Các câu hỏi thường gặp về Trình tạo hình ảnh EC2

Thông tin chung

Trình tạo hình ảnh EC2 đơn giản hóa việc tạo, duy trì, xác thực, chia sẻ và triển khai hình ảnh Linux hoặc Windows để sử dụng với Amazon EC2 và tại chỗ.

Cải thiện năng suất CNTT

Trình tạo hình ảnh EC2 đơn giản hóa quá trình xây dựng, duy trì và triển khai các hình ảnh bảo mật và tuân thủ mà không cần phải viết và duy trì mã tự động. Giảm tải tự động hóa để Trình dựng hình ảnh giải phóng tài nguyên và tiết kiệm thời gian CNTT.

Bảo mật đơn giản hơn

Trình tạo hình ảnh EC2 cho phép bạn tạo hình ảnh chỉ với các thành phần thiết yếu, giảm mức độ tiếp xúc với các lỗ hổng bảo mật. Bạn cũng có thể áp dụng các cài đặt bảo mật do AWS cung cấp để bảo mật hơn cho hình ảnh của mình nhằm đáp ứng các tiêu chí bảo mật nội bộ.

Quản lý hình ảnh đơn giản cho cả AWS và tại chỗ

Trình tạo hình ảnh EC2, kết hợp với AWS VM Import/Export (VMIE), cho phép bạn tạo và duy trì hình ảnh vàng cho Amazon EC2 (AMI) cũng như các định dạng máy ảo tại chỗ (VHDX, VMDK và OVF).

Hỗ trợ xác thực được tích hợp

Trình tạo hình ảnh EC2 cho phép bạn dễ dàng xác thực hình ảnh của mình bằng các kiểm tra do AWS cung cấp và các kiểm tra của riêng bạn trước khi sử dụng các hình ảnh đó trong sản xuất. Làm như vậy sẽ giảm các lỗi tìm thấy trong hình ảnh thông thường do kiểm tra không đủ có thể gây ra thời gian chết. Chỉ có thể thiết lập các chính sách để triển khai hình ảnh đến các khu vực AWS cụ thể sau khi chúng vượt qua các bài kiểm tra mà bạn chỉ định.

Thực thi chính sách tập trung

Trình tạo hình ảnh EC2 cho phép kiểm soát phiên bản để quản lý sửa đổi dễ dàng. Nó tích hợp với AWS Resource Access Manager và AWS Organizations để cho phép chia sẻ tập lệnh tự động, công thức và hình ảnh trên các tài khoản AWS. Trình dựng hình ảnh cũng cho phép các nhóm CNTT và Bảo mật thông tin thực thi tốt hơn các chính sách và tuân thủ về hình ảnh.

Bạn có thể sử dụng Trình dựng hình ảnh với bảng điều khiển AWS, AWS CLI hoặc API để tạo hình ảnh trong tài khoản AWS của riêng bạn. Khi được sử dụng với bảng điều khiển AWS, Trình dựng hình ảnh cung cấp trình hướng dẫn từng bước bao gồm các bước sau:

  • Bước 1: Cung cấp hình ảnh hệ điều hành cơ sở 
  • Bước 2: Chọn phần mềm để cài đặt 
  • Bước 3: Chọn và chạy thử nghiệm 
  • Bước 4: Phân phối hình ảnh cho các khu vực được chọn

Hình ảnh bạn tạo trong tài khoản AWS của bạn và có thể được định cấu hình để được vá trên cơ sở liên tục. Bạn có thể theo dõi tiến trình và yêu cầu các sự kiện CloudWatch thông báo cho bạn để khắc phục sự cố và gỡ lỗi. Ngoài việc tạo ra hình ảnh cuối cùng của bạn, Trình dựng hình ảnh còn tạo ra một tập tin “công thức” trực tuyến có thể được sử dụng với các hệ thống kiểm soát phiên bản mã nguồn hiện có và các quy trình CI/CD để tự động lặp lại.

Trình tạo hình ảnh EC2 kết hợp với AWS VM Import/Export (VMIE) cho phép bạn tạo và duy trì các hình ảnh mẫu được cấu hình trước cho Amazon EC2 (AMI) cũng như các định dạng VM tại chỗ (VHDX, VMDK, and OVF). Bạn có thể sử dụng một AMI hiện tại (AMI tùy chỉnh của riêng bạn hoặc lựa chọn từ danh sách các hình ảnh được Image Builder quản lý) để làm điểm bắt đầu cho quy trình xây dựng hình ảnh. Nếu không, bạn có thể sử dụng VMIE để nhập hình ảnh từ các định dạng VMDK, VHDX hoặc OVF thành AMI, sau đó bạn có thể sử dụng AMI này để làm điểm bắt đầu cho quy trình xây dựng hình ảnh. Hình ảnh cuối cùng được tạo ra sẽ ở định dạng AMI rồi có thể được xuất sang các định dạng VHDX, VMDK và OVF thông qua VMIE.

