Шифрование корневого раздела существующих виртуальных машин KVM

Мы на полпути к процессу обновления набора виртуальных машин KVM вместе с гипервизором. Первым шагом было обновить ОС на каждой и затем запустить регрессионный тест, чтобы убедиться, что система все еще функционирует с установленной новой ОС. Это было успешно выполнено. Следующий шаг - взять каждую виртуальную машину и зашифровать корневой раздел. Этот шаг не требуется для гипервизора. При этом мы не хотим создавать новые виртуальные машины, а затем переустанавливать все с нуля. Скорее, мы хотели бы сделать резервную копию незашифрованного содержимого виртуальной машины, обнулить существующий корневой раздел, воссоздать его с шифрованием LUKS и затем восстановить файлы в разделе.

Одна из идей состояла в том, чтобы смонтировать виртуальный диск виртуальной машины в точку монтирования на гипервизоре, используя guestmount, обнулить раздел, зашифровать его, размонтировать, перемонтировать, на этот раз с использованием парольной фразы, а затем восстановить файлы.

Может кто-нибудь с подобным опытом сказать, будет ли это работать или, возможно, предложить лучший путь? Я знаю, что правильным способом было бы воссоздать виртуальную машину с зашифрованным разделом и с новой ОС, но, к сожалению, существуют определенные файлы и каталоги для конкретных приложений, которые живут в разделе, чье создание было потеряно в глубине веков, поэтому мы очень бы хотелось не потерять их.