Como migrar para VMs com base em UEFI

Suas VMs baseadas em UEFI no local serão migradas automaticamente para os hosts baseados em UEFI no Compute Engine. Se preferir, é possível especificar que as VMs baseadas em UEFI usem a Inicialização segura, um recurso das VMs protegidas. Elas oferecem suporte aos seguintes recursos adicionais:

  • Módulo de plataforma confiável e virtual (vTPM, na sigla em inglês)
  • Monitoramento de integridade

Faça a migração usando runbooks, migrando VMs em ondas. Em seu runbook, especifique se a VM baseada em UEFI migrada precisa usar a Inicialização segura quando for inicializada no Compute Engine.

Pré-requisitos

  • A VM de origem precisa usar um sistema operacional compatível. Para uma lista de sistemas operacionais compatíveis para migração de UEFI para VMs protegidas, consulte Sistemas operacionais compatíveis.

Limitações

O suporte à migração para VMs com base em UEFI é limitado das seguintes maneiras:

  • Não há suporte para certificados personalizados (quando o kernel é assinado manualmente). Sua VM de origem precisa ser assinada por uma autoridade de certificação (CA, na sigla em inglês) compatível com o Google Cloud. Se a VM não for assinada por uma CA compatível, poderá ocorrer falha na inicialização. Se isso acontecer, verifique no registro se há uma violação de segurança.

Como funciona a migração de VMs com base em UEFI

  1. Ao iniciar a migração, o Migrate for Compute Engine identifica se a VM de origem tem como base UEFI ou BIOS. Se a VM usar UEFI, ela será migrada para uma VM do Compute Engine que usa UEFI.
  2. Se a Inicialização segura tiver sido especificada no runbook, o Migrate for Compute Engine acionará o Compute Engine para ativar a Inicialização segura na VM migrada.
  3. O Compute Engine inicializará a VM migrada.
  4. Após a remoção, é possível ativar outros recursos da VM protegida, como vTPM e monitoramento de integridade.

Como migrar VMs com base em UEFI

  1. Crie um runbook que inclua as VMs baseadas em UEFI que queira migrar.
  2. Para cada VM baseada em UEFI no seu runbook, especifique se a VM precisa ser inicializada com a Inicialização segura. O runbook fornece os seguintes campos específicos para VMs baseadas em UEFI. Para ver mais campos do runbook, consulte a Referência do runbook.
    Campo Obrigatório Formato Descrição
    BootFirmware Não UEFI ou BIOS Incluído pelo Migrate for Compute Engine quando o runbook é gerado. Quando este valor for UEFI, será possível ativar a Inicialização segura para a VM migrada no Compute Engine especificando TRUE na coluna GcpSecureBoot.

    Os valores incluem UEFI para VMs de origem com base em UEFI e BIOS para a AWS, além de VMs do vSphere BIOS e do Azure.

    GcpSecureBoot Não TRUE ou FALSE. O padrão é FALSE. Use TRUE para especificar que uma VM de origem baseada em UEFI precisa ter a Inicialização segura ativada após a migração. O padrão é FALSE. O campo BootFirmware precisa ser definido como UEFI para que um valor GcpSecureBoot TRUE seja aceito.
  3. Migre em ondas.

    A Inicialização segura não está ativada durante o streaming de migração. Para VMs marcadas no runbook para ativação da Inicialização segura, o Migrate for Compute Engine fará isso após a remoção.

  4. Se preferir, depois disso, ative outros recursos da VM protegida.