En ciertas circunstancias, el host ESXi no puede obtener la clave (KEK) para una máquina virtual cifrada o un disco virtual cifrado desde vCenter Server. En ese caso, todavía puede cancelar el registro o volver a cargar la máquina virtual. Sin embargo, no puede realizar otras operaciones con la máquina virtual, como encenderla o eliminarla. Una alarma de vCenter Server notifica cuando una máquina virtual cifrada se encuentra en estado bloqueado.

Por qué y cuándo se efectúa esta tarea

Si la clave de la máquina virtual no está disponible, el estado de la máquina virtual en vSphere Web Client se muestra como no válido; la máquina virtual no se puede encender. Si la clave de la máquina virtual está disponible, pero no hay disponible una clave para un disco cifrado, el estado de la máquina virtual no se muestra como no válido. Sin embargo, la máquina virtual no se puede encender y aparece el siguiente error:

The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.

Procedimiento

  1. Si el problema es causado por la conexión entre el sistema vCenter Server y el KMS, restaure la conexión.

    Al perder la conexión con el KMS, la máquina virtual no se bloquea automáticamente. La máquina virtual solo entra en un estado bloqueado si se cumplen las siguientes condiciones:

    • La clave no está disponible en el host ESXi.

    • vCenter Server no puede recuperar las claves del KMS.

    Después de cada reinicio, un host ESXi debe poder acceder a vCenter Server. vCenter Server solicita la clave con el identificador correspondiente del KMS y la pone a disposición de ESXi.

  2. Si se restaura la conexión, registre la máquina virtual. Si se produce un error al intentar registrar la máquina virtual, compruebe que tiene el privilegio Operaciones criptográficas > Registrar máquina virtual para el sistema de vCenter Server.

    Este privilegio no es necesario para encender una máquina virtual cifrada si la clave está disponible. No obstante, sí es necesario para registrar la máquina virtual si la clave debe recuperarse.

  3. Si la clave ya no está disponible en el KMS, se genera una alarma en la máquina virtual y aparece el siguiente mensaje en el registro de eventos:

    La máquina virtual está bloqueada porque faltan claves en el clúster de KMS.

    Solicite al administrador de KMS que restaure la clave. Puede encontrar una clave inactiva si va a encender una máquina virtual que se había quitado del inventario y no se había registrado por un largo período. También sucede si reinicia el host ESXi y el KMS no está disponible.

    1. Recupere el identificador de clave mediante el explorador de objetos administrados (Managed Object Browser, MOB) o vSphere API.

      Recupere el valor de keyId de VirtualMachine.config.keyId.keyId.

    2. Solicite al administrador de KMS que reactive la clave que está asociada con ese identificador de clave.

    Si la clave se puede restaurar en el KMS, vCenter Server la recupera y la envía al host ESXi la próxima vez que se la necesita.

  4. Si se puede acceder al KMS y el host ESXi está encendido, pero el sistema vCenter Server no está disponible, siga estos pasos para desbloquear las máquinas virtuales.
    1. Restaure el sistema de vCenter Server o configure un sistema de vCenter Server diferente y, a continuación, establezca confianza con KMS.

      Debe usar el mismo nombre de clúster de KMS, pero la dirección IP de KMS puede ser diferente.

    2. Vuelva a registrar todas las máquinas virtuales que están bloqueadas.

      La nueva instancia de vCenter Server recupera las claves del KMS y las máquinas virtuales se desbloquean.