EBS Multi-Attach
EBS Multi-Attach là tính năng của các ổ đĩa io1 và io2 cho phép kết nối cùng một ổ đĩa EBS với nhiều EC2 instances trong cùng một khu vực. Mỗi instance có đầy đủ quyền đọc và ghi dữ liệu trên ổ đĩa này. Đây là một tính năng hữu ích để tăng tính sẵn sàng cho các ứng dụng Linux được đặt trên nhiều máy chủ, ví dụ như Teradata. Tính năng này cho phép các ứng dụng quản lý các hoạt động ghi đồng thời.
Tính năng này cho phép kết nối đồng thời đến 16 EC2 instances trong cùng một khu vực. Tuy nhiên, hệ thống file phải hỗ trợ cụ thể để sử dụng tính năng này, không sử dụng được những hệ thống file như XFS hoặc EXT4.
EBS Encryption
EBS Encryption là tính năng giúp mã hóa dữ liệu của ổ đĩa EBS trên Amazon Web Services (AWS). Khi tạo một ổ đĩa EBS được mã hóa, bạn sẽ nhận được các lợi ích sau đây:
- Dữ liệu ở trạng thái yên ngựa sẽ được mã hóa bên trong ổ đĩa.
- Tất cả các dữ liệu di chuyển giữa instance và ổ đĩa EBS đều được mã hóa.
- Tất cả các bản snapshot được mã hóa, cũng như tất cả các ổ đĩa được tạo ra từ bản snapshot này đều được mã hóa.
- Quá trình mã hóa và giải mã được xử lý một cách động (bạn không cần phải thực hiện gì).
- Việc mã hóa chỉ ảnh hưởng tối thiểu đến độ trễ của hệ thống.
- EBS Encryption sử dụng các khóa từ KMS (AES-256).
- Bản snapshot chưa được mã hóa có thể được mã hóa bằng cách sao chép lại.
- Các bản snapshot của ổ đĩa đã được mã hóa đều được mã hóa.
Cách để mã hóa ổ đĩa EBS (Elastic Block Store) chưa được mã hóa như sau:
Khi tạo một ổ đĩa EBS đã được mã hóa, dữ liệu tại chỗ được mã hóa trong ổ đĩa và tất cả dữ liệu đang chuyển động giữa máy ảo và ổ đĩa cũng được mã hóa. Tất cả các bản snapshot và các ổ đĩa mới được tạo từ các snapshot cũng được mã hóa.
Để mã hóa một ổ đĩa EBS chưa được mã hóa, trước tiên cần tạo một bản snapshot của ổ đĩa đó. Sau đó, bản snapshot này được sao chép và mã hóa bằng cách sử dụng tính năng copy của AWS. Bằng cách này, tất cả dữ liệu trong bản sao lưu được mã hóa và có thể được sử dụng để tạo một ổ đĩa mới được mã hóa.
Cuối cùng, ổ đĩa mới được mã hóa có thể được gắn vào máy ảo ban đầu mà đã được sử dụng để tạo bản snapshot ban đầu. Việc mã hóa được thực hiện bằng cách sử dụng các khóa mã hóa AES-256 từ KMS (Key Management Service) của AWS. Việc mã hóa và giải mã được xử lý một cách trong suốt, người dùng không cần phải làm gì thêm. Việc mã hóa có tác động tối thiểu đến độ trễ của hệ thống.
Hands on
Bạn có thể vào tạo volume thứ bằng cách vào EC2 › Volumes › Create volume (1), chọn loại Volume (2), kích thước (3).
Chọn AZ tạo volume (1), mình không tạo snapshot cho volume này (2) và mình cũng giả sử không sử dụng tính năng mã hoá dữ liệu (3). Bấm vào (4) để tạo volume.
Bạn nhận được volume vừa tạo xong (1) và nếu bạn nhìn vào phần mã hoá (2) bạn sẽ thấy thông báo Not encrypted (tức là không mã hoá).
Giả sử giờ mình sẽ tạo 1 snapshot cho volume này.
Và bạn để ý bất kỳ một volume nào khi khởi tạo không được mã hoá thì khi snapshot nó cũng không thể mã hoá.
Giờ mình bấm snapshot để tạo snapshot này.
Và nếu vào phần snapshot bạn cũng sẽ thấy snapshot này không được mã hoá.
Và giờ mình copy snapshot từ bản snapshot không được mã hoá xem kết quả thế nào.
Thật tuyệt vời, bạn được phép mã hoá cho snapshot này.
Hãy tích vào nó (1) và bấm (2) để copy bản snapshot này.
Và bạn có kết quả, snapshot sau khi đã copy đã được mã hoá. Và giờ bạn hãy thử tạo volume từ bản snapshot đã được mã hoá này.
Để demo bạn có thể cài đặt thông tin volume như dưới.
Bạn thấy tuỳ chọn “Encrypt this volume” đã được tích sẵn và làm mờ, vì cơ bản snapshot của bạn đã được mã hoá nên tính năng mã hoá sẽ được bật sẵn.
Hãy bấm Create volume để tạo volume này.
Và như vậy bạn có thể kích hoạt lại mã hoá volume bằng cách sử dụng snapshot.
