ESXi ホストが vCenter Server から暗号化された仮想マシンまたは暗号化された仮想ディスクのキー (KEK) を取得できない場合、暗号化された仮想マシンはロックされます。キーをキー サーバ (KMS) で使用できるようにすると、ロックされている暗号化された仮想マシンをロック解除できます。

特定の状況下では、標準キー プロバイダの使用時に、ESXi ホストは vCenter Server から暗号化された仮想マシンまたは暗号化された仮想ディスクのキー暗号化キー (KEK) を取得できません。その場合でも、仮想マシンを登録解除または再ロードできます。ただし、他の仮想マシン操作(仮想マシンのパワーオンなど)を実行することはできません。必要なキーをキー サーバで使用できるようにするために必要な手順を実行した後、vSphere Client を使用して、ロックされている暗号化された仮想マシンをロック解除できます。

仮想マシン キーを使用できない場合は、 vCenter Server アラームで通知され、仮想マシンの状態が無効と表示されます。仮想マシンはパワーオンできません。仮想マシン キーは利用できるものの、暗号化されたディスクのキーが利用できない場合、仮想マシンの状態が無効として表示されることはありません。ただし、仮想マシンをパワーオンすることはできず、次のエラーが発生します。
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
注: 以下の手順では、仮想マシンがロック状態になる状況、対応するアラームと記録されるイベント ログ、およびそれぞれのケースでの対処方法について説明します。

手順

  1. vCenter Server システムとキー サーバとの間の接続に問題がある場合は、vCenter Server で仮想マシン アラームが生成されます。また、エラー メッセージがイベント ログに表示されます。
    キー サーバへの接続をリストアします。キー サーバとキーが使用可能になったら、ロック状態の仮想マシンのロックを解除します。 ロックされた仮想マシンのロック解除を参照してください。ホストを再起動し、接続をリカバリした後に仮想マシンを再登録してロックを解除することもできます。

    キー サーバへの接続を失っても仮想マシンが自動的にロックされることはありません。仮想マシンがロック状態になるのは、次の条件が満たされた場合だけです。

    • キーが ESXi ホストで使用できない。
    • vCenter Server がキー サーバからキーを取得できない。
    ESXi の再起動では、最初に vCenter Server を開始することが推奨されますが、必須ではありません。 vCenter Server は、対応する ID を持つキーをキー サーバに要求して、 ESXi で利用できるようにします。
    注: vSphere 7.0 Update 2 以降では、 ESXi を再起動すると暗号化キーを保持できます。 ESXi ホストでの vSphere キーの永続性を参照してください。

    キー プロバイダへの接続をリカバリした後も仮想マシンがロック状態の場合は、ロックされた仮想マシンのロック解除 を参照してください。

  2. 接続がリカバリしたら、仮想マシンを登録します。エラーが発生した場合、または操作が正常に実行されても仮想マシンがロック状態である場合、vCenter Server システムに対し 暗号化操作.RegisterVM 権限があることを確認します。
    キーが利用可能である場合に、暗号化された仮想マシンをパワーオンするだけなら、この権限は必要ありません。キーを取得する必要がある場合に、仮想マシンを登録するためには、この権限が必要です。
  3. キーがキー サーバで使用できなくなった場合、vCenter Server で仮想マシン アラームが生成されます。また、エラー メッセージがイベント ログに表示されます。
    キーの復元をキー サーバ管理者に依頼します。キーが無効になる可能性があるのは、既にインベントリから削除されて長い間登録されていない仮想マシンをパワーオンする場合です。また、 ESXi ホストを再起動したときにキー サーバが利用できない場合にも、この状況が発生します。
    1. 管理対象オブジェクト ブラウザ (MOB) または vSphere API を使用してキー ID を取得します。
      VirtualMachine.config.keyId.keyIdから keyId を取得します。
    2. キー ID に関連付けられているキーを再度有効にするようにキー サーバ管理者に依頼します。
    3. キーを復元したら、ロックされた仮想マシンのロック解除を参照してください。
    キー サーバでキーを復元できる場合、 vCenter Server はそのキーを取得し、次回必要になったときに ESXi ホストにプッシュします。
  4. キー サーバが利用可能で、かつ ESXi ホストがパワーオン状態であるにもかかわらず、vCenter Server システムが利用できない場合は、次の手順に従って仮想マシンのロックを解除します。
    1. vCenter Server システムをリストアするか、または別の vCenter Server システムを設定した後、キー サーバとの信頼を確立します。
      使用しているキー プロバイダ名は同じにする必要がありますが、キー サーバの IP アドレスは異なっていてもかまいません。
    2. ロックされているすべての仮想マシンを再登録します。
      新しい vCenter Server インスタンスがキー サーバからキーを取得し、仮想マシンのロックが解除されます。
  5. キーが ESXi ホスト上でのみ見つからない場合は、vCenter Server で仮想マシン アラームが生成され、イベント ログに次のメッセージが記録されます。
    ホストにキーが見つからないため、仮想マシンはロックされています。
    vCenter Server システムは、見つからないキーをキー プロバイダから取得できます。手動によるキーのリカバリは必要ありません。 ロックされた仮想マシンのロック解除を参照してください。