特定の状況下では、ESXi ホストは vCenter Server から暗号化された仮想マシンまたは暗号化された仮想ディスクのキー (KEK) を取得できません。その場合でも、仮想マシンを登録解除または再ロードできます。ただし、他の仮想マシン操作(仮想マシンのパワーオン、仮想マシンの削除など)を実行することはできません。vCenter Serverアラームは、暗号化された仮想マシンがロック状態であることを通知します。ロック状態の暗号化された仮想マシンのロックを解除するには、必要なキーを KMS で使用するための必要な手順を実行してから vSphere Client を使用します。
仮想マシン キーを使用できない場合は、仮想マシンの状態が無効と表示されます。仮想マシンはパワーオンできません。仮想マシン キーは利用できるものの、暗号化されたディスクのキーが利用できない場合、仮想マシンの状態が無効として表示されることはありません。ただし、仮想マシンをパワーオンすることはできず、次のエラーが発生します。
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
注: 以下の手順では、仮想マシンがロック状態になる状況、対応するアラームと記録されるイベント ログ、およびそれぞれのケースでの対処方法について説明します。
手順
- vCenter Serverシステムと KMS クラスタ間の接続に問題がある場合は、仮想マシン アラームが生成され、イベント ログに次のメッセージが記録されます。
KMS クラスタ エラーのため、仮想マシンはロックされています。
手動で KMS クラスタ内のキーを確認し、KMS クラスタへの接続を復旧する必要があります。KMS とキーが使用可能になったら、ロック状態の仮想マシンのロックを解除します。
ロックされた仮想マシンのロック解除を参照してください。ホストを再起動し、接続を復旧した後に仮想マシンを再登録してロックを解除することもできます。
KMS への接続を失っても仮想マシンは自動的にロックされません。仮想マシンがロック状態になるのは、次の条件が満たされた場合だけです。
- キーが ESXi ホストで使用できない。
- vCenter Serverが KMS からキーを取得できない。
ESXiホストは、再起動のたびに、vCenter Server にアクセスできる必要があります。vCenter Serverは、対応する ID を持つキーを KMS に要求し、ESXi で利用できるようにします。
KMS クラスタへの接続を復旧した後も仮想マシンがロック状態の場合は、ロックされた仮想マシンのロック解除を参照してください。
- 接続が復旧したら、仮想マシンを登録します。仮想マシンを登録するときにエラーが発生する場合は、vCenter Server システムの権限があることを確認してください。
キーが利用可能である場合に、暗号化された仮想マシンをパワーオンするだけなら、この権限は必要ありません。キーを取得する必要がある場合に、仮想マシンを登録するためには、この権限が必要です。
- KMS でキーを取得できなくなった場合は、仮想マシン アラームが生成され、イベント ログに次のメッセージが記録されます。
KMS クラスタにキーが見つからないため、仮想マシンはロックされています。
キーの復元を KMS 管理者に依頼します。キーが無効になる可能性があるのは、既にインベントリから削除されて長い間登録されていない仮想マシンをパワーオンする場合です。また、
ESXi ホストを再起動したときに KMS が利用できない場合にも、この状況が発生します。
- 管理対象オブジェクト ブラウザ (MOB) または vSphere API を使用してキー ID を取得します。
VirtualMachine.config.keyId.keyIdから
keyId を取得します。
- キー ID に関連付けられているキーを再度有効にするよう KMS 管理者に依頼します。
- キーを復元したら、ロックされた仮想マシンのロック解除を参照してください。
KMS でキーを復元できる場合、
vCenter Server は、そのキーを取得し、次回必要になったときに、
ESXi ホストにプッシュします。
- KMS が利用可能で、かつ ESXi ホストがパワーオン状態であるにもかかわらず、vCenter Server システムが利用できない場合は、次の手順に従って仮想マシンのロックを解除します。
- vCenter Serverシステムをリストアするか、または別の vCenter Server システムを設定した後、KMS との信頼を確立します。
使用している KMS クラスタ名は同じにする必要がありますが、KMS の IP アドレスは異なっていてもかまいません。
- ロックされているすべての仮想マシンを再登録します。
新しい
vCenter Server インスタンスが KMS からキーを取得し、仮想マシンのロックが解除されます。
- キーが ESXi ホスト上でのみ見つからない場合は、仮想マシン アラームが生成され、イベント ログに次のメッセージが記録されます。
ホストにキーが見つからないため、仮想マシンはロックされています。
vCenter Serverシステムは、見つからないキーを KMS クラスタから取得できます。手動によるキーのリカバリは必要ありません。
ロックされた仮想マシンのロック解除を参照してください。