EC2 Image Builder 常見問答集
一般問題
全部開啟什麼是 EC2 Image Builder?
EC2 Image Builder 在與 Amazon EC2 搭配使用及內部部署時,簡化了 Linux 或 Windows 映像的建立、維護、驗證、共用和部署。
Image Builder 有什麼優點?
提高 IT 生產效率
EC2 Image Builder 簡化了建置、維護和部署安全且合規映像的過程,而無須編寫和維護自動化程式碼。將自動化卸載至 Image Builder,可釋放資源並節省 IT 時間。
簡化安全防護
EC2 Image Builder 允許您僅使用基本元件來建立映像,從而降低遭受安全漏洞的風險。此外,您還可以套用 AWS 提供的安全性設定來進一步保護映像,以滿足內部安全性標準。
適用於 AWS 和內部部署的簡單映像管理
將 EC2 Image Builder 與 AWS VM Import/Export (VMIE) 結合使用,您即可針對 Amazon EC2 (AMI) 以及內部部署 VM 格式 (VHDX、VMDK 和 OVF) 建立並維護映像。
內建驗證支援
EC2 Image Builder 允許您在生產中使用映像之前,透過 AWS 提供的測試和您自己的測試,輕鬆驗證您的映像。這樣做可減少通常因測試不足而在映像中發現的錯誤,這可能會導致停機。政策可設定為僅在映像通過您指定的測試之後,才會部署至特定 AWS 區域。
集中執行政策
EC2 Image Builder 啟用版本控制,可輕鬆進行修訂管理。它整合了 AWS Resource Access Manager 與 AWS Organizations,支援在 AWS 帳戶間共用自動化指令碼、配方和映像。Image Builder 還讓資訊安全和 IT 團隊能夠更好地執行政策和映像合規性。
如何開始使用 Image Builder?
您可以將 Image Builder 與 AWS 主控台、AWS CLI 或 API 搭配使用,以在自己的 AWS 帳戶中建立映像。與 AWS 主控台搭配使用時,Image Builder 提供了逐步精靈,涵蓋以下步驟:
- 步驟 1︰提供基本的作業系統映像
- 步驟 2︰選取要安裝的軟體
- 步驟 3︰選取並執行測試
- 步驟 4︰將映像分散至選定區域
您建立映像位於您的 AWS 帳戶,可設定為不斷進行修補。您可以監控進度,並讓 CloudWatch 事件通知您進行疑難排解和偵錯。除了產生最終映像之外,Image Builder 還會產生一個「配方」檔案,該檔案可與現有的源代碼版本控制系統和 CI/CD 管道一起使用,以實現可重複的自動化。
Image Builder 支援哪些映像格式?
將 EC2 Image Builder 與 AWS VM Import/Export (VMIE) 結合使用,您即可針對 Amazon EC2 (AMI) 以及內部部署 VM 格式 (VHDX、VMDK 和 OVF) 建立並維護映像。您可以使用現有的 AMI (您自己的自訂 AMI,或從 Image Builder 受管映像清單中選取) 作為映像建置程序的起點。或者,您可以使用 VMIE 將 VMDK、VHDX 或 OVF 格式的映像匯入 AMI,然後可將其作為映像建置的起點。最終產生的映像為 AMI 格式,可使用 VMIE 匯出為 VHDX、VMDK、OVF 格式。
Image Builder 支援哪些作業系統?
映像產生器支援:
- Amazon Linux 2
- Windows Server 2012、2016 和 2019
- Ubuntu Server 16 和 18
- Red Hat Enterprise Linux (RHEL) 7 和 8
- Cent OS 7 和 8
- SUSE Linux Enterprise Server (SLES) 15
Image Builder 的輸出是什麼?
Image Builder 以 AMI 格式輸出伺服器映像。您可以使用 VMIE 將這些 AMI 匯出為 VHDX、VMDK 或 OVF 以供內部部署使用。
什麼是 Image Builder 配方?
Image Builder 配方是一種檔案,代表自動化管道所產生映像的最終狀態,能讓您確定地重複建立。可在 Image Builder UI 外部共用、分支和編輯配方。您可以將配方與版本控制軟體搭配使用,以維護可用於共用和追蹤變更的版本控制配方。
Image Builder 的定價如何?
