{"id":727,"date":"2023-03-21T23:16:23","date_gmt":"2023-03-21T22:16:23","guid":{"rendered":"https:\/\/kdslabs.fr\/?p=727"},"modified":"2023-04-13T11:40:07","modified_gmt":"2023-04-13T09:40:07","slug":"article-vcenter-part-2-migration-du-native-key-provider-nkp-vers-un-kms-externe","status":"publish","type":"post","link":"https:\/\/kdslabs.fr\/index.php\/2023\/03\/21\/article-vcenter-part-2-migration-du-native-key-provider-nkp-vers-un-kms-externe\/","title":{"rendered":"[ARTICLE] [VCENTER] [PART 2] Migration du Native Key Provider (NKP) vers un KMS Externe"},"content":{"rendered":"\n
[ARTICLE] [VCENTER] [PART 2] Migration du Native Key Provider (NKP) vers un KMS Externe<\/h4>\n\n\n\n
Sur l’article pr\u00e9c\u00e9dent nous avons vu comment migrer nos workloads d’un NKP vers un KMS Externe et inversement, mais nous n’avons pas pris en compte les \u00e9ventuels probl\u00e8mes que nous pouvons rencontrer en PROD, o\u00f9 le moindre arr\u00eat d’un workload peut \u00eatre critique.<\/p>\n\n\n\n
Il se peut que certaines VMs tombent en \u00e9chec lors d’un re-key, et surtout si celle-ci a plusieurs disques. Cela peut \u00eatre visible directement sur le vCenter ou sur votre script si vous jamais avez inclus un test d’\u00e9tat OK\/NOK avant de passer \u00e0 la VM suivante.<\/p>\n\n\n\n
Les causes possibles (confirm\u00e9 avec des tests, et valid\u00e9 par le support VMware):<\/span><\/h4>\n\n\n\n
\n
vSphere HA VM Monitoring :<\/span> Lors d’un re-key si la VM prend du temps \u00e0 se chiffrer le vCenter n’a pas la corr\u00e9lation avec la t\u00e2che en cours qui chiffre la VM, ce qui a pour cons\u00e9quence un reset de la VM entrainant un \u00e9chec de re-key\n
\n
C’est pour cela qu’il est important de v\u00e9rifier chaque workload 1 par 1 apr\u00e8s sa migration (logs vCenter, requ\u00eate PowerCLI (Get-VMEncryptioninfo)<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n
Message d’erreur de la VM sur “vmware.log<\/strong>“: <\/p>\n\n\n\n
2023-03-10T15:16:22.314Z In(05) vmx - DISKLIB-LINK : \"\/vmfs\/volumes\/vsan:xxxxxxxxx-5exxxxxxx6\/271xxxxxx3-xxac-xx91-xxa0-exxxxxxxx80\/TEST-KEVIN-VM-2-lKPs.vmdk\" : failed to open (Cannot decrypt disk because key or password is incorrect).<\/code><\/pre>\n\n\n\n
\n
Le vCenter ne trouve pas le KMS Externe suite \u00e0 un probl\u00e8me de communication entre les deux<\/li>\n<\/ul>\n\n\n\n
Message d’erreur du vCenter sur “hostd.log<\/strong>“:<\/p>\n\n\n\n
--> com.vmware.esx.trusted_infrastructure.kms.providers.not_found<The provider 'nom-du-kms-externe' does not exist.><\/code><\/pre>\n\n\n\n
R\u00e9ponse du Support VMware sur l’ordre de chiffrement d’une VM:<\/p>\n\n\n\n
- got new key from key provider ->\n- save new key to keycache ->\n- get old key from old keyprovider ->\n- decrypt kdk with old key->\n- use new key to encrypt kdk<\/code><\/pre>\n\n\n\n
Ce premier workaround permet de reset le vmid de la VM et donc de forcer l’ESXi \u00e0 demander la KEK au KMS via la KEK ID<\/p>\n\n\n\n
Note de VMware: How vSphere Virtual Machine Encryption Protects Your Environment<\/strong>\nIf you delete or unregister an encrypted virtual machine, the ESXi host and the cluster remove the KEK from cache. The ESXi host can no longer use the KEK. This behavior is the same for standard key providers and trusted key providers. <\/code><\/pre>\n\n\n\n
\n
Remove from inventory<\/li>\n<\/ul>\n\n\n\n<\/figure>\n\n\n\n