Trình dựng hình ảnh hỗ trợ:

  • Amazon Linux 2
  • Windows Server 2012, 2016 và 2019
  • Ubuntu Server 16 và 18
  • Red Hat Enterprise Linux (RHEL) 7 và 8
  • Cent OS 7 và 8
  • SUSE Linux Enterprise Server (SLES) 15

Đầu ra của Image Builder là các hình ảnh máy chủ ở định dạng AMI. Bạn có thể sử dụng VMIE để xuất những AMI này sang VHDX, VMDK hoặc OVF để sử dụng tại chỗ.

Công thức Trình dựng hình ảnh là một tệp đại diện cho trạng thái cuối cùng của hình ảnh được tạo ra bởi các quy trình tự động hóa và cho phép bạn xác định lại các bản dựng. Các công thức có thể được chia sẻ, phân chia và chỉnh sửa bên ngoài Giao diện người dùng Trình dựng hình ảnh. Bạn có thể sử dụng công thức của mình với phần mềm kiểm soát phiên bản để duy trì các công thức được kiểm soát theo phiên bản mà bạn có thể sử dụng để chia sẻ và theo dõi các thay đổi.

Trình dựng hình ảnh được cung cấp miễn phí, ngoài chi phí cho các tài nguyên AWS cơ bản được sử dụng để tạo, lưu trữ và chia sẻ hình ảnh.  

Vá liên tục cho hình ảnh được cập nhật

Các hình ảnh mới có thể được đặt cấu hình để được tạo dựa trên các kích hoạt như mỗi khi có bản cập nhật đang chờ xử lý (ví dụ: cập nhật AMI nguồn, cập nhật bảo mật, cập nhật để tuân thủ, kiểm tra mới, v.v.) hoặc theo khoảng thời gian quy định. Bạn có thể chỉ định một “khoảng thời gian tạo”, trong đó hình ảnh vàng mới được tạo ra với những thay đổi mới nhất bằng cách áp dụng các thay đổi đang chờ xử lý. Các hình ảnh mới nhất có thể được kiểm tra với Trình dựng hình ảnh để xác thực các ứng dụng của bạn trên các bản dựng được cập nhật. Bạn cũng có thể đăng ký thông báo qua hàng đợi SNS để cập nhật các bản cập nhật cho hình ảnh được xây dựng bằng Trình dựng hình ảnh. Bạn có thể sử dụng các thông báo này làm trình kích hoạt để xây dựng hình ảnh mới.

Tùy chỉnh ảnh

Bạn có thể tùy chỉnh ảnh phần mềm từ các nguồn phần mềm đã đăng ký, chẳng hạn như các kho lưu trữ gói RPM/Debian, MSI và trình cài đặt tùy chỉnh trên Windows. Ngoài các nguồn phần mềm AWS đã đăng ký trước, bạn cũng có thể đăng ký một hoặc nhiều kho lưu trữ và các vị trí Amazon S3 có chứa phần mềm để cài đặt. Bạn có thể cung cấp các cơ chế “không liên kết” cụ thể theo bộ cài đặt (như các tệp trả lời) cho các quy trình cài đặt cần đầu vào tương tác.

Đặt trước các cài đặt để đáp ứng các yêu cầu bảo mật và tuân thủ

Trình dựng hình ảnh cho phép bạn xác định các bộ cài đặt bảo mật mà bạn có thể chỉnh sửa, cập nhật và sử dụng để bảo mật hình ảnh được xây dựng bằng Trình dựng hình ảnh. Các bộ cài đặt này có thể được áp dụng để đáp ứng các tiêu chí tuân thủ được áp dụng. Các tiêu chí này có thể được áp đặt bởi tổ chức của bạn hoặc bởi cơ quan quản lý trong ngành của bạn. AWS cung cấp một bộ các cài đặt để giúp đáp ứng các quy định phổ biến trong ngành. Bạn có thể áp dụng các bộ cài đặt trực tiếp hoặc ở dạng sửa đổi. Ví dụ: các cài đặt do AWS cung cấp cho STIG sẽ đóng các cổng mở không cần thiết và kích hoạt tường lửa phần mềm.

Không, các bộ cài đặt từ AWS thể hiện hướng dẫn được khuyến nghị để đạt được sự tuân thủ và không đảm bảo tuân thủ. Bạn sẽ cần làm việc với các nhóm tuân thủ và kiểm toán viên của mình để xác nhận sự tuân thủ. Các cài đặt do AWS cung cấp có thể được sửa đổi dựa trên nhu cầu của bạn và được lưu để sử dụng lại trong thư viện.

