Si l'hôte ESXi ne peut pas obtenir la clé (KEK) de vCenter Server pour une machine virtuelle chiffrée ou un disque virtuel chiffré, la machine virtuelle chiffrée se verrouille. Après avoir mis les clés à disposition sur le KMS, vous pouvez déverrouiller une machine virtuelle chiffrée verrouillée.

Dans certaines circonstances lors de l'utilisation d'un fournisseur de clés standard, l'hôte ESXi ne peut pas obtenir la clé de chiffrement de clés (KEK) pour une machine virtuelle chiffrée ou un disque virtuel chiffré depuis le système vCenter Server. Dans ce cas, vous pouvez toujours annuler l'enregistrement ou recharger la machine virtuelle. Cependant, vous ne pouvez pas effectuer d’autres opérations de machine virtuelle telles que la mise sous tension de la machine virtuelle. Après avoir pris les mesures nécessaires pour mettre à disposition les clés requises sur KMS, vous pouvez déverrouiller une machine virtuelle chiffrée verrouillée à l'aide de vSphere Client.

Si la clé de la machine virtuelle n'est pas disponible, une alarme de vCenter Server vous en averti et l'état de la machine virtuelle s'affiche comme étant non valide. La machine virtuelle ne peut pas se mettre sous tension. Si la clé de la machine virtuelle est disponible, mais qu'une clé pour un disque chiffré n'est pas disponible, l'état de la machine virtuelle ne s'affiche pas comme étant non valide. Toutefois, la machine virtuelle ne peut pas être mise sous tension et l'erreur suivante se produit :
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
Note : La procédure suivante illustre les situations pouvant entraîner le verrouillage d'une machine virtuelle, le déclenchement des alarmes et des journaux d'événements correspondants s'affichant et ce qu'il convient de faire dans chaque cas.

Procédure

  1. Si le problème concerne la connexion entre le système vCenter Server et KMS, vCenter Server génère une alarme de machine virtuelle. En outre, un message d’erreur s’affiche dans le journal des événements.
    Restaurez la connexion au KMS. Lorsque le cluster KMS et les clés deviennent disponibles, déverrouillez les machines virtuelles verrouillées. Reportez-vous à la section Déverrouiller les machines virtuelles verrouillées. Vous pouvez également redémarrer l'hôte et réenregistrer la machine virtuelle afin de la déverrouiller après la restauration de la connexion.

    Notez que la perte de connexion au cluster KMS ne verrouille pas automatiquement la machine virtuelle. La machine virtuelle passe à l'état verrouillé uniquement si les conditions suivantes sont réunies :

    • La clé n'est pas disponible sur l'hôte ESXi.
    • vCenter Server ne peut pas récupérer les clés dans le cluster KMS.
    Après chaque redémarrage, l'hôte ESXi doit pouvoir atteindre vCenter Server. vCenter Server demande la clé avec l'ID correspondant au cluster KMS et la rend disponible pour ESXi.
    Note : Dans vSphere 7.0 Update 2 et versions ultérieures, vous pouvez faire persister les clés de chiffrement lors des redémarrages de ESXi. Reportez-vous à la section Présentation de la persistance des clés.

    Si, après la restauration de la connexion avec le fournisseur de clés, la machine virtuelle reste verrouillée, reportez-vous à la section Déverrouiller les machines virtuelles verrouillées.

  2. Si la connexion est restaurée, enregistrez la machine virtuelle. Si une erreur se produit ou si l'opération réussit, mais que la machine virtuelle est dans un état verrouillé, vérifiez que vous disposez du privilège Opérations de chiffrement.Enregistrer la VM pour le système vCenter Server.
    Ce privilège n'est pas requis pour la mise sous tension d'une machine virtuelle chiffrée si la clé est disponible. Ce privilège est requis pour l'enregistrement de la machine virtuelle si la clé doit être récupérée.
  3. Si la clé n'est plus disponible sur le KMS, le système vCenter Server génère une alarme de machine virtuelle. En outre, un message d’erreur s’affiche dans le journal des événements.
    Demandez à l'administrateur KMS de restaurer la clé. Un problème de clé inactive peut se produire si vous mettez sous tension une machine virtuelle qui a été supprimée de l'inventaire et qui n'a pas été enregistrée depuis longtemps. Cela se produit également si vous redémarrez l'hôte ESXi et que KMS n'est pas disponible.
    1. Récupérez l'ID de la clé en utilisant Managed Object Browser (MOB) ou vSphere API.
      Récupérez l' keyId de VirtualMachine.config.keyId.keyId.
    2. Demandez à l'administrateur KMS de réactiver la clé qui est associée à cet ID de clé.
    3. Après la restauration de la clé, reportez-vous à la section Déverrouiller les machines virtuelles verrouillées.
    Si la clé peut être restaurée sur KMS, vCenter Server la récupère et la transmet à l'hôte ESXi dès que celui-ci en a besoin.
  4. Si KMS est accessible et que l'hôte ESXi est mis sous tension, mais que le système vCenter Server n'est pas disponible, suivez ces étapes pour déverrouiller les machines virtuelles.
    1. Restaurez le système vCenter Server ou définissez un autre système vCenter Server, puis établissez une relation de confiance avec le cluster KMS.
      Vous devez utiliser le même nom de fournisseur de clés, mais l'adresse IP du cluster KMS peut être différente.
    2. Réenregistrez toutes les machines virtuelles qui sont verrouillées.
      La nouvelle instance de vCenter Server récupère les clés de KMS et les machines virtuelles sont déverrouillées.
  5. Si les clés sont manquantes uniquement sur l'hôte ESXi, le système vCenter Server génère une alarme de machine virtuelle et le message suivant figure dans le journal des événements :
    La machine virtuelle est verrouillée, car il manque des clés sur l'hôte.
    Le système vCenter Server peut récupérer les clés manquantes dans le fournisseur de clés. Aucune récupération manuelle des clés n'est requise. Reportez-vous à la section Déverrouiller les machines virtuelles verrouillées.