Dans certaines circonstances, l'hôte ESXi ne peut pas obtenir la clé (KEK) pour une machine virtuelle chiffrée ou un disque virtuel chiffré depuis vCenter Server. Dans ce cas, vous pouvez toujours annuler l'enregistrement ou recharger la machine virtuelle. Cependant, vous ne pouvez pas effectuer d'autres opérations de machine virtuelle comme la suppression de la machine virtuelle ou la mise sous tension de la machine virtuelle. Une alarme vCenter Server vous informe lorsqu'une machine virtuelle chiffrée est dans un état verrouillé. Vous pouvez déverrouiller une machine virtuelle chiffrée, verrouillée à l'aide de vSphere Client, après avoir pris les mesures nécessaires pour rendre les clés requises disponibles sur le cluster KMS.
Si la clé de la machine virtuelle n'est pas disponible, l'état de la machine virtuelle s'affiche comme étant non valide. La machine virtuelle ne peut pas se mettre sous tension. Si la clé de la machine virtuelle est disponible, mais qu'une clé pour un disque chiffré n'est pas disponible, l'état de la machine virtuelle ne s'affiche pas comme étant non valide. Toutefois, la machine virtuelle ne peut pas être mise sous tension et l'erreur suivante se produit :
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
Note : La procédure suivante illustre les situations pouvant entraîner le verrouillage d'une machine virtuelle, le déclenchement des alarmes et des journaux d'événements correspondants s'affichant et ce qu'il convient de faire dans chaque cas.
Procédure
- Si le problème provient de la connexion entre le système vCenter Server et le cluster KMS, une alarme de machine virtuelle est générée et le message suivant s'affiche dans le journal des événements :
La machine virtuelle est verrouillée en raison d'une erreur de cluster KMS.
Vous devez rechercher manuellement les clés dans le cluster KMS et rétablir la connexion avec le cluster KMS. Lorsque le cluster KMS et les clés deviennent disponibles, déverrouillez les machines virtuelles verrouillées. Reportez-vous à la section
Déverrouiller les machines virtuelles verrouillées. Vous pouvez également redémarrer l'hôte et réenregistrer la machine virtuelle afin de la déverrouiller après la restauration de la connexion.
Notez que la perte de connexion au cluster KMS ne verrouille pas automatiquement la machine virtuelle. La machine virtuelle passe à l'état verrouillé uniquement si les conditions suivantes sont réunies :
- La clé n'est pas disponible sur l'hôte ESXi.
- vCenter Server ne peut pas récupérer les clés dans le cluster KMS.
Après chaque redémarrage, un hôte ESXi doit pouvoir atteindre vCenter Server. vCenter Server demande la clé avec l'ID correspondant au cluster KMS et la rend disponible pour ESXi.
Si, après la restauration de la connexion avec le cluster KMS, la machine virtuelle reste verrouillée, reportez-vous à la section Déverrouiller les machines virtuelles verrouillées.
- Si la connexion est restaurée, enregistrez la machine virtuelle. Si la connexion est restaurée et qu'une erreur se produit lorsque vous tentez d'enregistrer la machine virtuelle, vérifiez que vous disposez du privilège pour le système vCenter Server.
Ce privilège n'est pas requis pour la mise sous tension d'une machine virtuelle chiffrée si la clé est disponible. Ce privilège est requis pour l'enregistrement de la machine virtuelle si la clé doit être récupérée.
- Si la clé n'est plus disponible sur le cluster KMS, une alarme de machine virtuelle est générée et le message suivant s'affiche dans le journal des événements :
La machine virtuelle est verrouillée, car il manque des clés sur le cluster KMS.
Demandez à l'administrateur KMS de restaurer la clé. Un problème de clé inactive peut se produire si vous mettez sous tension une machine virtuelle qui a été supprimée de l'inventaire et qui n'a pas été enregistrée depuis longtemps. Cela se produit également si vous redémarrez l'hôte
ESXi et que KMS n'est pas disponible.
- Récupérez l'ID de la clé en utilisant Managed Object Browser (MOB) ou vSphere API.
Récupérez l'
keyId de
VirtualMachine.config.keyId.keyId.
- Demandez à l'administrateur KMS de réactiver la clé qui est associée à cet ID de clé.
- Après la restauration de la clé, reportez-vous à la section Déverrouiller les machines virtuelles verrouillées.
Si la clé peut être restaurée sur KMS,
vCenter Server la récupère et la transmet à l'hôte
ESXi dès que celui-ci en a besoin.
- Si KMS est accessible et que l'hôte ESXi est mis sous tension, mais que le système vCenter Server n'est pas disponible, suivez ces étapes pour déverrouiller les machines virtuelles.
- Restaurez le système vCenter Server ou définissez un autre système vCenter Server, puis établissez une relation de confiance avec le cluster KMS.
Vous devez utiliser le même nom de cluster KMS, mais l'adresse IP du KMS peut être différente.
- Réenregistrez toutes les machines virtuelles qui sont verrouillées.
La nouvelle instance de
vCenter Server récupère les clés de KMS et les machines virtuelles sont déverrouillées.
- Si les clés sont manquantes uniquement sur l'hôte ESXi, une alarme de machine virtuelle est générée et le message suivant s'affiche dans le journal des événements :
La machine virtuelle est verrouillée, car il manque des clés sur l'hôte.