คำถามที่พบบ่อยเกี่ยวกับ EC2 Image Builder

ข้อมูลทั่วไป

EC2 Image Builder ลดความซับซ้อนในการสร้าง การบำรุงรักษา การแชร์ และการปรับใช้อิมเมจสำหรับ Linux หรือ Windows เพื่อใช้กับ Amazon EC2 และในองค์กร

ปรับปรุงประสิทธิภาพด้าน IT

EC2 Image Builder ลดความซับซ้อนของกระบวนการสร้าง การบำรุงรักษา และการปรับใช้อิมเมจที่ปลอดภัยและเป็นไปตามข้อบังคับโดยไม่ต้องเขียนและรักษาโค้ดอัตโนมัติ การลดภาระการทำงานอัตโนมัติไปยัง Image Builder ช่วยให้คุณสามารถใช้ทรัพยากรได้มากขึ้น และประหยัดเวลาด้าน IT

รักษาความปลอดภัยได้ง่ายขึ้น

EC2 Image Builder ทำให้คุณสามารถสร้างอิมเมจด้วยองค์ประกอบที่สำคัญเท่านั้น ซึ่งช่วยลดช่องโหว่ด้านความปลอดภัย คุณยังสามารถใช้การตั้งค่าการรักษาความปลอดภัยที่ AWS มีให้ในการรักษาความปลอดภัยให้กับอิมเมจของคุณมากขึ้น เพื่อให้ตรงกับเกณฑ์การรักษาความปลอดภัยภายใน

การจัดการอิมเมจที่ง่ายสำหรับทั้ง AWS และในองค์กร

EC2 Image Builder ร่วมกับ AWS VM Import/Export (VMIE) ช่วยให้คุณสามารถสร้างและรักษาอิมเมจต้นแบบสำหรับ Amazon EC2 (AMI) ได้เช่นเดียวกับรูปแบบ VM (VHDX, VMDK และ OVF) ในองค์กร

การรองรับการทดสอบในตัว

EC2 Image Builder ช่วยให้คุณสามารถทดสอบอิมเมจของคุณได้อย่างง่ายดายด้วยการทดสอบที่ AWS มีให้และการทดสอบของคุณเอง ก่อนที่จะนำอิมเมจดังกล่าวมาใช้งานจริง การตรวจสอบนี้ช่วยลดข้อผิดพลาดที่พบในอิมเมจที่โดยทั่วไปเกิดจากการทดสอบที่ไม่เพียงพอ ซึ่งอาจนำไปสู่การหยุดทำงาน คุณสามารถกำหนดนโยบายให้ปรับใช้อิมเมจกับภูมิภาค AWS ที่เจาะจง ภายหลังจากที่ผ่านการทดสอบที่คุณกำหนดไว้เท่านั้น

การบังคับใช้นโยบายแบบรวมศูนย์

EC2 Image Builder ช่วยให้คุณสามารถใช้งานการควบคุมเวอร์ชันเพื่อการจัดการการแก้ไขที่ง่ายดาย โดยจะผสาน AWS Resource Access Manager รวมกับ AWS Organizations เพื่อเปิดใช้งานการแชร์สคริปต์ระบบอัตโนมัติ, สูตร และอิมเมจบนบัญชี AWS นอกจากนี้ Image Builder ยังทำให้ทีมงานความปลอดภัยทางด้านข้อมูลและทีมงาน IT สามารถบังคับใช้นโยบายและข้อกำหนดของอิมเมจได้ดียิ่งขึ้นอีกด้วย

คุณสามารถใช้ Image Builder กับคอนโซล AWS, AWS CLI หรือ API เพื่อสร้างอิมเมจในบัญชี AWS ของคุณเอง เมื่อคุณใช้งานกับคอนโซล AWS แล้ว Image Builder จะมีตัวช่วยติดตั้งที่อธิบายทีละขั้นตอน ซึ่งครอบคลุมขั้นตอนดังต่อไปนี้

  • ขั้นตอนที่ 1: จัดเตรียมอิมเมจระบบปฏิบัติการขั้นพื้นฐาน 
  • ขั้นตอนที่ 2: เลือกซอฟต์แวร์สำหรับการติดตั้ง 
  • ขั้นตอนที่ 3: เลือกและใช้งานการทดสอบ 
  • ขั้นตอนที่ 4: เผยแพร่อิมเมจไปยังภูมิภาคที่เลือกไว้

