En ciertas circunstancias, el host ESXi no puede obtener la clave (KEK) para una máquina virtual cifrada o un disco virtual cifrado desde vCenter Server. En ese caso, todavía puede cancelar el registro o volver a cargar la máquina virtual. Sin embargo, no puede realizar otras operaciones con la máquina virtual, como encenderla o eliminarla. Una alarma de vCenter Server notifica cuando una máquina virtual cifrada se encuentra en estado bloqueado. Para desbloquear una máquina virtual cifrada bloqueada, puede usar vSphere Client después de realizar los pasos necesarios a fin de que las claves requeridas estén disponibles en el KMS.

Si la clave de la máquina virtual no está disponible, el estado de la máquina virtual se muestra como no válido. No se puede encender la máquina virtual. Si la clave de la máquina virtual está disponible, pero no hay disponible una clave para un disco cifrado, el estado de la máquina virtual no se muestra como no válido. Sin embargo, la máquina virtual no se puede encender y aparece el siguiente error:
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
Nota: El siguiente procedimiento muestra las situaciones que pueden causar el bloqueo de una máquina virtual, las alarmas y los registros de eventos correspondientes que aparecen y lo que se debe hacer en cada caso.

Procedimiento

  1. Si el problema es la conexión entre el sistema de vCenter Server y el KMS, se genera una alarma de máquina virtual y aparece el siguiente mensaje en el registro de eventos:
    La máquina virtual está bloqueada debido a un error del clúster de KMS.
    Manualmente, debe comprobar las claves en el clúster de KMS y restaurar la conexión con el clúster de KMS. Cuando el KMS y las claves vuelvan a estar disponibles, desbloquee las máquinas virtuales bloqueadas. Consulte Desbloquear las máquinas virtuales bloqueadas. También puede reiniciar el host y volver a registrar la máquina virtual para desbloquearla después de restaurar la conexión.

    Al perder la conexión con el KMS, la máquina virtual no se bloquea automáticamente. La máquina virtual solo entra en un estado bloqueado si se cumplen las siguientes condiciones:

    • La clave no está disponible en el host ESXi.
    • vCenter Server no puede recuperar las claves del KMS.

    Después de cada reinicio, un host ESXi debe poder acceder a vCenter Server. vCenter Server solicita la clave con el identificador correspondiente del KMS y la pone a disposición de ESXi.

    Si después de restaurar la conexión con el clúster de KMS, la máquina virtual permanece bloqueada, consulte Desbloquear las máquinas virtuales bloqueadas.

  2. Si se restaura la conexión, registre la máquina virtual. Si se produce un error al intentar registrar la máquina virtual, compruebe que tiene el privilegio Operaciones criptográficas.Registrar máquina virtual para el sistema de vCenter Server.
    Este privilegio no es necesario para encender una máquina virtual cifrada si la clave está disponible. No obstante, sí es necesario para registrar la máquina virtual si la clave debe recuperarse.
  3. Si la clave ya no está disponible en el KMS, se genera una alarma en la máquina virtual y aparece el siguiente mensaje en el registro de eventos:
    La máquina virtual está bloqueada porque faltan claves en el clúster de KMS.
    Solicite al administrador de KMS que restaure la clave. Puede encontrar una clave inactiva si va a encender una máquina virtual que se había quitado del inventario y no se había registrado por un largo período. También sucede si reinicia el host ESXi y el KMS no está disponible.
    1. Recupere el identificador de clave mediante el explorador de objetos administrados (Managed Object Browser, MOB) o vSphere API.
      Recupere el valor de keyId de VirtualMachine.config.keyId.keyId.
    2. Solicite al administrador de KMS que reactive la clave que está asociada con ese identificador de clave.
    3. Tras restaurar la clave, consulte Desbloquear las máquinas virtuales bloqueadas.
    Si la clave se puede restaurar en el KMS, vCenter Server la recupera y la envía al host ESXi la próxima vez que se la necesita.
  4. Si se puede acceder al KMS y el host ESXi está encendido, pero el sistema vCenter Server no está disponible, siga estos pasos para desbloquear las máquinas virtuales.
    1. Restaure el sistema de vCenter Server o configure un sistema de vCenter Server diferente y, a continuación, establezca confianza con KMS.
      Debe usar el mismo nombre de clúster de KMS, pero la dirección IP de KMS puede ser diferente.
    2. Vuelva a registrar todas las máquinas virtuales que están bloqueadas.
      La nueva instancia de vCenter Server recupera las claves del KMS y las máquinas virtuales se desbloquean.
  5. Si faltan las claves solo en el host ESXi, se genera una alarma de máquina virtual y aparece el siguiente mensaje en el registro de eventos:
    La máquina virtual está bloqueada porque faltan claves en el host.
    El sistema de vCenter Server puede recuperar las claves que faltan desde el clúster de KMS. No se requiere la recuperación manual de las claves. Consulte Desbloquear las máquinas virtuales bloqueadas.