Cara kerja EC2 Image Builder - EC2 Image Builder
Elemen AMIKuota defaultAWSWilayah dan Titik AkhirManajemen komponenSumber daya dibuatDistribusiBerbagi Sumber DayaKepatuhan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara kerja EC2 Image Builder

Saat Anda menggunakan wizard konsol pipeline EC2 Image Builder untuk membuat gambar kustom, wizard memandu Anda melalui langkah-langkah berikut.

  1. Tentukan detail pipeline — Masukkan informasi tentang pipeline Anda, seperti nama, deskripsi, tag, dan jadwal untuk menjalankan build otomatis. Anda dapat memilih build manual, jika Anda mau.

  2. Pilih resep — Pilih antara membangun AMI, atau membuat gambar kontainer. Untuk kedua jenis gambar keluaran, Anda memasukkan nama dan versi untuk resep Anda, pilih gambar dasar, dan pilih komponen yang akan ditambahkan untuk pembuatan dan pengujian. Anda juga dapat memilih versi otomatis, untuk memastikan bahwa Anda selalu menggunakan versi Sistem Operasi (OS) terbaru yang tersedia untuk gambar dasar Anda. Resep kontainer juga menentukan Dockerfiles, dan repositori Amazon ECR target untuk image container Docker keluaran Anda.

    catatan

    Komponen adalah blok bangunan yang dikonsumsi oleh resep gambar atau resep wadah. Misalnya, paket untuk instalasi, langkah pengerasan keamanan, dan pengujian. Gambar dasar dan komponen yang dipilih membentuk resep gambar.

  3. Tentukan konfigurasi infrastruktur - Image Builder meluncurkan instans EC2 di akun Anda untuk menyesuaikan gambar dan menjalankan pengujian validasi. Pengaturan konfigurasi Infrastruktur menentukan detail infrastruktur untuk instans yang akan berjalan di Anda Akun AWS selama proses pembuatan.

  4. Tentukan setelan distribusi — Pilih AWS Wilayah untuk mendistribusikan gambar Anda setelah build selesai dan telah lulus semua pengujiannya. Pipeline secara otomatis mendistribusikan gambar Anda ke Wilayah tempat ia menjalankan build, dan Anda dapat menambahkan distribusi gambar untuk Wilayah lain.

Gambar yang Anda buat dari gambar dasar kustom Anda ada di dalam gambar AndaAkun AWS. Anda dapat mengonfigurasi pipeline gambar untuk menghasilkan versi gambar yang diperbarui dan ditambal dengan memasukkan jadwal pembuatan. Ketika build selesai, Anda dapat menerima notifikasi melalui Amazon Simple Notification Service (SNS). Selain menghasilkan gambar akhir, wizard konsol Image Builder menghasilkan resep yang dapat digunakan dengan sistem kontrol versi yang ada dan pipeline continuous integration/continuous deployment (CI/CD) untuk otomatisasi berulang. Anda dapat berbagi dan membuat versi baru resep Anda.

Isi bagian

Elemen AMI

Amazon Machine Image (AMI) adalah gambar mesin virtual (VM) yang telah dikonfigurasi sebelumnya yang berisi OS dan perangkat lunak untuk menyebarkan instans EC2.

AMI mencakup elemen-elemen berikut:

  • Template untuk volume root VM. Saat Anda meluncurkan Amazon EC2 VM, volume perangkat root berisi gambar untuk mem-boot instance. Saat penyimpanan instance digunakan, perangkat root adalah volume penyimpanan instance yang dibuat dari template di Amazon S3. Untuk informasi selengkapnya, lihat Volume Perangkat Root Amazon EC2.

  • Saat Amazon EBS digunakan, perangkat root adalah volume EBS yang dibuat dari snapshot EBS.

  • Luncurkan izin yang menentukan Akun AWS yang dapat meluncurkan VM dengan AMI.

  • Blokir data pemetaan perangkat yang menentukan volume yang akan dilampirkan ke instance setelah peluncuran.

  • Pengidentifikasi sumber daya unik untuk setiap Wilayah, untuk setiap akun.

  • Payload metadata seperti tag, dan properti, seperti Wilayah, sistem operasi, arsitektur, jenis perangkat root, penyedia, izin peluncuran, penyimpanan untuk perangkat root, dan status penandatanganan.

  • Tanda tangan AMI untuk gambar Windows untuk melindungi dari gangguan yang tidak sah. Untuk informasi selengkapnya, lihat Dokumen Identitas Instance.

Kuota default

Untuk melihat kuota default Image Builder, lihat Titik Akhir dan Kuota Image Builder.

AWSWilayah dan Titik Akhir

Untuk melihat titik akhir layanan Image Builder, lihat Titik Akhir dan Kuota Image Builder.

Manajemen komponen

EC2 Image Builder menggunakan AWS Task Orchestrator and Executor aplikasi manajemen komponen AWSTOE () yang membantu Anda mengatur alur kerja yang kompleks, memodifikasi konfigurasi sistem, dan menguji sistem Anda dengan komponen skrip berbasis YAML. Karena AWSTOE merupakan aplikasi mandiri, tidak memerlukan pengaturan tambahan. Ini dapat berjalan di infrastruktur cloud apa pun dan di tempat. Untuk mulai menggunakan AWSTOE sebagai aplikasi mandiri, lihatMemulai dengan AWSTOE.

