以前のバージョンの Migrate for Compute Engine(旧称 Velostrata)のドキュメントをご覧ください。このバージョンを引き続き使用することも、現在のバージョンを使用することもできます。

UEFI ベースの VM への移行

オンプレミスの UEFI ベースの VM は、Compute Engine 上の UEFI ベースのホストに自動的に移行されます。オプションで、UEFI ベースの VM が Shielded VM の機能であるセキュアブートを使用するように指定できます。Shielded VM は、次の追加機能に対応しています。

  • 仮想トラステッド プラットフォーム モジュール(vTPM)
  • 整合性モニタリング

ランブックを使用して移行し、VM を Wave で移行します。ランブックでは、Compute Engine での起動時に、移行された UEFI ベースの VM でセキュアブートを使用するかどうかを指定します。

要件

  • ソース VM はサポートされているオペレーティング システムを使用する必要があります。UEFI から Shielded VM への移行に際し、サポート対象となっているオペレーティング システムの一覧については、サポートされているオペレーティング システムを参照してください。

制限事項

UEFI ベースの VM への移行には、次のような制限があります。

  • カーネルが手動で署名された場合など、カスタム証明書はサポートされません。ソース VM は、Google Cloud がサポートしている認証局により署名されている必要があります。VM がサポートされている CA によって署名されていない場合、起動に失敗する可能性があります。失敗した場合は、セキュリティ違反がないかログを確認してください。

UEFI ベースの VM 移行の仕組み

  1. 移行の開始時、Migrate for Compute Engine は、ソース VM が UEFI ベースか BIOS ベースかを識別します。VM が UEFI を使用している場合、UEFI を使用する Compute Engine VM に移行されます。
  2. ランブックでセキュアブートが指定されていた場合、Migrate for Compute Engine により移行された VM で Compute Engine のセキュアブートが有効になります。
  3. Compute Engine によって、移行された VM が起動します。
  4. 接続の解除後、必要に応じて、vTPM や整合性モニタリングなどの他の Shielded VM の機能を有効にできます。

UEFI ベースの VM の移行

  1. 移行する UEFI ベースの VM を含むランブックを作成します。
  2. ランブック内で、UEFI ベースの VM ごとに、セキュアブートで VM を起動するかどうかを指定します。ランブックには、UEFI ベースの VM に固有の次のフィールドがあります。ランブックの詳細については、ランブックのリファレンスをご覧ください。
    フィールド 必須 形式 説明
    BootFirmware いいえ。 UEFI または BIOS ランブックが生成される際に Migrate for Compute Engine によって追加されます。この値が UEFI の場合、GcpSecureBoot 列に TRUE を指定することで、Compute Engine で移行した VM に対してセキュアブートを有効にできます。

    値には、UEFI ベースのソース VM では UEFI、vSphere BIOS VM、AWS、Azure VM では BIOS が含まれます。

    GcpSecureBoot いいえ。 TRUE または FALSE。デフォルトは FALSE です。 移行後に UEFI ベースのソース VM でセキュアブートを有効にする必要がある場合は、TRUE を指定します。デフォルトは FALSE です。GcpSecureBoot に値 TRUE 指定するには、BootFirmware フィールドを UEFI に設定する必要があります。
  3. Wave で移行します。

    移行ストリーミング中はセキュアブートは有効になりません。ランブックで VM のセキュアブートが有効に指定されている場合、Migrate for Compute Engine は接続解除後にセキュアブートを有効にします。

  4. 接続の解除後、必要に応じて Shielded VM の追加機能を有効にします。