迁移到基于 UEFI 的虚拟机

基于 UEFI 的虚拟机将自动迁移到 Compute Engine 上基于 UEFI 的主机。您可选择指定基于 UEFI 的虚拟机使用安全强化型虚拟机的安全启动功能。安全强化型虚拟机还对下列功能提供支持:

  • 虚拟可信平台模块 (vTPM)
  • 完整性监控

使用 Runbook 在 Wave 中迁移虚拟机。在 Runbook 中,指定已迁移的基于 UEFI 的虚拟机在 Compute Engine 上启动时是否应使用安全启动功能。

前提条件

  • 源虚拟机必须使用受支持的操作系统。如需获取支持从 UEFI 迁移到安全强化型虚拟机的操作系统列表,请参阅支持的操作系统

限制

对迁移到基于 UEFI 的虚拟机的支持在以下方面受到限制:

  • 不支持自定义证书(例如,对内核手动签名时)。源虚拟机必须由 Google Cloud 支持的授权机构进行签名。如果虚拟机未由受支持的 CA 签名,启动可能会失败。如果发生这种情况,请检查日志中是否存在安全违规。

基于 UEFI 的虚拟机迁移的工作原理

  1. 开始迁移时,Migrate for Compute Engine 会确定源虚拟机是基于 UEFI 还是基于 BIOS。如果此虚拟机使用 UEFI,则会迁移到使用 UEFI 的 Compute Engine 虚拟机。
  2. 如果已在 Runbook 中指定安全启动,则 Migrate for Compute Engine 将使 Compute Engine 能够在迁移后的虚拟机上启用安全启动。
  3. Compute Engine 将启动已迁移的虚拟机。
  4. 分离后,您可以选择启用其他安全强化型虚拟机功能,例如 vTPM 和完整性监控。

迁移基于 UEFI 的虚拟机

  1. 创建 Runbook,将要迁移的基于 UEFI 的虚拟机包含在内。
  2. 对于 Runbook 中的每个基于 UEFI 的虚拟机,指定是否应通过安全启动功能启动虚拟机。Runbook 提供了以下基于 UEFI 的虚拟机的专属字段。如需了解更多 Runbook 字段,请查看 Runbook 参考
    字段 必需 格式 说明
    BootFirmware 否。 UEFIBIOS 生成 Runbook 时由 Migrate for Compute Engine 包含在内。此值为 UEFI 时,您可以通过在 GcpSecureBoot 列中指定 TRUE,为 Compute Engine 上已迁移的虚拟机启用安全启动功能。

    值包括 UEFIBIOS,前者适用于基于 UEFI 的源虚拟机,后者适用于 vSphere BIOS 虚拟机、AWS 和 Azure 虚拟机。
    GcpSecureBoot 否。 TRUEFALSE。默认值为 FALSE 使用 TRUE 指定基于 UEFI 的源虚拟机在迁移后应启用安全启动功能。默认值为 FALSE。为使 GcpSecureBoot TRUE 值被接受,BootFirmware 字段必须设为 UEFI

  3. Wave 中迁移。

    请注意,迁移流式传输期间不启用安全启动功能。对于 Runbook 中标记为启用安全启动功能的虚拟机,Migrate for Compute Engine 会在分离后启用安全启动功能。

  4. 分离后,可选择启用其他安全强化型虚拟机功能。