Come funziona EC2 Image Builder - EC2Image Builder

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona EC2 Image Builder

Quando si utilizza la procedura guidata della console di pipeline EC2 Image Builder per creare un'immagine personalizzata, una procedura guidata guida l'utente attraverso i seguenti passaggi.

  1. Specificate i dettagli della pipeline: inserite le informazioni sulla pipeline, come nome, descrizione, tag e una pianificazione per eseguire build automatizzate. Puoi scegliere build manuali, se preferisci.

  2. Scegli la ricetta: scegli tra creare un'AMIimmagine contenitore o creare un'immagine del contenitore. Per entrambi i tipi di immagini di output, inserisci un nome e una versione per la ricetta, seleziona un'immagine di base e scegli i componenti da aggiungere per la creazione e il test. Puoi anche scegliere il controllo automatico delle versioni, per assicurarti di utilizzare sempre l'ultima versione del sistema operativo (OS) disponibile per l'immagine di base. Le ricette dei container definiscono inoltre i Dockerfile e il ECR repository Amazon di destinazione per l'immagine del contenitore Docker di output.

    Nota

    I componenti sono gli elementi costitutivi utilizzati da una ricetta di immagini o da una ricetta contenitore. Ad esempio, pacchetti per l'installazione, passaggi di rafforzamento della sicurezza e test. L'immagine di base e i componenti selezionati costituiscono una ricetta di immagini.

  3. Definisci la configurazione dell'infrastruttura: Image Builder avvia EC2 istanze nel tuo account per personalizzare le immagini ed eseguire test di convalida. Le impostazioni di configurazione dell'infrastruttura specificano i dettagli dell'infrastruttura per le istanze che verranno eseguite durante il Account AWS processo di creazione.

  4. Definisci le impostazioni di distribuzione: scegli le AWS regioni in cui distribuire l'immagine dopo che la build è stata completata e ha superato tutti i test. La pipeline distribuisce automaticamente l'immagine nella regione in cui esegue la build e puoi aggiungere la distribuzione delle immagini per altre regioni.

Le immagini che crei a partire dall'immagine di base personalizzata si trovano nella tua. Account AWS Puoi configurare la tua pipeline di immagini per produrre versioni aggiornate e patchate dell'immagine inserendo una pianificazione di creazione. Una volta completata la build, puoi ricevere notifiche tramite Amazon Simple Notification Service (SNS). Oltre a produrre un'immagine finale, la procedura guidata della console Image Builder genera una ricetta che può essere utilizzata con i sistemi di controllo delle versioni esistenti e le pipeline integration/continuous deployment (CI/CD (continue) per un'automazione ripetibile. Puoi condividere e creare nuove versioni della tua ricetta.

AMIelementi

Un'Amazon Machine Image (AMI) è un'immagine di macchina virtuale (VM) preconfigurata che contiene il sistema operativo e il software per distribuire EC2 le istanze.

An AMI include i seguenti elementi:

  • Un modello per il volume principale della macchina virtuale. Quando avvii una macchina EC2 virtuale Amazon, il volume del dispositivo root contiene l'immagine per avviare l'istanza. Quando viene utilizzato l'instance store, il dispositivo root è un volume di instance store creato da un modello in Amazon S3. Per ulteriori informazioni, consulta Amazon EC2 Root Device Volume.

  • Quando EBS si utilizza Amazon, il dispositivo root è un EBS volume creato da un'EBSistantanea.

  • Autorizzazioni di avvio che determinano chi Account AWS può essere avviato VMs con. AMI

  • Blocca i dati di mappatura dei dispositivi che specificano i volumi da collegare all'istanza dopo il lancio.

  • Un identificatore di risorsa univoco per ogni regione, per ogni account.

  • Payload di metadati come tag e proprietà, come regione, sistema operativo, architettura, tipo di dispositivo root, provider, autorizzazioni di avvio, archiviazione per il dispositivo root e stato di firma.

  • Una AMI firma per le immagini Windows per la protezione da manomissioni non autorizzate. Per ulteriori informazioni, consulta Instance Identity Documents.

Quote di default

Per visualizzare le quote predefinite per Image Builder, vedere Image Builder Endpoints and Quotas.

AWS Regioni ed endpoint

Per visualizzare gli endpoint del servizio per Image Builder, vedere Image Builder Endpoints and Quotas.

Gestione dei componenti

EC2Image Builder utilizza un'applicazione per la gestione dei componenti AWS Task Orchestrator and Executor (AWSTOE) che consente di orchestrare flussi di lavoro complessi, modificare le configurazioni di sistema e testare i sistemi con componenti di script basati su script. YAML Poiché AWSTOE si tratta di un'applicazione autonoma, non richiede alcuna configurazione aggiuntiva. Può essere eseguito su qualsiasi infrastruttura cloud e in locale. Per iniziare a utilizzarla AWSTOE come applicazione autonoma, consultaConfigurazione manuale per sviluppare componenti personalizzati con AWSTOE.

