Si el host ESXi no puede obtener la clave (KEK) de vCenter Server para una máquina virtual cifrada o un disco virtual cifrado, la máquina virtual cifrada se bloquea. Después de hacer que las claves estén disponibles en el servidor de claves (KMS), puede desbloquear una máquina virtual cifrada bloqueada.

En ciertas circunstancias, cuando se utiliza un proveedor de claves estándar, el host ESXi no puede obtener la clave de cifrado de claves (KEK) para una máquina virtual cifrada o un disco virtual cifrado desde vCenter Server. En ese caso, todavía puede cancelar el registro o volver a cargar la máquina virtual. Sin embargo, no puede realizar otras operaciones con la máquina virtual, como encenderla. Después de realizar los pasos necesarios para que las claves requeridas estén disponibles en el servidor de claves, puede desbloquear una máquina virtual cifrada bloqueada mediante vSphere Client.

Si la clave de la máquina virtual no está disponible, una alarma vCenter Server le notifica y el estado de la máquina virtual se muestra como no válido. No se puede encender la máquina virtual. Si la clave de la máquina virtual está disponible, pero no hay disponible una clave para un disco cifrado, el estado de la máquina virtual no se muestra como no válido. Sin embargo, la máquina virtual no se puede encender y aparece el siguiente error: 
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
Nota: El siguiente procedimiento muestra las situaciones que pueden causar el bloqueo de una máquina virtual, las alarmas y los registros de eventos correspondientes que aparecen y lo que se debe hacer en cada caso.

Procedimiento

  1. Si el problema radica en la conexión entre el sistema vCenter Server y el servidor de claves, vCenter Server genera una alarma de máquina virtual. Además, aparece un mensaje de error en el registro de eventos.
    Restaure la conexión con el servidor de claves. Cuando el servidor de claves y las claves vuelvan a estar disponibles, desbloquee las máquinas virtuales bloqueadas. Consulte Desbloquear las máquinas virtuales bloqueadas. También puede reiniciar el host y volver a registrar la máquina virtual para desbloquearla después de restaurar la conexión.

    Al perder la conexión con el servidor de claves, no se bloquea automáticamente la máquina virtual. La máquina virtual solo entra en un estado bloqueado si se cumplen las siguientes condiciones:

    • La clave no está disponible en el host ESXi.
    • vCenter Server no puede recuperar claves del servidor de claves.
    Después de cada reinicio de ESXi, es deseable, aunque no necesario, que vCenter Server se inicie primero. vCenter Server solicita la clave con el identificador correspondiente del servidor de claves y la pone a disposición de ESXi.
    Nota: En vSphere 7.0 Update 2 y versiones posteriores, puede conservar las claves de cifrado en ESXi reinicios. Consulte Persistencia de claves de vSphere en hosts ESXi.

    Si la máquina virtual permanece bloqueada después de restaurar la conexión con el proveedor de claves, consulte Desbloquear las máquinas virtuales bloqueadas.

  2. Si se restaura la conexión, registre la máquina virtual. Si se produce un error o si la operación se realiza correctamente, pero la máquina virtual está en estado bloqueado, compruebe que tiene el privilegio Operaciones criptográficas.Registro de máquina virtual para el sistema vCenter Server.
    Este privilegio no es necesario para encender una máquina virtual cifrada si la clave está disponible. No obstante, sí es necesario para registrar la máquina virtual si la clave debe recuperarse.
  3. Si la clave ya no está disponible en el servidor de claves, vCenter Server genera una alarma de máquina virtual. Además, aparece un mensaje de error en el registro de eventos.
    Solicite al administrador del servidor de claves que restaure la clave. Puede encontrar una clave inactiva si va a encender una máquina virtual que se había quitado del inventario y no se había registrado por un largo período. También sucede si reinicia el host ESXi y el servidor de claves no está disponible.
    1. Recupere el identificador de clave mediante el explorador de objetos administrados (Managed Object Browser, MOB) o vSphere API.
      Recupere el valor de keyId de VirtualMachine.config.keyId.keyId.
    2. Solicite al administrador del servidor de claves que reactive la clave que está asociada con ese identificador de clave.
    3. Tras restaurar la clave, consulte Desbloquear las máquinas virtuales bloqueadas.
    Si la clave se puede restaurar en el servidor de claves, vCenter Server la recupera y la envía al host ESXi la próxima vez que la necesite.
  4. Si se puede acceder al servidor de claves y el host ESXi está encendido, pero el sistema vCenter Server no está disponible, siga estos pasos para desbloquear las máquinas virtuales.
    1. Restaure el sistema vCenter Server o configure un sistema vCenter Server diferente y, a continuación, establezca confianza con el servidor de claves.
      Debe usar el mismo nombre del proveedor de claves, pero la dirección IP del servidor de claves puede ser diferente.
    2. Vuelva a registrar todas las máquinas virtuales que están bloqueadas.
      La nueva instancia de vCenter Server recupera las claves del servidor de claves y las máquinas virtuales se desbloquean.
  5. Si faltan las claves solo en el host ESXi, vCenter Servergenera una alarma de máquina virtual y aparece el siguiente mensaje en el registro de eventos:
    La máquina virtual está bloqueada porque faltan claves en el host.
    El sistema vCenter Server puede recuperar las claves que faltan desde el proveedor de claves. No se requiere la recuperación manual de las claves. Consulte Desbloquear las máquinas virtuales bloqueadas.