ESXi ホスト上の ”ホストでは暗号化モードを有効にする必要があります。見つからない キーを手動でリカバリしてください” のアラートについて
Article ID: 413679
Updated On:
Products
Issue/Introduction
免責事項:これは英文の記事「 "Host requires encryption mode enabled. Manually recover the missing key" alert on ESXi host 」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
-
ESXi で以下のアラートが表示されることがあります:
ホストでは暗号化モードを有効にする必要があります。見つからない キーを手動でリカバリしてください
-
この問題は以下の状況で発生する可能性があります:
-
ホスト暗号化が有効な状態でのホストの再起動後、もしくは、ホスト暗号化モードの有効化
-
ESXiホスト のアップグレード
-
-
KMS 接続は正常であり、環境内の他のホストは問題なく暗号化を継続して使用しています。
Environment
- VMware vSphere ESXi 7.x
- VMware vSphere ESXi 8.x
- VMware vCenter Server 7.x
- VMware vCenter Server 8.x
Cause
この問題は、ESXi ホストとvCenter Server 間の暗号化キー情報の不一致によって発生します。
- vCenter のデータベースには、ホストの暗号化キー(Host_Key)が依然として存在していると表示されています。
- 再起動後、ESXi ホストはこのキーにアクセスできなくなります。
- この古いデータベースエントリのため、ホストは vCenter 経由で KMS から新しいキーを要求できません。
Resolution
重要: 以下の手順では、vCenter Server データベースを手動で更新します。
ミスをすると、vCenter が致命的な障害を起こしたり、暗号化された VM が回復不能な損失を被る可能性があります。
スナップショットのベスト・プラクティスに従って慎重に作業を行ってください。
1. 準備
- 拡張リンクモードを構成する全ての vCenter のオフラインのスナップショットを取得します。
VMware vCenter in Enhanced Linked Mode pre-changes snapshot (online or offline) best practice を参照してください。
2. ホストのメンテナンスモードへの移行
-
vSphere Client で影響を受けた ESXi ホストをメンテナンスモードに移行してください。
3. ESXi ホストの キー・ステータスの確認
-
影響を受けた ESXi ホストに root として SSH 接続します。
-
以下をコマンドを実行します :
crypto-util keys getkidbyname "HostKey" -
出力結果が以下のように表示されることを確認してください:
crypto-util keys: A key for 'HostKey' has not been established
4. vCenter Server への接続
-
vCenter Server Appliance(VCSA)に root で SSH 接続します。
-
vpxd サービスを停止します :
service-control --stop vmware-vpxd
5. vCenter データベースへのアクセス
Interacting with the vCenter Server Appliance 7.0/8.0 embedded vPostgres Databaseを参照してください。
-
Postgres シェルを起動します :
psql -U postgres -d VCDB -h localhost -
ホストエントリを特定します :
select id, dns_name, crypto_state, crypto_key_id, crypto_key_provider_id, crypto_enable from vpx_host where dns_name like '%<esxi-host-fqdn>%';出力例 :VCDB=# select id, dns_name, crypto_state, crypto_key_id, crypto_key_provider_id, crypto_enable from vpx_host where dns_name like '%esxi.host.fqdn%'; id | dns_name | crypto_state | crypto_key_id |crypto_key_provider_id | crypto_enable ---------+----------------------------+--------------+----------------------------------------------------------------------------------------------------------------------------------------------+------------------------+--------------- 12345 | esxi.host.fqdn | 0 | abc********************123************** |key-provider | 1 (1 row)
6. 古い暗号化情報のクリア
- 前のステップで使用したホスト ID を使用して更新コマンドを実行します。:
update vpx_host set crypto_state=0, crypto_enable=0, crypto_key_id='', crypto_key_provider_id='' where id=<host_id>; - 変更結果を確認します:
select id, dns_name, crypto_state, crypto_key_id, crypto_key_provider_id, crypto_enable from vpx_host where dns_name like '%<esxi-host-fqdn>%';
出力例 :
VCDB=# select id, dns_name, crypto_state, crypto_key_id, crypto_key_provider_id, crypto_enable from vpx_host where dns_name like '%esxi.host.fqdn%'; id | dns_name | crypto_state | crypto_key_id | crypto_key_provider_id | crypto_enable --------+----------------------------+--------------+---------------+------------------------+--------------- 12345 | esxi.host.fqdn | 0 | | | 0 (1 row) - Postgres シェルを終了します :
\q
7. vpxd サービスの再起動
service-control --start vmware-vpxd
8. vSphere UI での検証
-
vSphere Client にログインします。
-
影響を受けたホストの暗号化アラートがクリアされていることを確認します。
-
もしホスト暗号化が有効化されていない場合、手動で有効化することが出来ます。
Additional Information
-
vCenter データベースの編集は慎重な操作であり、経験豊富な管理者だけが実施すべき操作となります。
-
変更を加える前に、ELM 内のすべての vCenter Server のオフライン スナップショットを必ず取得してください。
-
データベースの不適切な変更は、接続性の喪失、破損、または暗号化された VM データの損失を引き起こす可能性があります。
- "Host requires encryption mode enabled. Manually recover the missing key" alert on ESXi host
Feedback
