Dans certaines circonstances, l'hôte ESXi ne peut pas obtenir la clé (KEK) pour une machine virtuelle chiffrée ou un disque virtuel chiffré depuis vCenter Server. Dans ce cas, vous pouvez toujours annuler l'enregistrement ou recharger la machine virtuelle. Cependant, vous ne pouvez pas effectuer d'autres opérations de machine virtuelle comme la suppression de la machine virtuelle ou la mise sous tension de la machine virtuelle. Une alarme vCenter Server vous informe lorsqu'une machine virtuelle chiffrée est dans un état verrouillé.

Pourquoi et quand exécuter cette tâche

Si la clé de la machine virtuelle n'est pas disponible, l'état de la machine virtuelle dans vSphere Web Client s'affiche comme non valide ; la machine virtuelle ne peut pas être mise sous tension. Si la clé de la machine virtuelle est disponible, mais qu'une clé pour un disque chiffré n'est pas disponible, l'état de la machine virtuelle ne s'affiche pas comme étant non valide. Toutefois, la machine virtuelle ne peut pas être mise sous tension et l'erreur suivante se produit :

The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.

Procédure

  1. Si le problème concerne la connexion entre le système vCenter Server et KMS, restaurez la connexion.

    Notez que la perte de connexion au cluster KMS ne verrouille pas automatiquement la machine virtuelle. La machine virtuelle passe à l'état verrouillé uniquement si les conditions suivantes sont réunies :

    • La clé n'est pas disponible sur l'hôte ESXi.

    • vCenter Server ne peut pas récupérer les clés dans le cluster KMS.

    Après chaque redémarrage, un hôte ESXi doit pouvoir atteindre vCenter Server. vCenter Server demande la clé avec l'ID correspondant au cluster KMS et la rend disponible pour ESXi.

  2. Si la connexion est restaurée, enregistrez la machine virtuelle. Si la connexion est restaurée et qu'une erreur se produit lorsque vous tentez d'enregistrer la machine virtuelle, vérifiez que vous disposez du privilège Opérations de chiffrement > Enregistrer les VM pour le système vCenter Server.

    Ce privilège n'est pas requis pour la mise sous tension d'une machine virtuelle chiffrée si la clé est disponible. Ce privilège est requis pour l'enregistrement de la machine virtuelle si la clé doit être récupérée.

  3. Si la clé n'est plus disponible sur le cluster KMS, une alarme de machine virtuelle est générée et le message suivant s'affiche dans le journal des événements :

    La machine virtuelle est verrouillée, car il manque des clés sur le cluster KMS.

    Demandez à l'administrateur KMS de restaurer la clé. Un problème de clé inactive peut se produire si vous mettez sous tension une machine virtuelle qui a été supprimée de l'inventaire et qui n'a pas été enregistrée depuis longtemps. Cela se produit également si vous redémarrez l'hôte ESXi et que KMS n'est pas disponible.

    1. Récupérez l'ID de la clé en utilisant Managed Object Browser (MOB) ou vSphere API.

      Récupérez l'keyId de VirtualMachine.config.keyId.keyId.

    2. Demandez à l'administrateur KMS de réactiver la clé qui est associée à cet ID de clé.

    Si la clé peut être restaurée sur KMS, vCenter Server la récupère et la transmet à l'hôte ESXi dès que celui-ci en a besoin.

  4. Si KMS est accessible et que l'hôte ESXi est mis sous tension, mais que le système vCenter Server n'est pas disponible, suivez ces étapes pour déverrouiller les machines virtuelles.
    1. Restaurez le système vCenter Server ou définissez un autre système vCenter Server, puis établissez une relation de confiance avec le cluster KMS.

      Vous devez utiliser le même nom de cluster KMS, mais l'adresse IP du KMS peut être différente.

    2. Réenregistrez toutes les machines virtuelles qui sont verrouillées.

      La nouvelle instance de vCenter Server récupère les clés de KMS et les machines virtuelles sont déverrouillées.