特定の状況下では、ESXiホストはvCenter Server から暗号化された仮想マシンまたは暗号化された仮想ディスクのキー (KEK) を取得できません。その場合でも、仮想マシンを登録解除または再ロードできます。ただし、他の仮想マシン操作(仮想マシンのパワーオン、仮想マシンの削除など)を実行することはできません。vCenter Serverアラームは、暗号化された仮想マシンがロック状態であることを通知します。

このタスクについて

仮想マシン キーが利用できない場合、vSphere Web Clientには、仮想マシンの状態が無効として表示されます。仮想マシンはパワーオンできません。仮想マシン キーは利用できるものの、暗号化されたディスクのキーが利用できない場合、仮想マシンの状態が無効として表示されることはありません。ただし、仮想マシンをパワーオンすることはできず、次のエラーが発生します。

The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.

手順

  1. vCenter Server システムと KMS との間の接続に問題がある場合は、接続を復旧します。

    KMS への接続を失っても仮想マシンは自動的にロックされません。仮想マシンがロック状態になるのは、次の条件が満たされた場合だけです。

    • キーが ESXiホストで使用できない。

    • vCenter Serverが KMS からキーを取得できない。

    ESXiホストは、再起動のたびに、vCenter Server にアクセスできる必要があります。vCenter Serverは、対応する ID を持つキーを KMS に要求し、ESXi で利用できるようにします。

  2. 接続が復旧したら、仮想マシンを登録します。仮想マシンを登録するときにエラーが発生する場合は、vCenter Serverシステムの暗号化操作 > 仮想マシンの登録権限があることを確認してください。

    キーが利用可能である場合に、暗号化された仮想マシンをパワーオンするだけなら、この権限は必要ありません。キーを取得する必要がある場合に、仮想マシンを登録するためには、この権限が必要です。

  3. KMS でキーを取得できなくなった場合は、仮想マシン アラームが生成され、イベント ログに次のメッセージが記録されます。

    KMS クラスタにキーが見つからないため、仮想マシンはロックされています。

    キーの復元を KMS 管理者に依頼します。キーが無効になる可能性があるのは、既にインベントリから削除されて長い間登録されていない仮想マシンをパワーオンする場合です。また、ESXiホストを再起動したときに KMS が利用できない場合にも、この状況が発生します。

    1. 管理対象オブジェクト ブラウザ (MOB) または vSphere API を使用してキー ID を取得します。

      VirtualMachine.config.keyId.keyIdから keyId を取得します。

    2. キー ID に関連付けられているキーを再度有効にするよう KMS 管理者に依頼します。

    KMS でキーを復元できる場合、vCenter Serverは、そのキーを取得し、次回必要になったときに、ESXi ホストにプッシュします。

  4. KMS が利用可能で、かつ ESXiホストがパワーオン状態であるにもかかわらず、vCenter Server システムが利用できない場合は、次の手順に従って仮想マシンのロックを解除します。
    1. vCenter Serverシステムをリストアするか、または別の vCenter Server システムを設定した後、KMS との信頼を確立します。

      使用している KMS クラスタ名は同じにする必要がありますが、KMS の IP アドレスは異なっていてもかまいません。

    2. ロックされているすべての仮想マシンを再登録します。

      新しい vCenter Serverインスタンスが KMS からキーを取得し、仮想マシンのロックが解除されます。