Image Builder lo utilizza AWSTOE per eseguire tutte le attività su istanza. Queste includono la creazione e la convalida dell'immagine prima di scattare un'istantanea e il test dell'istantanea per assicurarsi che funzioni come previsto prima di creare l'immagine finale. Per ulteriori informazioni su come Image Builder utilizza AWSTOE per gestire i suoi componenti, vedere. Usa i componenti per personalizzare l'immagine di Image Builder Per ulteriori informazioni sulla creazione di componenti con AWSTOE, vedereIn che modo Image Builder utilizza l' AWS Task Orchestrator and Executor applicazione per gestire i componenti.

Test delle immagini

È possibile utilizzare i componenti di AWSTOE test per convalidare l'immagine e assicurarsi che funzioni come previsto, prima di creare l'immagine finale.

In genere, ogni componente di test è costituito da un YAML documento che contiene uno script di test, un file binario di test e metadati di test. Lo script di test contiene i comandi di orchestrazione per avviare il binario di test, che può essere scritto in qualsiasi linguaggio supportato dal sistema operativo. I codici di stato di uscita indicano l'esito del test. I metadati del test descrivono il test e il suo comportamento, ad esempio il nome, la descrizione, i percorsi del test binario e la durata prevista.

Risorse create

Quando si crea una pipeline, non viene creata alcuna risorsa esterna a Image Builder, a meno che non sia vero quanto segue:

  • Quando un'immagine viene creata tramite la pianificazione della pipeline

  • Quando si sceglie Esegui Pipeline dal menu Azioni nella console Image Builder

  • Quando si esegue uno di questi comandi da o: API o AWS CLIStartImagePipelineExecution CreateImage

Le seguenti risorse vengono create durante il processo di creazione dell'immagine:

AMIpipeline di immagini
  • EC2istanza (temporanea)

  • Systems Manager Inventory Association (tramite Systems Manager State Manager se EnhancedImageMetadata abilitata) sull'EC2istanza

  • Amazon EC2 AMI

  • Amazon EBS Snapshot associato ad Amazon EC2 AMI

Pipeline di immagini dei container
  • Contenitore Docker in esecuzione su un'EC2istanza (temporaneo)

  • Systems Manager Inventory Association (tramite Systems Manager State Manager) EnhancedImageMetadata è abilitata sull'EC2istanza

  • Immagine di container Docker

  • Dockerfile

Dopo la creazione dell'immagine, tutte le risorse temporanee vengono eliminate.

Distribuzione

EC2Image Builder può distribuire AMIs o contenere immagini in qualsiasi AWS regione. L'immagine viene copiata in ogni regione specificata nell'account utilizzato per creare l'immagine.

Per le immagini AMI di output, è possibile definire le autorizzazioni di AMI avvio per controllare quali Account AWS sono autorizzate ad avviare EC2 le istanze con quelle create. AMI Ad esempio, puoi rendere l'immagine privata, pubblica o condividerla con account specifici. Se la distribuite AMI ad altre regioni e definite le autorizzazioni di avvio per altri account, le autorizzazioni di avvio vengono propagate AMIs in tutte le regioni in cui è distribuitaAMI.

Puoi anche utilizzare il tuo AWS Organizations account per imporre limitazioni agli account dei membri e avviare istanze solo con istanze approvate e conformi. AMIs Per ulteriori informazioni, consulta Gestire i dati nella propria organizzazione Account AWS.

Per aggiornare le impostazioni di distribuzione utilizzando la console Image Builder, segui i passaggi perCrea una nuova versione di image recipe dalla console, o. Crea una nuova versione di ricetta in contenitore con la console

Condivisione delle risorse

Per condividere componenti, ricette o immagini con altri account o all'interno AWS Organizations, vediCondividi le risorse di Image Builder con AWS RAM.

Conformità

Per i benchmark di Center for Internet Security (CIS), EC2 Image Builder utilizza Amazon Inspector per eseguire valutazioni di esposizione, vulnerabilità e deviazioni dalle migliori pratiche e dagli standard di conformità. Ad esempio, Image Builder valuta l'accessibilità involontaria della rete, la connettività Internet pubblica senza patch e l'CVEsattivazione dell'accesso root remoto. Amazon Inspector è offerto come componente di test che puoi scegliere di aggiungere alla ricetta dell'immagine. Per ulteriori informazioni su Amazon Inspector, consulta la Amazon Inspector User Guide. . Per ulteriori informazioni, vedere Center for Internet Security (CIS) Benchmarks.

Image Builder fornisce componenti di STIG rafforzamento per aiutarvi a creare in modo più efficiente immagini conformi agli standard di base. STIG Questi STIG componenti analizzano eventuali configurazioni errate ed eseguono uno script di correzione. Non sono previsti costi aggiuntivi per l'utilizzo STIG di componenti conformi. Per un elenco completo dei STIG componenti disponibili tramite Image Builder, vedere. Componenti di protezione STIG avanzata gestiti da Amazon per Image Builder