[[Esta não é a resposta correta e não como fazemos as coisas agora, mas deixarei isso aqui, caso alguém encontre alguma utilidade para fazê-lo da maneira mais difícil. ]]
O processo a seguir funcionou bem para convertermos nossos volumes existentes do EBS em volumes criptografados.
- Crie um volume do mesmo tamanho exato e na mesma zona de disponibilidade que o volume não criptografado, mas com a criptografia ativada. Se o volume antigo tiver o nome "XYZ", nomeie o novo volume como "New XYZ" para não perder o controle. Estamos usando as chaves de criptografia padrão da AWS, mas há outras opções nos documentos da EBS .
- Inicialize uma instância temporária do Linux como a máquina do conversor na mesma zona de disponibilidade que o volume. Realmente qualquer instância de tamanho fará, embora as instâncias otimizadas do EBS possam concluir a migração mais rapidamente.
- Desligue a instância com o volume não criptografado atual.
- Desanexe o volume não criptografado da instância.
- Anexe o volume não criptografado à instância do conversor. Observe o dispositivo que a caixa de diálogo anexar indica que está sendo montada. O primeiro volume adicional deve ser algo como
/dev/sdf
.
- Anexe o novo volume criptografado que você acabou de criar também à instância do conversor. O segundo volume adicional provavelmente será
/dev/sdg
.
- Faça login na instância do conversor como root ou como um usuário com acesso sudo.
-
Se você olhar o arquivo /proc/diststats
, na parte inferior, você verá algo como xvdf
e xvdg
, que correspondem às partições adicionais anexadas. Os nomes podem ser diferentes dependendo da variante / versão do kernel do Linux que você está usando. Se houver alguma dúvida, você pode verificar o arquivo /proc/diststats
antes de anexar para ver quais partições foram adicionadas.
...
# root partition
202 1 xvda1 187267 4293 12100842 481972 52550 26972 894168 156944 0 150548 ...
# swap partion
202 16 xvdb 342 10 2810 8 5 1 48 12 0 20 20
# first attached drive, corresponds to /dev/xvdf
202 80 xvdf 86 0 688 28 0 0 0 0 0 28 28
# second attached drive, corresponds to /dev/xvdg
202 96 xvdg 86 0 688 32 0 0 0 0 0 32 32
-
Execute o seguinte comando dd
para copiar do volume não criptografado de origem para o volume criptografado de destino. AVISO: Este comando pode ser extremamente destrutivo. Não tenha pressa. Verifique duas vezes, corte uma vez. Alguém olhe por cima do seu ombro. Isso ajudará você a remover seus dados. Vamos ter cuidado lá fora!
# using a block-size of 16k (a guess), copy from input-file (if) to output-file (of)
dd bs=16k if=/dev/xvdf of=/dev/xvdg
- Aguarde até que o comando dd termine e retorne ao prompt de comando. Em nossos casos, um disco de 16GB levou ~ 5 minutos para que você possa fazer as contas com maior. Sua milhagem pode variar.
- Separe os volumes criptografados e não criptografados da instância do conversor.
- Anexe o novo volume criptografado à instância que estava usando o volume não criptografado antes e inicialize-o.
- Quando isso acontecer, faça o que você precisa fazer para validar se o sistema parece ser bom.
- Renomeie o volume de "XYZ" para "Old XYZ". Renomeie "New XYZ" para ser "XYZ". Deixe em torno do volume "Old XYZ" para o caso de você precisar reverter se houver problemas.