Häufig gestellte Fragen zu EC2 Image Builder

Was ist EC2 Image Builder?

EC2 Image Builder vereinfacht die Erstellung, Wartung, Validierung, Freigabe und Bereitstellung von Linux- oder Windows-Images für die Verwendung mit Amazon EC2 und On-Premises.

Was sind die Vorteile des Image Builder?

Verbesserte IT-Produktivität

EC2 Image Builder vereinfacht den Prozess zum Erstellen, Verwalten und Bereitstellen sicherer und kompatibler Images, ohne dass Automatisierungscode geschrieben und verwaltet werden muss. Durch das Auslagern der Automatisierung in Image Builder werden Ressourcen und IT-Zeit gespart.

Einfacher zu sichern

Mit EC2 Image Builder können Sie Images nur mit den wesentlichen Komponenten erstellen und so das Risiko von Sicherheitslücken verringern. Sie können auch von AWS bereitgestellte Sicherheitseinstellungen anwenden, um Ihre Images weiter zu schützen und interne Sicherheitskriterien zu erfüllen.

Einfache Image-Verwaltung für AWS und On-Premises

Mit EC2 Image Builder können Sie in Verbindung mit AWS VM Import/Export (VMIE) Golden Images für Amazon EC2 (AMI) sowie für On-Premises VM-Formate (VHDX, VMDK und OVF) erstellen und verwalten.

Eingebaute Validierungsunterstützung

Mit EC2 Image Builder können Sie Ihre Images mit von AWS bereitgestellten Tests und Ihren eigenen Tests auf einfache Weise validieren, bevor Sie sie in der Produktion verwenden. Auf diese Weise werden Fehler in Images reduziert, die normalerweise durch unzureichende Tests verursacht werden und zu Ausfallzeiten führen können. Es können Richtlinien festgelegt werden, die die Images nur dann für bestimmte AWS-Regionen bereitstellen, nachdem sie die von Ihnen angegebenen Tests bestanden haben.

Zentralisierte Durchsetzung von Richtlinien

EC2 Image Builder ermöglicht die Versionskontrolle für ein einfaches Revisionsmanagement. Es lässt sich in AWS Resource Access Manager und AWS Organizations integrieren, um die gemeinsame Nutzung von Automatisierungsskripten, Rezepten und Images über AWS-Konten hinweg zu ermöglichen. Mit Image Builder können Informationssicherheits- und IT-Teams außerdem Richtlinien und die Einhaltung von Richtlinien für Images besser durchsetzen.

Wie sehen die ersten Schritte mit Image Builder aus?

Sie können den Image Builder mit der AWS-Konsole, AWS CLI oder APIs verwenden, um Images in Ihrem eigenen AWS-Konto zu erstellen. Bei Verwendung mit der AWS-Konsole bietet Image Builder einen schrittweisen Assistenten, der die folgenden Schritte abdeckt:

• Schritt 1: Stellen Sie ein Basis-BS-Image bereit 
• Schritt 2: Wählen Sie die zu installierende Software aus 
• Schritt 3: Wählen Sie Tests aus und führen Sie diese aus 
• Schritt 4: Verteilen Sie Images auf ausgewählte Regionen

Die von Ihnen erstellten Images befinden sich in Ihrem AWS-Konto und können so konfiguriert werden, dass sie fortlaufend gepatcht werden. Sie können den Fortschritt überwachen und sich von CloudWatch-Ereignissen zur Fehlerbehebung und zum Debuggen benachrichtigen lassen. Image Builder erstellt nicht nur das endgültige Image, sondern generiert auch eine "Rezept" -Datei, die mit vorhandenen Versionskontrollsystemen für den Quellcode und CI/CD-Pipelines zur wiederholbaren Automatisierung verwendet werden kann.

Welche Image-Formate unterstützt der Image Builder?

Mit EC2 Image Builder können Sie in Verbindung mit AWS VM Import/Export (VMIE) Golden Images für Amazon EC2 (AMI) sowie für On-Premises VM-Formate (VHDX, VMDK und OVF) erstellen und verwalten. Sie können ein vorhandenes AMI (entweder Ihr eigenes benutzerdefiniertes AMI oder eine Auswahl aus einer Liste von Image Builder verwalteten Images) als Ausgangspunkt für Ihren Image-Erstellungsprozess verwenden. Sie können auch VMIE verwenden, um ein Image aus den Formaten VMDK, VHDX oder OVF in ein AMI zu importieren, das dann als Ausgangspunkt für die Image-Erstellung dienen kann. Das endgültige Image wird im AMI-Format erstellt, das mit VMIE in die Formate VHDX, VMDK und OVF exportiert werden kann.

Welche Betriebssysteme werden vom Image Builder unterstützt?

