Cách chuyển đổi EBS không được mã hóa thành mã hóa

Tôi có một số lượng EBS cũ hơn không được mã hóa. Để đáp ứng các biện pháp bảo mật mới của công ty, tất cả dữ liệu cần được "mã hóa khi nghỉ ngơi" vì vậy tôi cần chuyển đổi tất cả các khối lượng được mã hóa.

cách tốt nhất để thực hiện điều này là gì?

Có thể sao chép ảnh chụp nhanh EBS không được mã hóa sang ảnh chụp nhanh EBS được mã hóa. Vì vậy, quá trình sau đây có thể được sử dụng:

1. Dừng ví dụ EC2 của bạn.
2. Tạo ảnh chụp nhanh EBS của âm lượng bạn muốn mã hóa.
3. Sao chép ảnh chụp nhanh EBS, mã hóa bản sao trong quy trình.
4. Tạo một khối EBS mới từ ảnh chụp nhanh EBS được mã hóa mới của bạn. Khối lượng EBS mới sẽ được mã hóa.
5. Tháo âm lượng EBS ban đầu và đính kèm âm lượng EBS được mã hóa mới của bạn, đảm bảo khớp với tên thiết bị (/ dev / xvda1, v.v.)

[[Đây không phải là câu trả lời đúng và không phải là cách chúng tôi làm mọi thứ bây giờ nhưng tôi sẽ để nó ở đây trong trường hợp bất kỳ ai khác tìm thấy một số tiện ích để thực hiện "cách khó". ]]

Quá trình sau đây hoạt động tốt để chúng tôi chuyển đổi khối lượng EBS hiện tại thành khối lượng được mã hóa.

• Tạo một khối lượng có cùng kích thước chính xác và trong cùng vùng khả dụng với âm lượng không được mã hóa nhưng được bật mã hóa. Nếu âm lượng cũ được đặt tên là "XYZ", hãy đặt tên cho âm lượng mới là "XYZ mới" để bạn không bị mất dấu. Chúng tôi đang sử dụng các khóa mã hóa AWS mặc định nhưng có các tùy chọn khác trong tài liệu EBS .
• Khởi động một phiên bản linux tạm thời khi máy chuyển đổi vào cùng vùng khả dụng với âm lượng. Thực sự mọi đối tượng có kích thước sẽ làm được mặc dù các phiên bản được tối ưu hóa EBS có thể hoàn thành việc di chuyển nhanh hơn.
• Tắt máy với khối lượng không được mã hóa hiện tại.
• Tách khối lượng không được mã hóa từ ví dụ.
• Đính kèm âm lượng không được mã hóa vào thể hiện của trình chuyển đổi. Xem thiết bị mà hộp thoại đính kèm cho biết nó đang được gắn dưới dạng. Khối lượng bổ sung đầu tiên nên là một cái gì đó như /dev/sdf.
• Đính kèm âm lượng được mã hóa mới mà bạn vừa tạo vào đối tượng chuyển đổi. Khối lượng bổ sung thứ hai có thể sẽ được /dev/sdg.
• Đăng nhập vào phiên bản trình chuyển đổi với quyền root hoặc người dùng có quyền truy cập sudo.

• Nếu bạn nhìn vào /proc/diststatstệp, ở phía dưới, bạn sẽ thấy một cái gì đó giống xvdfvà xvdgtương ứng với các phân vùng bổ sung kèm theo. Tên có thể khác nhau tùy thuộc vào biến thể / phiên bản Linux Kernel bạn đang sử dụng. Nếu có bất kỳ câu hỏi nào, bạn có thể kiểm tra /proc/diststatstệp trước khi đính kèm để xem phân vùng nào được thêm vào.

  ...
  # root partition
  202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
  # swap partion
  202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
  # first attached drive, corresponds to /dev/xvdf
  202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
  # second attached drive, corresponds to /dev/xvdg
  202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
  

• Chạy ddlệnh sau để sao chép từ ổ đĩa không được mã hóa vào ổ đĩa được mã hóa đích. CẢNH BÁO: Lệnh này có thể cực kỳ phá hủy. Hãy dành thời gian của bạn. Kiểm tra hai lần, cắt một lần. Có người nhìn qua vai bạn. Những điều này sẽ giúp bạn khỏi rác dữ liệu của bạn. Hãy cẩn thận!

  # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
  dd bs=16k if=/dev/xvdf of=/dev/xvdg
  

• Đợi lệnh dd kết thúc và quay lại dấu nhắc lệnh. Trong các trường hợp của chúng tôi, một đĩa 16gb mất ~ 5 phút để bạn có thể làm toán với dung lượng lớn hơn. Số dặm của bạn có thể thay đổi.
• Tách cả khối lượng mã hóa mới và không được mã hóa khỏi phiên bản trình chuyển đổi.
• Đính kèm ổ đĩa được mã hóa mới vào thể hiện đang sử dụng ổ đĩa không được mã hóa trước đó và khởi động nó.
• Khi nó xuất hiện, hãy làm những gì bạn cần làm để xác nhận rằng hệ thống có vẻ tốt.
• Đổi tên âm lượng từ "XYZ" thành "XYZ cũ". Đổi tên "XYZ mới" thành "XYZ". Để lại xung quanh âm lượng "XYZ cũ" trong trường hợp bạn cần hoàn nguyên nếu có vấn đề.