EC2 Image Builder 在與 Amazon EC2 搭配使用及內部部署時,簡化了 Linux 或 Windows 映像的建立、維護、驗證、共用和部署。
提高 IT 生產效率
EC2 Image Builder 簡化了建置、維護和部署安全且合規映像的過程,而無須編寫和維護自動化程式碼。將自動化卸載至 Image Builder,可釋放資源並節省 IT 時間。
簡化安全防護
EC2 Image Builder 允許您僅使用基本元件來建立映像,從而降低遭受安全漏洞的風險。此外,您還可以套用 AWS 提供的安全性設定來進一步保護映像,以滿足內部安全性標準。
適用於 AWS 和內部部署的簡單映像管理
將 EC2 Image Builder 與 AWS VM Import/Export (VMIE) 結合使用,您即可針對 Amazon EC2 (AMI) 以及內部部署 VM 格式 (VHDX、VMDK 和 OVF) 建立並維護映像。
內建驗證支援
EC2 Image Builder 允許您在生產中使用映像之前,透過 AWS 提供的測試和您自己的測試,輕鬆驗證您的映像。這樣做可減少通常因測試不足而在映像中發現的錯誤,這可能會導致停機。政策可設定為僅在映像通過您指定的測試之後,才會部署至特定 AWS 區域。
集中執行政策
EC2 Image Builder 啟用版本控制,可輕鬆進行修訂管理。它整合了 AWS Resource Access Manager 與 AWS Organizations,支援在 AWS 帳戶間共用自動化指令碼、配方和映像。Image Builder 還讓資訊安全和 IT 團隊能夠更好地執行政策和映像合規性。
您可以將 Image Builder 與 AWS 主控台、AWS CLI 或 API 搭配使用,以在自己的 AWS 帳戶中建立映像。與 AWS 主控台搭配使用時,Image Builder 提供了逐步精靈,涵蓋以下步驟:
您建立映像位於您的 AWS 帳戶,可設定為不斷進行修補。您可以監控進度,並讓 CloudWatch 事件通知您進行疑難排解和偵錯。除了產生最終映像之外,Image Builder 還會產生一個「配方」檔案,該檔案可與現有的源代碼版本控制系統和 CI/CD 管道一起使用,以實現可重複的自動化。
將 EC2 Image Builder 與 AWS VM Import/Export (VMIE) 結合使用,您即可針對 Amazon EC2 (AMI) 以及內部部署 VM 格式 (VHDX、VMDK 和 OVF) 建立並維護映像。您可以使用現有的 AMI (您自己的自訂 AMI,或從 Image Builder 受管映像清單中選取) 作為映像建置程序的起點。或者,您可以使用 VMIE 將 VMDK、VHDX 或 OVF 格式的映像匯入 AMI,然後可將其作為映像建置的起點。最終產生的映像為 AMI 格式,可使用 VMIE 匯出為 VHDX、VMDK、OVF 格式。
映像產生器支援:
Image Builder 以 AMI 格式輸出伺服器映像。您可以使用 VMIE 將這些 AMI 匯出為 VHDX、VMDK 或 OVF 以供內部部署使用。
Image Builder 配方是一種檔案,代表自動化管道所產生映像的最終狀態,能讓您確定地重複建立。可在 Image Builder UI 外部共用、分支和編輯配方。您可以將配方與版本控制軟體搭配使用,以維護可用於共用和追蹤變更的版本控制配方。
除了用於建立、儲存和共用映像的基礎 AWS 資源成本外,Image Builder 無須任何費用。
新映像可設定為根據觸發產生,例如每次有待處理更新時 (例如來源 AMI 更新、安全性更新、合規性更新、新測試等),或在規定的時間週期產生。您可以指定「建立週期」,透過套用待處理變更來產生具有最新變更的新黃金映像。可以使用 Image Builder 測試最新映像,以驗證您在更新版本上的應用程式。此外,您還可以針對使用 Image Builder 所建立映像的待處理更新,透過 SNS 佇列訂閱通知。您可以將這些通知用作建立新映像的觸發器。
