在某些情况下,ESXi 主机无法从 vCenter Server 获取加密虚拟机或加密虚拟磁盘的密钥 (KEK)。在这种情况下,您仍然可以取消注册或重新加载虚拟机。但是,您无法执行其他虚拟机操作,例如,删除虚拟机或打开虚拟机电源。虚拟机处于锁定状态。

关于此任务

如果虚拟机密钥不可用,vSphere Web Client 中虚拟机的状态将显示为无效。该虚拟机将无法打开电源。如果虚拟机密钥可用,但是加密磁盘的密钥不可用,则虚拟机状态不会显示为无效。但是,虚拟机无法打开电源,并且会出现以下错误:

The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.

过程

  1. 如果 vCenter Server 系统和 KMS 之间的连接有问题,请还原此连接。

    当 KMS 变为可用时,虚拟机即会解锁。

    请注意,失去与 KMS 的连接不会自动锁定虚拟机。如果满足以下条件,虚拟机只会进入锁定状态:

    • 密钥必须得到验证。

    • 密钥在 ESXi 主机上不可用。

    • ESXi 主机无法从 vCenter Server 系统中检索密钥。

    每次重新引导后,ESXi 主机必须能够访问 vCenter Server 并检索密钥。

  2. 如果连接已还原但在尝试注册虚拟机时产生了错误,请确认您对 vCenter Server 系统具有加密操作 > 管理密钥特权。

    如果密钥可用,则不需要此特权即可打开加密虚拟机的电源。如果必须再次检索密钥,则需要此特权才能注册虚拟机。

  3. 如果 KMS 上的密钥不再处于活动状态,应请求 KMS 管理员还原密钥。

    如果要打开已从清单中移除且已很长时间未注册的虚拟机的电源,您可能会遇到非活动的密钥。如果您重新引导 ESXi 主机且 KMS 不可用,也会发生这种情况。

    1. 使用 Managed Object Browser (MOB) 或 vSphere API 检索密钥 ID。

      VirtualMachine.config.keyId.keyId 中检索 keyId

    2. 请求 KMS 管理员重新激活与此密钥 ID 关联的密钥。

    如果可在 KMS 上还原此密钥,vCenter Server 则会在下次需要时对其进行检索并推送到 ESXi 主机。

  4. 如果 KMS 可供访问且 ESXi 主机已开机,但 vCenter Server 系统不可用,请按照以下步骤解锁虚拟机。
    1. 还原 vCenter Server 系统,或设置与 KMS 客户端不同的 vCenter Server 系统。

      您必须使用相同的群集名称,但 IP 地址可以不同。

    2. 重新注册所有已锁定的虚拟机。

      vCenter Server 实例将从 KMS 中检索密钥,并且虚拟机将解锁。