Блог

Главная - Вопросы по программированию - Шифрование существующего тома EBS в режиме реального времени

Шифрование существующего тома EBS в режиме реального времени

#amazon-web-services #encryption #devops #aws-ebs

#amazon-веб-службы #шифрование #devops #aws-ebs

Вопрос:

Насколько я понял из официальных документов AWS (о шифровании EBS) и других источников в Интернете

Это шаги, с помощью которых мы можем зашифровать незашифрованный том EBS:

  1. Создайте снимок с помощью шифрования

  2. Создайте том из зашифрованного тома

  3. Отсоедините старый незашифрованный том

  4. Прикрепите вновь созданный том

  5. Старый том терминала

Шаги 1-4 занимают некоторое время, и если на наш незашифрованный том добавляются новые данные, это приводит к потере данных (данных, которые были вставлены с момента создания нового снимка)

Рассмотрим этот случай, когда мы записываем данные на наш том EBS каждую секунду, и мы хотим зашифровать данные с этого момента.

Как мы можем обеспечить 100% время безотказной работы и доступность при шифровании?

Комментарии:

1. У меня есть дополнительный вопрос. Если данные настолько важны, как вы обеспечиваете их отказоустойчивость на случай, если экземпляр завершится или, что еще хуже, AZ отключится, и вы потеряете объем? Моментальные копии позволяют создавать резервные копии только на определенный момент времени, а не непрерывно, когда данные записываются каждую секунду.

2. Как насчет настройки RAID 1 для обеспечения отказоустойчивости и доступности? Возможно ли переключиться на зашифрованный том EBS с помощью RAID 1?

3. Тома EBS имеют только область действия AZ. Таким образом, у вас не будет отказоустойчивости в случае сбоя AZ и высокой доступности данных. RAID 1 не поможет с этим, потому что второй том будет находиться в том же AZ. Но, возвращаясь к вашему вопросу, я не знаю, как вам включить шифрование со 100% временем безотказной работы. Возможно, вы могли бы минимизировать время простоя, используя временный том, пока шифруется основной.

4. Чего я действительно хочу добиться, так это сохранения данных, которые только что записаны на старый том, пока новый шифруется, есть ли какой-либо способ повторно синхронизировать новый том с изменениями в ole?

5. Это должно быть сделано с вашей стороны с помощью таких инструментов, как rsync . Я не знаю ни о какой предоставляемой AWS службе / инструменте, который мог бы «объединить» данные на двух томах EBS.

Ответ №1:

Все зависит от того, что вы храните в своем EBS, я рекомендую вам создать каталог объектов, записанных в вашем EBS, этот каталог сохраняется в том же EBS и во внешней базе данных (dynamo), когда вы создаете копию EBS для создания зашифрованной, в этой копии будет записан каталог объектов до момента создания копии, затем при монтировании он обращается к внешнему каталогу и с помощью скрипта синхронизирует его с использованием объектов старого EBS. Как только они будут синхронизированы, вы можете произвести переключение.