Ihre lokalen UEFI-basierten VMs werden automatisch auf UEFI-basierte Hosts in Compute Engine migriert. Optional können Sie angeben, dass UEFI-basierte VMs das Shielded VMs-Feature "Secure Boot" verwenden. Shielded VMs unterstützen die folgenden zusätzlichen Features:
- Virtual Trusted Platform Module (vTPM)
- Integritätsmonitoring
Die Migration der VMs erfolgt in Waves mithilfe von Runbooks. Im Runbook wird festgelegt, ob die migrierte UEFI-basierte VM mit dem Feature "Secure Boot" in Compute Engine gebootet werden soll.
Vorbereitung
- Die Quell-VM muss ein unterstütztes Betriebssystem verwenden. Eine Liste der Betriebssysteme, die für die Migration von UEFI zu Shielded VMs unterstützt werden, finden Sie unter Unterstützte Betriebssysteme.
Einschränkungen
Für die Unterstützung der Migration zu UEFI-basierten VMs gelten folgende Einschränkungen:
- Benutzerdefinierte Zertifikate werden nicht unterstützt, wenn der Kernel manuell signiert wurde. Ihre Quell-VM muss von einer Stelle signiert sein, die von Google Cloud unterstützt wird. Wenn die VM nicht von einer unterstützten Zertifizierungsstelle signiert wurde, schlägt der Bootvorgang möglicherweise fehl. Prüfen Sie in diesem Fall das Log auf einen Sicherheitsverstoß.
So funktioniert eine UEFI-basierte VM-Migration
- Zu Beginn der Migration ermittelt Migrate for Compute Engine, ob die Quell-VM auf UEFI oder BIOS basiert. Wenn die VM auf UEFI basiert, wird sie zu einer Compute Engine-VM migriert, die UEFI verwendet.
- Wenn das Feature "Secure Boot" im Runbook angegeben wurde, wird es von Migrate for Compute Engine auf der migrierten VM aktiviert.
- Compute Engine bootet die migrierte VM.
- Nach dem Trennvorgang können optional weitere Shielded VM-Features wie vTPM und Integritätsüberwachung aktiviert werden.
UEFI-basierte VMs migrieren
- Erstellen Sie ein Runbook, das die UEFI-basierten VMs enthält, die Sie migrieren möchten.
- Geben Sie für jede UEFI-basierte VM im Runbook an, ob die VM mit Secure Boot gebootet werden soll. Das Runbook bietet folgende Felder für UEFI-basierte VMs. Weitere Runbook-Felder finden Sie in der Runbook-Referenz.
Feld Erforderlich Format Beschreibung BootFirmware Nein. UEFI
oderBIOS
Wird von Migrate for Compute Engine bei der Generierung des Runbooks hinzugefügt. Wenn dieser Wert UEFI
ist, können Sie Secure Boot für die migrierte VM in Compute Engine aktivieren. Geben Sie dazuTRUE
in der SpalteGcpSecureBoot
an.Mögliche Werte sind
UEFI
für UEFI-basierte Quell-VMs undBIOS
für vSphere-BIOS-VMs sowie AWS- und Azure-VMs.GcpSecureBoot Nein. TRUE
oderFALSE
. Der Standardwert istFALSE
.Mit TRUE
können Sie angeben, dass bei einer UEFI-basierten Quell-VM das Feature "Secure Boot" nach der Migration aktiviert werden soll. Der Standardwert istFALSE
. Das FeldBootFirmware
muss aufUEFI
gesetzt sein, damit derGcpSecureBoot
-WertTRUE
akzeptiert wird. Führen Sie die Migration in Waves aus.
Beachten Sie, dass Secure Boot nicht während des Migrationsstreamings aktiviert wird. Migrate for Compute Engine aktiviert das Feature "Secure Boot" für VMs, die für eine Aktivierung dieses Features im Runbook gekennzeichnet sind, nach Abschluss des Trennvorgangs.
Nach dem Trennen können Sie optional weitere Shielded VM-Features aktivieren.