特定の状況下では、ESXi ホストは vCenter Server から暗号化された仮想マシンまたは暗号化された仮想ディスクのキー (KEK) を取得できません。その場合でも、仮想マシンを登録解除または再ロードできます。ただし、他の仮想マシン操作(仮想マシンの削除、仮想マシンのパワーオンなど)を実行することはできません。仮想マシンはロックされています。

このタスクについて

仮想マシン キーが利用できない場合、vSphere Web Client には、仮想マシンの状態が無効として表示されます。仮想マシンはパワーオンできません。仮想マシン キーは利用できるものの、暗号化されたディスクのキーが利用できない場合、仮想マシンの状態が無効として表示されることはありません。ただし、仮想マシンをパワーオンすることはできず、次のエラーが発生します。

The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.

手順

  1. vCenter Server システムと KMS との間の接続に問題がある場合は、接続を復旧します。

    KMS が利用可能な状態になると、仮想マシンのロックが解除されます。

    KMS への接続を失うと、仮想マシンが自動的にロックされなくなります。仮想マシンがロック状態になるのは、次の条件が満たされた場合だけです。

    • キーを検証する必要がある。

    • キーが ESXi ホストで使用できない。

    • ESXi ホストが vCenter Server システムからキーを取得できない。

    ESXi ホストは、再起動のたびに、vCenter Server にアクセスし、キーを取得できる必要がある。

  2. 接続が復旧したにもかかわらず、仮想マシンを登録しようとしたときにエラーが発生する場合は、vCenter Server システムの暗号化操作 > キーの管理権限があることを確認してください。

    キーが利用可能である場合に、暗号化された仮想マシンをパワーオンするだけなら、この権限は必要ありません。キーを再取得する必要がある場合に、仮想マシンを登録するためには、この権限が必要です。

  3. KMS でキーがすでに有効でない場合は、KMS 管理者にキーの復元を依頼してください。

    キーが無効になる可能性があるのは、既にインベントリから削除されて長い間登録されていない仮想マシンをパワーオンする場合です。また、ESXi ホストを再起動したときに KMS が利用できない場合にも、この状況が発生します。

    1. 管理対象オブジェクト ブラウザ (MOB) または vSphere API を使用してキー ID を取得します。

      VirtualMachine.config.keyId.keyId から keyId を取得します。

    2. キー ID に関連付けられているキーを再度有効にするよう KMS 管理者に依頼します。

    KMS でキーを復元できる場合、vCenter Server は、そのキーを取得し、次回必要になったときに、ESXi ホストにプッシュします。

  4. KMS が利用可能で、かつ ESXi ホストがパワーオン状態であるにもかかわらず、vCenter Server システムが利用できない場合は、次の手順に従って仮想マシンのロックを解除します。
    1. vCenter Server システムをリストアするか、別の vCenter Server システムを KMS クライアントとしてセットアップします。

      クラスタ名は一致している必要がありますが、IP アドレスは異なっていてもかまいません。

    2. ロックされているすべての仮想マシンを再登録します。

      新しい vCenter Server インスタンスが KMS からキーを取得し、仮想マシンのロックが解除されます。