Шифрование существующего тома EBS в реальном времени

Насколько я понял из официальных документов AWS (о шифровании EBS) и другие источники в интернете

Вот шаги, с помощью которых мы можем зашифровать незашифрованный том EBS:

  1. Создать снимок с шифрованием

  2. Создайте том из зашифрованного тома

  3. Отсоедините старый незашифрованный том

  4. Прикрепите вновь созданный том

  5. Терминал старый том

Шаги с 1 по 4 занимают некоторое время, и если в наш незашифрованный том добавляются новые данные, это приводит к потере данных (данные, которые были вставлены с тех пор, как мы создали новый снимок).

Рассмотрим этот случай, когда данные записываются в наш том EBS каждую секунду, и с этого момента мы хотим их зашифровать.

Как мы можем обеспечить 100% бесперебойную работу и доступность при шифровании?


encryption amazon-web-services devops aws-ebs
person Mohammad Moallemi    schedule 16.08.2020    source источник
comment
У меня есть побочный вопрос. Если данные настолько важны, как обеспечить их отказоустойчивость, в случае, если экземпляр будет завершен или, что еще хуже, зона доступности снизится, и вы потеряете объем? Снимки позволяют создавать резервные копии только на определенный момент времени, а не непрерывно, когда данные записываются каждую секунду.   -  person Marcin    schedule 16.08.2020
comment
Как насчет настройки RAID 1 для обеспечения отказоустойчивости и доступности? Можно ли переключиться на зашифрованный том EBS с помощью RAID 1?   -  person Mohammad Moallemi    schedule 16.08.2020
comment
Тома EBS имеют только зону действия AZ. Таким образом, у вас не будет ни отказоустойчивости в случае отказа зоны доступности, ни высокой доступности данных. RAID 1 здесь не поможет, потому что второй том будет в той же зоне доступности. Но, возвращаясь к вашему вопросу, я не знаю, как включить шифрование со 100% временем безотказной работы. Возможно, вы могли бы минимизировать время простоя, используя временный том, пока основной находится в зашифрованном виде.   -  person Marcin    schedule 16.08.2020
comment
Чего я действительно хочу добиться, так это сохранения данных, которые недавно были записаны на старый том, в то время как новый будет зашифрован, есть ли способ повторно синхронизировать новый с изменениями старого?   -  person Mohammad Moallemi    schedule 16.08.2020
comment
Это должно быть сделано с вашей стороны, с помощью таких инструментов, как rsync. Мне неизвестен какой-либо сервис / инструмент, предоставляемый AWS, который мог бы объединить данные на двух томах EBS.   -  person Marcin    schedule 16.08.2020

Ответы (1)


arrow_upward
0
arrow_downward

Все зависит от того, что вы храните в своей EBS, я рекомендую вам создать каталог объектов, записанных в вашей EBS, этот каталог сохраняется в той же EBS и во внешней базе данных (динамо), когда вы генерируете копию EBS. чтобы сгенерировать один зашифрованный, в этой копии будет записан каталог объектов до момента создания копии, затем при ее подключении он обращается к внешнему каталогу и с помощью сценария синхронизирует его, используя объекты старой EBS. Как только они синхронизируются, вы можете переключиться.

person Jordi Tanta Diaz    schedule 28.08.2020