關重新加密 crypto-util 的核心傾印和其他功能的詳細資料,請參閱命令列說明。
備註: crypto-util 適用於進階使用者。

必要條件

用於加密核心傾印的金鑰必須在產生核心傾印的 ESXi 主機上可用。

程序

  1. 直接登入發生核心傾印的 ESXi 主機。
    如果 ESXi 主機處於鎖定模式,或者如果 SSH 存取已停用,您可能必須首先啟用存取。
  2. 判斷核心傾印是否已加密。
    選項 說明
    監控核心傾印 
    crypto-util envelope describe vmmcores.ve
    zdump 檔案 
    crypto-util envelope describe --offset 4096 zdumpFile
  3. 解密核心傾印 (視其類型而定)。
    選項 說明
    監控核心傾印 
    crypto-util envelope extract vmmcores.ve vmmcores
    zdump 檔案 
    crypto-util envelope extract --offset 4096 zdumpEncrypted zdumpUnencrypted