อิมเมจที่คุณสร้างขึ้นอยู่ในบัญชี AWS ของคุณ และสามารถกำหนดค่าเพื่อให้แพตช์อย่างต่อเนื่องได้ คุณสามารถติดตามความก้าวหน้า และให้ CloudWatch Event แจ้งเตือนคุณสำหรับการแก้ไขปัญหาหรือการแก้จุดบกพร่อง นอกเหนือจากการสร้างอิมเมจขั้นสุดท้ายแล้ว Image Builder ยังสร้างไฟล์ “สูตร” ที่สามารถใช้ได้กับระบบการควบคุมเวอร์ชันซอร์สโค้ดที่มีอยู่ และไปป์ไลน์ CI/CD สำหรับการทำงานอัตโนมัติที่ทำซ้ำได้

คุณสามารถใช้ EC2 Image Builder ร่วมกับ AWS VM Import/Export (VMIE) เพื่อสร้างและดูแลอิมเมจต้นฉบับสำหรับ Amazon EC2 (AMI) รวมถึงรูปแบบ VM ในองค์กร (VHDX, VMDK และ OVF) คุณสามารถใช้ AMI ที่มีอยู่ (ไม่ว่าจะเป็น AMI ที่คุณกำหนดเอง หรือเลือกจากรายการอิมเมจที่มีการจัดการของ Image Builder) เป็นจุดเริ่มต้นของกระบวนการสร้างอิมเมจของคุณได้ หรือคุณอาจใช้ VMIE เพื่อนำเข้าอิมเมจจากรูปแบบ VMDK, VHDX หรือ OVF มาเป็น AMI ซึ่งสามารถใช้เป็นจุดเริ่มต้นในการสร้างอิมเมจของคุณได้ อิมเมจขั้นสุดท้ายที่สร้างจะอยู่ในรูปแบบ AMI ซึ่งสามารถส่งออกไปยังรูปแบบ VHDX, VMDK และ OVF ได้โดยใช้ VMIE

Image Builder รองรับ:

  • Amazon Linux 2
  • Windows Server 2012, 2016 และ 2019
  • Ubuntu Server 16 และ 18
  • Red Hat Enterprise Linux (RHEL) 7 และ 8
  • Cent OS 7 และ 8
  • SUSE Linux Enterprise Server (SLES) 15

เอาต์พุตของ Image Builder จะแสดงอิมเมจในรูปแบบ AMI คุณสามารถใช้ VMIE เพื่อส่งออก AMI เหล่านี้ไปยัง VHDX, VMDK หรือ OVF เพื่อการใช้งานในองค์กรได้

สูตร Image Builder คือไฟล์ที่แสดงให้เห็นถึงสถานะสุดท้ายของอิมเมจที่สร้างโดยไปป์ไลน์อัตโนมัติและทำให้คุณสามารถสร้างงานซ้ำได้อย่างชัดเจน คุณสามารถแชร์ แยกออก และแก้ไขได้จากภายนอก UI Image Builder คุณสามารถใช้สูตรกับซอฟแวร์การควบคุมเวอร์ชันเพื่อรักษาสูตรการควบคุมเวอร์ชันที่คุณสามารถใช้แชร์และติดตามการเปลี่ยนแปลงได้

Image Builder มีให้ใช้งานแบบไม่มีค่าใช้จ่ายอื่นๆ นอกจากค่าใช้จ่ายของทรัพยากร AWS พื้นฐานที่ใช้สำหรับสร้าง จัดเก็บ และแชร์อิมเมจ  

การแพทช์อย่างต่อเนื่องเพื่อให้อิมเมจอัปเดตอยู่เสมอ

คุณสามารถกำหนดค่าให้สร้างอิมเมจใหม่ตามทริกเกอร์ต่างๆ ได้ เช่น ทุกครั้งที่มีการอัปเดตที่รอดำเนินการ (เช่น การอัปเดต AMI ต้นทาง, การอัปเดตด้านความปลอดภัย, การอัปเดตให้เป็นไปตามข้อกำหนด, การทดสอบใหม่ๆ เป็นต้น) หรือตามจังหวะเวลาที่กำหนดไว้ คุณสามารถกำหนด “จังหวะการสร้าง” ที่สร้างอิมเมจต้นฉบับด้วยการเปลี่ยนแปลงครั้งล่าสุดโดยการใช้การเปลี่ยนแปลงที่รอดำเนินการ Image Builder สามารถทดสอบอิมเมจล่าสุดได้ เพื่อทดสอบแอปพลิเคชันของคุณในการสร้างที่อัปเดต คุณยังสามารถสมัครเพื่อรับการแจ้งเตือนผ่านคิว SNS เกี่ยวกับการอัปเดตการสร้างอิมเมจด้วย Image Builder ที่รอดำเนินการได้ คุณสามารถใช้การแจ้งเตือนเหล่านี้เป็นตัวกระตุ้นให้สร้างอิมเมจใหม่

