Comment convertir un EBS non chiffré pour être chiffré

[[Ce n'est pas la bonne réponse et ce n'est pas la façon dont nous faisons les choses maintenant, mais je vais laisser cela ici au cas où quelqu'un d'autre trouverait une utilité à le faire "à la dure". ]]

Le processus suivant a bien fonctionné pour nous afin de convertir nos volumes EBS existants en volumes chiffrés.

• Créez un volume de même taille exacte et dans la même zone de disponibilité que le volume non chiffré mais avec le chiffrement activé. Si l'ancien volume est nommé "XYZ", nommez le nouveau volume "New XYZ" afin de ne pas le perdre de vue. Nous utilisons les clés de chiffrement AWS par défaut mais il existe d'autres options dans EBS docs .
• Démarrez une instance Linux temporaire en tant que machine de conversion dans la même zone de disponibilité que le volume. N'importe quelle instance de taille fera l'affaire, bien que les instances optimisées EBS puissent terminer la migration plus rapidement.
• Arrêtez l'instance avec le volume non chiffré actuel.
• Détachez le volume non chiffré de l'instance.
• Attachez le volume non chiffré à l'instance de convertisseur. Regardez le périphérique dans lequel la boîte de dialogue de connexion indique qu'il est en train de monter Le premier volume supplémentaire devrait être quelque chose comme /dev/sdf.
• Attachez également le nouveau volume chiffré que vous venez de créer à l'instance du convertisseur. Le deuxième volume supplémentaire sera probablement /dev/sdg.
• Connectez-vous à l'instance de convertisseur en tant que root ou en tant qu'utilisateur avec accès Sudo.

• Si vous regardez le /proc/diststats fichier, en bas, vous devriez voir quelque chose comme xvdf et xvdg qui correspondent aux partitions supplémentaires attachées. Les noms peuvent être différents selon la variante/version du noyau Linux que vous utilisez. En cas de question, vous pouvez vérifier le /proc/diststats fichier avant de vous attacher pour voir quelles partitions sont ajoutées.

  ...
  # root partition
  202       1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
  # swap partion
  202      16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
  # first attached drive, corresponds to /dev/xvdf
  202      80 xvdf 86 0 688 28 0 0 0 0 0 28 28
  # second attached drive, corresponds to /dev/xvdg
  202      96 xvdg 86 0 688 32 0 0 0 0 0 32 32
  

• Exécutez la commande dd suivante pour copier du volume non chiffré source vers le volume chiffré de destination. AVERTISSEMENT: Cette commande peut être extrêmement destructrice. Prends ton temps. Vérifiez deux fois, coupez une fois. Demandez à quelqu'un de regarder par-dessus votre épaule. Ceux-ci vous aideront à jeter vos données. Faisons attention là-bas!

  # using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
  dd bs=16k if=/dev/xvdf of=/dev/xvdg
  

• Attendez que la commande dd se termine et revenez à l'invite de commande. Sur nos instances, un disque de 16 Go a pris environ 5 minutes, vous pouvez donc faire le calcul avec un plus grand. Votre kilométrage peut varier.
• Détachez les volumes non chiffrés et les nouveaux volumes chiffrés de l'instance de convertisseur.
• Attachez le nouveau volume chiffré à l'instance qui utilisait le volume non chiffré avant et démarrez-le.
• Quand il arrive, faites ce que vous devez faire pour valider que le système a l'air bien.
• Renommez le volume de "XYZ" en "Old XYZ". Renommez "Nouveau XYZ" en "XYZ". Laissez autour du volume "Old XYZ" au cas où vous auriez besoin de revenir en cas de problème.