除了用於建立、儲存和共用映像的基礎 AWS 資源成本外,Image Builder 無須任何費用。
持續修補最新映像
全部開啟如何自動建立具有最新修補程式和更新的映像?
新映像可設定為根據觸發產生,例如每次有待處理更新時 (例如來源 AMI 更新、安全性更新、合規性更新、新測試等),或在規定的時間週期產生。您可以指定「建立週期」,透過套用待處理變更來產生具有最新變更的新黃金映像。可以使用 Image Builder 測試最新映像,以驗證您在更新版本上的應用程式。此外,您還可以針對使用 Image Builder 所建立映像的待處理更新,透過 SNS 佇列訂閱通知。您可以將這些通知用作建立新映像的觸發器。
自訂映像
全部開啟如何自訂映像?
您可以從註冊的軟體來源 (例如 RPM/Debian 套件儲存庫) 以及 Windows 上的 MSI 和自訂安裝程式,自訂軟體映像。除了預先註冊的 AWS 軟體來源之外,您還可以註冊一或多個包含要安裝軟體的儲存庫和 Amazon S3 位置。您可以針對需要互動式輸入的安裝工作流程,提供安裝程式特定的「無人參與」機制 (例如答案檔案)。
如何尋找並採購我喜歡的 AWS Marketplace 元件?
與現在尋找目前 EC2 Image Builder 元件的方式類似,您可以從 EC2 Image Builder 主控台或 AWS Marketplace 網站尋找 AWS Marketplace 元件。一旦訂閱之後,您可以在管理 EC2 Image Builder 管道時,將這些元件新增至 EC2 Image Builder 配方中。
我購買了軟體即 AMI。我是否可以使用相同的訂閱來部署 EC2 Image Builder 元件?
這取決於獨立軟體開發廠商 (ISV) 在 AWS Marketplace 發布其軟體版本時選取的交付選項。ISV 可以在 AWS Marketplace 中發布其軟體,以用作 AMI、EC2 Image Builder 元件,或兩者皆用。如果 ISV 在同一清單中發布了其軟體以用作 AMI 和 EC2 Image Builder 元件,則您只需要對該軟體訂閱一次即可。在這種情況下,您可以選擇部署為 AMI,也可使用相同的訂閱來將軟體用作 EC2 Image Builder 元件。如果 ISV 選擇在 AWS Marketplace 發布 2 個清單,一個作為 AMI,另一個作為元件,則需要 2 個單獨的訂閱。
如何為 AWS Marketplace 元件提供意見回饋或請求增強功能?
您可以在 AWS Marketplace 中的產品詳細資訊頁面找到支援資訊。您需要就廠商的特定元件直接與其支援人員聯絡。 如有意見回饋或更多問題,您可以傳送電子郵件給我們:aws-mp-imagebuilder@amazon.com。
預設設定以滿足安全性和合規性要求
全部開啟如何將內部 IT 政策套用至使用 Image Builder 產生的映像?
Image Builder 允許您定義安全性設定的集合,您可以編輯、更新和使用這些設定,來強化使用 Image Builder 建立的映像。您可以套用這些設定的集合,以滿足適用的合規性標準。您的組織或您所在行業的監管機構可能會強制執行這些標準。AWS 提供了一系列設定,有助於滿足常見的行業法規。您可以直接套用,或以修改的形式套用這些設定的集合。 例如,AWS 針對 STIG 提供的設定,可關閉不必要的開放連接埠,並啟用軟體防火牆。
使用 Image Builder 是否可以確保符合 CIS、HIPAA 等法規?
不可以,AWS 的設定集合代表實現合規性的建議指南,並未對合規性做出保證。您需要協同合規團隊和稽核人員來驗證合規性。您可以根據需求修改 AWS 提供的設定,並儲存以便在庫中重複使用。
我能否擷取合規團隊審核的設定,然後將其重複用於強化 VM 映像?
設定集合既可從頭開始創作,也可從 AWS 提供的範本中擷取,並將其儲存在註冊的 Amazon S3 位置。您可以建立自己的集合,以套用安全性設定,例如,確保已套用安全修補檔;安裝防火牆;關閉某些連接埠;不允許程式之間共用檔案;安裝防惡意軟體;建立強密碼;保留備份;在可能的情況下使用加密;停用弱加密;日誌記錄/稽核控制;個人資料移除等。您可以將自訂設定新增至庫。
測試
全部開啟如何測試映像?
