- Computação›
- EC2 Image Builder›
- Perguntas frequentes
Perguntas frequentes do Construtor de imagens do EC2
Geral
O que é o Construtor de imagens do EC2?
O Construtor de imagens do EC2 simplifica a criação, manutenção, validação, o compartilhamento e a implantação de imagens do Linux ou Windows para uso no Amazon EC2 e no local.
Quais são os benefícios do Construtor de imagens?
Produtividade de TI aprimorada
O Construtor de imagens do EC2 simplifica processos para criar, manter e implantar imagens seguras e compatíveis sem a necessidade de gravar e manter o código de automação. O descarregamento da automação do Construtor de imagens libera recursos e economiza o tempo de TI.
Segurança mais simples
O Construtor de imagens do EC2 lhe permite criar imagens utilizando apenas os componentes essenciais, reduzindo a sua exposição a vulnerabilidades de segurança. Você também pode aplicar as configurações de segurança fornecidas pela AWS para proteger ainda mais suas imagens e atender aos critérios de segurança internos.
Gerenciamento de imagens simples na AWS e no local
O Construtor de imagens do EC2, em conjunção com o VM Import/Export da AWS (VMIE), lhe permite criar e manter imagens de referência para o Amazon EC2 (AMI), bem como formatos de VM locais (VHDX, VMDK e OVF).
Suporte de validação incorporado
O Construtor de imagens do EC2 lhe permite validar facilmente suas imagens através de testes fornecidos pela AWS e seus próprios testes antes de usá-los na produção. Isso reduz os erros encontrados em imagens que costumam ser ocasionados por falta de testes, o que podem gerar tempo de inatividade. Só é permitido definir políticas que implantem imagens em regiões específicas da AWS depois que estas sejam aprovadas nos testes especificados por você.
Aplicação de política centralizada
O Construtor de imagens do EC2 permite o controle de versões em prol de um gerenciamento fácil de revisões. Ele se integra ao AWS Resource Access Manager e ao AWS Organizations para permitir o compartilhamento de scripts, receitas e imagens de automação entre contas da AWS. O Construtor de imagens do EC2 também possibilita que as equipes de segurança de informação e TI possam controlar melhor as políticas e conformidade de imagens.
Como faço para começar a usar o Construtor de imagens do EC2?
Você pode usar o Construtor de imagens para criar imagens na sua própria conta da AWS junto ao console AWS, na ILC da AWS ou nas APIs. Quando utilizado no console da AWS, o Construtor de imagens fornece um assistente passo-a-passo que cobre as seguintes etapas:
- Etapa 1: Fornecer uma imagem de sistema operacional de base
- Etapa 2: Selecionar um software para instalação
- Etapa 3: Selecionar e executar testes
- Etapa 4: Distribuir imagens em regiões selecionadas
As imagens que você já criou ficam armazenadas em sua conta da AWS e podem ser configuradas para serem corrigidas de forma contínua. Você pode monitorar o progresso e configurar os eventos do CloudWatch para te notificar sobre a depuração e solução de problemas. Além de produzir sua imagem final, o Construtor de imagens também gera um arquivo de “receita” que pode ser usado com os sistemas de controle de versão de código-fonte existentes e os pipelines de CI/CD para automação passível de repetição.
Quais formatos de imagem são compatíveis com o Image Builder?
O EC2 Image Builder, em conjunção com o VM Import/Export da AWS (VMIE), lhe permite criar e manter imagens de referência para o Amazon EC2 (AMI), bem como formatos de VM on-premises (VHDX, VMDK e OVF). Você pode usar uma AMI existente (sua própria AMI personalizada ou selecionar em uma lista de imagens gerenciadas pelo Image Builder) como ponto de partida de seu processo de construção de imagens. Ou pode usar o VMIE para importar uma imagem dos formatos VMDK, VHDX ou OVF para uma AMI, que então pode ser o ponto de partida de sua construção de imagens. A imagem final gerada está no formato da AMI, que pode ser exportada para os formatos VHDX, VMDK e OVF usando o VMIE.
O Image Builder oferece suporte a quais sistemas operacionais?