Image Builder unterstützt folgende Systeme:

• Amazon Linux 2
• Windows Server 2012, 2016 und 2019
• Ubuntu Server 16 und 18
• Red Hat Enterprise Linux (RHEL) 7 und 8
• Cent OS 7 und 8
• SUSE Linux Enterprise Server (SLES) 15

Was ist die Ausgabe von Image Builder?

Image Builder gibt Server-Images im AMI-Format aus. Sie können VMIE verwenden, um diese AMIs in VHDX, VMDK oder OVF für die Verwendung On-Premises zu exportieren.

Was ist ein Image-Builder-Rezept?

Das Image Builder-Rezept ist eine Datei, die den Endzustand der von Automatisierungspipelines erzeugten Images darstellt und es Ihnen ermöglicht, Builds deterministisch zu wiederholen. Rezepte können außerhalb der Image Builder-Benutzeroberfläche geteilt, gegabelt und bearbeitet werden. Sie können Ihre Rezepte mit Ihrer Versionskontrollsoftware verwenden, um versionskontrollierte Rezepte zu verwalten, mit denen Sie Änderungen freigeben und nachverfolgen können.

Wie wird Image Builder bepreist?

Image Builder wird kostenlos angeboten, abgesehen von den Kosten für die zugrunde liegenden AWS-Ressourcen, die zum Erstellen, Speichern und Freigeben der Images verwendet werden.  

Wie kann ich automatisch Images erstellen, die mit den neuesten Patches und Updates auf dem neuesten Stand sind?

Neue Images können so konfiguriert werden, dass sie basierend auf Triggern generiert werden, beispielsweise jedes Mal, wenn ein Update ansteht (z. B. AMI-Quellupdates, Sicherheitsupdates, Compliance-Updates, neue Tests usw.) oder zu einem festgelegten Zeitpunkt. Sie können eine "Build-Trittfrequenz" angeben, bei der neue goldene Images mit den neuesten Änderungen erstellt werden, indem Sie ausstehende Änderungen anwenden. Die neuesten Images können mit dem Image Builder getestet werden, um Ihre Anwendungen auf den aktualisierten Builds zu überprüfen. Sie können Benachrichtigungen auch über SNS-Warteschlangen abonnieren, damit Aktualisierungen für mit dem Image Builder erstellte Images ausstehen. Sie können diese Benachrichtigungen als Auslöser verwenden, um neue Images zu erstellen.

Wie kann ich meine Images anpassen?

Sie können Software-Images aus registrierten Softwarequellen wie RPM/Debian-Paketen in Repositorys und MSIs sowie benutzerdefinierten Installationsprogrammen unter Windows anpassen. Neben vorregistrierten AWS-Softwarequellen können Sie auch eines oder mehrere Ihrer Repositorys und Amazon-S3-Standorte registrieren, die Software für die Installation enthalten. Sie können für Installationsworkflows, die interaktive Eingaben benötigen, installationsspezifische "unbeaufsichtigte" Mechanismen (z. B. Antwortdateien) bereitstellen.

Wie kann ich meine internen IT-Richtlinien auf meine mit Image Builder erstellten Images anwenden?

Mit Image Builder können Sie Sammlungen von Sicherheitseinstellungen definieren, die Sie bearbeiten, aktualisieren und verwenden können, um Ihre mit Image Builder erstellten Images zu sichern. Diese Einstellungssammlungen können angewendet werden, um die geltenden Compliance-Kriterien zu erfüllen. Diese Kriterien können von Ihrer Organisation oder von der Aufsichtsbehörde in Ihrer Branche vorgegeben werden. AWS bietet eine Reihe von Einstellungen, um die gängigen Branchenbestimmungen zu erfüllen. Sie können Sammlungen von Einstellungen direkt oder in geänderter Form anwenden. Beispielsweise werden durch von AWS bereitgestellte Einstellungen für STIG nicht erforderliche offene Ports geschlossen und eine Software-Firewall aktiviert.

Stellt die Verwendung von Image Builder die Einhaltung von Vorschriften wie CIS, HIPAA usw. sicher?

Nein, die Einstellungssammlungen von AWS stellen empfohlene Richtlinien zum Erreichen der Konformität dar und garantieren keine Konformität. Sie müssen mit Ihren Compliance-Teams und Prüfern zusammenarbeiten, um die Compliance zu überprüfen. Die von AWS bereitgestellten Einstellungen können Ihren Anforderungen entsprechend geändert und zur erneuten Verwendung in der Galerie gespeichert werden.

Kann ich Einstellungen erfassen, die von meinem Compliance-Team überprüft wurden, und sie zum Härten meiner VM-Images wiederverwenden?