您可以從註冊的軟體來源 (例如 RPM/Debian 套件儲存庫) 以及 Windows 上的 MSI 和自訂安裝程式,自訂軟體映像。除了預先註冊的 AWS 軟體來源之外,您還可以註冊一或多個包含要安裝軟體的儲存庫和 Amazon S3 位置。您可以針對需要互動式輸入的安裝工作流程,提供安裝程式特定的「無人參與」機制 (例如答案檔案)。
Image Builder 允許您定義安全性設定的集合,您可以編輯、更新和使用這些設定,來強化使用 Image Builder 建立的映像。您可以套用這些設定的集合,以滿足適用的合規性標準。您的組織或您所在行業的監管機構可能會強制執行這些標準。AWS 提供了一系列設定,有助於滿足常見的行業法規。您可以直接套用,或以修改的形式套用這些設定的集合。 例如,AWS 針對 STIG 提供的設定,可關閉不必要的開放連接埠,並啟用軟體防火牆。
不可以,AWS 的設定集合代表實現合規性的建議指南,並未對合規性做出保證。您需要協同合規團隊和稽核人員來驗證合規性。您可以根據需求修改 AWS 提供的設定,並儲存以便在庫中重複使用。
設定集合既可從頭開始創作,也可從 AWS 提供的範本中擷取,並將其儲存在註冊的 Amazon S3 位置。您可以建立自己的集合,以套用安全性設定,例如,確保已套用安全修補檔;安裝防火牆;關閉某些連接埠;不允許程式之間共用檔案;安裝防惡意軟體;建立強密碼;保留備份;在可能的情況下使用加密;停用弱加密;日誌記錄/稽核控制;個人資料移除等。您可以將自訂設定新增至庫。
您可透過 Image Builder 中的測試框架,在部署至 AWS 區域之前發現作業系統更新引起的不相容性。您可以同時執行 AWS 提供的測試和您自己的測試,管理測試執行、結果,並在測試通過時控制下游操作。AWS 提供的測試範例包括:測試 AMI 能否啟動登入提示;測試 AMI 能否執行範例應用程式等。此外,您也可以在映像上執行自己的測試。
Image Builder 中的每項測試都包含測試指令碼、測試二進位檔案,以及測試中繼資料。 測試指令碼包含用於啟動測試二進位檔案的協調命令,可用任何語言對其進行編寫,也可以在作業系統支援的任何測試框架中編寫 (例如 Windows 上的 PowerShell,以及 Linux 上的 bash、python、ruby 等),退出狀態代碼表示測試結果。測試中繼資料還包括名稱、描述、測試二進位檔案的路徑、預期持續期間等屬性)。
Image Builder 與 AWS Organizations 整合,支援使用現有機制在 AWS 帳戶間共用 AMI。Image Builder 可以修改 AMI 啟動許可,以控制除擁有者外,哪些 AWS 帳戶可以使用 AMI 啟動 EC2 VM (例如私人、公用,以及與特定帳戶共用)。此外,您還可以讓您的 AWS Organization 主帳戶對成員帳戶實施約束,僅使用經核准且符合要求的 AMI 來啟動執行個體。如需有關與 AWS Organizations 整合的詳細資訊,請參閱 Image Builder 文件。
Image Builder 會將 Amazon ECR (容器登錄檔的受管服務) 當作容器映像的輸入和輸出。您可以設定政策以管理每個儲存庫的許可,並限制對 IAM 使用者、角色或 AWS 帳戶的存取。ECR 會與 RAM 和 AWS Organizations 整合,可在區域和帳戶中共用、分散和複製容器映像。ECR 會使用 IAM 政策控制資源的存取。
Image Builder 可使用現有 AMI 共用機制,將 AMI 複製到選定的 AWS 區域。在測試通過時可使用 Image Builder 來控制分散。
Image Builder 可與 Code Build 和 Code Pipeline 等 AWS CI/CD 服務整合,協助實現用於建立、測試和部署 AMI 的端對端 CI/CD 管道。
Image Builder 會追蹤並顯示映像建立過程中每個步驟的進度。此外,Image Builder 可設定為向 CloudWatch 發出日誌。對於進階疑難排解,可以使用 SSM runCommand 界面執行任意命令和指令碼。