O Construtor de imagens oferece suporte a:
- Amazon Linux 2
- Windows Server 2012, 2016 e 2019
- Ubuntu Server 16 e 18
- Red Hat Enterprise Linux (RHEL) 7 e 8
- Cent OS 7 e 8
- SUSE Linux Enterprise Server (SLES) 15
Qual deve ser o resultado do Image Builder?
O Image Builder produz várias imagens de servidor no formato de AMI. Você pode usar o VMIE para exportar essas AMIs em VHDX, VMDK ou OVF para uso on-premises.
O que é uma receita do Image Builder?
A receita do Construtor de imagens é um arquivo que representa o estado final das imagens produzidas pelos pipelines de automação e que permite repetir construções de forma determinística. As receitas podem ser compartilhadas, bifurcadas e editadas fora da IU do Construtor de imagens. Você pode usar suas receitas com o software de controle de versão para manter receitas controladas por versão, que podem ser usadas para compartilhar e monitorar alterações.
Como é definido o preço do Construtor de imagens?
O Construtor de imagens é oferecido sem custos, valem apenas os custos de recursos adjacentes à AWS usados para criar, armazenar e compartilhar imagens.
Aplicação de patches em andamento para imagens atualizadas
Como eu posso construir automaticamente imagens que estão em dia com os patches e atualizações mais recentes?
Novas imagens podem ser configuradas para serem geradas com base em gatilhos, por exemplo, sempre que houver uma atualização pendente (atualizações da AMI de origem, atualizações de segurança, atualizações de conformidade, novos testes etc.) ou em uma cadência estipulada de tempo. Você pode especificar uma “cadência de criação” em que novas imagens de referência são produzidas com as alterações mais recentes aplicando essas mudanças pendentes. As imagens mais recentes podem ser testadas com o Construtor de imagens para validar as versões atualizadas de seus aplicativos. Você também pode acompanhar notificações por meio de filas de SNS para atualizações pendentes nas imagens criadas com o Construtor de imagens. Você pode usar essas notificações como gatilhos para criar novas imagens.
Personalizar imagens
Como posso personalizar minhas imagens?
Você pode personalizar imagens de software de fontes de software registradas, como repositórios de pacotes e MSIs de RPM/Debian e instaladores personalizados no Windows. Além das fontes de software pré-registradas da AWS, você também pode registrar um ou mais de seus repositórios e locais do Amazon S3 que contêm softwares para instalação. Você pode fornecer mecanismos “independentes” específicos do instalador (como arquivos de respostas) para fluxos de trabalho de instalação que precisam de entradas interativas.
Predefina configurações para atender aos requisitos de segurança e conformidade
Como posso aplicar as minhas políticas internas de TI nas imagens produzidas com o Construtor de imagens?
O Construtor de imagens lhe permite definir conjuntos de configurações de segurança que você pode editar, atualizar e usar para fortalecer suas imagens construídas no Construtor de imagens. Tais conjuntos de configurações podem ser aplicados para atender aos critérios aplicáveis de conformidade. Esses critérios podem ser determinados pela sua organização ou pela autoridade reguladora do seu setor. A AWS fornece uma galeria de configurações para ajudar a cumprir os regulamentos populares da indústria. Você pode aplicar coleções de configurações diretamente ou em um formulário modificado. Por exemplo, a configuração fornecida pela AWS para STIG encerra duas portas abertas não essenciais e habilita o firewall de software.
Usar o Construtor de imagens garantirá a conformidade com regulamentos como CIS, HIPAA etc.?
Não, os conjuntos de configurações da AWS representam orientações recomendadas para alcançar a conformidade, esses parâmetros não são garantidos. Você precisará trabalhar junto com as equipes e auditores de conformidade para validá-la. As configurações fornecidas pela AWS podem ser modificadas com base nas suas necessidades e nas definições salvas para reutilização na galeria.
Eu consigo capturar as configurações avaliadas pela equipe de conformidade e reutilizá-las para fortalecer minhas imagens de VM?
