Come funziona EC2 Image Builder - EC2 Image Builder
Elementi AMIQuote di defaultAWS Regioni ed endpointGestione dei componentiRisorse createDistribuzioneCondivisione delle risorseConformità

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Come funziona EC2 Image Builder

Quando si utilizza la procedura guidata della console di pipeline EC2 Image Builder per creare un'immagine personalizzata, una procedura guidata guida l'utente attraverso i seguenti passaggi.

  1. Specificate i dettagli della pipeline: inserite le informazioni sulla pipeline, come nome, descrizione, tag e una pianificazione per eseguire build automatizzate. Puoi scegliere build manuali, se preferisci.

  2. Scegli la ricetta: scegli tra la creazione di un'AMI o la creazione di un'immagine contenitore. Per entrambi i tipi di immagini di output, inserisci un nome e una versione per la ricetta, seleziona un'immagine di base e scegli i componenti da aggiungere per la creazione e il test. Puoi anche scegliere il controllo automatico delle versioni, per assicurarti di utilizzare sempre l'ultima versione del sistema operativo (OS) disponibile per l'immagine di base. Le ricette dei container definiscono inoltre i Dockerfile e il repository Amazon ECR di destinazione per l'immagine del contenitore Docker di output.

    Nota

    I componenti sono gli elementi costitutivi utilizzati da una ricetta di immagini o da una ricetta di contenitore. Ad esempio, i pacchetti per l'installazione, le fasi di rafforzamento della sicurezza e i test. L'immagine di base e i componenti selezionati costituiscono una ricetta di immagini.

  3. Definisci la configurazione dell'infrastruttura: Image Builder avvia EC2 istanze nel tuo account per personalizzare le immagini ed eseguire test di convalida. Le impostazioni di configurazione dell'infrastruttura specificano i dettagli dell'infrastruttura per le istanze che verranno eseguite durante il Account AWS processo di creazione.

  4. Definisci le impostazioni di distribuzione: scegli le AWS regioni in cui distribuire l'immagine dopo che la build è stata completata e ha superato tutti i test. La pipeline distribuisce automaticamente l'immagine nella regione in cui esegue la build e puoi aggiungere la distribuzione delle immagini per altre regioni.

Le immagini che crei a partire dall'immagine di base personalizzata si trovano nella tua. Account AWS Puoi configurare la tua pipeline di immagini per produrre versioni aggiornate e patchate dell'immagine inserendo una pianificazione di creazione. Una volta completata la build, puoi ricevere notifiche tramite Amazon Simple Notification Service (SNS). Oltre a produrre un'immagine finale, la procedura guidata della console Image Builder genera una ricetta che può essere utilizzata con i sistemi di controllo delle versioni esistenti e le pipeline integration/continuous deployment (CI/CD (continue) per un'automazione ripetibile. Puoi condividere e creare nuove versioni della tua ricetta.

Elementi AMI

Un'Amazon Machine Image (AMI) è un'immagine di macchina virtuale (VM) preconfigurata che contiene il sistema operativo e il software per distribuire EC2 le istanze.

Un AMI include i seguenti elementi:

  • Un modello per il volume principale della macchina virtuale. Quando avvii una macchina EC2 virtuale Amazon, il volume del dispositivo root contiene l'immagine per avviare l'istanza. Quando viene utilizzato l'instance store, il dispositivo root è un volume di instance store creato da un modello in Amazon S3. Per ulteriori informazioni, consulta Amazon EC2 Root Device Volume.

  • Quando si utilizza Amazon EBS, il dispositivo root è un volume EBS creato da uno snapshot EBS.

  • Autorizzazioni di avvio che determinano il Account AWS tipo di avvio VMs con l'AMI.

  • Blocca i dati di mappatura dei dispositivi che specificano i volumi da collegare all'istanza dopo il lancio.

  • Un identificatore di risorsa univoco per ogni regione, per ogni account.

  • Payload di metadati come tag e proprietà, come regione, sistema operativo, architettura, tipo di dispositivo root, provider, autorizzazioni di avvio, archiviazione per il dispositivo root e stato di firma.

  • Una firma AMI per le immagini Windows per la protezione da manomissioni non autorizzate. Per ulteriori informazioni, consulta Instance Identity Documents.

Quote di default

Per visualizzare le quote predefinite per Image Builder, vedere Image Builder Endpoints and Quotas.

AWS Regioni ed endpoint

Per visualizzare gli endpoint del servizio per Image Builder, vedere Image Builder Endpoints and Quotas.

Gestione dei componenti

EC2 Image Builder utilizza un'applicazione per la gestione dei componenti AWS Task Orchestrator and Executor (AWSTOE) che consente di orchestrare flussi di lavoro complessi, modificare le configurazioni di sistema e testare i sistemi con componenti di script basati su YAML. Poiché AWSTOE è un'applicazione autonoma, non richiede alcuna configurazione aggiuntiva. Può essere eseguito su qualsiasi infrastruttura cloud e in locale. Per iniziare a utilizzarla AWSTOE come applicazione autonoma, consultaConfigurazione manuale per sviluppare componenti personalizzati con AWSTOE.

