如果 ESXi 主機無法從 vCenter Server 取得加密虛擬機器或加密虛擬磁碟的金鑰 (KEK),則加密虛擬機器將變為鎖定。在使金鑰在 KMS 上可供使用後,您可以解除鎖定已加密的虛擬機器。
在某些情況下,使用標準金鑰提供者時,ESXi 主機無法從 vCenter Server 取得加密虛擬機器或加密虛擬磁碟的金鑰加密金鑰 (KEK)。在這種情況下,您仍可以解除登錄或重新載入虛擬機器。然而,您無法執行其他虛擬機器作業,例如開啟虛擬機器的電源。在採取必要的步驟使所需密鑰在 KMS 上可用後,可以使用 vSphere Client 解鎖鎖定的加密虛擬機器。
如果虛擬機器金鑰無法使用,
vCenter Server 警示會向您發出通知,並且虛擬機器狀態會顯示為無效。該虛擬機器無法開啟電源。如果虛擬機器金鑰可用,但是已加密磁碟的金鑰無法使用,則虛擬機器狀態不會顯示為無效。但是,虛擬機器無法開啟電源並產生下列錯誤:
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
備註: 下列程序說明會導致虛擬機器變為鎖定狀態的情況,顯示的對應警示和事件記錄,以及在每個案例中要執行的動作。
程序
- 如果 vCenter Server 系統和 KMS 之間的連線有問題,vCenter Server 將產生虛擬機器警示。此外,還會在事件記錄中顯示一條錯誤訊息。
還原與 KMS 的連線。當 KMS 與金鑰可供使用時,解除鎖定已鎖定的虛擬機器。請參閱
將鎖定的虛擬機器解除鎖定。也可以將主機重新開機並重新登錄虛擬機器,以便在還原連線後將其解除鎖定。
遺失與 KMS 的連線不會自動將虛擬機器鎖定。僅當滿足以下條件時,虛擬機器才會進入鎖定狀態:
- 該金鑰在 ESXi 主機上無法使用。
- vCenter Server 無法從 KMS 擷取金鑰。
每次重新開機後,
ESXi 主機必須能夠連線
vCenter Server。
vCenter Server 從 KMS 要求具有相應識別碼的金鑰,並使其可供 ESXi 使用。
備註: 在 vSphere 7.0 Update 2 及更新版本中,可以在
ESXi 重新開機後保留加密金鑰。請參閱
金鑰持續性概觀。
如果在還原與金鑰提供者的連線後虛擬機器仍保持鎖定狀態,請參閱將鎖定的虛擬機器解除鎖定。
- 如果連線已還原,請登錄虛擬機器。如果出現錯誤,或者雖然作業成功但虛擬機器處於鎖定狀態,請驗證您是否有 vCenter Server 系統的權限。
如果金鑰可用,則無需此權限即可開啟已加密虛擬機器的電源。如果必須擷取金鑰,則需要此權限來登錄虛擬機器。
- 如果 KMS 上的金鑰不再可用,則 vCenter Server 會產生虛擬機器警示。此外,還會在事件記錄中顯示一條錯誤訊息。
要求 KMS 管理員還原金鑰。如果您要開啟電源的虛擬機器已從詳細目錄中移除並且很長時間未登錄,您可能會遇到非作用中金鑰。如果您將
ESXi 主機重新開機,而 KMS 不可用,也會發生此情況。
- 使用受管理物件瀏覽器 (MOB) 或 vSphere API 擷取金鑰識別碼。
從
VirtualMachine.config.keyId.keyId擷取
keyId。
- 要求 KMS 管理員重新啟動與該金鑰識別碼相關聯的金鑰。
- 還原金鑰後,請參閱將鎖定的虛擬機器解除鎖定。
如果可在 KMS 上還原金鑰,則
vCenter Server 會擷取此金鑰,並在下次需要時將其推送至
ESXi 主機。
- 如果 KMS 可供存取且 ESXi 主機已開啟電源,但是 vCenter Server 系統無法使用,請遵循這些步驟解除鎖定虛擬機器。
- 還原 vCenter Server 系統,或設定不同的 vCenter Server 系統,然後與 KMS 建立信任。
您必須使用相同的金鑰提供者名稱,但 KMS IP 位址可以不同。
- 登錄所有鎖定的虛擬機器。
新的
vCenter Server 執行個體會從 KMS 擷取金鑰,並且虛擬機器會解除鎖定。
- 如果只有 ESXi 主機上的金鑰遺失,則 vCenter Server 會產生虛擬機器警示並在事件記錄中顯示下列訊息:
由於主機上的金鑰遺失,虛擬機器已鎖定。