一般性问题

什么是 EC2 Image Builder?

EC2 Image Builder 简化了 Linux 或 Windows 映像的创建、维护、验证、共享和部署,可与 Amazon EC2 一起使用以及在本地使用。

Image Builder 有哪些优势?

提高 IT 生产力

EC2 Image Builder 可简化构建、维护和部署安全且合规的映像的过程,无需写入和维护自动化代码。将自动化工作转移至 Image Builder 可以释放资源并节省 IT 时间。

更易于保护

借助 EC2 Image Builder,您可以只使用基本组件来创建映像,减少面临安全漏洞的风险。您还可以应用 亚马逊云科技 提供的安全设置来进一步保护映像,以满足内部安全标准。

适用于 亚马逊云科技 和本地的简单映像管理

通过将 EC2 Image Builder 与 Amazon VM Import/Export (VMIE) 结合使用,您可以为 Amazon EC2 (AMI) 以及本地 VM 格式(VHDX、VMDK 和 OVF)创建和维护黄金映像。

内置验证支持

使用 EC2 Image Builder,您可以通过 亚马逊云科技 提供的测试和您自己的测试,轻松验证映像,然后将其用于生产环境中。这样做可以减少通常因测试不足导致的映像错误,这些错误可能会导致停机。您可以设置一些策略,只在映像通过指定的测试之后才将其部署到特定的 亚马逊云科技 中国区域。

集中执行策略

EC2 Image Builder 支持版本控制,以便轻松管理修订。另外,借助 Image Builder,信息安全和 IT 团队还能够更好地对映像执行策略并确保合规性。

如何开始使用 Image Builder?

您可以将 Image Builder 与 亚马逊云科技 控制台、Amazon CLI 或 API 结合使用,在自己的 亚马逊云科技 账户中创建映像。与 亚马逊云科技 控制台一起使用时,Image Builder 提供了一个分步向导,包括以下步骤:

  • 步骤 1: 提供基本操作系统映像 
  • 步骤 2: 选择要安装的软件 
  • 步骤 3:选择并运行测试 
  • 步骤 4: 将映像分配到选定区域

您构建的映像位于您的 亚马逊云科技 账户中,且可配置为进行持续修补。您可以监控进度,并让 CloudWatch 事件通知您进行故障排除和调试。除了生成最终映像,Image Builder 还会生成一个“配方”文件,该文件可与现有的源代码版本控制系统以及 CI/CD 管道相结合使用,实现可重复的自动化。

Image Builder 支持哪种映像格式?

通过将 EC2 Image Builder 与 Amazon VM Import/Export (VMIE) 结合使用,您可以为 Amazon EC2 (AMI) 以及本地 VM 格式(VHDX、VMDK 和 OVF)创建和维护黄金映像。您可以使用以下格式作为映像构建过程的起点:a) 现有 AMI 的 ID 或资源别名;b) VMDK、VHDX 或 OVF 格式的映像。您可以生成 AMI、VHDX、VMDK 和 OVF 格式的最终映像。

Image Builder 支持哪些操作系统?

Image Builder 支持:

  • Amazon Linux 2
  • Windows Server 2012R2、2016 和 2019
  • Ubuntu Server 16 和 18
  • Red Hat Enterprise Linux (RHEL) 7 和 8
  • Cent OS 7 和 8
  • SUSE Linux Enterprise Server (SLES) 15

Image Builder 的输出是什么?

Image Builder 将会以受支持的选定输出映像格式(AMI、VHDX、VMDK 和 OVF)输出服务器映像。您可以使用 UI 控制台、API 和 CLI 从 Image Builder 提供的 S3 位置下载本地映像。

Image Builder 配方是什么?

Image Builder 配方是一个文件,它表示由自动化管道生成的映像的最终状态,使您能够确定性地重复构建。您可以在 Image Builder UI 外部共享、派生和编辑配方。您可以将配方与版本控制软件结合使用,来维护可用于共享和跟踪更改的版本控制配方。

Image Builder 如何定价?

除了用于创建、存储和共享映像的底层 亚马逊云科技 资源的费用外,使用 Image Builder 再无其他费用。 

持续修补,使映像保持最新状态

如何使用最新的补丁和更新自动构建最新的 VM 映像?

您可将新映像配置为基于触发器生成(例如每当有待处理的更新时,如源 AMI 更新、安全性更新、合规性更新、新测试等),或按规定的时间间隔生成。您可以通过应用待处理的更改,来指定使用最新更改生成新黄金映像的“构建间隔”。您可以使用 Image Builder 测试最新映像,以便在更新的构建版本中验证应用程序。您还可以通过 SNS 队列订阅通知,等待对使用 Image Builder 构建的映像进行更新。您可以使用这些通知作为构建新映像的触发器。

添加和删除软件

如何在 VM 映像中添加/删除软件?

