Se l'host ESXi non può ottenere la chiave (KEK) da vCenter Server per una macchina virtuale crittografata o un disco virtuale crittografato, la macchina virtuale crittografata viene bloccata. Dopo avere reso disponibili le chiavi nel server di chiavi (KMS), è possibile sbloccare una macchina virtuale crittografata bloccata.

In alcuni casi, quando si utilizza un provider di chiavi standard, l'host ESXi non può ottenere la chiave KEK (Key Encryption Key) per una macchina virtuale crittografata o un disco virtuale crittografato da vCenter Server. In tal caso, è comunque possibile annullare la registrazione o ricaricare la macchina virtuale. Tuttavia non è possibile eseguire altre operazioni relative alla macchina virtuale, ad esempio l'accensione della macchina virtuale. Dopo aver eseguito i passaggi necessari per rendere disponibili le chiavi richieste nel server di chiavi, è possibile sbloccare una macchina virtuale crittografata bloccata utilizzando vSphere Client.

Se la chiave della macchina virtuale non è disponibile, viene visualizzato un allarme di vCenter Servere e lo stato della macchina virtuale viene visualizzato come non valido. Non è possibile accendere la macchina virtuale. Se la chiave della macchina virtuale è disponibile ma non è disponibile una chiave per un disco crittografato, lo stato della macchina virtuale non viene visualizzato come non valido. Tuttavia, la macchina virtuale non può essere accesa e si verifica il seguente errore: 
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
Nota: La procedura seguente illustra le situazioni in cui una macchina virtuale può essere bloccata, gli allarmi e i registri eventi corrispondenti visualizzati e le operazioni da eseguire per ogni caso.

Procedura

  1. Se il problema è la connessione tra il sistema vCenter Server e il server di chiavi, vCenter Server genera un allarme per la macchina virtuale. Anche nel registro eventi viene visualizzato un messaggio di errore.
    Ripristinare la connessione al server di chiavi. Quando il server di chiavi e le chiavi diventano disponibili, sbloccare le macchine virtuali bloccate. Vedere Sbloccare macchine virtuali bloccate. È inoltre possibile riavviare l'host e registrare nuovamente la macchina virtuale per sbloccarla dopo il ripristino della connessione.

    La perdita della connessione al server di chiavi non comporta automaticamente il blocco della macchina virtuale. La macchina virtuale passa allo stato di blocco solo se vengono soddisfatte le seguenti condizioni:

    • La chiave non è disponibile nell'host ESXi.
    • vCenter Server non può recuperare le chiavi dal server di chiavi.
    Dopo ogni riavvio di ESXi, è consigliabile, anche se non è necessario, avviare innanzitutto vCenter Server. vCenter Server richiede la chiave con l'ID corrispondente al server di chiavi e la rende disponibile in ESXi.
    Nota: In vSphere 7.0 Update 2 e versioni successive, è possibile fare in modo che le chiavi di crittografia non vengano perse tra un riavvio di ESXi e l'altro. Vedere Persistenza della chiave di vSphere negli host ESXi.

    Se dopo aver ripristinato la connessione con il provider di chiavi, la macchina virtuale rimane bloccata, vedere Sbloccare macchine virtuali bloccate.

  2. Se la connessione viene ripristinata, registrare la macchina virtuale. Se si verifica un errore o se l'operazione riesce ma la macchina virtuale è bloccata, verificare di disporre del privilegio Operazioni crittografiche.Registra macchina virtuale per il sistema vCenter Server.
    Questo privilegio non è necessario per accendere una macchina virtuale crittografata se la chiave è disponibile. È necessario per registrare la macchina virtuale se la chiave deve essere recuperata.
  3. Se la chiave non è più disponibile nel server di chiavi, vCenter Server genera un allarme relativo alla macchina virtuale. Anche nel registro eventi viene visualizzato un messaggio di errore.
    Chiedere all'amministratore del server di chiavi di ripristinare la chiave. Se si accende una macchina virtuale che è stata rimossa dall'inventario e non è stata registrata per molto tempo, è possibile che la chiave sia inattiva. Ciò accade anche se si riavvia l'host ESXi e il server di chiavi non è disponibile.
    1. Recuperare l'ID della chiave con Managed Object Browser (MOB) o vSphere API.
      Recuperare keyId da VirtualMachine.config.keyId.keyId.
    2. Chiedere all'amministratore del server di chiavi di riattivare la chiave associata a tale ID.
    3. Dopo aver ripristinato la chiave, vedere Sbloccare macchine virtuali bloccate.
    Se la chiave può essere ripristinata nel server di chiavi, vCenter Server la recupera ed eseguirà il push all'host ESXi quando sarà necessario.
  4. Se il server di chiavi è accessibile e l'host ESXi è acceso ma il sistema vCenter Server non è disponibile, eseguire i passaggi seguenti per sbloccare le macchine virtuali.
    1. Ripristinare il sistema vCenter Server o configurare un sistema vCenter Server diverso, quindi stabilire una relazione di attendibilità con il server di chiavi.
      È necessario utilizzare lo stesso nome del provider di chiavi, ma l'indirizzo IP del server di chiavi può essere diverso.
    2. Registrare nuovamente tutte le macchine virtuali bloccate.
      La nuova istanza di vCenter Server recupera le chiavi dal server di chiavi e le macchine virtuali vengono sbloccate.
  5. Se le chiavi mancano solo nell'host ESXi, vCenter Server genera un allarme relativo alla macchina virtuale e nel registro eventi viene visualizzato il messaggio seguente:
    La macchina virtuale è bloccata perché le chiavi non sono presenti nell'host.
    Il sistema vCenter Server può recuperare le chiavi mancanti dal provider di chiavi. Non è necessario alcun ripristino manuale delle chiavi. Vedere Sbloccare macchine virtuali bloccate.