การกำหนดอิมเมจเอง

คุณสามารถกำหนดอิมเมจของซอฟต์แวร์เองได้จากแหล่งที่มาของซอฟต์แวร์ที่ลงทะเบียนไว้ เช่น คลังแพ็กเกจ RPM/Debian และ MSI และตัวติดตั้งแบบกำหนดเองบน Windows นอกจากแหล่งที่มาของซอฟต์แวร์ AWS ซึ่งลงทะเบียนไว้ล่วงหน้าแล้ว คุณยังสามารถลงทะเบียนคลังและตำแหน่งที่ตั้งของ Amazon S3 ของคุณที่มีซอฟต์แวร์สำหรับการติดตั้งได้มากกว่าหนึ่งรายการ คุณสามารถระบุกลไก “Unattend” เฉพาะตัวติดตั้ง (เช่น ไฟล์ Answer) สำหรับขั้นตอนการติดตั้งที่ต้องการอินพุตแบบอินเทอร์แอคทีฟ

ตั้งค่าล่วงหน้าตามข้อกำหนดด้านความปลอดภัยและการปฏิบัติตามข้อบังคับ

Image Builder ช่วยให้คุณสามารถกำหนดคอลเลกชันของการตั้งค่าการรักษาความปลอดภัยที่คุณสามารถแก้ไข อัปเดต และใช้งานได้ เพื่อทำให้อิมเมจที่สร้างด้วย Image Builder มั่นคงขึ้น คอลเลกชันการตั้งค่าเหล่านี้สามารถนำไปใช้ตามเกณฑ์การปฏิบัติตามข้อกำหนดที่เหมาะสมได้ เกณฑ์เหล่านี้อาจได้ถูกกำหนดโดยองค์กรของคุณ หรือโดยหน่วยงานกำกับดูแลในอุตสาหกรรมของคุณ AWS มีแกลเลอรี่การตั้งค่าเพื่อช่วยให้เป็นไปตามข้อบังคับอุตสาหกรรมที่แพร่หลาย คุณสามารถนำคอลเลกชันการตั้งค่านี้ไปใช้ได้โดยตรง หรือใช้ในรูปแบบที่ดัดแปลงแล้ว ตัวอย่างเช่น การตั้งค่าที่ AWS จัดเตรียมไว้สำหรับ STIG จะปิดพอร์ตแบบเปิดที่ไม่จำเป็น และจะเปิดใช้งานไฟร์วอลล์ซอฟต์แวร์

ไม่ คอลเลกชันการตั้งค่าจาก AWS นั้นเป็นแนวทางที่แนะนำให้ปฏิบัติเพื่อให้บรรลุการปฏิบัติตามข้อบังคับเท่านั้น แต่ไม่ได้รับประกันการปฏิบัติตามข้อบังคับ คุณจะต้องทำงานร่วมกับทีมงานด้านการปฏิบัติตามข้อบังคับและผู้ตรวจสอบเพื่อทดสอบการปฏิบัติตามข้อบังคับ การตั้งค่าที่จัดเตรียมโดย AWS สามารถนำมาดัดแปลงได้ตามความต้องการของคุณ และสามารถบันทึกในแกลเลอรี่เพื่อนำมาใช้ใหม่ได้

คอลเลกชันการตั้งค่าสามารถสร้างได้ตั้งแต่ต้น หรือนำมาจากเทมเพลตที่ AWS มีให้ และสามารถจัดเก็บได้ในตำแหน่ง Amazon S3 ที่ลงทะเบียนแล้ว คุณสามารถสร้างคอลเลกชันของคุณเองที่ใช้การตั้งค่าการรักษาความปลอดภัย เช่น รับรองว่ามีการใช้แพตช์ความปลอดภัยแล้ว, การติดตั้งไฟร์วอลล์, การปิดพอร์ตบางพอร์ต, การไม่อนุญาตให้แชร์ไฟล์ในโปรแกรมต่างๆ, การติดตั้งการป้องกันมัลแวร์, การสร้างรหัสผ่านที่รัดกุม, การเก็บข้อมูลสำรอง, การใช้การเข้ารหัสเมื่อมีโอกาส, การปิดใช้งานการเข้ารหัสที่ไม่มีประสิทธิภาพ, การควบคุมการบันทึก/การตรวจสอบ, การลบข้อมูลส่วนบุคคล ฯลฯ คุณสามารถเพิ่มการตั้งค่าที่กำหนดเองลงในแกลเลอรี่

