在某些情況下,ESXi主機無法從vCenter Server 取得已加密虛擬機器或已加密虛擬磁碟的金鑰 (KEK)。在這種情況下,您仍可以解除登錄或重新載入虛擬機器。然而,您無法執行其他虛擬機器作業,例如刪除虛擬機器或開啟虛擬機器的電源。虛擬機器已鎖定。

執行這項作業的原因和時機

如果虛擬機器金鑰無法使用,vSphere Web Client中的虛擬機器狀態會顯示為無效。該虛擬機器無法開啟電源。如果虛擬機器金鑰可用,但是已加密磁碟的金鑰無法使用,則虛擬機器狀態不會顯示為無效。但是,虛擬機器無法開啟電源並產生下列錯誤:

The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.

程序

  1. 如果 vCenter Server系統和 KMS 之間的連線有問題,請還原連線。

    當 KMS 變成可用時,虛擬機器會解除鎖定。

    請注意,遺失與 KMS 的連線不會自動將虛擬機器鎖定。僅當滿足以下條件時,虛擬機器才會進入鎖定狀態:

    • 必須驗證金鑰。

    • 該金鑰在 ESXi主機上無法使用。

    • ESXi主機無法從 vCenter Server 系統擷取金鑰。

    每次重新開機後,ESXi主機必須能夠連線 vCenter Server 並擷取金鑰。

  2. 如果連線已還原,但在嘗試登錄虛擬機器時產生錯誤,請確認您是否有 vCenter Server系統的密碼編譯作業 > 管理金鑰權限。

    如果金鑰可用,則無需此權限即可開啟已加密虛擬機器的電源。如果必須再次擷取金鑰,則需要此權限來登錄虛擬機器。

  3. 如果 KMS 上的金鑰不再有效,請要求 KMS 管理員還原金鑰。

    如果您要開啟電源的虛擬機器已從詳細目錄中移除並且很長時間未登錄,您可能會遇到非作用中金鑰。如果您將 ESXi主機重新開機,而 KMS 不可用,也會發生此情況。

    1. 使用受管理物件瀏覽器 (MOB) 或 vSphere API 擷取金鑰識別碼。

      VirtualMachine.config.keyId.keyId擷取 keyId

    2. 要求 KMS 管理員重新啟動與該金鑰識別碼相關聯的金鑰。

    如果可在 KMS 上還原金鑰,則 vCenter Server會擷取此金鑰,並在下次需要時將其推送至 ESXi 主機。

  4. 如果 KMS 可供存取且 ESXi主機已開啟電源,但是 vCenter Server 系統無法使用,請遵循這些步驟解除鎖定虛擬機器。
    1. 還原 vCenter Server系統或設定不同的 vCenter Server 系統做為 KMS 用戶端。

      您必須使用相同的叢集名稱,但 IP 位址可以不同。

    2. 登錄所有鎖定的虛擬機器。

      新的 vCenter Server執行個體會從 KMS 擷取金鑰,並且虛擬機器會解除鎖定。