如何将未加密的EBS转换为要加密的

我有一些未加密的较旧的EBS卷。为了满足新的公司安全措施，所有数据都需要“静态加密”，因此我需要转换所有要加密的卷。

做到这一点的最佳方法是什么？

可以将未加密的EBS快照复制到加密的EBS快照。因此可以使用以下过程：

1. 停止您的EC2实例。
2. 创建要加密的卷的EBS快照。
3. 复制EBS快照，在此过程中加密副本。
4. 从新的加密EBS快照创建新的EBS卷。新的EBS卷将被加密。
5. 分离原始EBS卷，并附加新的加密EBS卷，确保匹配设备名称（/ dev / xvda1等）。

[[这不是正确的答案，也不是我们现在的工作方式，但是如果其他人发现以某种“艰辛的方式”进行此操作的实用程序，我将在此保留。]]

以下过程非常适合我们将现有EBS卷转换为加密卷。

• 创建的卷完全相同的尺寸和相同的可用性区为未加密的卷但启用加密。如果旧卷名为“ XYZ”，则将新卷命名为“ New XYZ”，这样就不会丢失它。我们使用的是默认的AWS加密密钥，但EBS文档中还有其他选项。
• 将作为转换器计算机的临时Linux实例引导到与卷相同的可用区中。尽管EBS优化的实例可以更快地完成迁移，但实际上任何大小的实例都可以。
• 使用当前未加密的卷关闭实例。
• 从实例中分离未加密的卷。
• 将未加密的卷附加到转换器实例。观看附加对话框说它正在安装的设备。第一个额外的音量应类似于/dev/sdf。
• 将刚刚创建的新加密卷也附加到转换器实例。第二个额外的数量可能是/dev/sdg。
• 以root用户或具有sudo访问权限的用户身份登录到转换器实例。

• 如果查看该/proc/diststats文件，则在底部应该会看到类似的内容xvdf，xvdg它们与附加的其他分区相对应。名称可能会有所不同，具体取决于您使用的Linux内核变体/版本。如果有任何问题，可以/proc/diststats在附加之前检查文件，以查看添加了哪些分区。

  ...
  # root partition
  202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
  # swap partion
  202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
  # first attached drive, corresponds to /dev/xvdf
  202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
  # second attached drive, corresponds to /dev/xvdg
  202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
  

• 运行以下dd命令，从源未加密卷复制到目标加密卷。 警告：此命令可能具有极大的破坏性。慢慢来。检查两次，切一次。有人看着你的肩膀。这些将帮助您避免破坏数据。让我们小心点吧！

  # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
  dd bs=16k if=/dev/xvdf of=/dev/xvdg
  

• 等待dd命令完成，然后返回命令提示符。在我们的实例上，一块16gb的磁盘大约需要5分钟，因此您可以进行更大的数学运算。你的旅费可能会改变。
• 从转换器实例中分离未加密的卷和新的加密的卷。
• 将新的加密卷附加到之前使用未加密卷的实例，然后启动它。
• 当它出现时，您需要做些什么来验证系统看起来不错。
• 将卷从“ XYZ”重命名为“ Old XYZ”。将“新XYZ”重命名为“ XYZ”。如果出现问题，请保留“旧XYZ”卷，以防您需要还原。