如果 ESXi 主机无法从 vCenter Server 获取加密虚拟机或加密虚拟磁盘的密钥 (KEK),您仍可以取消注册或重新加载虚拟机,但无法执行诸如删除虚拟机或打开虚拟机电源等其他虚拟机操作。虚拟机处于锁定状态。

关于此任务

如果虚拟机密钥不可用,vSphere Web Client 中的虚拟机状态将显示为无效,并且无法打开虚拟机电源。如果虚拟机密钥可用但加密磁盘的密钥不可用,虚拟机状态不会显示为无效,但无法打开虚拟机电源并会产生以下错误:

The disk [/path/to/the/disk.vmdk] is encrypted and no password was provided.

过程

  1. 如果 vCenter Server 系统和 KMS 之间的连接有问题,请还原此连接。

    当 KMS 变为可用时,虚拟机即会解锁。

  2. 如果连接已还原但在尝试注册虚拟机时产生了错误,请确认您对 vCenter Server 系统具有加密操作 > 管理密钥特权。

    当密钥可用时,无需具有此特权便可打开加密虚拟机的电源,但是,如果需要再次检索密钥,则必须具有此特权才能注册虚拟机。

  3. 如果 KMS 上的密钥不再处于活动状态,应请求 KMS 管理员还原密钥。

    如果要打开其电源的虚拟机已从清单中移除且已很长时间未予注册,便可能会发生这种情况。如果您重新引导 ESXi 主机且 KMS 不可用,也会发生这种情况。

    1. 使用 Managed Object Browser (MOB) 或 vSphere API 检索密钥 ID。

      VirtualMachine.config.keyId.keyId 中检索 keyId

    2. 请求 KMS 管理员重新激活与此密钥 ID 关联的密钥。

    如果可在 KMS 上还原此密钥,vCenter Server 则会在下次需要时对其进行检索并推送到 ESXi 主机。

  4. 如果 KMS 可供访问且 ESXi 主机已开机,但 vCenter Server 系统不可用,请按照以下步骤解锁虚拟机。
    1. 还原 vCenter Server 系统,或设置与 KMS 客户端不同的 vCenter Server 系统。

      您必须使用相同的群集名称,但 IP 地址可以不同。

    2. 重新注册所有已锁定的虚拟机。

      vCenter Server 实例将从 KMS 中检索密钥,并且虚拟机将解锁。