Suas VMs baseadas em UEFI no local serão migradas automaticamente para os hosts baseados em UEFI no Compute Engine. Se preferir, é possível especificar que as VMs baseadas em UEFI usem a Inicialização segura, um recurso das VMs protegidas. Elas oferecem suporte aos seguintes recursos adicionais:
- Módulo de plataforma confiável e virtual (vTPM)
- Monitoramento da integridade
Faça a migração usando runbooks, migrando VMs em ondas. Em seu runbook, especifique se a VM baseada em UEFI migrada precisa usar a Inicialização segura quando for inicializada no Compute Engine.
Pré-requisitos
- A VM de origem precisa usar um sistema operacional compatível. Para uma lista de sistemas operacionais compatíveis para migração de UEFI para VMs protegidas, consulte esta página.
Limitações
O suporte à migração para VMs com base em UEFI é limitado das seguintes maneiras:
- Não há suporte para certificados personalizados (quando o kernel é assinado manualmente). Sua VM de origem precisa ser assinada por uma autoridade de certificação (CA, na sigla em inglês) compatível com o Google Cloud. Se a VM não for assinada por uma CA compatível, poderá ocorrer falha na inicialização. Se isso acontecer, verifique no registro se há uma violação de segurança.
Como funciona a migração de VMs com base em UEFI
- Ao iniciar a migração, o Migrate for Compute Engine identifica se a VM de origem tem como base UEFI ou BIOS. Se a VM usar UEFI, ela será migrada para uma VM do Compute Engine que usa UEFI.
- Se a Inicialização segura tiver sido especificada no runbook, o Migrate for Compute Engine acionará o Compute Engine para ativar a Inicialização segura na VM migrada.
- O Compute Engine inicializará a VM migrada.
- Após a remoção, é possível ativar outros recursos da VM protegida, como vTPM e monitoramento de integridade.
Como migrar VMs com base em UEFI
- Crie um runbook que inclua as VMs baseadas em UEFI que queira migrar.
- Para cada VM baseada em UEFI no seu runbook, especifique se a VM precisa ser inicializada com a Inicialização segura. O runbook fornece os seguintes campos específicos para VMs baseadas em UEFI. Para ver mais campos do runbook, consulte a referência do runbook.
Campo Obrigatório Formato Descrição BootFirmware Não UEFI
ouBIOS
Incluído pelo Migrate for Compute Engine quando o runbook é gerado. Quando este valor for UEFI
, será possível ativar a Inicialização segura para a VM migrada no Compute Engine especificandoTRUE
na colunaGcpSecureBoot
.Os valores incluem
UEFI
para VMs de origem com base em UEFI eBIOS
para a AWS, além de VMs do vSphere BIOS e do Azure.GcpSecureBoot Não TRUE
ouFALSE
. O padrão éFALSE
.Use TRUE
para especificar que uma VM de origem baseada em UEFI precisa ter a Inicialização segura ativada após a migração. O padrão éFALSE
. O campoBootFirmware
precisa ser definido comoUEFI
para que um valorGcpSecureBoot
TRUE
seja aceito. Migre em ondas.
A Inicialização segura não está ativada durante o streaming de migração. Para VMs marcadas no runbook para ativação da Inicialização segura, o Migrate for Compute Engine fará isso após a remoção.
Se preferir, depois disso, ative outros recursos da VM protegida.