Jak przekonwertować niezaszyfrowany EBS do zaszyfrowania

18

Mam wiele starszych woluminów EBS, które nie są zaszyfrowane. Aby spełnić nowe korporacyjne środki bezpieczeństwa, wszystkie dane muszą zostać „zaszyfrowane w spoczynku”, dlatego muszę przekonwertować wszystkie woluminy do zaszyfrowania.

Jaki jest najlepszy sposób na osiągnięcie tego?

Szary
źródło

Odpowiedzi:

37

Możliwe jest skopiowanie niezaszyfrowanej migawki EBS do zaszyfrowanej migawki EBS. Można więc zastosować następujący proces:

  1. Zatrzymaj instancję EC2.
  2. Utwórz migawkę EBS woluminu, który chcesz zaszyfrować.
  3. Skopiuj migawkę EBS, szyfrując kopię w tym procesie.
  4. Utwórz nowy wolumin EBS na podstawie nowej zaszyfrowanej migawki EBS. Nowy wolumin EBS zostanie zaszyfrowany.
  5. Odłącz oryginalny wolumin EBS i dołącz nowy zaszyfrowany wolumin EBS, upewniając się, że jest zgodny z nazwą urządzenia (/ dev / xvda1 itp.)
Matt Houser
źródło
1
Łał. Nie wiedziałem, że matowy. Dobry.
Gray
2
Aby być pedantycznym, kliknij niezaszyfrowaną migawkę, pociągnij w dół, aby skopiować, a następnie kliknij przycisk szyfrowania, aby zaszyfrować kopię.
Gray
4
Jedna mała gotcha. Upewnij się, że Twoja instancja obsługuje również zaszyfrowany EBS. Możliwe, że jesteś w instancji, która tego nie robi. Ale to tylko kwestia zatrzymania instancji, a następnie zmiany typu.
Dave Beer
Z jakiegoś powodu po wykonaniu tego zaszyfrowany wolumin zostanie zamontowany TYLKO jako tylko do odczytu ...
Douglas Gaskell
Jesteś człowiekiem.
aran
0

[[To nie jest właściwa odpowiedź, a nie sposób, w jaki teraz to robimy, ale zostawię to tutaj na wypadek, gdyby ktokolwiek znalazł jakąś użyteczność, by zrobić to „na twardo”. ]]

Poniższy proces sprawdził się w przypadku konwersji naszych istniejących woluminów EBS na woluminy zaszyfrowane.

  • Utwórz wolumin o tym samym dokładnym rozmiarze i w tej samej strefie dostępności, co wolumin niezaszyfrowany, ale z włączonym szyfrowaniem. Jeśli stary wolumin ma nazwę „XYZ”, nazwij nowy wolumin jako „Nowy XYZ”, aby go nie stracić. Używamy domyślnych kluczy szyfrowania AWS, ale dokumenty EBS zawierają inne opcje .
  • Uruchom tymczasową instancję systemu Linux jako maszynę konwertującą w tej samej strefie dostępności, co wolumin. Naprawdę wystarczy każda instancja wielkości, chociaż zoptymalizowane instancje EBS mogą szybciej zakończyć migrację.
  • Zamknij instancję z bieżącym niezaszyfrowanym woluminem.
  • Odłącz niezaszyfrowany wolumin od instancji.
  • Dołącz niezaszyfrowany wolumin do instancji konwertera. Obserwuj urządzenie, o którym mówi okno dialogowe dołączania. Pierwszy dodatkowy tom powinien być podobny /dev/sdf.
  • Dołącz nowy zaszyfrowany wolumin, który właśnie utworzyłeś, również do instancji konwertera. Prawdopodobnie będzie to drugi dodatkowy tom /dev/sdg.
  • Zaloguj się do instancji konwertera jako root lub jako użytkownik z dostępem sudo.
  • Jeśli spojrzeć na /proc/diststatspliku, na dole powinieneś zobaczyć coś podobnego xvdfi xvdgktóre odpowiadają załączonych dodatkowych przegród. Nazwy mogą się różnić w zależności od używanego wariantu / wersji jądra Linux. W razie jakichkolwiek pytań możesz sprawdzić /proc/diststatsplik przed załączeniem, aby zobaczyć, które partycje są dodawane.

    ...
    # root partition
    202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
    # swap partion
    202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
    # first attached drive, corresponds to /dev/xvdf
    202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
    # second attached drive, corresponds to /dev/xvdg
    202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
    
  • Uruchom następujące ddpolecenie, aby skopiować ze źródłowego niezaszyfrowanego woluminu na docelowy zaszyfrowany wolumin. OSTRZEŻENIE: To polecenie może być bardzo destrukcyjne. Nie spiesz się. Sprawdź dwa razy, wytnij raz. Niech ktoś zajrzy ci przez ramię. Pomogą ci one w usunięciu twoich danych. Bądźmy ostrożni!

    # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
    dd bs=16k if=/dev/xvdf of=/dev/xvdg
    
  • Poczekaj na zakończenie działania polecenia dd i wróć do wiersza polecenia. W naszych przypadkach dysk 16 GB zajął ~ 5 minut, więc możesz wykonać obliczenia matematyczne z większym. Twój przebieg może się różnić.
  • Odłącz zarówno niezaszyfrowane, jak i nowe zaszyfrowane woluminy z instancji konwertera.
  • Dołącz nowy zaszyfrowany wolumin do instancji, która wcześniej korzystała z niezaszyfrowanego woluminu, i uruchom go.
  • Kiedy się pojawi, zrób to, co musisz zrobić, aby sprawdzić, czy system wygląda dobrze.
  • Zmień nazwę woluminu z „XYZ” na „Old XYZ”. Zmień nazwę „Nowy XYZ” na „XYZ”. Zostaw wolumin „Old XYZ” na wypadek, gdybyś musiał przywrócić, jeśli wystąpią problemy.
Szary
źródło