Dans certaines circonstances, l'hôte ESXi ne peut pas obtenir la clé (KEK) pour une machine virtuelle chiffrée ou un disque virtuel chiffré depuis vCenter Server. Dans ce cas, vous pouvez toujours annuler l'enregistrement ou recharger la machine virtuelle. Cependant, vous ne pouvez pas effectuer d'autres opérations de machine virtuelle comme la suppression de la machine virtuelle ou la mise sous tension de la machine virtuelle. La machine virtuelle est verrouillée.

Pourquoi et quand exécuter cette tâche

Si la clé de la machine virtuelle n'est pas disponible, l'état de la machine virtuelle dans vSphere Web Client s'affiche comme non valide ; la machine virtuelle ne peut pas être mise sous tension. Si la clé de la machine virtuelle est disponible, mais qu'une clé pour un disque chiffré n'est pas disponible, l'état de la machine virtuelle ne s'affiche pas comme étant non valide. Toutefois, la machine virtuelle ne peut pas être mise sous tension et l'erreur suivante se produit :

The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.

Procédure

  1. Si le problème concerne la connexion entre le système vCenter Server et KMS, restaurez la connexion.

    Si KMS n'est pas disponible, les machines virtuelles sont déverrouillées.

    Notez que la perte de connexion au KMS ne verrouille pas automatiquement la machine virtuelle. La machine virtuelle passe à l'état verrouillé uniquement si les conditions suivantes sont réunies :

    • La clé doit être validée.

    • La clé n'est pas disponible sur l'hôte ESXi.

    • L'hôte ESXi ne peut pas récupérer la clé à partir du système vCenter Server.

    Après chaque redémarrage, un hôte ESXi doit pouvoir atteindre vCenter Server et récupérer les clés.

  2. Si la connexion est restaurée et qu'une erreur se produit lorsque vous tentez d'enregistrer la machine virtuelle, vérifiez que vous disposez du privilège Opérations de chiffrement > Gérer les clés pour le système vCenter Server.

    Ce privilège n'est pas requis pour la mise sous tension d'une machine virtuelle chiffrée si la clé est disponible. Ce privilège est requis pour l'enregistrement de la machine virtuelle si la clé doit être récupérée de nouveau.

  3. Si la clé n'est plus active sur KMS, demandez à l'administrateur KMS de restaurer la clé.

    Un problème de clé inactive peut se produire si vous mettez sous tension une machine virtuelle qui a été supprimée de l'inventaire et qui n'a pas été enregistrée depuis longtemps. Cela se produit également si vous redémarrez l'hôte ESXi et que KMS n'est pas disponible.

    1. Récupérez l'ID de la clé en utilisant Managed Object Browser (MOB) ou vSphere API.

      Récupérez l'keyId de VirtualMachine.config.keyId.keyId.

    2. Demandez à l'administrateur KMS de réactiver la clé qui est associée à cet ID de clé.

    Si la clé peut être restaurée sur KMS, vCenter Server la récupère et la transmet à l'hôte ESXi dès que celui-ci en a besoin.

  4. Si KMS est accessible et que l'hôte ESXi est mis sous tension, mais que le système vCenter Server n'est pas disponible, suivez ces étapes pour déverrouiller les machines virtuelles.
    1. Restaurez le système vCenter Server ou configurez un système vCenter Server différent en tant que client KMS.

      Vous devez utiliser le même nom de cluster, mais l'adresse IP peut être différente.

    2. Réenregistrez toutes les machines virtuelles qui sont verrouillées.

      La nouvelle instance de vCenter Server récupère les clés de KMS et les machines virtuelles sont déverrouillées.