- Вычисления›
- EC2 Image Builder›
- Вопросы и ответы
EC2 Image Builder: вопросы и ответы
Общие вопросы
Что такое EC2 Image Builder?
EC2 Image Builder упрощает создание, обслуживание, проверку, совместное использование и развертывание образов Linux или Windows для работы с инстансами Amazon EC2 и в локальной среде.
Каковы преимущества Image Builder?
Улучшенная производительность ИТ-отдела
EC2 Image Builder упрощает создание, техническое обслуживание и развертывание безопасных и соответствующих требованиям образов без необходимости создавать и поддерживать код автоматизации. Разгрузка автоматизации в Image Builder освобождает ресурсы и помогает экономить время ИТ-персонала.
Упрощенное обеспечение безопасности
С помощью сервиса EC2 Image Builder можно создавать образы, содержащие только основные компоненты, сводя к минимуму возникновение уязвимостей безопасности. Кроме того, вы можете применить настройки безопасности, предоставляемые AWS, чтобы защитить образы и выполнить внутренние требования безопасности.
Простое управление образами на AWS и в локальной среде
С помощью EC2 Image Builder в сочетании с AWS VM Import/Export (VMIE) можно создавать и обслуживать золотые образы для Amazon EC2 (AMI), а также в форматах локальных виртуальных машин (VHDX, VMDK и OVF).
Встроенные возможности проверки
EC2 Image Builder позволяет легко проверять образы с помощью тестов от AWS и собственных тестов, прежде чем использовать их в рабочей среде. Это дает возможность сократить количество ошибок, которые обычно появляются из-за недостаточного тестирования образов и могут приводить к простоям. Вы можете задавать политики для развертывания образов в определенных регионах AWS только после прохождения указанных тестов.
Централизованное принудительное применение политики
EC2 Image Builder позволяет контролировать версии для простого управления редакциями. Благодаря интеграции с AWS Resource Access Manager и AWS Organizations также обеспечивается возможность общего доступа к скриптам, готовым решениям и образам для других аккаунтов AWS. Кроме того, Image Builder помогает командам по информационной безопасности и ИТ‑специалистам принудительно применять политики и обеспечивать соответствие образов нормативным требованиям.
Как приступить к работе с использованием Image Builder?
Использовать Image Builder можно через консоль AWS, интерфейс командной строки AWS или API для создания образов в аккаунте AWS. При использовании с консолью AWS сервис Image Builder предоставляет пошаговый мастер, включающий перечисленные ниже этапы.
- Этап 1. Предоставление базового образа ОС
- Этап 2. Выбор программного обеспечения для установки
- Этап 3. Выбор и запуск тестов
- Этап 4. Распространение образов в выбранных регионах
Созданные образы хранятся в аккаунте AWS, и для них можно настроить регулярную установку исправлений. Вы можете наблюдать за ходом выполнения и получать уведомления для устранения неполадок и отладки с помощью событий CloudWatch. Image Builder создает не только окончательный образ, но и файл «рецепта», который можно использовать с имеющимися системами управления версиями исходного кода и конвейерами CI/CD для воспроизводимой автоматизации.
Какие форматы образов поддерживает Image Builder?
Применяя EC2 Image Builder в сочетании с AWS VM Import/Export (VMIE), можно создавать и обслуживать «золотые» образы для Amazon EC2 (AMI), а также в форматах локальных виртуальных машин (VHDX, VMDK и OVF). В качестве отправной точки процесса создания образа можно использовать существующий AMI (либо собственный, либо из списка управляемых образов Image Builder). Или с помощью VMIE импортировать образы в AMI из форматов VMDK, VHDX или OVF. Окончательный образ генерируется в формате AMI, и его можно экспортировать в форматы VHDX, VMDK и OVF, также используя VMIE.
Какие операционные системы поддерживает Image Builder?
Image Builder поддерживает:
- Amazon Linux 2
- Windows Server 2012, 2016 и 2019
- Ubuntu Server 16 и 18
- Red Hat Enterprise Linux (RHEL) 7 и 8
- Cent OS 7 и 8
- SUSE Linux Enterprise Server (SLES) 15
Какие данные возвращает Image Builder?
Image Builder возвращает образы сервера в формате AMI. С помощью VMIE можно экспортировать их в VHDX, VMDK или OVF для локального использования.
Что такое рецепт Image Builder?
Рецепт Image Builder – это файл, представляющий окончательное состояние образов, созданных конвейерами автоматизации; он позволяет с точностью воспроизводить сборки. Рецепты можно публиковать, разветвлять и редактировать вне пользовательского интерфейса Image Builder. Вы можете использовать рецепты с программами для управления версиями, чтобы распространять и отслеживать изменения.
Какова стоимость Image Builder?
Image Builder предоставляется бесплатно в отличие от базовых ресурсов AWS, необходимых для создания, хранения образов, а также общего доступа к ним.
Постоянное исправление актуальных образов
Как автоматически создавать образы с новейшими исправлениями и обновлениями?
Вы можете настроить создание образов по триггерам, например при выпуске обновлений (в том числе обновлений исходного кода AMI, обновлений системы безопасности, обновлений для соответствия требованиям, новых тестов и т. д.) или с заданным интервалом времени. Вы можете задать «период сборки» золотых образов с новейшими обновлениями, применяя изменения, ожидающие обработки. Актуальные образы можно тестировать с помощью Image Builder для проверки приложений в обновленных сборках. Вы также можете подписаться на уведомления через очереди SNS для ожидающих обработки обновлений образов, созданных с помощью Image Builder. Вы можете использовать эти уведомления в качестве триггеров для создания новых образов.
Настройка образов
Как можно настраивать образы?