您可以从注册的软件源(如 RPM/Debian 软件包存储库,以及 Windows 上的 MSI 和自定义安装程序)添加和删除要包含在 VM 映像中的软件。除了预先注册的 亚马逊云科技 软件源,您还可以注册一个或多个存储库和 Amazon S3 位置,其中包含要安装的软件。您可以为需要交互式输入的安装工作流提供特定于安装程序的“无人参与”机制(如问答文件)。

预设设置,以满足安全性和合规性要求。

如何向使用 Image Builder 生成的映像应用内部 IT 策略?

借助 Image Builder,您可以定义安全性设置的集合,您可以编辑、更新和使用这些设置来强化使用 Image Builder 构建的映像。您可以应用这些设置集合来满足适用的合规性标准。这些标准可能由您的企业或所在行业的监管机构强制执行。亚马逊云科技 提供了一系列设置,来帮助您满足通用的行业法规要求。您可以直接或以修改后的形式应用设置集合。 例如,亚马逊云科技 针对 STIG 提供的设置关闭了非必要的开放端口,并启用了软件防火墙

使用 Image Builder 能否确保符合 SOC 和 PCI 等法规?

不能,亚马逊云科技 的设置集合代表的是实现合规的建议指南,并不能保证合规。您需要与合规团队和审计员合作,来验证合规性。您可以根据需要修改 亚马逊云科技 提供的设置,并且可以将其保存在图库中供重复使用。

我能否捕获经过合规团队审查的设置,并重复使用这些设置来强化 VM 映像?

您可以从头创建设置集合,也可以从 亚马逊云科技 提供的模板中获取设置集合,并将其存储在注册的 Amazon S3 位置。您可以构建自己的集合来应用安全设置,例如确保应用了安全补丁、安装防火墙、关闭某些端口、不允许程序之间共享文件、安装反恶意软件、创建强密码、保留备份、尽可能使用加密、禁用弱加密、日志记录/审计控制以及删除个人数据等。您可以向图库中添加自定义设置。

测试

如何测试 VM 映像?

借助 Image Builder 中的测试框架,您可以在部署到 亚马逊云科技 中国区域之前捕获由操作系统更新引起的不兼容问题。您可以同时运行 亚马逊云科技 提供的测试和您自己的测试,管理测试运行、结果并在测试通过时控制下游操作。亚马逊云科技 提供的测试示例包括:测试 AMI 是否可以引导至登录提示符,测试 AMI 是否可以运行示例应用程序,等等。您还可以针对映像运行自己的测试。

Image Builder 中的每个测试包含哪些内容?

Image Builder 中的每个测试都包含一个测试脚本、一个测试二进制文件和测试元数据。 测试脚本包含用于启动测试二进制文件的编排命令,这个二进制文件可以用任何语言编写,也可以在操作系统支持的任何测试框架中编写(如 Windows 上的 PowerShell,Linux 上的 bash、python 和 ruby 等),测试结果用退出状态代码表示。测试元数据还包含名称、描述、测试二进制文件的路径和预期持续时间等属性。

分配与共享

如何跨 亚马逊云科技 账户共享 AMI?

Image Builder 可以修改 AMI 启动权限,从而控制哪些 亚马逊云科技 账户(拥有者账户除外)可以使用 AMI 启动 EC2 VM(如设为私有、公有以及与特定账户进行共享)。

如何将 AMI 分配到 亚马逊云科技 中国区域?

Image Builder 可利用现有的 AMI 共享机制将 AMI 复制到选定的 亚马逊云科技 中国区域。您可以在测试通过时使用 Image Builder 控制分配。

我已经有了一个用来生成映像 CI/CD 管道。如何将它与 Image Builder 结合使用?

Image Builder 可与 CodeBuild 等 Amazon CI/CD 服务相集成,来帮助实现用于构建、测试和部署 AMI 的端到端 CI/CD 管道。

如何跨账户共享配方?

每个配方都可以导出为文本文件,并且可以通过版本控制系统在 Image Builder 外部共享。

故障排除和调试

如何对 Image Builder 相关问题进行故障排除和调试?

Image Builder 可跟踪和显示映像构建过程中每个步骤的进度。此外,您还可以让 Image Builder 将日志发送到 S3。对于高级故障排除,您可以使用 SSM runCommand 界面运行任意命令和脚本。

关闭
1010 0766
由光环新网运营的
北京区域
1010 0966
由西云数据运营的
宁夏区域
关闭
由光环新网运营的
北京区域
由西云数据运营的
宁夏区域