Se o host ESXi não puder obter a chave (KEK) de vCenter Server para uma máquina virtual criptografada ou um disco virtual criptografado, a VM criptografada ficará bloqueada. Depois de disponibilizar as chaves no KMS, você pode desbloquear uma máquina virtual criptografada bloqueada.

Em determinadas circunstâncias, ao usar um provedor de chave padrão, o host ESXi não pode obter a chave de criptografia de chave (KEK) para uma máquina virtual criptografada ou um disco virtual criptografado de vCenter Server. Nesse caso, você ainda pode cancelar o registro ou recarregar a máquina virtual. No entanto, você não pode realizar outras operações de máquina virtual, como ligar a máquina virtual. Depois de realizar as etapas necessárias para disponibilizar as chaves necessárias no KMS, você pode desbloquear uma máquina virtual criptografada bloqueada usando o vSphere Client.

Se a chave da máquina virtual não estiver disponível, um alarme de vCenter Server notificará você e o estado da máquina virtual será exibido como inválido. A máquina virtual não pode ser ligada. Se a chave da máquina virtual estiver disponível, mas uma chave para um disco criptografado não estiver disponível, o estado da máquina virtual não será exibido como inválido. No entanto, a máquina virtual não pode ser ligada e os seguintes resultados de erro:
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
Observação: O procedimento a seguir ilustra as situações que podem fazer com que uma máquina virtual seja bloqueada, os alarmes e logs de eventos correspondentes que aparecem e o que fazer em cada caso.

Procedimento

  1. Se o problema for a conexão entre o sistema do vCenter Server e o KMS, o vCenter Server gerará um alarme de máquina virtual. Além disso, uma mensagem de erro é exibida no log de eventos.
    Restaure a conexão com o KMS. Quando o KMS e as chaves estiverem disponíveis, desbloqueie as máquinas virtuais bloqueadas. Consulte Desbloquear máquinas virtuais bloqueadas. Você também pode reiniciar o host e registrar novamente a máquina virtual para desbloqueá-la após restaurar a conexão.

    Perder a conexão com o KMS não bloqueia automaticamente a máquina virtual. A máquina virtual só entrará em um estado bloqueado se as seguintes condições forem atendidas:

    • A chave não está disponível no host ESXi.
    • vCenter Server não pode recuperar chaves do KMS.
    Após cada reinicialização, o host ESXi deve ser capaz de acessar vCenter Server. vCenter Server solicita a chave com o ID correspondente do KMS e a disponibiliza para ESXi.
    Observação: No vSphere 7.0 Update 2 e versões posteriores, você pode persistir as chaves de criptografia em ESXi reinicializações. Consulte o Visão geral da persistência da chave.

    Se, após restaurar a conexão com o provedor de chaves, a máquina virtual permanecer bloqueada, consulte Desbloquear máquinas virtuais bloqueadas.

  2. Se a conexão for restaurada, registre a máquina virtual. Se ocorrer um erro ou se a operação for bem-sucedida, mas a máquina virtual estiver em um estado bloqueado, verifique se você tem o privilégio Cryptographic operations . RegisterVM for the { vCenter Server sistema.
    Esse privilégio não é necessário para ligar uma máquina virtual criptografada se a chave estiver disponível. Esse privilégio é necessário para registrar a máquina virtual se a chave tiver que ser recuperada.
  3. Se a chave não estiver mais disponível no KMS, o vCenter Server gerará um alarme de máquina virtual. Além disso, uma mensagem de erro é exibida no log de eventos.
    Peça ao administrador do KMS para restaurar a chave. Você poderá encontrar uma chave inativa se estiver ligando uma máquina virtual que tenha sido removida do inventário e que não tenha sido registrada por um longo tempo. Isso também acontecerá se você reinicializar o host ESXi e o KMS não estiver disponível.
    1. Recupere o ID da chave usando o Managed Object Browser (MOB) ou o vSphere API.
      Recupere o keyId de VirtualMachine.config.keyId.keyId.
    2. Peça ao administrador do KMS para reativar a chave associada a esse ID de chave.
    3. Depois de restaurar a chave, consulte Desbloquear máquinas virtuais bloqueadas.
    Se a chave puder ser restaurada no KMS, o vCenter Server a recuperará e a enviará para o host ESXi na próxima vez que for necessária.
  4. Se o KMS estiver acessível e o host ESXi estiver ligado, mas o sistema vCenter Server não estiver disponível, siga estas etapas para desbloquear as máquinas virtuais.
    1. Restaure o sistema do vCenter Server ou configure um sistema do vCenter Server diferente e, em seguida, estabeleça a confiança com o KMS.
      Você deve usar o mesmo nome de provedor de chave, mas o endereço IP do KMS pode ser diferente.
    2. Registre novamente todas as máquinas virtuais que estão bloqueadas.
      A nova instância do vCenter Server recupera as chaves do KMS e as máquinas virtuais são desbloqueadas.
  5. Se as chaves estiverem ausentes apenas no host ESXi, vCenter Server gerará um alarme de máquina virtual e a seguinte mensagem será exibida no log de eventos:
    A máquina virtual está bloqueada porque as chaves estão ausentes no host.
    O sistema do vCenter Server pode recuperar as chaves ausentes do provedor de chaves. Nenhuma recuperação manual de chaves é necessária. Consulte Desbloquear máquinas virtuais bloqueadas.