Як конвертувати незашифровану EBS для шифрування

У мене є кілька старих томів EBS, які не зашифровані. Задовольняючи нові заходи корпоративної безпеки, всі дані потрібно "зашифрувати в стані спокою", тому мені потрібно перетворити всі томи, які підлягають шифруванню.

Який найкращий спосіб досягти цього?

Можна скопіювати незашифрований знімок EBS на зашифрований знімок EBS. Отже, можна використовувати наступний процес:

1. Зупиніть свій екземпляр EC2.
2. Створіть EBS-знімок обсягу, який потрібно зашифрувати.
3. Скопіюйте знімок EBS, зашифрувавши копію в процесі.
4. Створіть новий том EBS за допомогою нового зашифрованого знімка EBS. Новий том EBS буде зашифрований.
5. Вилучіть оригінальний об'єм EBS і додайте новий зашифрований об'єм EBS, переконайтесь, що він відповідає назві пристрою (/ dev / xvda1 тощо)

[[Це не правильна відповідь, і не те, як ми робимо справи зараз, але я залишу це тут, якщо хтось знайде якусь корисність зробити це "важким шляхом". ]]

Наступний процес спрацював для нас, щоб перетворити наявні томи EBS в зашифровані томи.

• Створіть об'єм такого ж точного розміру та в тій же зоні наявності, що і незашифрований том, але з увімкненим шифруванням. Якщо старий том називається "XYZ", назвіть новий том як "Новий XYZ", щоб ви не втратили його. Ми використовуємо ключі шифрування AWS за замовчуванням, але в документах EBS є й інші параметри .
• Завантажте тимчасовий екземпляр Linux, як машина перетворювача, у ту ж зону наявності, що і об'єм. Дійсно будь-який розмір екземпляра зробить, хоча оптимізовані EBS екземпляри можуть завершити міграцію швидше.
• Вимкніть примірник із поточним незашифрованим томом.
• Від'єднайте незашифрований том від примірника
• Приєднайте незашифрований том до екземпляра перетворювача. Подивіться на пристрій, за яким в діалоговому вікні додавання говориться, що він встановлюється як. Перший додатковий том повинен бути чимось на кшталт /dev/sdf.
• Приєднайте новий зашифрований том, який ви тільки що створили, також до екземпляра перетворювача. Мабуть, буде другий додатковий том /dev/sdg.
• Увійдіть в екземпляр перетворювача як root або як користувач із доступом до sudo.

• Якщо ви подивіться на /proc/diststatsфайл, в нижній частині ви повинні побачити що - щось на зразок xvdfі xvdgякі відповідають прикріпленим додатковим розділах. Назви можуть бути різними залежно від варіанту / версії ядра Linux, який ви використовуєте. Якщо є запитання, ви можете перевірити /proc/diststatsфайл, перш ніж приєднати, щоб побачити, які розділи додані.

  ...
  # root partition
  202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
  # swap partion
  202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
  # first attached drive, corresponds to /dev/xvdf
  202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
  # second attached drive, corresponds to /dev/xvdg
  202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
  

• Виконайте наступну ddкоманду, щоб скопіювати з вихідного незашифрованого тома до зашифрованого тома призначення. УВАГА: Ця команда може бути надзвичайно руйнівною. Не поспішай. Перевірити двічі, один раз вирізати. Попросіть когось поглянути через ваше плече. Це допоможе вам відшкодувати свої дані. Будьмо обережні там!

  # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
  dd bs=16k if=/dev/xvdf of=/dev/xvdg
  

• Зачекайте, коли команда dd закінчиться і поверніться до командного рядка. У наших випадках диск на 16 Гб зайняв ~ 5 хвилин, щоб ви могли робити математику з більшими. Ваш пробіг може відрізнятися.
• Від'єднайте як незашифровані, так і нові зашифровані томи від екземпляра перетворювача.
• Приєднайте новий зашифрований том до екземпляра, який раніше використовував незашифрований том, та завантажте його.
• Коли з'являється, зробіть те, що вам потрібно зробити, щоб перевірити, чи виглядає система добре.
• Перейменуйте гучність з "XYZ" на "Старий XYZ". Перейменуйте "Новий XYZ" на "XYZ". Залиште навколо "Old XYZ" гучності, якщо вам потрібно буде повернути назад, якщо виникли проблеми.