Jak przekonwertować niezaszyfrowany EBS do zaszyfrowania

Mam wiele starszych woluminów EBS, które nie są zaszyfrowane. Aby spełnić nowe korporacyjne środki bezpieczeństwa, wszystkie dane muszą zostać „zaszyfrowane w spoczynku”, dlatego muszę przekonwertować wszystkie woluminy do zaszyfrowania.

Jaki jest najlepszy sposób na osiągnięcie tego?

Możliwe jest skopiowanie niezaszyfrowanej migawki EBS do zaszyfrowanej migawki EBS. Można więc zastosować następujący proces:

1. Zatrzymaj instancję EC2.
2. Utwórz migawkę EBS woluminu, który chcesz zaszyfrować.
3. Skopiuj migawkę EBS, szyfrując kopię w tym procesie.
4. Utwórz nowy wolumin EBS na podstawie nowej zaszyfrowanej migawki EBS. Nowy wolumin EBS zostanie zaszyfrowany.
5. Odłącz oryginalny wolumin EBS i dołącz nowy zaszyfrowany wolumin EBS, upewniając się, że jest zgodny z nazwą urządzenia (/ dev / xvda1 itp.)

[[To nie jest właściwa odpowiedź, a nie sposób, w jaki teraz to robimy, ale zostawię to tutaj na wypadek, gdyby ktokolwiek znalazł jakąś użyteczność, by zrobić to „na twardo”. ]]

Poniższy proces sprawdził się w przypadku konwersji naszych istniejących woluminów EBS na woluminy zaszyfrowane.

• Utwórz wolumin o tym samym dokładnym rozmiarze i w tej samej strefie dostępności, co wolumin niezaszyfrowany, ale z włączonym szyfrowaniem. Jeśli stary wolumin ma nazwę „XYZ”, nazwij nowy wolumin jako „Nowy XYZ”, aby go nie stracić. Używamy domyślnych kluczy szyfrowania AWS, ale dokumenty EBS zawierają inne opcje .
• Uruchom tymczasową instancję systemu Linux jako maszynę konwertującą w tej samej strefie dostępności, co wolumin. Naprawdę wystarczy każda instancja wielkości, chociaż zoptymalizowane instancje EBS mogą szybciej zakończyć migrację.
• Zamknij instancję z bieżącym niezaszyfrowanym woluminem.
• Odłącz niezaszyfrowany wolumin od instancji.
• Dołącz niezaszyfrowany wolumin do instancji konwertera. Obserwuj urządzenie, o którym mówi okno dialogowe dołączania. Pierwszy dodatkowy tom powinien być podobny /dev/sdf.
• Dołącz nowy zaszyfrowany wolumin, który właśnie utworzyłeś, również do instancji konwertera. Prawdopodobnie będzie to drugi dodatkowy tom /dev/sdg.
• Zaloguj się do instancji konwertera jako root lub jako użytkownik z dostępem sudo.

• Jeśli spojrzeć na /proc/diststatspliku, na dole powinieneś zobaczyć coś podobnego xvdfi xvdgktóre odpowiadają załączonych dodatkowych przegród. Nazwy mogą się różnić w zależności od używanego wariantu / wersji jądra Linux. W razie jakichkolwiek pytań możesz sprawdzić /proc/diststatsplik przed załączeniem, aby zobaczyć, które partycje są dodawane.

  ...
  # root partition
  202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
  # swap partion
  202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
  # first attached drive, corresponds to /dev/xvdf
  202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
  # second attached drive, corresponds to /dev/xvdg
  202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
  

• Uruchom następujące ddpolecenie, aby skopiować ze źródłowego niezaszyfrowanego woluminu na docelowy zaszyfrowany wolumin. OSTRZEŻENIE: To polecenie może być bardzo destrukcyjne. Nie spiesz się. Sprawdź dwa razy, wytnij raz. Niech ktoś zajrzy ci przez ramię. Pomogą ci one w usunięciu twoich danych. Bądźmy ostrożni!

  # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
  dd bs=16k if=/dev/xvdf of=/dev/xvdg
  

• Poczekaj na zakończenie działania polecenia dd i wróć do wiersza polecenia. W naszych przypadkach dysk 16 GB zajął ~ 5 minut, więc możesz wykonać obliczenia matematyczne z większym. Twój przebieg może się różnić.
• Odłącz zarówno niezaszyfrowane, jak i nowe zaszyfrowane woluminy z instancji konwertera.
• Dołącz nowy zaszyfrowany wolumin do instancji, która wcześniej korzystała z niezaszyfrowanego woluminu, i uruchom go.
• Kiedy się pojawi, zrób to, co musisz zrobić, aby sprawdzić, czy system wygląda dobrze.
• Zmień nazwę woluminu z „XYZ” na „Old XYZ”. Zmień nazwę „Nowy XYZ” na „XYZ”. Zostaw wolumin „Old XYZ” na wypadek, gdybyś musiał przywrócić, jeśli wystąpią problemy.