Migrar a VM basadas en UEFI

Tus VM locales basadas en UEFI se migrarán en forma automática a hosts basados en UEFI en Compute Engine. Como opción, puedes indicar que las VM basadas en UEFI usen el inicio seguro, una característica de VM protegidas. Las VM protegidas admiten las siguientes funciones adicionales:

  • Módulo de plataforma segura virtual (vTPM)
  • supervisión de integridad

Migra con runbooks y migra las VM en conjunto. En tu runbook, indica si la VM migrada basada en UEFI debe usar el inicio seguro cuando se inicia en Compute Engine.

Requisitos

  • La VM de origen debe usar un sistema operativo compatible. Para ver la lista de sistemas operativos compatibles con migraciones de UEFI a VM protegidas, consulta los sistemas operativos compatibles.

Limitaciones

La compatibilidad para migrar a VM basadas en UEFI está limitada de las siguientes maneras:

  • Los certificados personalizados (como cuando el kernel está firmado de forma manual) no son compatibles. Tu VM de origen debe estar firmada por una autoridad compatible con Google Cloud. Si la VM no está firmada por una CA compatible, el inicio puede fallar. Si esto sucede, busca una violación de la seguridad en el registro.

Cómo funciona la migración de VM basada en UEFI

  1. Cuando la migración comienza, Migrate for Compute Engine identifica si la VM de origen está basada en UEFI o BIOS. Si la VM está usando UEFI, se migrará a una VM de Compute Engine que use UEFI.
  2. Si se indicó el inicio seguro en el runbook, Migrate for Compute Engine habilitará el inicio seguro en la VM migrada.
  3. Compute Engine iniciará la VM migrada.
  4. Después de la separación, tienes la opción de habilitar otras funciones de VM protegidas, como vTPM y la supervisión de integridad.

Migra las VM basadas en UEFI

  1. Crea un runbook que incluya las VM basadas en UEFI que deseas migrar.
  2. Para cada VM basada en UEFI de tu runbook, indica si la VM debe iniciarse con inicio seguro. El runbook proporciona los siguientes campos específicos para VM basadas en UEFI. Para obtener más campos de runbook, consulta la referencia de runbook.
    Campo Obligatorio Formato Descripción
    BootFirmware No. UEFI o BIOS. Incluido por Migrate for Compute Engine cuando se genera el runbook. Cuando este valor es UEFI, puedes habilitar el inicio seguro para la VM migrada en Compute Engine con la indicación TRUE en la columna GcpSecureBoot.

    Los valores incluyen UEFI para VM de origen basadas en UEFI y BIOS para VM de vSphere BIOS, AWS y Azure.

    GcpSecureBoot No. TRUE o FALSE. El valor predeterminado es FALSE. Usa TRUE para indicar que una VM de origen basada en UEFI debe tener habilitado el inicio seguro después de migrarla. El valor predeterminado es FALSE. El campo BootFirmware debe configurarse en UEFI para que se acepte un valor GcpSecureBoot TRUE.
  3. Migra en conjuntos.

    Ten en cuenta que el inicio seguro no está habilitado durante la transmisión de migración. Para las VM marcadas en el runbook que tienen habilitado el inicio seguro, Migrate for Compute Engine habilitará el inicio seguro después de la desvinculación.

  4. Después de la desvinculación, puedes habilitar características adicionales de VM protegidas.