Образы программного обеспечения можно настраивать с помощью зарегистрированных источников ПО, таких как пакеты RPM/Debian или пакеты MSI и пользовательские установщики в Windows. Помимо заранее зарегистрированных источников программного обеспечения AWS можно зарегистрировать один или несколько репозиториев и расположений Amazon S3, содержащих ПО для установки. Вы можете реализовать механизмы автоматического реагирования (например, файлы ответов) для рабочих процессов установки, требующих интерактивного ввода.
Готовые настройки для соблюдения нормативов и требований к безопасности
Как применять внутренние ИТ-политики к образам, созданным с помощью Image Builder?
Image Builder дает возможность определять коллекции параметров безопасности, которые можно редактировать, обновлять и использовать для дополнительной защиты образов, созданных с помощью Image Builder. Эти коллекции параметров можно применять для соблюдения применимых нормативных требований. Эти критерии могут быть установлены вашей организацией или управляющим органом вашей отрасли. AWS предоставляет коллекцию параметров, помогающих соблюдать популярные отраслевые нормативы. Вы можете применять наборы параметров непосредственно или с изменениями. Например, параметры от AWS для STIG закрывают необязательные открытые порты и включают программный брандмауэр.
Обеспечит ли использование Image Builder соответствие таким нормативам, как CIS, HIPAA и т. д.?
Нет. Коллекции параметров от AWS представляют рекомендуемые подходы к обеспечению соответствия требованиям, но не гарантируют его. Вам потребуется проверить соответствие требованиям в сотрудничестве с соответствующим отделом и аудиторами. Параметры от AWS можно менять в соответствии с потребностями и сохранять для повторного использования в коллекции.
Можно ли сохранять настройки, проверенные моим отделом соответствия требованиям, и повторно использовать их для дополнительной защиты образов ВМ?
Коллекции параметров можно создавать с нуля или на основе шаблонов AWS и сохранять в зарегистрированном расположении Amazon S3. Вы можете создавать собственные коллекции, применяющие такие параметры, как применение исправлений безопасности, установка брандмауэра, закрытие определенных портов, запрет обмена файлами между программами, установка антивирусного ПО, создание надежных паролей, хранение резервной копии, использование шифрования по мере возможности, отключение слабого шифрования, управление ведением журналов и аудитом, удаление персональных данных и т. д. Вы можете добавить свои настройки в коллекцию.
Тестирование
Как тестировать образы?
Платформа тестирования в Image Builder позволяет выявлять несовместимости, вызванные обновлениями ОС, перед развертыванием в регионах AWS. Вы можете проводить как тесты от AWS, так и собственные тесты, управлять испытаниями и результатами, а также ограничивать нижестоящие операции согласно прохождению тестов. Примеры тестов от AWS: проверка возможности загрузки AMI до экрана входа, тестовый запуск образца приложения в AMI и т. д. Вы также можете проводить с образами собственные тесты.
Из чего состоят тесты в Image Builder?
Каждый тест в Image Builder состоит из скрипта, двоичного файла и метаданных. Скрипт теста содержит команды управления для запуска двоичного файла, который может быть написан на любом языке и на любой тестовой платформе, которую поддерживает ОС (например, PowerShell для Windows и bash, python, ruby и т. д. для Linux). Коды завершения служат обозначением для результатов тестов. Метаданные теста также содержат такие атрибуты, как имя, описание, пути к двоичному файлу теста, ожидаемую продолжительность и т. д.
Распределение и общий доступ
Как настроить совместное использование AMI в разных аккаунтах AWS?
Image Builder интегрируется с AWS Organizations, что позволяет предоставлять аккаунтам AWS общий доступ к AMI с помощью существующих механизмов. Image Builder может менять разрешения на запуск AMI, проверяя таким образом, каким аккаунтам AWS, помимо владельца, разрешено запускать виртуальные машины EC2 с AMI (например, частным, общедоступным или конкретным аккаунтам). Ваш главный аккаунт организации AWS может разрешить аккаунтам-участникам запускать инстансы только с утвержденными и соответствующими требованиям AMI. Подробные сведения об интеграции с AWS Organizations представлены в документации по Image Builder.
Как распределить или реплицировать образы контейнеров среди аккаунтов и регионов AWS, а также открыть для них совместный доступ к образам контейнеров?
В качестве сервиса входящих и исходящих данных для образов контейнеров Image Builder использует Amazon ECR (управляемый сервис для реестров контейнеров). У пользователя есть возможность настроить политики управления разрешениями отдельно для каждого репозитория и предоставить ограниченный доступ для определенных пользователей или ролей IAM, а также аккаунтов AWS. ECR интегрируется с RAM и AWS Organizations, что позволяет распределять и реплицировать образы контейнеров среди аккаунтов и регионов AWS, а также открывать для них совместный доступ к образам контейнеров. ECR использует политики IAM для организации контроля доступа к ресурсам.
Как распределять AMI между регионами AWS?
В Image Builder можно копировать AMI в указанные регионы AWS, используя имеющиеся механизмы общего доступа к AMI. Распределение можно ограничить согласно прохождению тестов в Image Builder.
У меня уже есть конвейер CI/CD для создания образов. Как применить его в Image Builder?
Image Builder можно интегрировать с такими сервисами AWS CI/CD, как Code Build и Code Pipeline, чтобы реализовать полноценный конвейер CI/CD для создания, тестирования и развертывания AMI.
Устранение неполадок и отладка
Как выполняются устранение неполадок и отладка в Image Builder?
Image Builder отслеживает и отображает ход выполнения каждого этапа создания образа. Кроме того, Image Builder может передавать журналы в CloudWatch. Для использования расширенных возможностей устранения неполадок вы можете запускать произвольные команды и скрипты с помощью интерфейса SSM runCommand.