Как преобразовать незашифрованный EBS в зашифрованный

Можно скопировать незашифрованный снимок EBS в зашифрованный снимок EBS. Таким образом, можно использовать следующий процесс:

1. Остановите свой экземпляр EC2.
2. Создайте снимок EBS тома, который вы хотите зашифровать.
3. Скопируйте снимок EBS, зашифровав копию в процессе.
4. Создайте новый том EBS из нового зашифрованного снимка EBS. Новый том EBS будет зашифрован.
5. Отсоедините исходный том EBS и присоедините новый зашифрованный том EBS, убедившись, что имя устройства соответствует имени (/ dev / xvda1 и т. Д.)

[[Это неправильный ответ и не то, как мы сейчас что-то делаем, но я оставлю это здесь на тот случай, если кто-то еще найдет какую-нибудь полезность для решения этой «сложной задачи». ]]

Следующий процесс помог нам преобразовать существующие тома EBS в зашифрованные тома.

• Создайте объем такой же точный размер и в той же зоне доступности, что и незашифрованный том, но с включенным шифрованием. Если старый том назван «XYZ», назовите новый том «New XYZ», чтобы не потерять его из виду. Мы используем ключи шифрования AWS по умолчанию, но есть и другие варианты в Документы EBS.
• Загрузите временный экземпляр Linux в качестве конвертера в ту же зону доступности, что и том. На самом деле подойдет экземпляр любого размера, хотя экземпляры, оптимизированные для EBS, могут завершить миграцию быстрее.
• Завершите работу экземпляра с текущим незашифрованным томом.
• Отсоедините незашифрованный том от экземпляра.
• Присоедините незашифрованный том к экземпляру конвертера. Наблюдайте за устройством, которое в диалоговом окне подключения указано, как оно монтируется. Первый дополнительный том должен иметь вид /dev/sdf.
• Присоедините новый зашифрованный том, который вы только что создали, также к экземпляру конвертера. Второй дополнительный том, вероятно, будет /dev/sdg.
• Войдите в экземпляр конвертера как root или как пользователь с доступом sudo.

• Если вы посмотрите на /proc/diststats файл, внизу вы должны увидеть что-то вроде xvdf и xvdg которые соответствуют прикрепленным дополнительным перегородкам. Имена могут быть разными в зависимости от используемого варианта / версии ядра Linux. Если есть какие-либо вопросы, вы можете проверить /proc/diststats файл перед прикреплением, чтобы увидеть, какие разделы добавлены.

  ...
  # root partition
  202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
  # swap partion
  202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
  # first attached drive, corresponds to /dev/xvdf
  202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
  # second attached drive, corresponds to /dev/xvdg
  202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
  

• Выполните следующее dd команда для копирования из исходного незашифрованного тома в целевой зашифрованный том. ПРЕДУПРЕЖДЕНИЕ: Эта команда может быть очень разрушительной. Не спеши. Дважды проверьте, один раз отрежьте. Попросите кого-нибудь взглянуть через ваше плечо. Это поможет вам избавиться от ненужных данных. Будем там осторожны!

  # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
  dd bs=16k if=/dev/xvdf of=/dev/xvdg
  

• Дождитесь завершения команды dd и вернитесь в командную строку. В наших экземплярах для диска 16 ГБ потребовалось ~ 5 минут, так что вы можете посчитать с большим. Ваш пробег может отличаться.
• Отсоедините незашифрованные и новые зашифрованные тома от экземпляра конвертера.
• Присоедините новый зашифрованный том к экземпляру, который ранее использовал незашифрованный том, и загрузите его.
• Когда он появится, сделайте то, что вам нужно сделать, чтобы убедиться, что система выглядит хорошо.
• Измените имя тома с «XYZ» на «Старый XYZ». Переименуйте "New XYZ" в "XYZ". Оставьте около тома «Старый XYZ» на случай, если вам нужно будет вернуться, если возникнут проблемы.