\n
V\u00e9rification des fichiers sur le datastore<\/li>\n<\/ul>\n\n\n\n<\/figure>\n\n\n\n
L’effet de bord de cette action est la perte d’historiques de la VM c\u00f4t\u00e9 vCenter\/vRops (performances, events, tasks). Cependant les fichiers “vmware.log” existent toujours \u00e0 la racine de la VM dans le datastore, il sera donc \u00e0 minima possible de r\u00e9cup\u00e9rer les events via ces fichiers mais ce sera toujours moins productif qu’une vue graphique sur le vCenter<\/p>\n\n\n\n<\/figure>\n\n\n\n<\/figure>\n\n\n\n
Workaround 2: Reload du .vmx<\/span><\/h4>\n\n\n\n
Contrairement au workaround 1 celui-ci est celui ayant le moins d’impact parce que vous ne perdrez pas l’historique de la VM que \u00e7a soit sur le vCenter (performances, events, tasks) ou sur le vRops parce que le “vmid” restera le m\u00eame.<\/p>\n\n\n\n
Il faut donc r\u00e9cup\u00e9rer le vmid de la VM en question via:<\/p>\n\n\n\n
Workaround 3: PowerOff des VMs (pr\u00e9conisation VMware)<\/span><\/h4>\n\n\n\n
Ce workaround est celui qui est le plus contraignant (impact de service + update obligatoire du vCenter avec un patch qui doit sortir officiellement dans quelques mois) et il fonctionnera \u00e0 condition que les 2 Key Provider soient joignables \u00e0 tout moment pendant l’op\u00e9ration de migration.<\/p>\n\n\n\n
1.Upgraded the vc to 70p07 21267547 (not released yet)\n2.Create vm1 on host with vm encryption policy\n3.PowerON VM and rekey vm(Failed with: Not support: unable to shallow rekey powered on vm.)\n4.PowerOff VM and shallow Rekey(success\n5.Repeat these steps multiple times, VM doesn\u2019t go in power off state.<\/code><\/pre>\n\n\n\n
Workaround 4: D\u00e9sactivation du “vSphere HA VM Monitoring only” en amont de phase (valable seulement pour les VMs ayant un warning critical de HA en cours)<\/span><\/h4>\n\n\n\n
Afin d’\u00e9viter un failed re-key sur les VMs ayant un warning vSphere HA nous avons 2 choix:<\/p>\n\n\n\n
\n
Soit d\u00e9sactiver compl\u00e9tement le vSphere HA Monitoring sur le cluster (moins propre et moins safe)\n
\n
Et surtout n\u00e9cessite <\/span>une \u00e9tude d’impact avant d\u00e9sactivation de cette option<\/li>\n<\/ul>\n<\/li>\n\n\n\n
Soit cr\u00e9er une “VM override Rule” en incluant les VMs voulues (plus propre et plus safe)<\/li>\n<\/ul>\n\n\n\n
Conclusion<\/span><\/h4>\n\n\n\n
Avant toute chose, le chiffrement et la migration de workloads sont une chose \u00e0 ne pas prendre \u00e0 la l\u00e9g\u00e8re parce que la moindre erreur de process (voire un mauvais process identifi\u00e9) peut amener \u00e0 une perte de donn\u00e9es instantan\u00e9e et irr\u00e9versible de la VM si vous n’avez pas de backup avant op\u00e9ration.<\/p>\n\n\n\n
![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/Remove-from-inventory-1-621x1024.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/VM-File-after-unregister-1024x397.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/register-VM-1024x428.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/perte-historique-VM-1024x460.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/perte-historique-event-VM-1024x248.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/vmid-before-unregister-1024x93.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/kdslabs.fr\/wp-content\/uploads\/2023\/03\/vmx-reload-without-unregister.png\")
<\/figure>\n\n\n\n