Sammlungen von Einstellungen können von Grund auf neu erstellt oder aus von AWS bereitgestellten Vorlagen abgeleitet und an einem registrierten Amazon S3-Speicherort gespeichert werden. Sie können Ihre eigenen Sammlungen erstellen, die Sicherheitseinstellungen anwenden, z. B. das Anwenden von Sicherheitspatches, das Installieren von Firewalls, das Schließen bestimmter Ports, das Sperren der Dateifreigabe zwischen Programmen, das Installieren von Anti-Malware, das Erstellen sicherer Kennwörter, das Speichern von Sicherungskopien und nach Möglichkeit die Verschlüsselung. Deaktivieren schwacher Verschlüsselung, Protokollierung/Audit-Kontrollen, Entfernen persönlicher Daten usw. Sie können der Galerie Ihre benutzerdefinierten Einstellungen hinzufügen.

Wie teste ich meine Images?

Mit dem Test-Framework im Image Builder können Sie Inkompatibilitäten abfangen, die durch Betriebssystemaktualisierungen vor der Bereitstellung in AWS-Regionen verursacht wurden. Sie können sowohl von AWS bereitgestellte Tests als auch Ihre eigenen Tests ausführen, Testläufe, Ergebnisse verwalten und nachgelagerte Vorgänge nach dem Bestehen von Tests überprüfen. Beispiele für von AWS bereitgestellte Tests sind: Testen, ob ein AMI über die Anmeldeaufforderung gestartet werden kann, Testen, ob ein AMI eine Beispiel-App ausführen kann usw. Sie können die Images auch selbst testen.

Woraus besteht jeder Test in Image Builder?

Jeder Test in Image Builder besteht aus einem Testskript, einer Testbinärdatei und Testmetadaten. Das Testskript enthält Orchestrierungsbefehle zum Starten der Testbinärdatei, die in einer beliebigen Sprache und in einem beliebigen Testframework geschrieben werden kann, das vom Betriebssystem unterstützt wird (z. B. PowerShell unter Windows und bash, Python, Ruby usw. unter Linux). Exit-Statuscodes kennzeichnen die Testergebnisse. Zu den Testmetadaten gehören auch Attribute wie Name, Beschreibung, Pfade zum Testen der Binärdatei, erwartete Dauer usw.

Wie teile ich AMIs über AWS-Konten hinweg?

Image Builder lässt sich in AWS Organizations integrieren, um die gemeinsame Nutzung von AMIs über AWS-Konten mithilfe vorhandener Mechanismen zu ermöglichen. Image Builder kann die AMI-Startberechtigungen ändern, um zu steuern, welche AWS-Konten neben dem Besitzer EC2-VMs mit dem AMI starten dürfen (z. B. privat, öffentlich und für bestimmte Konten freigegeben). Sie können Ihr AWS Organization-Hauptkonto auch dazu veranlassen, Einschränkungen für Mitgliedskonten zu erzwingen, um Instanzen nur mit genehmigten und kompatiblen AMIs zu starten. Weitere Informationen zur Integration in AWS Organizations finden Sie in der Image Builder-Dokumentation.

Wie teile, verteile und repliziere ich Container-Images über mehrere AWS-Konten und AWS-Regionen?

Image Builder verwendet Amazon ECR (einen verwalteten Service für Container-Register) sowohl als Eingabe als auch Ausgabe für Container-Images. Sie können Richtlinien für die Zugriffsverwaltung auf jedes Repository konfigurieren und den Zugriff auf IAM-Nutzer und -Rollen sowie AWS-Konten beschränken. ECR integriert mit RAM und AWS Organizations, um das Teilen, Verteilen und Replizieren von Container-Images über mehrere Regionen und Konten zu ermöglichen. ECR verwendet IAM-Richtlinie, um Zugriff auf Ressourcen zu kontrollieren.

Wie verteile ich AMIs an AWS-Regionen?

Image Builder kann AMIs mithilfe vorhandener AMI-Freigabemechanismen in ausgewählte AWS-Regionen kopieren. Die Verteilung kann nach Bestehen von Tests mit Image Builder gesteuert werden.

Ich habe bereits eine CI/CD-Pipeline, um meine Images zu produzieren. Wie kann ich es mit Image Builder verwenden?

Der Image Builder kann in AWS CI/CD-Services wie Code Build und Code Pipeline integriert werden, um die Aktualisierung einer durchgängigen CI/CD-Pipeline zum Erstellen, Testen und Bereitstellen von AMIs zu unterstützen.

Wie kann ich Probleme mit dem Image Builder lösen und beheben?

Image Builder verfolgt und zeigt den Fortschritt für jeden Schritt im Image-Erstellungsprozess an. Darüber hinaus kann der Image Builder so eingestellt werden, dass er Protokolle an CloudWatch ausgibt. Für die fortgeschrittene Problembehandlung können Sie beliebige Befehle und Skripts über die SSM-runCommand-Schnittstelle ausführen.