การทดสอบ

เฟรมเวิร์กการทดสอบใน Image Builder ช่วยให้คุณสามารถตรวจจับความเข้ากันไม่ได้ของการอัปเดตระบบปฏิบัติการก่อนที่จะนำมาปรับใช้กับรีเจี้ยน AWS คุณสามารถใช้ได้ทั้งการทดสอบที่ AWS มีให้และการทดสอบของคุณเอง จัดการการใช้การทดสอบ ผลลัพธ์ และควบคุมการดำเนินการขั้นปลายเมื่อผ่านการทดสอบ ตัวอย่างการทดสอบที่ AWS มีให้ ได้แก่ การทดสอบว่า AMI สามารถเริ่มต้นพรอมต์การเข้าสู่ระบบหรือไม่ การทดสอบว่า AMI สามารถเรียกใช้งานแอพตัวอย่างได้หรือไม่ เป็นต้น คุณสามารถใช้การทดสอบของคุณกับอิมเมจได้อีกด้วย

การทดสอบใน Image Builder แต่ละรายการประกอบด้วย สคริปต์การทดสอบ, ไบนารีการทดสอบ และข้อมูลเมตาการทดสอบ สคริปต์การทดสอบประกอบด้วย คำสั่งการจัดประสานเพื่อเริ่มไบนารีการทดสอบที่สามารถเขียนได้ในทุกภาษาและในทุกเฟรมเวิร์กการทดสอบที่รองรับในระบบปฏิบัติการ (เช่น PowerShell ใน Windows และ bash, python, ruby และอื่นๆ ใน Linux) และโค้ดสถานะจบการใช้งานแสดงถึงผลลัพธ์การทดสอบ ข้อมูลเมตาการทดสอบยังมีคุณลักษณะต่างๆ เช่น ชื่อ, คำอธิบาย, เส้นทางสู่ไบนารีการทดสอบ, ระยะเวลาที่คาดไว้ ฯลฯ)

การเผยแพร่และการแชร์

Image Builder จะผสานการทำงานร่วมกับ AWS Organizations เพื่อเปิดใช้งานการแชร์ AMI บนบัญชี AWS โดยใช้กลไกที่มีอยู่ Image Builder สามารถแก้ไขสิทธิ์การเปิดใช้งาน AMI เพื่อควบคุมว่าบัญชี AWS ใดนอกเหนือจากเจ้าของที่สามารถเปิดใช้งาน EC2 VM ด้วย AMI ได้ (เช่น ส่วนตัว, สาธารณะ และแชร์กับบัญชีที่เจาะจง) คุณยังสามารถให้บัญชีหลัก AWS Organization ของคุณบังคับใช้ข้อจำกัดในบัญชีสมาชิก เพื่อเริ่มใช้งานอินสแตนซ์เฉพาะกับ AMI ที่ได้รับอนุมัติและเป็นไปตามข้อบังคับเท่านั้น ดูเอกสารประกอบเกี่ยวกับ Image Builder สำหรับรายละเอียดด้านการผสานการทำงานกับ AWS Organizations

Image Builder ใช้ Amazon ECR (บริการที่มีการจัดการสำหรับรีจิสทรีคอนเทนเนอร์) เป็นทั้งอินพุตและเอาต์พุตสำหรับอิมเมจของคอนเทนเนอร์ คุณสามารถกำหนดค่านโยบายเพื่อจัดการสิทธิ์ให้กับแต่ละคลัง และจำกัดการเข้าถึงผู้ใช้และบทบาท IAM หรือบัญชี AWS ต่างๆ ได้ ECR ผสานรวมกับ RAM และ AWS Organizations เพื่อให้คุณสามารถแชร์ เผยแพร่ และทำซ้ำอิมเมจของคอนเทนเนอร์ข้ามรีเจี้ยนและบัญชีได้ ECR ใช้นโยบาย IAM เพื่อควบคุมการเข้าถึงทรัพยากรต่างๆ

Image Builder สามารถคัดลอก AMI ไปยังภูมิภาค AWS ที่เลือกไว้โดยใช้กลไกการแชร์ AMI ที่มีอยู่ คุณสามารถควบคุมการเผยแพร่เมื่อผ่านการทดสอบได้ด้วย Image Builder

Image Builder สามารถผสานการทำงานกับบริการ CI/CD ของ AWS เช่น Code Build และ Code Pipeline เพื่อช่วยสร้างไปป์ไลน์ CI/CD แบบครบวงจรสำหรับการสร้าง การทดสอบ และการติดตั้ง AMI เพื่อใช้จริง

การแก้ไขปัญหาและการแก้จุดบกพร่อง

Image Builder จะติดตามและแสดงความคืบหน้าของแต่ละขั้นตอนภายในกระบวนการสร้างอิมเมจ นอกจากนี้ยังสามารถกำหนดให้ Image Builder ส่งบันทึกไปยัง CloudWatch ได้อีกด้วย สำหรับการแก้ไขปัญหาขั้นสูง คุณสามารถเรียกใช้คำสั่งและสคริปต์ที่กำหนดเองได้โดยใช้อินเทอร์เฟซ SSM runCommand