Các bộ cài đặt có thể được xây dựng từ đầu hoặc lấy từ các mẫu do AWS cung cấp và được lưu trữ trong một vị trí Amazon S3 đã đăng ký. Bạn có thể xây dựng các bộ cài đặt của riêng mình áp dụng các cài đặt bảo mật như đảm bảo các bản vá bảo mật được áp dụng, cài đặt tường lửa, đóng một số cổng nhất định, không cho phép chia sẻ tệp giữa các chương trình, cài đặt chống phần mềm độc hại, tạo mật khẩu mạnh, giữ bản sao lưu, sử dụng mã hóa khi có thể, vô hiệu hóa mã hóa yếu, kiểm soát ghi nhật ký/kiểm tra, xóa dữ liệu cá nhân, v.v. Bạn có thể thêm các cài đặt tùy chỉnh của bạn vào thư viện.

Kiểm thử

Khung kiểm tra trong Image Builder cho phép bạn nắm bắt sự không tương thích được tạo ra bởi các bản cập nhật hệ điều hành trước khi triển khai đến các khu vực AWS. Bạn có thể chạy cả hai - các kiểm tra do AWS cung cấp và các kiểm tra của riêng bạn, quản lý các lần chạy kiểm tra, kết quả và các hoạt động xuôi chiều cổng khi vượt qua các bài kiểm tra. Ví dụ về các kiểm tra do AWS cung cấp bao gồm: kiểm tra xem AMI có thể khởi động từ lời nhắc đăng nhập không, kiểm tra xem AMI có thể chạy ứng dụng mẫu không, v.v. Bạn cũng có thể chạy kiểm tra của riêng bạn trên hình ảnh.

Mỗi kiểm tra trong Trình dựng hình ảnh bao gồm một tập lệnh kiểm tra, nhị phân kiểm tra và siêu dữ liệu kiểm tra. Tập lệnh kiểm tra chứa các lệnh phối hợp để khởi động nhị phân kiểm tra có thể được viết bằng bất kỳ ngôn ngữ nào và trong bất kỳ khung kiểm tra nào được hỗ trợ bởi HĐH (ví dụ: PowerShell trên Windows và bash, python, ruby, v.v. trên Linux) và mã trạng thái thoát biểu thị kết quả kiểm tra. Kiểm tra siêu dữ liệu cũng bao gồm các thuộc tính như tên, mô tả, đường dẫn để kiểm tra nhị phân, thời lượng dự kiến, v.v.).

Phân phối và chia sẻ

Trình dựng hình ảnh tích hợp với AWS Organizations để cho phép chia sẻ AMI trên các tài khoản AWS bằng các cơ chế hiện có. Trình dựng hình ảnh có thể sửa đổi quyền khởi chạy AMI để kiểm soát tài khoản AWS nào ngoài chủ sở hữu được phép khởi chạy VM EC2 bằng AMI (ví dụ: riêng tư, công khai và chia sẻ với các tài khoản cụ thể). Bạn cũng có thể yêu cầu các tài khoản chính của Tổ chức AWS thực thi các ràng buộc đối với các tài khoản thành viên để khởi chạy các phiên bản chỉ với các AMI được phê duyệt và tuân thủ. Xem tài liệu Image Builder để biết chi tiết về tích hợp với AWS Organizations.

Image Builder sử dụng Amazon ECR (dịch vụ được quản lý dành cho các sổ đăng ký của bộ chứa) làm cả đầu vào và đầu ra cho ảnh bộ chứa. Bạn có thể đặt cấu hình chính sách để quản lý các quyền cho từng kho và hạn chế quyền truy cập đối với người dùng IAM, vai trò hoặc các tài khoản AWS. ECR tích hợp với RAM và AWS Organizations để cho phép chia sẻ, phân phối và sao chép ảnh bộ chứa trên các khu vực và tài khoản. ECR dùng chính sách IAM để kiểm soát quyền truy cập vào các tài nguyên.

Trình dựng hình ảnh có thể sao chép AMI sang các khu vực AWS đã chọn bằng các cơ chế chia sẻ AMI hiện có. Việc phân phối có thể được kiểm soát khi vượt qua các kiểm tra với Trình dựng hình ảnh.

Image Builder có thể tích hợp với các dịch vụ CI/CD trên AWS như Code Build và Code Pipeline để giúp hiện thực hóa quy trình CI/CD đầu cuối để xây dựng, kiểm tra và triển khai AMI.

Khắc phục sự cố và gỡ lỗi

Image Builder theo dõi và hiển thị tiến trình cho từng bước trong quy trình xây dựng hình ảnh. Ngoài ra, Image Builder còn có thể phát hành nhật ký sang CloudWatch. Để khắc phục sự cố nâng cao, bạn có thể chạy các lệnh và tập lệnh tùy ý bằng giao diện SSM runCommand.