オンプレミスの UEFI ベースの VM は、Compute Engine 上の UEFI ベースのホストに自動的に移行されます。オプションで、UEFI ベースの VM が Shielded VM の機能であるセキュアブートを使用するように指定できます。Shielded VM は、次の追加機能に対応しています。
- 仮想トラステッド プラットフォーム モジュール(vTPM)
- 整合性モニタリング
ランブックを使用して移行し、VM を段階的に移行します。ランブックでは、Compute Engine での起動時に、移行された UEFI ベースの VM でセキュアブートを使用するかどうかを指定します。
前提条件
- ソース VM はサポートされているオペレーティング システムを使用する必要があります。UEFI から Shielded VM への移行に際し、サポート対象となっているオペレーティング システムの一覧については、サポートされているオペレーティング システムを参照してください。
制限事項
UEFI ベースの VM への移行には、次のような制限があります。
- カーネルが手動で署名された場合など、カスタム証明書はサポートされません。ソース VM は、Google Cloud がサポートしている認証局により署名されている必要があります。VM がサポートされている CA によって署名されていない場合、起動に失敗する可能性があります。失敗した場合は、セキュリティ違反がないかログを確認してください。
UEFI ベースの VM 移行の仕組み
- 移行の開始時、Migrate for Compute Engine は、ソース VM が UEFI ベースか BIOS ベースかを識別します。VM が UEFI を使用している場合、UEFI を使用する Compute Engine VM に移行されます。
- ランブックでセキュアブートが指定されていた場合、Migrate for Compute Engine により移行された VM で Compute Engine のセキュアブートが有効になります。
- Compute Engine によって、移行された VM が起動します。
- 接続の解除後、必要に応じて、vTPM や整合性モニタリングなどの他の Shielded VM の機能を有効にできます。
UEFI ベースの VM の移行
- 移行する UEFI ベースの VM を含むランブックを作成します。
- ランブック内で、UEFI ベースの VM ごとに、セキュアブートで VM を起動するかどうかを指定します。ランブックには、UEFI ベースの VM に固有の次のフィールドがあります。ランブックの詳細については、ランブックのリファレンスをご覧ください。
フィールド 必須 形式 説明 BootFirmware いいえ。 UEFIまたはBIOSランブックが生成される際に Migrate for Compute Engine によって追加されます。この値が UEFIの場合、GcpSecureBoot列にTRUEを指定することで、Compute Engine で移行した VM に対してセキュアブートを有効にできます。値には、UEFI ベースのソース VM では
UEFI、vSphere BIOS VM、AWS、Azure VM ではBIOSが含まれます。GcpSecureBoot いいえ。 TRUEまたはFALSE。デフォルトはFALSEです。移行後に UEFI ベースのソース VM でセキュアブートを有効にする必要がある場合は、 TRUEを指定します。デフォルトはFALSEです。GcpSecureBootに値TRUE指定するには、BootFirmwareフィールドをUEFIに設定する必要があります。 Wave で移行します。
移行ストリーミング中はセキュアブートは有効になりません。ランブックで VM のセキュアブートが有効に指定されている場合、Migrate for Compute Engine は接続解除後にセキュアブートを有効にします。
接続の解除後、必要に応じて Shielded VM の追加機能を有効にします。