在某些情況下,ESXi主機無法從vCenter Server 取得已加密虛擬機器或已加密虛擬磁碟的金鑰 (KEK)。在這種情況下,您仍可以解除登錄或重新載入虛擬機器。然而,您無法執行其他虛擬機器作業,例如開啟虛擬機器的電源或刪除虛擬機器。當已加密的虛擬機器處於鎖定狀態時,vCenter Server 警示會通知您。

執行這項作業的原因和時機

如果虛擬機器金鑰無法使用,vSphere Web Client中的虛擬機器狀態會顯示為無效。該虛擬機器無法開啟電源。如果虛擬機器金鑰可用,但是已加密磁碟的金鑰無法使用,則虛擬機器狀態不會顯示為無效。但是,虛擬機器無法開啟電源並產生下列錯誤:

The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.

程序

  1. 如果 vCenter Server系統和 KMS 之間的連線有問題,請還原連線。

    遺失與 KMS 的連線不會自動將虛擬機器鎖定。僅當滿足以下條件時,虛擬機器才會進入鎖定狀態:

    • 該金鑰在 ESXi主機上無法使用。

    • vCenter Server 無法從 KMS 擷取金鑰。

    每次重新開機後,ESXi 主機必須能夠連線 vCenter ServervCenter Server 從 KMS 要求具有相應識別碼的金鑰,並使其可供 ESXi 使用。

  2. 如果連線已還原,請登錄虛擬機器。如果在嘗試登錄虛擬機器時產生錯誤,請確認您是否有 vCenter Server 系統的密碼編譯作業 > 登錄虛擬機器權限。

    如果金鑰可用,則無需此權限即可開啟已加密虛擬機器的電源。如果必須擷取金鑰,則需要此權限來登錄虛擬機器。

  3. 如果 KMS 上的金鑰不再可用,會產生虛擬機器警示並在事件記錄中顯示下列訊息:

    由於 KMS 叢集上的金鑰遺失,虛擬機器已鎖定。

    要求 KMS 管理員還原金鑰。如果您要開啟電源的虛擬機器已從詳細目錄中移除並且很長時間未登錄,您可能會遇到非作用中金鑰。如果您將 ESXi主機重新開機,而 KMS 不可用,也會發生此情況。

    1. 使用受管理物件瀏覽器 (MOB) 或 vSphere API 擷取金鑰識別碼。

      VirtualMachine.config.keyId.keyId擷取 keyId

    2. 要求 KMS 管理員重新啟動與該金鑰識別碼相關聯的金鑰。

    如果可在 KMS 上還原金鑰,則 vCenter Server會擷取此金鑰,並在下次需要時將其推送至 ESXi 主機。

  4. 如果 KMS 可供存取且 ESXi主機已開啟電源,但是 vCenter Server 系統無法使用,請遵循這些步驟解除鎖定虛擬機器。
    1. 還原 vCenter Server 系統,或設定不同的 vCenter Server 系統,然後與 KMS 建立信任。

      您必須使用相同的 KMS 叢集名稱,但 KMS IP 位址可以不同。

    2. 登錄所有鎖定的虛擬機器。

      新的 vCenter Server執行個體會從 KMS 擷取金鑰,並且虛擬機器會解除鎖定。