Image Builder lo utilizza AWSTOE per eseguire tutte le attività su istanza. Queste includono la creazione e la convalida dell'immagine prima di scattare un'istantanea e il test dell'istantanea per assicurarsi che funzioni come previsto prima di creare l'immagine finale. Per ulteriori informazioni su come Image Builder utilizza AWSTOE per gestire i suoi componenti, vedere. Usa i componenti per personalizzare l'immagine di Image Builder Per ulteriori informazioni sulla creazione di componenti con AWSTOE, vedereIn che modo Image Builder utilizza l' AWS Task Orchestrator and Executor applicazione per gestire i componenti.

Test delle immagini

È possibile utilizzare i componenti di AWSTOE test per convalidare l'immagine e assicurarsi che funzioni come previsto, prima di creare l'immagine finale.

In genere, ogni componente di test è costituito da un documento YAML che contiene uno script di test, un binario di test e metadati di test. Lo script di test contiene i comandi di orchestrazione per avviare il binario di test, che può essere scritto in qualsiasi linguaggio supportato dal sistema operativo. I codici di stato di uscita indicano l'esito del test. I metadati del test descrivono il test e il suo comportamento, ad esempio il nome, la descrizione, i percorsi del test binario e la durata prevista.

Risorse create

Quando si crea una pipeline, non viene creata alcuna risorsa esterna a Image Builder, a meno che non sia vero quanto segue:

  • Quando un'immagine viene creata tramite la pianificazione della pipeline

  • Quando si sceglie Esegui Pipeline dal menu Azioni nella console Image Builder

  • Quando esegui uno di questi comandi dall'API o: oppure AWS CLIStartImagePipelineExecution CreateImage

Le seguenti risorse vengono create durante il processo di creazione dell'immagine:

Pipeline di immagini AMI

  • EC2 istanza (temporanea)

  • Systems Manager Inventory Association (tramite Systems Manager State Manager se EnhancedImageMetadata abilitata) sull' EC2 istanza

  • EC2 AMI Amazon

  • Lo snapshot di Amazon EBS associato ad Amazon AMI EC2

Pipeline di immagini dei contenitori

  • Contenitore Docker in esecuzione su un' EC2 istanza (temporaneo)

  • Systems Manager Inventory Association (tramite Systems Manager State Manager) EnhancedImageMetadata è abilitata sull' EC2 istanza

  • Immagine di container Docker

  • Dockerfile

Dopo la creazione dell'immagine, tutte le risorse temporanee vengono eliminate.

Distribuzione

EC2 Image Builder può distribuire AMIs o contenere immagini in qualsiasi AWS regione. L'immagine viene copiata in ogni regione specificata nell'account utilizzato per creare l'immagine.

Per le immagini di output AMI, è possibile definire le autorizzazioni di avvio AMI per controllare quali Account AWS sono autorizzate ad avviare EC2 istanze con l'AMI creata. Ad esempio, è possibile rendere l'immagine privata, pubblica o condividerla con account specifici. Se si distribuisce l'AMI ad altre regioni e si definiscono le autorizzazioni di avvio per altri account, le autorizzazioni di avvio vengono propagate AMIs in tutte le regioni in cui è distribuito l'AMI.

Puoi anche utilizzare il tuo AWS Organizations account per imporre limitazioni agli account dei membri e avviare istanze solo con istanze approvate e conformi. AMIs Per ulteriori informazioni, consulta Gestire i dati all'interno della propria organizzazione Account AWS.

Per aggiornare le impostazioni di distribuzione utilizzando la console Image Builder, segui i passaggi perCrea una nuova versione di image recipe dalla console, o. Crea una nuova versione di ricetta in contenitore con la console

Condivisione delle risorse

Per condividere componenti, ricette o immagini con altri account o all'interno AWS Organizations, consultaCondividi le risorse di Image Builder con AWS RAM.

Conformità

Per i benchmark Center for Internet Security (CIS), Image EC2 Builder utilizza Amazon Inspector per eseguire valutazioni di esposizione, vulnerabilità e deviazioni dalle migliori pratiche e dagli standard di conformità. Ad esempio, Image Builder valuta l'accessibilità involontaria della rete, la connettività Internet pubblica senza patch e l' CVEsattivazione dell'accesso root remoto. Amazon Inspector è offerto come componente di test che puoi scegliere di aggiungere alla ricetta dell'immagine. Per ulteriori informazioni su Amazon Inspector, consulta la Amazon Inspector User Guide. Per ulteriori informazioni, consulta Center for Internet Security (CIS) Benchmarks.

Image Builder fornisce componenti di protezione STIG per aiutarvi a creare in modo più efficiente immagini conformi agli standard STIG di base. Questi componenti STIG analizzano eventuali configurazioni errate ed eseguono uno script di correzione. Non sono previsti costi aggiuntivi per l'utilizzo di componenti conformi a STIG. Per un elenco completo dei componenti STIG disponibili tramite Image Builder, vedere. Amazon ha gestito i componenti di protezione STIG per Image Builder