Image Builder menggunakan AWSTOE untuk melakukan semua aktivitas on-instance. Ini termasuk membangun dan memvalidasi gambar Anda sebelum mengambil snapshot, dan menguji snapshot untuk memastikan bahwa itu berfungsi seperti yang diharapkan sebelum membuat gambar akhir. Untuk informasi selengkapnya tentang cara Image Builder menggunakan AWSTOE untuk mengelola komponennya, lihatMengelola komponen dengan Image Builder. Untuk informasi selengkapnya tentang membuat komponen denganAWSTOE, lihatAWS Task Orchestrator and Executormanajer komponen.

Pengujian gambar

Anda dapat menggunakan komponen AWSTOE pengujian untuk memvalidasi gambar Anda, dan memastikan bahwa itu berfungsi seperti yang diharapkan, sebelum membuat gambar akhir.

Umumnya, setiap komponen pengujian terdiri dari dokumen YAMM yang berisi skrip pengujian, biner uji, dan metadata pengujian. Skrip pengujian berisi perintah orkestrasi untuk memulai biner pengujian, yang dapat ditulis dalam bahasa apa pun yang didukung oleh OS. Kode status keluar menunjukkan hasil tes. Metadata pengujian menggambarkan tes dan perilakunya; misalnya, nama, deskripsi, jalur untuk menguji biner, dan durasi yang diharapkan.

Sumber daya dibuat

Saat Anda membuat pipeline, tidak ada sumber daya eksternal Image Builder yang dibuat, kecuali yang berikut ini benar:

  • Saat gambar dibuat melalui jadwal pipeline

  • Bila Anda memilih Run Pipeline dari menu Actions di konsol Image Builder

  • Saat Anda menjalankan salah satu perintah ini dari API atauAWS CLI: StartImagePipelineExecution atau CreateImage

Sumber daya berikut dibuat selama proses pembuatan gambar:

Pipa gambar AMI

  • Instans EC2 (sementara)

  • Systems Manager Inventory Association (melalui Systems Manager State Manager jika EnhancedImageMetadata diaktifkan) pada instans EC2

  • Amazon EC2 AMI

  • Snapshot Amazon EBS yang terkait dengan Amazon EC2 AMI

Pipa gambar kontainer

  • Kontainer Docker berjalan pada instance EC2 (sementara)

  • Systems Manager Inventory Association (melalui Systems Manager State Manager) EnhancedImageMetadata diaktifkan) pada instans EC2

  • Gambar kontainer Docker

  • Dockerfile

Setelah gambar dibuat, semua sumber daya sementara dihapus.

Distribusi

EC2 Image Builder dapat mendistribusikan AMI atau gambar kontainer ke Wilayah AWS mana pun. Gambar disalin ke setiap Wilayah yang Anda tentukan di akun yang digunakan untuk membuat gambar.

Untuk gambar keluaran AMI, Anda dapat menentukan izin peluncuran AMI untuk mengontrol mana yang Akun AWS diizinkan untuk meluncurkan instans EC2 dengan AMI yang dibuat. Misalnya, Anda dapat membuat gambar pribadi, publik, atau berbagi dengan akun tertentu. Jika Anda berdua mendistribusikan AMI ke Wilayah lain, dan menentukan izin peluncuran untuk akun lain, izin peluncuran akan disebarkan ke AMI di semua Wilayah tempat AMI didistribusikan.

Anda juga dapat menggunakan AWS Organizations akun Anda untuk memberlakukan batasan pada akun anggota untuk meluncurkan instans hanya dengan AMI yang disetujui dan sesuai. Untuk informasi selengkapnya, lihat Mengelola Akun AWS di Organisasi Anda.

Untuk memperbarui setelan distribusi menggunakan konsol Image Builder, ikuti langkah-langkah untukBuat versi resep gambar baru (konsol), atauBuat versi resep wadah baru dengan konsol.

Berbagi Sumber Daya

Untuk berbagi komponen, resep, atau gambar dengan akun lain atau di dalamnyaAWS Organizations, lihatBagikan sumber daya EC2 Image Builder.

Kepatuhan

Untuk CIS, EC2 Image Builder menggunakan Amazon Inspector untuk melakukan penilaian terhadap eksposur, kerentanan, dan penyimpangan dari praktik terbaik dan standar kepatuhan. Misalnya, Image Builder menilai aksesibilitas jaringan yang tidak diinginkan, CVE yang tidak ditambal, konektivitas internet publik, dan aktivasi login root jarak jauh. Amazon Inspector ditawarkan sebagai komponen pengujian yang dapat Anda pilih untuk ditambahkan ke resep gambar Anda. Untuk informasi selengkapnya tentang Amazon Inspector, lihat Panduan Pengguna Amazon Inspector. Untuk pengerasan, EC2 Image Builder memvalidasi dengan STIG. Untuk daftar lengkap komponen STIG yang tersedia melalui Image Builder, lihatAmazon mengelola komponen pengerasan STIG untuk EC2 Image Builder. Untuk informasi selengkapnya, lihat Tolok Ukur Pusat Keamanan Internet (CIS).