ESXi ホストが vCenter Server から暗号化された仮想マシンまたは暗号化された仮想ディスクのキー (KEK) を 取得できない場合、暗号化された仮想マシンはロックされます。キーを KMS で使用できるようにすると、ロックされている暗号化された仮想マシンをロック解除できます。

特定の状況下では、標準キー プロバイダの使用時に、ESXi ホストは vCenter Server から暗号化された仮想マシンまたは暗号化された仮想ディスクのキー暗号化キー (KEK) を取得できません。その場合でも、仮想マシンを登録解除または再ロードできます。ただし、他の仮想マシン操作(仮想マシンのパワーオンなど)を実行することはできません。必要なキーを KMS で使用できるようにするために必要な手順を実行した後、vSphere Client を使用して、ロックされている暗号化された仮想マシンをロック解除できます。

仮想マシン キーを使用できない場合は、 vCenter Server アラームで通知され、仮想マシンの状態が無効と表示されます。仮想マシンはパワーオンできません。仮想マシン キーは利用できるものの、暗号化されたディスクのキーが利用できない場合、仮想マシンの状態が無効として表示されることはありません。ただし、仮想マシンをパワーオンすることはできず、次のエラーが発生します。
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
注: 以下の手順では、仮想マシンがロック状態になる状況、対応するアラームと記録されるイベント ログ、およびそれぞれのケースでの対処方法について説明します。

手順

  1. vCenter Server システムと KMS との間の接続に問題がある場合は、vCenter Server で仮想マシン アラームが生成されます。また、エラー メッセージがイベント ログに表示されます。
    KMS への接続をリストアします。KMS とキーが使用可能になったら、ロック状態の仮想マシンのロックを解除します。 ロックされた仮想マシンのロック解除を参照してください。ホストを再起動し、接続を復旧した後に仮想マシンを再登録してロックを解除することもできます。

    KMS への接続を失っても仮想マシンは自動的にロックされません。仮想マシンがロック状態になるのは、次の条件が満たされた場合だけです。

    • キーが ESXi ホストで使用できない。
    • vCenter Serverが KMS からキーを取得できない。
    ESXi ホストは、再起動のたびに、 vCenter Server にアクセスできる必要があります。 vCenter Serverは、対応する ID を持つキーを KMS に要求し、ESXi で利用できるようにします。
    注: vSphere 7.0 Update 2 以降では、 ESXi を再起動すると暗号化キーを保持できます。 キーの永続性の概要を参照してください。

    キー プロバイダへの接続を復旧した後も仮想マシンがロック状態の場合は、ロックされた仮想マシンのロック解除 を参照してください。

  2. 接続が復旧したら、仮想マシンを登録します。エラーが発生した場合、または操作が正常に実行されても仮想マシンがロック状態である場合、vCenter Server システムに対し 暗号化操作.RegisterVM 権限があることを確認します。
    キーが利用可能である場合に、暗号化された仮想マシンをパワーオンするだけなら、この権限は必要ありません。キーを取得する必要がある場合に、仮想マシンを登録するためには、この権限が必要です。
  3. キーが KMS で使用できなくなった場合、vCenter Server で仮想マシン アラームが生成されます。また、エラー メッセージがイベント ログに表示されます。
    キーの復元を KMS 管理者に依頼します。キーが無効になる可能性があるのは、既にインベントリから削除されて長い間登録されていない仮想マシンをパワーオンする場合です。また、 ESXi ホストを再起動したときに KMS が利用できない場合にも、この状況が発生します。
    1. 管理対象オブジェクト ブラウザ (MOB) または vSphere API を使用してキー ID を取得します。
      VirtualMachine.config.keyId.keyIdから keyId を取得します。
    2. キー ID に関連付けられているキーを再度有効にするよう KMS 管理者に依頼します。
    3. キーを復元したら、ロックされた仮想マシンのロック解除を参照してください。
    KMS でキーを復元できる場合、 vCenter Server は、そのキーを取得し、次回必要になったときに、 ESXi ホストにプッシュします。
  4. KMS が利用可能で、かつ ESXi ホストがパワーオン状態であるにもかかわらず、vCenter Server システムが利用できない場合は、次の手順に従って仮想マシンのロックを解除します。
    1. vCenter Serverシステムをリストアするか、または別の vCenter Server システムを設定した後、KMS との信頼を確立します。
      使用しているキー プロバイダ名は同じにする必要がありますが、KMS の IP アドレスは異なっていてもかまいません。
    2. ロックされているすべての仮想マシンを再登録します。
      新しい vCenter Server インスタンスが KMS からキーを取得し、仮想マシンのロックが解除されます。
  5. キーが ESXi ホスト上でのみ見つからない場合は、vCenter Server で仮想マシン アラームが生成され、イベント ログに次のメッセージが記録されます。
    ホストにキーが見つからないため、仮想マシンはロックされています。
    vCenter Server システムは、見つからないキーをキー プロバイダから取得できます。手動によるキーのリカバリは必要ありません。 ロックされた仮想マシンのロック解除を参照してください。