通过将 BIOS 升级到 UEFI 来增强虚拟机实例的安全性

您可以将虚拟机 (VM) 实例进行现代化改造,将其由采用旧版基本输入/输出系统 (BIOS) 升级为支持统一可扩展固件接口 (UEFI) 的安全强化型虚拟机实例,从而增强云安全性。Migrate to VMs 现代化改造流程通过保护启动流程来提高安全性和运维效率。

安全强化型虚拟机通过保护启动流程来提供强大的威胁防护功能。如需详细了解启动过程面临的威胁以及如何使用安全强化型虚拟机来保护云工作负载,请参阅使用安全强化型虚拟机来增强云安全性

准备工作

在开始此任务之前,您需要先满足以下前提条件:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  5. Verify that billing is enabled for your Google Cloud project.

  6. 确保您有可迁移到的现有虚拟机实例,或者创建新的虚拟机实例
  7. 确保已授予以下 Identity and Access Management 角色。如需了解详情,请参阅授予所需权限
    1. VM Migration Administrator
    2. VM Migration Service Agent

    8. 费用

    本教程使用 Google Cloud的以下收费组件:

    查看各项服务的价格页面,了解可能产生的费用。您还可以使用Google Cloud 价格计算器根据您的预计用量来估算费用。

    迁移虚拟机实例并对其进行现代化改造

    以下部分介绍了如何纳入、复制和配置您的虚拟机实例,以便进行 BIOS 到 UEFI 的转换和安全强化型虚拟机的部署。

    如需更全面地了解如何使用 Migrate to VMs 将虚拟机实例迁移到Google Cloud ,请参阅迁移单个虚拟机

    纳入来源虚拟机实例

    迁移的第一阶段是纳入来源虚拟机实例。纳入是选择您要迁移到Google Cloud的虚拟机实例的过程。例如,您的数据中心可能包含数十、数百甚至数千个虚拟机实例。您只需纳入要迁移的虚拟机实例。

    1. 在 Google Cloud 控制台中,前往 Migrate to VMs 页面。

      前往 Migrate to VMs

    2. 选择来源标签页。

    3. 从列表中选择迁移来源。

    4. 确保来源状态为有效(已连接)。如果虚拟机实例的状态为离线待处理,请排查并解决相关问题。

    5. 从列表中选择一个或多个要迁移的虚拟机实例。

    6. 点击添加迁移作业 > VM Migration

    7. 确认该操作。复制状态会显示为待处理就绪

    开始复制

    复制是一个持续的过程,可将数据从来源虚拟机实例复制到 Google Cloud。此过程会在后台持续运行,直到您执行最终切换或停止迁移为止。

    如需开始复制来源虚拟机,请按照以下步骤操作:

    1. 前往迁移标签页。

      前往 Migrate to VMs

    2. 查找复制状态为就绪的虚拟机实例。

    3. 选择一个或多个虚拟机实例。

    4. 点击迁移 > 开始复制

    5. 监控复制进度。首次同步会执行完整磁盘快照,可能需要一些时间来完成。有效状态表示每两小时会进行一次增量同步。

    将 BIOS 转换为 UEFI

    如需将虚拟机实例从 BIOS 转换为 UEFI,请按照以下步骤操作。 Migrate to VMs 会在实例适配过程中执行从 BIOS 到 UEFI 的转换。

    1. 在 Google Cloud 控制台中打开 Migrate to VMs 页面。

      前往 Migrate to VMs

    2. 前往迁移标签页。

    3. 从列表中选择一个或多个虚拟机实例。

    4. 点击修改目标详情

    5. 在侧边栏中,配置 Compute Engine 目标设置。

    6. 如需启用从 BIOS 到 UEFI 的转换,请在高级设置中将启动模式设置为 UEFI,以便在迁移期间自动将 BIOS 转换为 UEFI。