Se o host ESXi não puder obter a chave (KEK) de vCenter Server para uma máquina virtual criptografada ou um disco virtual criptografado, a máquina virtual criptografada será bloqueada. Depois de disponibilizar as chaves no servidor de chaves (KMS), você poderá desbloquear uma máquina virtual criptografada bloqueada.

Em determinadas circunstâncias, ao usar um provedor de chaves padrão, o host ESXi não pode obter a chave de criptografia de chave (KEK) para uma máquina virtual criptografada ou um disco virtual criptografado de vCenter Server. Nesse caso, você ainda pode cancelar o registro ou recarregar a máquina virtual. No entanto, você não pode realizar outras operações de máquina virtual, como ligar a máquina virtual. Depois de executar as etapas necessárias para disponibilizar as chaves necessárias no servidor de chaves, você poderá desbloquear uma máquina virtual criptografada bloqueada usando o vSphere Client.

Se a chave da máquina virtual não estiver disponível, um alarme vCenter Server notificará você e o estado da máquina virtual será exibido como inválido. A máquina virtual não pode ser ligada. Se a chave da máquina virtual estiver disponível, mas uma chave para um disco criptografado não estiver disponível, o estado da máquina virtual não será exibido como inválido. No entanto, a máquina virtual não pode ser ligada e o seguinte erro ocorre: 
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
Observação: O procedimento a seguir ilustra as situações que podem fazer com que uma máquina virtual fique bloqueada, os alarmes e os logs de eventos correspondentes exibidos e o que fazer em cada caso.

Procedimento

  1. Se o problema for a conexão entre o sistema vCenter Server e o servidor de chaves, vCenter Server gerará um alarme de máquina virtual. Além disso, uma mensagem de erro aparece no log de eventos.
    Restaure a conexão com o servidor de chaves. Quando o servidor de chaves e as chaves estiverem disponíveis, desbloqueie as máquinas virtuais bloqueadas. Consulte Desbloquear máquinas virtuais bloqueadas. Você também pode reinicializar o host e registrar novamente a máquina virtual para desbloqueá-la após restaurar a conexão.

    A perda da conexão com o servidor de chaves não bloqueia automaticamente a máquina virtual. A máquina virtual só entrará em um estado bloqueado se as seguintes condições forem atendidas:

    • A chave não está disponível no host ESXi.
    • vCenter Server não pode recuperar chaves do servidor de chaves.
    Após cada reinicialização, o host ESXi deve ser capaz de alcançar vCenter Server. vCenter Server solicita a chave com o ID correspondente do servidor de chaves e a disponibiliza para ESXi.
    Observação: No vSphere 7.0 Update 2 e versões posteriores, você pode manter as chaves de criptografia em ESXi reinicializações. Consulte vSphere Persistência de chave em ESXi hosts.

    Se, após restaurar a conexão com o provedor de chaves, a máquina virtual permanecer bloqueada, consulte Desbloquear máquinas virtuais bloqueadas.

  2. Se a conexão for restaurada, registre a máquina virtual. Se ocorrer um erro ou se a operação for bem-sucedida, mas a máquina virtual estiver em um estado bloqueado, verifique se você tem o privilégio Operações criptográficas.RegisterVM para o { vCenter Server sistema.
    Esse privilégio não é necessário para ligar uma máquina virtual criptografada se a chave estiver disponível. Esse privilégio será necessário para registrar a máquina virtual se a chave precisar ser recuperada.
  3. Se a chave não estiver mais disponível no servidor de chaves, vCenter Server gerará um alarme de máquina virtual. Além disso, uma mensagem de erro aparece no log de eventos.
    Peça ao administrador do servidor de chaves para restaurar a chave. Você poderá encontrar uma chave inativa se estiver ligando uma máquina virtual que foi removida do inventário e que não foi registrada por um longo tempo. Isso também acontecerá se você reinicializar o host ESXi e o servidor de chaves não estiver disponível.
    1. Recupere a ID da chave usando o Managed Object Browser (MOB) ou o vSphere API.
      Recupere o keyId de VirtualMachine.config.keyId.keyId.
    2. Peça ao administrador do servidor de chaves para reativar a chave associada a essa ID de chave.
    3. Depois de restaurar a chave, consulte Desbloquear máquinas virtuais bloqueadas.
    Se a chave puder ser restaurada no servidor de chaves, vCenter Server a recuperará e a enviará por push para o host ESXi na próxima vez que for necessária.
  4. Se o servidor de chaves estiver acessível e o host ESXi estiver ligado, mas o sistema vCenter Server não estiver disponível, siga estas etapas para desbloquear máquinas virtuais.
    1. Restaure o sistema vCenter Server ou configure um sistema vCenter Server diferente e, em seguida, estabeleça a confiança com o servidor de chaves.
      Você deve usar o mesmo nome de provedor de chaves, mas o endereço IP do servidor de chaves pode ser diferente.
    2. Registre novamente todas as máquinas virtuais que estão bloqueadas.
      A nova instância vCenter Server recupera as chaves do servidor de chaves e as máquinas virtuais são desbloqueadas.
  5. Se as chaves estiverem ausentes apenas no host ESXi, vCenter Server gerará um alarme de máquina virtual e a seguinte mensagem será exibida no log de eventos:
    A máquina virtual está bloqueada porque faltam chaves no host.
    O sistema vCenter Server pode recuperar as chaves ausentes do provedor de chaves. Nenhuma recuperação manual de chaves é necessária. Consulte Desbloquear máquinas virtuais bloqueadas.