Verrà eseguita la migrazione automatica delle VM on-premise basate su UEFI a host basati su UEFI su Compute Engine. Facoltativamente, puoi specificare che le VM basate su UEFI utilizzino l'avvio protetto, una funzionalità delle VM schermate. Le Shielded VM forniscono supporto per le seguenti funzionalità aggiuntive:
- Virtual Trusted Platform Module (vTPM)
- Monitoraggio dell'integrità
Puoi eseguire la migrazione utilizzando runbook, eseguendo la migrazione delle VM in wave. Nel runbook, specifichi se la VM basata su UEFI di cui è stata eseguita la migrazione deve utilizzare Avvio protetto all'avvio di Compute Engine.
Prerequisiti
- La VM di origine deve utilizzare un sistema operativo supportato. Per un elenco dei sistemi operativi supportati per la migrazione da UEFI alle Shielded VM, consulta Sistemi operativi supportati.
Limitazioni
Il supporto per la migrazione a VM basate su UEFI è limitato nei seguenti modi:
- I certificati personalizzati (ad esempio, quando il kernel è firmato manualmente) non sono supportati. La VM di origine deve essere firmata da un'autorità supportata da Google Cloud. Se la VM non è firmata da una CA supportata, l'avvio potrebbe non riuscire. In questo caso, controlla se nel log è presente una violazione della sicurezza.
Come funziona la migrazione delle VM basata su UEFI
- All'inizio della migrazione, Migrate for Compute Engine identifica se la VM di origine è basata su UEFI o BIOS. Se la VM utilizza UEFI, ne verrà eseguita la migrazione a una VM di Compute Engine che utilizza UEFI.
- Se l'avvio protetto è stato specificato nel runbook, Migrate for Compute Engine abiliterà Compute Engine abiliterà Avvio protetto sulla VM di cui è stata eseguita la migrazione.
- Compute Engine avvierà la VM di cui è stata eseguita la migrazione.
- Dopo lo scollegamento, puoi facoltativamente abilitare altre funzionalità delle Shielded VM, come vTPM e monitoraggio dell'integrità.
Migrazione di VM basate su UEFI
- Crea un runbook che includa le VM basate su UEFI di cui vuoi eseguire la migrazione.
- Per ogni VM basata su UEFI nel tuo runbook, specifica se la VM deve essere avviata con Avvio protetto. Il runbook fornisce i campi seguenti specifici per le VM basate su UEFI. Per ulteriori campi del runbook, consulta la documentazione di riferimento per i runbook.
Campo Obbligatorio Formato Descrizione BootFirmware No. UEFI
oBIOS
Inclusi da Migrate for Compute Engine quando viene generato il runbook. Dove questo valore è UEFI
, puoi abilitare l'avvio protetto per la VM di cui è stata eseguita la migrazione su Compute Engine specificandoTRUE
nella colonnaGcpSecureBoot
.I valori includono
UEFI
per le VM di origine basate su UEFI eBIOS
per le VM vSphere BIOS, AWS e Azure.GcpSecureBoot No. TRUE
oFALSE
. Il valore predefinito èFALSE
.Utilizza TRUE
per specificare che l'avvio protetto deve essere abilitato per una VM di origine basata su UEFI dopo la migrazione. Il valore predefinito èFALSE
. Il campoBootFirmware
deve essere impostato suUEFI
affinché un valoreTRUE
diGcpSecureBoot
venga accettato. Esegui la migrazione in wave.
Tieni presente che l'avvio protetto non è abilitato durante il flusso di migrazione. Per le VM contrassegnate nel runbook con Avvio protetto abilitato, Migrate for Compute Engine abilita Avvio protetto dopo lo scollegamento.
Dopo lo scollegamento, abilita altre funzionalità delle Shielded VM.