UEFI 기반 VM은 Compute Engine에서 UEFI 기반 호스트에 자동으로 마이그레이션됩니다. 선택적으로 UEFI 기반 VM이 보안 VM의 기능인 보안 부팅을 사용하도록 지정할 수 있습니다. 보안 VM은 다음과 같은 추가 기능을 지원합니다.
- vTPM(Virtual Trusted Platform Module)
- 무결성 모니터링
런북을 사용하여 웨이브에서 VM을 마이그레이션합니다. 런북에서 마이그레이션된 UEFI 기반 VM이 Compute Engine에서 부팅될 때 보안 부팅을 사용해야 하는지 여부를 지정합니다.
기본 요건
- 소스 VM은 지원되는 운영체제를 사용해야 합니다. UEFI에서 보안 VM으로의 마이그레이션에 지원되는 운영체제 목록은 지원되는 운영체제를 참조하세요.
제한사항
UEFI 기반 VM으로의 마이그레이션에 대한 지원은 다음과 같은 방식으로 제한됩니다.
- 커스텀 인증서가 지원되지 않습니다(커널이 수동으로 서명된 경우). 소스 VM은 Google Cloud에서 지원하는 기관에서 서명되어 있어야 합니다. VM이 지원되는 CA에 의해 서명되지 않았으면 부팅이 실패할 수 있습니다. 이 경우에는 로그에서 보안 위반 사항이 있는지 확인합니다.
UEFI 기반 VM 마이그레이션의 작동 방식
- 마이그레이션을 시작할 때 Migrate for Compute Engine은 소스 VM이 UEFI 기반인지 BIOS 기반인지 식별합니다. VM에 UEFI가 사용될 경우에는 UEFI를 사용하는 Compute Engine VM으로 마이그레이션됩니다.
- 보안 부팅이 런북에 지정되어 있으면 Migrate for Compute Engine이 마이그레이션된 VM에서 보안 부팅을 사용 설정합니다.
- Compute Engine이 마이그레이션된 VM을 부팅합니다.
- 분리 후에는 vTPM 및 무결성 모니터링과 같은 다른 보안 VM 기능을 선택적으로 사용 설정할 수 있습니다.
UEFI 기반 VM 마이그레이션
- 마이그레이션하려는 UEFI 기반 VM이 포함된 런북을 만듭니다.
- 런북에서 각 UEFI-기반 VM에 대해 VM을 부팅할 때 보안 부팅을 사용해야 하는지 여부를 지정합니다. 런북은 UEFI 기반 VM 고유의 다음 필드를 제공합니다. 다른 런북 필드는 런북 참조를 확인하세요.
필드 필수 형식 설명 BootFirmware 아니요 UEFI
또는BIOS
런북이 생성될 때 Migrate for Compute Engine에 의해 포함됩니다. 이 값이 UEFI
이면 Compute Engine에서TRUE
를GcpSecureBoot
열에 지정하여 마이그레이션된 VM에 대해 보안 부팅을 사용 설정할 수 있습니다.값에는 UEFI 기반 소스 VM을 위한
UEFI
와 vSphere BIOS VM, AWS, Azure VM을 위한BIOS
가 있습니다.GcpSecureBoot 아니요 TRUE
또는FALSE
. 기본값은FALSE
입니다.마이그레이션된 후 UEFI 기반 소스 VM에 보안 부팅이 사용 설정되도록 지정하려면 TRUE
를 사용합니다. 기본값은FALSE
입니다.GcpSecureBoot
TRUE
값을 사용하려면BootFirmware
필드가UEFI
로 설정되어 있어야 합니다. 웨이브에서 마이그레이션합니다.
마이그레이션 스트리밍 중에는 보안 부팅이 사용 설정되지 않습니다. 런북에서 보안 부팅이 사용 설정되도록 표시된 VM의 경우 Migrate for Compute Engine이 분리 후 보안 부팅을 사용 설정합니다.
분리 후에는 필요에 따라 추가적인 보안 VM 기능을 사용 설정합니다.