Shielded VM-Optionen ändern

In diesem Thema erfahren Sie, wie Sie Optionen für Shielded VM in einer VM-Instanz ändern. Informationen zu den unterstützten Shielded VM-Funktionen finden Sie unter Images.

Auf einer Shielded VM-Instanz sind standardmäßig die Optionen Secure Boot, Virtual Trusted Platform Module (vTPM) und die Integritätsüberwachung aktiviert. Sie können die Instanz ändern, wenn Sie später eine oder mehrere dieser Funktionen deaktivieren möchten. Sie müssen die VM-Instanz anhalten, bevor Sie die Shielded VM-Optionen ändern können.

Sie benötigen die Berechtigung updateShieldedInstanceConfig, um die Einstellungen für Shielded VM aktualisieren zu können.

Vorbereitung

Shielded VM-Optionen in einer VM-Instanz ändern

Wenn Ihre Instanz ein Image mit Shielded VM-Unterstützung verwendet, können Sie die Shielded VM-Optionen für die Instanz so ändern:

GCP Console

  1. Zur Seite "VM-Instanzen"
  2. Klicken Sie auf den Instanznamen, um die Seite VM-Instanzdetails zu öffnen.
  3. Klicken Sie auf Beenden, um die Instanz zu beenden.
  4. Nachdem die Instanz beendet wurde, klicken Sie auf Bearbeiten.
  5. Nehmen Sie im Abschnitt Shielded VM eine oder mehrere der folgenden Einstellungen vor:

    • Legen Sie die Option Secure Boot aktivieren fest, um Secure Boot zu aktivieren oder zu deaktivieren. Mit Secure Boot können Sie Ihre VM-Instanzen vor Malware und Rootkits auf Boot- und Kernelebene schützen. Weitere Informationen finden Sie unter Secure Boot.
    • Legen Sie die Option vTPM aktivieren fest, um das Virtual Trusted Platform Module (vTPM) zu aktivieren oder zu deaktivieren. Bei aktiviertem vTPM wird Measured Boot aktiviert und die Integrität der VM vor und während des Hochfahrens überprüft. Weitere Informationen finden Sie unter Virtual Trusted Platform Module (vTPM).
    • Legen Sie die Option Integritätsüberwachung aktivieren fest, um die Integritätsüberwachung zu aktivieren oder zu deaktivieren. Mit der Integritätsüberwachung können Sie die Integrität beim Starten Ihrer Shielded VM-Instanzen zur Laufzeit mithilfe von Stackdriver überwachen und überprüfen. Weitere Informationen finden Sie unter Integritätsüberwachung.
  6. Klicken Sie auf Speichern, um die Änderungen an der Instanz zu bestätigen.

  7. Klicken Sie auf Start, um die Instanz neu zu starten.

gcloud

Ändern Sie die Shielded VM-Optionen der Instanz mit einem der folgenden Flags:

  • --[no-]shielded-vm-secure-boot: Secure Boot aktivieren oder deaktivieren. Mit Secure Boot können Sie Ihre VM-Instanzen vor Malware und Rootkits auf Boot- und Kernelebene schützen. Weitere Informationen finden Sie unter Secure Boot.
  • --[no-]shielded-vm-vtpm: vTPM aktivieren oder deaktivieren. Bei aktiviertem vTPM wird Measured Boot aktiviert und die Integrität der VM vor und während des Hochfahrens überprüft. Weitere Informationen finden Sie unter Virtual Trusted Platform Module (vTPM).
  • --[no-]shielded-vm-integrity-monitoring: Integritätsüberwachung aktivieren oder deaktivieren. Mit Integritätsüberwachung können Sie die Integrität beim Starten Ihrer Shielded VM-Instanzen zur Laufzeit mithilfe von Stackdriver-Berichten überwachen und überprüfen. Weitere Informationen finden Sie unter Integritätsüberwachung.

Im folgenden Beispiel wird in der VM-Instanz my-instance das vTPM deaktiviert:

  1. Beenden Sie die Instanz:

    gcloud compute instances stop my-instance
    
  2. Aktualisieren Sie die Instanz:

    gcloud compute instances update my-instance --no-shielded-vm-vtpm
    
  3. Starten Sie die Instanz neu:

    gcloud compute instances start my-instance
    

API

  1. Führen Sie zum Aktivieren oder Deaktivieren von Shielded VM-Optionen mit der REST API einen PATCH-Aufruf an folgende URL aus:

    PATCH https://www.googleapis.com/compute/projects/[PROJECT-ID]/zones/zone/instances/[INSTANCE]/updateShieldedInstanceConfig

    Sie müssen den Aufruf POST https://www.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/stop ausführen, bevor Sie die Optionen für Shielded VMs ändern, und den Aufruf POST https://www.googleapis.com/compute/v1/projects/[PROJECT-ID]/zones/[ZONE]/instances/[RESOURCE-ID]/start</code> im Anschluss daran.

  2. Geben Sie die zu aktivierenden oder deaktivierenden Shielded VM-Optionen mit den folgenden booleschen Elementen im Anfragetext an:

    • enableSecureBoot: Secure Boot aktivieren oder deaktivieren. Mit Secure Boot können Sie Ihre VM-Instanzen vor Malware und Rootkits auf Boot- und Kernelebene schützen. Weitere Informationen finden Sie unter Secure Boot.
    • enableVtpm: vTPM aktivieren oder deaktivieren. Bei aktiviertem vTPM wird Measured Boot aktiviert und die Integrität der VM vor und während des Hochfahrens überprüft. Weitere Informationen finden Sie unter Virtual Trusted Platform Module (vTPM).
    • enableIntegrityMonitoring: Integritätsüberwachung aktivieren oder deaktivieren. Mit der Integritätsüberwachung können Sie die Integrität beim Starten der Laufzeit Ihrer Shielded VM-Instanzen mithilfe von Stackdriver-Berichten überwachen und überprüfen. Weitere Informationen finden Sie unter Integritätsüberwachung.

    Im folgenden Beispiel wird für eine VM-Instanz Secure Boot deaktiviert und die Integritätsüberwachung aktiviert:

    PATCH https://www.googleapis.com/compute/projects/my-project/zones/us-central1-b/instances/my-instance/updateShieldedInstanceConfig?key={YOUR_API_KEY}
     {
      "enableSecureBoot": false,
      "enableIntegrityMonitoring": true
    }

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Compute Engine-Dokumentation