Как преобразовать незашифрованный EBS в зашифрованный

18

У меня есть несколько старых томов EBS, которые не зашифрованы. Для удовлетворения новых корпоративных мер безопасности все данные должны быть «зашифрованы в покое», поэтому мне нужно преобразовать все тома, которые должны быть зашифрованы.

Каков наилучший способ сделать это?

Серый
источник

Ответы:

37

Можно скопировать незашифрованный снимок EBS в зашифрованный снимок EBS. Таким образом, можно использовать следующий процесс:

  1. Остановите свой экземпляр EC2.
  2. Создайте снимок EBS тома, который вы хотите зашифровать.
  3. Скопируйте снимок EBS, зашифровав копию в процессе.
  4. Создайте новый том EBS из нового зашифрованного снимка EBS. Новый том EBS будет зашифрован.
  5. Отключите исходный том EBS и подключите новый зашифрованный том EBS, убедившись, что он соответствует имени устройства (/ dev / xvda1 и т. Д.)
Мэтт Хаузер
источник
1
Вау. Не знал, что мат. Хороший.
Серый
2
Просто чтобы быть педантичным, вы нажимаете на незашифрованный снимок, опускаетесь, чтобы скопировать, и нажимаете кнопку шифрования, чтобы зашифровать копию.
Серый
4
Одна маленькая ошибка Убедитесь, что ваш экземпляр также поддерживает зашифрованные EBS. Возможно, вы находитесь в инстансе, который этого не делает. Но это просто вопрос остановки экземпляра, а затем изменения типа.
Дейв Пив
По какой-то причине после этого зашифрованный том будет монтироваться ТОЛЬКО как только для чтения ...
Дуглас Гаскелл
Вы, человек, человек.
Аран
0

[[Это не правильный ответ и не то, как мы делаем вещи сейчас, но я оставлю это здесь на случай, если кто-то еще найдет какую-то полезность, чтобы сделать это «трудным путем». ]]

Следующий процесс хорошо работал для нас, чтобы преобразовать наши существующие тома EBS в зашифрованные тома.

  • Создайте том такого же точного размера и в той же зоне доступности, что и незашифрованный том, но с включенным шифрованием. Если старый том называется «XYZ», назовите новый том как «Новый XYZ», чтобы не потерять его. Мы используем стандартные ключи шифрования AWS, но в документации по EBS есть и другие варианты .
  • Загрузите временный экземпляр linux в качестве машины конвертера в ту же зону доступности, что и том. Подойдет экземпляр любого размера, хотя оптимизированные EBS экземпляры могут выполнить миграцию быстрее.
  • Завершите работу экземпляра с текущим незашифрованным томом.
  • Отключите незашифрованный том от экземпляра.
  • Подключите незашифрованный том к экземпляру конвертера. Наблюдайте устройство, которое диалоговое окно присоединения говорит, что оно монтирует как Первый дополнительный том должен быть примерно таким /dev/sdf.
  • Присоедините только что созданный зашифрованный том к экземпляру конвертера. Второй дополнительный том, вероятно, будет /dev/sdg.
  • Зарегистрируйтесь в экземпляре конвертера как пользователь root или как пользователь с доступом sudo.
  • Если вы посмотрите на /proc/diststatsфайл, внизу вы увидите что-то похожее xvdfи xvdgсоответствующее прикрепленным дополнительным разделам. Имена могут отличаться в зависимости от используемого вами варианта / версии ядра Linux. Если есть какие-либо вопросы, вы можете проверить /proc/diststatsфайл перед прикреплением, чтобы увидеть, какие разделы добавляются.

    ...
    # root partition
    202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
    # swap partion
    202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
    # first attached drive, corresponds to /dev/xvdf
    202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
    # second attached drive, corresponds to /dev/xvdg
    202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
    
  • Выполните следующую ddкоманду, чтобы скопировать с исходного незашифрованного тома на целевой зашифрованный том. ВНИМАНИЕ: эта команда может быть чрезвычайно разрушительной. Не торопитесь. Проверьте дважды, отрежьте один раз. Пусть кто-нибудь посмотрит вам через плечо. Это поможет вам уничтожить ваши данные. Будем осторожны там!

    # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
    dd bs=16k if=/dev/xvdf of=/dev/xvdg
    
  • Дождитесь окончания команды dd и вернитесь в командную строку. В нашем случае, 16-гигабайтный диск занял ~ 5 минут, так что вы можете сделать математику с большим. Ваш пробег может варьироваться.
  • Отключите незашифрованные и новые зашифрованные тома от экземпляра конвертера.
  • Присоедините новый зашифрованный том к экземпляру, который ранее использовал незашифрованный том, и загрузите его.
  • Когда это произойдет, сделайте то, что вам нужно сделать, чтобы убедиться, что система выглядит хорошо.
  • Переименуйте том из «XYZ» в «Старый XYZ». Переименуйте «Новый XYZ» в «XYZ». Оставьте объем «Старый XYZ» на случай, если вам понадобится вернуться, если возникли проблемы.
Серый
источник