En ciertas circunstancias, el host ESXi no puede obtener la clave (KEK) para una máquina virtual cifrada o un disco virtual cifrado desde vCenter Server. En ese caso, todavía puede cancelar el registro o volver a cargar la máquina virtual. Sin embargo, no puede realizar otras operaciones de máquina virtual, como eliminar la máquina virtual o encenderla. La máquina virtual está bloqueada.

Por qué y cuándo se efectúa esta tarea

Si la clave de la máquina virtual no está disponible, el estado de la máquina virtual en vSphere Web Client se muestra como no válido; la máquina virtual no se puede encender. Si la clave de la máquina virtual está disponible, pero no hay disponible una clave para un disco cifrado, el estado de la máquina virtual no se muestra como no válido. Sin embargo, la máquina virtual no se puede encender y aparece el siguiente error:

The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.

Procedimiento

  1. Si el problema es causado por la conexión entre el sistema vCenter Server y el KMS, restaure la conexión.

    Cuando KMS esté disponible, se desbloquearán las máquinas virtuales.

    Tenga en cuenta que, al perder la conexión con el KMS, no se bloquea la máquina virtual automáticamente. La máquina virtual solo entra en un estado bloqueado si se cumplen las siguientes condiciones:

    • La clave debe ser validada.

    • La clave no está disponible en el host ESXi.

    • El host ESXi no puede recuperar la clave del sistema vCenter Server.

    Después de cada reinicio, un host ESXi debe poder acceder a vCenter Server y recuperar las claves.

  2. Si se restaura la conexión y se produce un error al intentar registrar la máquina virtual, compruebe que tiene el privilegio Operaciones criptográficas > Administrar claves para el sistema vCenter Server.

    Este privilegio no es necesario para encender una máquina virtual cifrada si la clave está disponible. Este privilegio es necesario para registrar la máquina virtual si la clave debe recuperarse de nuevo.

  3. Si la clave ya no está activa en el KMS, solicite al administrador de KMS que la restaure.

    Puede encontrar una clave inactiva si va a encender una máquina virtual que se había quitado del inventario y no se había registrado por un largo período. También sucede si reinicia el host ESXi y el KMS no está disponible.

    1. Recupere el identificador de clave mediante el explorador de objetos administrados (Managed Object Browser, MOB) o vSphere API.

      Recupere el valor de keyId de VirtualMachine.config.keyId.keyId.

    2. Solicite al administrador de KMS que reactive la clave que está asociada con ese identificador de clave.

    Si la clave se puede restaurar en el KMS, vCenter Server la recupera y la envía al host ESXi la próxima vez que se la necesita.

  4. Si se puede acceder al KMS y el host ESXi está encendido, pero el sistema vCenter Server no está disponible, siga estos pasos para desbloquear las máquinas virtuales.
    1. Restaure el sistema vCenter Server o configure un sistema vCenter Server diferente como cliente KMS.

      Debe usar el mismo nombre de clúster, pero la dirección IP puede ser diferente.

    2. Vuelva a registrar todas las máquinas virtuales que están bloqueadas.

      La nueva instancia de vCenter Server recupera las claves del KMS y las máquinas virtuales se desbloquean.