ESXi ホスト上の ”ホストでは暗号化モードを有効にする必要があります。見つからないキーを手動でリカバリしてください” のアラートについて

Products

VMware vCenter Server VMware vSphere ESXi

Issue/Introduction

免責事項：これは英文の記事「 "Host requires encryption mode enabled. Manually recover the missing key" alert on ESXi host 」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

ESXi で以下のアラートが表示されることがあります：
ホストでは暗号化モードを有効にする必要があります。見つからないキーを手動でリカバリしてください

この問題は以下の状況で発生する可能性があります：
- ホスト暗号化が有効な状態でのホストの再起動後、もしくは、ホスト暗号化モードの有効化
- ESXiホストのアップグレード
KMS 接続は正常であり、環境内の他のホストは問題なく暗号化を継続して使用しています。

Environment

VMware vSphere ESXi 7.x
VMware vSphere ESXi 8.x
VMware vCenter Server 7.x
VMware vCenter Server 8.x

Cause

この問題は、ESXi ホストとvCenter Server 間の暗号化キー情報の不一致によって発生します。

vCenter のデータベースには、ホストの暗号化キー（Host_Key）が依然として存在していると表示されています。
再起動後、ESXi ホストはこのキーにアクセスできなくなります。
この古いデータベースエントリのため、ホストは vCenter 経由で KMS から新しいキーを要求できません。

Resolution

重要: 以下の手順では、vCenter Server データベースを手動で更新します。
ミスをすると、vCenter が致命的な障害を起こしたり、暗号化された VM が回復不能な損失を被る可能性があります。
スナップショットのベスト・プラクティスに従って慎重に作業を行ってください。

1. 準備

拡張リンクモードを構成する全ての vCenter のオフラインのスナップショットを取得します。
VMware vCenter in Enhanced Linked Mode pre-changes snapshot (online or offline) best practice を参照してください。

2. ホストのメンテナンスモードへの移行

vSphere Client で影響を受けた ESXi ホストをメンテナンスモードに移行してください。

3. ESXi ホストのキー・ステータスの確認

影響を受けた ESXi ホストに root として SSH 接続します。
以下をコマンドを実行します :
crypto-util keys getkidbyname "HostKey"
出力結果が以下のように表示されることを確認してください:
crypto-util keys: A key for 'HostKey' has not been established

4. vCenter Server への接続

vCenter Server Appliance（VCSA）に root で SSH 接続します。
vpxd サービスを停止します :
service-control --stop vmware-vpxd

5. vCenter データベースへのアクセス

Interacting with the vCenter Server Appliance 7.0/8.0 embedded vPostgres Databaseを参照してください。

Postgres シェルを起動します :
psql -U postgres -d VCDB -h localhost

ホストエントリを特定します :
select id, dns_name, crypto_state, crypto_key_id, crypto_key_provider_id, crypto_enable from vpx_host where dns_name like '%<esxi-host-fqdn>%';出力例 :

VCDB=# select id, dns_name, crypto_state, crypto_key_id, crypto_key_provider_id, crypto_enable from vpx_host where dns_name like '%esxi.host.fqdn%';
   id    |          dns_name          | crypto_state |                                                                crypto_key_id                                                                 |crypto_key_provider_id | crypto_enable
---------+----------------------------+--------------+----------------------------------------------------------------------------------------------------------------------------------------------+------------------------+---------------
 12345 | esxi.host.fqdn |            0 | abc********************123************** |key-provider               |             1
(1 row)

6. 古い暗号化情報のクリア

前のステップで使用したホスト ID を使用して更新コマンドを実行します。:
update vpx_host set crypto_state=0, crypto_enable=0, crypto_key_id='', crypto_key_provider_id='' where id=<host_id>;

変更結果を確認します:

   select id, dns_name, crypto_state, crypto_key_id, crypto_key_provider_id, crypto_enable from vpx_host where dns_name like '%<esxi-host-fqdn>%';

出力例 :

VCDB=# select id, dns_name, crypto_state, crypto_key_id, crypto_key_provider_id, crypto_enable from vpx_host where dns_name like '%esxi.host.fqdn%';
   id   |          dns_name          | crypto_state | crypto_key_id | crypto_key_provider_id | crypto_enable
--------+----------------------------+--------------+---------------+------------------------+---------------
 12345 | esxi.host.fqdn |            0 |               |                        |             0
(1 row)

Postgres シェルを終了します :

\q

7. vpxd サービスの再起動

service-control --start vmware-vpxd

8. vSphere UI での検証

vSphere Client にログインします。
影響を受けたホストの暗号化アラートがクリアされていることを確認します。
もしホスト暗号化が有効化されていない場合、手動で有効化することが出来ます。

Additional Information

vCenter データベースの編集は慎重な操作であり、経験豊富な管理者だけが実施すべき操作となります。
変更を加える前に、ELM 内のすべての vCenter Server のオフラインスナップショットを必ず取得してください。
データベースの不適切な変更は、接続性の喪失、破損、または暗号化された VM データの損失を引き起こす可能性があります。
"Host requires encryption mode enabled. Manually recover the missing key" alert on ESXi host