您可透過 Image Builder 中的測試框架,在部署至 AWS 區域之前發現作業系統更新引起的不相容性。您可以同時執行 AWS 提供的測試和您自己的測試,管理測試執行、結果,並在測試通過時控制下游操作。AWS 提供的測試範例包括:測試 AMI 能否啟動登入提示;測試 AMI 能否執行範例應用程式等。此外,您也可以在映像上執行自己的測試。
Image Builder 中的每項測試包含哪些內容?
Image Builder 中的每項測試都包含測試指令碼、測試二進位檔案,以及測試中繼資料。 測試指令碼包含用於啟動測試二進位檔案的協調命令,可用任何語言對其進行編寫,也可以在作業系統支援的任何測試框架中編寫 (例如 Windows 上的 PowerShell,以及 Linux 上的 bash、python、ruby 等),退出狀態代碼表示測試結果。測試中繼資料還包括名稱、描述、測試二進位檔案的路徑、預期持續期間等屬性)。
分散和共用
全部開啟如何在 AWS 帳戶間共用 AMI?
Image Builder 與 AWS Organizations 整合,支援使用現有機制在 AWS 帳戶間共用 AMI。Image Builder 可以修改 AMI 啟動許可,以控制除擁有者外,哪些 AWS 帳戶可以使用 AMI 啟動 EC2 VM (例如私人、公用,以及與特定帳戶共用)。此外,您還可以讓您的 AWS Organization 主帳戶對成員帳戶實施約束,僅使用經核准且符合要求的 AMI 來啟動執行個體。如需有關與 AWS Organizations 整合的詳細資訊,請參閱 Image Builder 文件。 如果您的 AMI 具有來自 AWS Marketplace 的第三方元件,則您必須與這些帳戶共用軟體的授權,以允許他們使用該元件。
我是否可以共享我在 AWS Marketplace 購買的軟體授權?
是。身為 AWS Marketplace 客戶,您可以使用 AWS Marketplace 提供的受管權益功能,以透過 AWS License Manager 將軟體授權權益分配給您的組織。您與之共享權益的帳戶可以使用第三方軟體,並可以啟動黃金映像。如果沒有使用該元件的權益,則 EC2 Image Builder 會失敗,例如沒有有效的訂閱。
如何在 AWS 帳戶和 AWS 區域中共用、分散和複製容器映像?
Image Builder 會將 Amazon ECR (容器登錄檔的受管服務) 當作容器映像的輸入和輸出。您可以設定政策以管理每個儲存庫的許可,並限制對 IAM 使用者、角色或 AWS 帳戶的存取。ECR 會與 RAM 和 AWS Organizations 整合,可在區域和帳戶中共用、分散和複製容器映像。ECR 會使用 IAM 政策控制資源的存取。
如何將 AMI 分散至 AWS 區域?
Image Builder 可使用現有 AMI 共用機制,將 AMI 複製到選定的 AWS 區域。在測試通過時可使用 Image Builder 來控制分散。
我已經有一個 CI/CD 管道來產生映像。如何在 Image Builder 中使用?
Image Builder 可與 Code Build 和 Code Pipeline 等 AWS CI/CD 服務整合,協助實現用於建立、測試和部署 AMI 的端對端 CI/CD 管道。
疑難排解和偵錯
全部開啟如何使用 Image Builder 進行疑難排解和偵錯?
Image Builder 會追蹤並顯示映像建立過程中每個步驟的進度。此外,Image Builder 可設定為向 CloudWatch 發出日誌。對於進階疑難排解,可以使用 SSM runCommand 界面執行任意命令和指令碼。
我的 AMI 建置在安裝/設定 AWS Marketplace 元件期間失敗。如何對此問題進行疑難排解?
若要針對第三方元件的 AMI 建置失敗進行疑難排解,您應該檢閱建置日誌是否有任何錯誤。請務必驗證與 AMI 中的其他元件的相依性和相容性。您需要檢查元件的使用說明中由獨立軟體開發廠商 (ISV) 提供的元件文件和系統需求。如果您無法解決問題,則可聯絡 ISV 尋求指導。AWS 不會驗證第三方元件之間的相依性,因此您必須確保相容性才能建置 AMI。