Os conjuntos de configurações podem ser criados do zero ou a partir de modelos fornecidos pela AWS e armazenados em um local registrado pelo Amazon S3. Você pode criar seus próprios conjuntos que aplicam configurações de segurança, como garantir a aplicação de patches de segurança, instalar firewall, encerrar determinadas portas, impedir o compartilhamento de arquivos entre programas, instalar antimalware, criar senhas fortes, manter um backup, usar criptografia quando possível, desativando criptografias fracas, controles de registro em log/auditoria, remoção de dados pessoais etc. Você pode incluir suas configurações personalizadas na galeria.
Testes
Como posso testar minhas imagens?
A estrutura de teste no Construtor de imagens lhe permite detectar incompatibilidades introduzidas pelas atualizações do sistema operacional antes de sua implantação nas regiões da AWS. Você pode executar tanto testes fornecidos pela AWS, quando seus próprios testes, além de gerenciar execuções de testes, resultados e controlar operações de downstream na aprovação de testes. Dentre os exemplos de testes fornecidos pela AWS estão: testar se uma AMI pode ser inicializada no prompt de login, testar se uma AMI pode executar um aplicativo de amostra etc. Você também pode executar os seus próprios testes nas imagens.
O que caracteriza os testes do Construtor de imagens?
Cada teste do Construtor de imagens consiste em um script de teste, um binário de teste e metadados de teste. O script de teste contém comandos de orquestração para iniciar o binário de teste que pode ser gravado em qualquer idioma e em qualquer estrutura de teste suportada pelo sistema operacional (por exemplo, PowerShell no Windows e bash, python, ruby etc. no Linux) e os códigos de status de saída indicam os resultados do teste. Os metadados de teste também incluem atributos como nome, descrição, paths para binário de teste, duração esperada etc.).
Distribuição e compartilhamento
Como posso compartilhar AMIs entre contas da AWS?
O Construtor de imagens se integra com a AWS Organizations para habilitar o compartilhamento de AMIs entre contas da AWS usando mecanismos existentes. O Construtor de imagens pode modificar as permissões de inicialização da AMI para controlar quais contas da AWS, além do proprietário, possuem autorização para iniciar VMs no EC2 com a AMI (por exemplo, privadas, públicas e compartilhadas com contas específicas). Você também pode fazer sua conta principal da AWS Organization restrinja contas de membros para iniciar instâncias apenas com AMIs aprovadas e compatíveis. Consulte a documentação do Construtor de imagens para obter detalhes sobre a integração com a AWS Organizations.
Como faço para compartilhar, distribuir e replicar imagens de contêiner entre contas e regiões AWS?
O Image Builder usa Amazon ECR (um serviço gerenciado para registros de contêiner) como entrada e saída para imagens de contêiner. É possível configurar políticas para gerenciar permissões para cada repositório e restringir acesso aos usuários do IAM, funções ou outras contas da AWS. O ECR se integra com RAM e AWS Organizations para permitir o compartilhamento, distribuição e replicação de imagens de contêiner entre regiões e contas. O ECR usa políticas IAM para controlar o acesso aos recursos.
Como posso distribuir AMIs nas regiões da AWS?
O Construtor de imagens pode copiar AMIs para regiões selecionadas da AWS usando mecanismos de compartilhamento de existentes de AMIs. A distribuição pode ser controlada na aprovação de testes utilizando o Construtor de imagens.
Eu já possuo um pipeline de CI/CD para produzir minhas imagens. Como posso utilizá-lo com o Construtor de imagens?
O Construtor de imagens pode integrar-se aos serviços de CI/CD da AWS, como Code Build e Code Pipeline, para ajudar a atualizar um pipeline de CI/CD de ponta a ponta para criar, testar e implantar AMIs.
Depuração e solução de problemas
Como posso depurar e resolver problemas com o Image Builder?
O Construtor de imagens rastreia e exibe o progresso de cada etapa do processo de criação da imagem. Além disso, o Construtor de imagem pode ser criado para emitir logs para o CloudWatch. Para solução avançada de problemas, você pode executar comandos e scripts arbitrários usando a interface runCommand do SSM.