ฉันมีจำนวน EBS ที่เก่ากว่าซึ่งไม่ได้เข้ารหัส ในการปฏิบัติตามมาตรการรักษาความปลอดภัยใหม่ขององค์กรข้อมูลทั้งหมดจะต้อง "เข้ารหัสที่เหลือ" ดังนั้นฉันจึงจำเป็นต้องแปลงโวลุ่มทั้งหมดให้เข้ารหัส
อะไรคือวิธีที่ดีที่สุดในการบรรลุเป้าหมายนี้?
ฉันมีจำนวน EBS ที่เก่ากว่าซึ่งไม่ได้เข้ารหัส ในการปฏิบัติตามมาตรการรักษาความปลอดภัยใหม่ขององค์กรข้อมูลทั้งหมดจะต้อง "เข้ารหัสที่เหลือ" ดังนั้นฉันจึงจำเป็นต้องแปลงโวลุ่มทั้งหมดให้เข้ารหัส
อะไรคือวิธีที่ดีที่สุดในการบรรลุเป้าหมายนี้?
คำตอบ:
เป็นไปได้ที่จะคัดลอกสแน็ปช็อต EBS ที่ไม่ได้เข้ารหัสไปยังสแน็ปช็อต EBS ที่เข้ารหัส ดังนั้นสามารถใช้กระบวนการต่อไปนี้:
[[นี่ไม่ใช่คำตอบที่ถูกต้องและไม่ใช่วิธีที่เราทำสิ่งต่าง ๆ ในตอนนี้ แต่ฉันจะทิ้งไว้ที่นี่ในกรณีที่คนอื่นพบว่ายูทิลิตี้บางอย่างเพื่อทำมัน "ยาก" ]]
กระบวนการต่อไปนี้ทำงานได้ดีสำหรับเราในการแปลงปริมาณ EBS ปัจจุบันของเราให้เป็นปริมาณที่เข้ารหัส
/dev/sdf
ปริมาณที่เพิ่มขึ้นเป็นครั้งแรกควรจะเป็นสิ่งที่ชอบ/dev/sdg
ปริมาณเพิ่มเติมที่สองอาจจะเป็นหากคุณดู/proc/diststats
ไฟล์ที่ด้านล่างคุณจะเห็นสิ่งที่ชอบxvdf
และxvdg
ที่สอดคล้องกับพาร์ติชันเพิ่มเติมที่แนบมา ชื่ออาจแตกต่างกันไปขึ้นอยู่กับตัวแปร / รุ่นเคอร์เนลของ Linux ที่คุณใช้ หากมีคำถามใด ๆ คุณสามารถตรวจสอบ/proc/diststats
ไฟล์ก่อนที่จะแนบเพื่อดูว่ามีการเพิ่มพาร์ทิชันใด
...
# root partition
202 1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
# swap partion
202 16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
# first attached drive, corresponds to /dev/xvdf
202 80 xvdf 86 0 688 28 0 0 0 0 0 28 28
# second attached drive, corresponds to /dev/xvdg
202 96 xvdg 86 0 688 32 0 0 0 0 0 32 32
รันdd
คำสั่งต่อไปนี้เพื่อคัดลอกไดรฟ์ข้อมูลที่ไม่ได้เข้ารหัสลับไปยังโวลุ่มที่เข้ารหัสปลายทาง คำเตือน:คำสั่งนี้สามารถทำลายได้อย่างมาก ใช้เวลาของคุณ ตรวจสอบสองครั้งตัดครั้งเดียว มีใครบางคนมองข้ามไหล่ของคุณ สิ่งเหล่านี้จะช่วยคุณในการกำจัดข้อมูลของคุณ มาระวังกันหน่อยสิ!
# using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
dd bs=16k if=/dev/xvdf of=/dev/xvdg