Unter bestimmten Umständen kann der ESXi-Host den Schlüssel (KEK) für eine verschlüsselte virtuelle Maschine oder eine verschlüsselte virtuelle Festplatte nicht aus vCenter Server abrufen. In diesem Fall können Sie dennoch die Registrierung der virtuellen Maschine aufheben oder diese neu laden. Sie können jedoch keine anderen VM-Vorgänge durchführen, wie z. B. Einschalten oder Löschen der virtuellen Maschine. Sie werden in einem vCenter Server-Alarm informiert, wenn sich eine verschlüsselte virtuelle Maschine im gesperrten Modus befindet.

Warum und wann dieser Vorgang ausgeführt wird

Falls der VM-Schlüssel nicht verfügbar ist, wird der Zustand der virtuellen Maschine im vSphere Web Client als „Ungültig“ angezeigt. Die virtuelle Maschine kann nicht eingeschaltet werden. Wenn der Schlüssel der virtuellen Maschine verfügbar ist, aber kein Schlüssel für eine verschlüsselte Festplatte verfügbar ist, wird der Status für die virtuelle Maschine nicht als ungültig angezeigt. Die virtuelle Maschine kann jedoch nicht eingeschaltet werden, und es kommt zu folgendem Fehler:

The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.

Prozedur

  1. Falls das Problem die Verbindung zwischen dem vCenter Server-System und dem KMS ist, stellen Sie die Verbindung wieder her.

    Bei einer Unterbrechung der Verbindung zum KMS wird die virtuelle Maschine nicht automatisch gesperrt. Die virtuelle Maschine wechselt nur dann in einen gesperrten Zustand, wenn die folgenden Bedingungen erfüllt sind:

    • Der Schlüssel ist nicht auf dem ESXi-Host verfügbar.

    • vCenter Server kann keine Schlüssel vom KMS abrufen.

    Nach jedem Neustart muss ein ESXi-Host in der Lage sein, den vCenter Server zu erreichen. vCenter Server fordert den Schlüssel mit der entsprechenden ID vom KMS an und stellt ihn auf ESXi zur Verfügung.

  2. Wenn die Verbindung wiederhergestellt wurde, registrieren Sie die virtuelle Maschine. Wenn beim Registrieren der virtuellen Maschine ein Fehler auftritt, stellen Sie sicher, dass Sie über das Recht Kryptografievorgänge > VM registrieren für das vCenter Server-System verfügen.

    Diese Berechtigung ist für das Einschalten einer verschlüsselten virtuellen Maschine nicht erforderlich, wenn der Schlüssel verfügbar ist. Diese Berechtigung ist für die Registrierung der virtuellen Maschine erforderlich, wenn der Schlüssel abgerufen werden muss.

  3. Wenn der Schlüssel nicht mehr auf dem KMS verfügbar ist, wird ein VM-Alarm erzeugt und folgende Meldung im Ereignisprotokoll angezeigt:

    Die virtuelle Maschine ist gesperrt, weil Schlüssel auf dem KMS-Cluster fehlen.

    Bitten Sie den KMS-Administrator, den Schlüssel wiederherzustellen. Sie können auf einen inaktiven Schlüssel stoßen, wenn Sie eine virtuelle Maschine einschalten, die aus der Bestandsliste entfernt und seit einiger Zeit nicht registriert wurde. Es passiert auch, wenn Sie den ESXi-Host neu starten, wenn der KMS nicht verfügbar ist.

    1. Rufen Sie die Schlüssel-ID mithilfe des Managed Object Browsers (MOB) oder der vSphere API ab.

      Rufen Sie die keyId von der Datei VirtualMachine.config.keyId.keyId ab.

    2. Bitten Sie den KMS-Administrator, den Schlüssel zu reaktivieren, der dieser Schlüssel-ID entspricht.

    Wenn der Schlüssel auf dem KMS wiederhergestellt werden kann, ruft vCenter Server ihn ab und leitet ihn an den ESXi-Host weiter, wenn er das nächste Mal benötigt wird.

  4. Wenn auf den KMS zugegriffen werden kann und der ESXi-Host eingeschaltet ist, das vCenter Server-System jedoch nicht zur Verfügung steht, führen Sie die folgenden Schritte durch, um die virtuellen Maschinen zu entsperren.
    1. Stellen Sie das vCenter Server-System wieder her oder richten Sie ein anderes vCenter Server-System ein. Legen Sie anschließend ein Vertrauensverhältnis mit dem KMS fest.

      Sie müssen den gleichen KMS-Clusternamen verwenden, die IP-Adresse des KMS kann sich aber unterscheiden.

    2. Registrieren Sie alle gesperrten virtuellen Maschinen neu.

      Die neue vCenter Server-Instanz ruft die Schlüssel vom KMS ab, und die virtuellen Maschinen werden entsperrt.