Si el host ESXi no puede obtener la clave (KEK) de vCenter Server para una máquina virtual cifrada o un disco virtual cifrado, la máquina virtual cifrada se bloquea. Después de hacer que las claves estén disponibles en el KMS, puede desbloquear una máquina virtual cifrada bloqueada.

En ciertas circunstancias, cuando se utiliza un proveedor de claves estándar, el host ESXi no puede obtener la clave de cifrado de claves (KEK) para una máquina virtual cifrada o un disco virtual cifrado desde vCenter Server. En ese caso, todavía puede cancelar el registro o volver a cargar la máquina virtual. Sin embargo, no puede realizar otras operaciones con la máquina virtual, como encenderla. Después de realizar los pasos necesarios para que las claves requeridas estén disponibles en el KMS, puede desbloquear una máquina virtual cifrada bloqueada mediante el vSphere Client.

Si la clave de la máquina virtual no está disponible, una alarma vCenter Server le notifica y el estado de la máquina virtual se muestra como no válido. No se puede encender la máquina virtual. Si la clave de la máquina virtual está disponible, pero no hay disponible una clave para un disco cifrado, el estado de la máquina virtual no se muestra como no válido. Sin embargo, la máquina virtual no se puede encender y aparece el siguiente error:
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
Nota: El siguiente procedimiento muestra las situaciones que pueden causar el bloqueo de una máquina virtual, las alarmas y los registros de eventos correspondientes que aparecen y lo que se debe hacer en cada caso.

Procedimiento

  1. Si el problema es causado por la conexión entre el sistema vCenter Server y el KMS, vCenter Server genera una alarma de máquina virtual. Además, aparece un mensaje de error en el registro de eventos.
    Restaure la conexión con el KMS. Cuando el KMS y las claves vuelvan a estar disponibles, desbloquee las máquinas virtuales bloqueadas. Consulte Desbloquear las máquinas virtuales bloqueadas. También puede reiniciar el host y volver a registrar la máquina virtual para desbloquearla después de restaurar la conexión.

    Al perder la conexión con el KMS, la máquina virtual no se bloquea automáticamente. La máquina virtual solo entra en un estado bloqueado si se cumplen las siguientes condiciones:

    • La clave no está disponible en el host ESXi.
    • vCenter Server no puede recuperar las claves del KMS.
    Después de cada reinicio, el host ESXi debe poder acceder a vCenter Server. vCenter Server solicita la clave con el identificador correspondiente del KMS y la pone a disposición de ESXi.
    Nota: En vSphere 7.0 Update 2 y versiones posteriores, puede conservar las claves de cifrado en ESXi reinicios. Consulte Descripción general de la persistencia de claves.

    Si la máquina virtual permanece bloqueada después de restaurar la conexión con el proveedor de claves, consulte Desbloquear las máquinas virtuales bloqueadas.

  2. Si se restaura la conexión, registre la máquina virtual. Si se produce un error o si la operación se realiza correctamente, pero la máquina virtual está en estado bloqueado, compruebe que tiene el privilegio Operaciones criptográficas.Registro de máquina virtual para el sistema vCenter Server.
    Este privilegio no es necesario para encender una máquina virtual cifrada si la clave está disponible. No obstante, sí es necesario para registrar la máquina virtual si la clave debe recuperarse.
  3. Si la clave ya no está disponible en el KMS, vCenter Server genera una alarma de máquina virtual. Además, aparece un mensaje de error en el registro de eventos.
    Solicite al administrador de KMS que restaure la clave. Puede encontrar una clave inactiva si va a encender una máquina virtual que se había quitado del inventario y no se había registrado por un largo período. También sucede si reinicia el host ESXi y el KMS no está disponible.
    1. Recupere el identificador de clave mediante el explorador de objetos administrados (Managed Object Browser, MOB) o vSphere API.
      Recupere el valor de keyId de VirtualMachine.config.keyId.keyId.
    2. Solicite al administrador de KMS que reactive la clave que está asociada con ese identificador de clave.
    3. Tras restaurar la clave, consulte Desbloquear las máquinas virtuales bloqueadas.
    Si la clave se puede restaurar en el KMS, vCenter Server la recupera y la envía al host ESXi la próxima vez que se la necesita.
  4. Si se puede acceder al KMS y el host ESXi está encendido, pero el sistema vCenter Server no está disponible, siga estos pasos para desbloquear las máquinas virtuales.
    1. Restaure el sistema de vCenter Server o configure un sistema de vCenter Server diferente y, a continuación, establezca confianza con KMS.
      Debe usar el mismo nombre del proveedor de claves, pero la dirección IP de KMS puede ser diferente.
    2. Vuelva a registrar todas las máquinas virtuales que están bloqueadas.
      La nueva instancia de vCenter Server recupera las claves del KMS y las máquinas virtuales se desbloquean.
  5. Si faltan las claves solo en el host ESXi, vCenter Servergenera una alarma de máquina virtual y aparece el siguiente mensaje en el registro de eventos:
    La máquina virtual está bloqueada porque faltan claves en el host.
    El sistema vCenter Server puede recuperar las claves que faltan desde el proveedor de claves. No se requiere la recuperación manual de las claves. Consulte Desbloquear las máquinas virtuales bloqueadas.