Como funciona o EC2 Image Builder - EC2Image Builder

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como funciona o EC2 Image Builder

Quando você usa o assistente do console de pipeline do EC2 Image Builder para criar uma imagem personalizada, um assistente orienta você nas etapas a seguir.

  1. Especifique os detalhes do pipeline: insira informações sobre seu pipeline, como nome, descrição, tags e um cronograma para executar compilações automatizadas. Se preferir, você pode escolher construções manuais.

  2. Escolha a receita — Escolha entre criar uma AMI imagem ou criar uma imagem de contêiner. Para os dois tipos de imagens de saída, você insere um nome e uma versão para sua fórmula, seleciona uma imagem base e escolhe os componentes a serem adicionados para criação e teste. Você também pode escolher o controle de versão automático para garantir que sempre use a versão mais recente disponível do sistema operacional (SO) para sua imagem base. Além disso, as receitas de contêineres definem Dockerfiles e o ECR repositório Amazon de destino para sua imagem de contêiner Docker de saída.

    nota

    Os componentes são os blocos de construção que são consumidos por uma fórmula de imagem ou uma fórmula de recipiente. Por exemplo, pacotes para instalação, etapas de fortalecimento da segurança e testes. A imagem base e os componentes selecionados formam uma fórmula de imagem.

  3. Defina a configuração da infraestrutura — O Image Builder inicia EC2 instâncias em sua conta para personalizar imagens e executar testes de validação. As configurações da infraestrutura especificam os detalhes da infraestrutura para as instâncias que serão executadas em seu Conta da AWS durante o processo de construção.

  4. Definir configurações de distribuição — Escolha a AWS Regiões para as quais distribuir sua imagem após a conclusão da compilação e aprovação em todos os testes. O pipeline distribui automaticamente sua imagem para a região em que executa a compilação, e você pode adicionar distribuição de imagens para outras regiões.

As imagens que você cria a partir de sua imagem base personalizada estão em seu Conta da AWS. Você pode configurar seu pipeline de imagens para produzir versões atualizadas e corrigidas de sua imagem inserindo um cronograma de construção. Quando a compilação estiver concluída, você poderá receber uma notificação por meio do Amazon Simple Notification Service (SNS). Além de produzir uma imagem final, o assistente do console do Image Builder gera uma fórmula que pode ser usada com sistemas de controle de versão existentes e pipelines de integração contínua/implantação contínua (CI/CD) para automação repetível. Você pode compartilhar e criar novas versões da sua fórmula.

AMIelementos

Uma Amazon Machine Image (AMI) é uma imagem de máquina virtual (VM) pré-configurada que contém o sistema operacional e o software para EC2 implantar instâncias.

E AMI inclui os seguintes elementos:

  • Um modelo para o volume raiz da VM. Quando você inicia uma Amazon EC2 VM, o volume do dispositivo raiz contém a imagem para inicializar a instância. Quando o armazenamento de instâncias é usado, o dispositivo raiz é um volume de armazenamento de instâncias criado em um modelo no Amazon S3. Para obter mais informações, consulte Amazon EC2 Root Device Volume.

  • Quando a Amazon EBS é usada, o dispositivo raiz é um EBS volume criado a partir de um EBSsnapshot.

  • Permissões de lançamento que determinam o Contas da AWS que pode ser lançado VMs com AMI o.

  • Dados de mapeamento de dispositivos de blocos que especifica os volumes a serem anexados à instância quando ela for executada.

  • Um identificador de recurso exclusivo para cada região, para cada conta.

  • Cargas de metadados, como tags, e propriedades, como região, sistema operacional, arquitetura, tipo de dispositivo raiz, provedor, permissões de inicialização, armazenamento para o dispositivo raiz e status de assinatura.

  • Uma AMI assinatura para imagens do Windows para proteção contra adulteração não autorizada. Para obter mais informações, consulte Documentos de identidade da instância.

Cotas padrão

Para ver as cotas padrão do Image Builder, consulte Endpoints and Quotas do Image Builder.

AWS Regiões e endpoints

Para ver os endpoints de serviço do Image Builder, consulte Endpoints e cotas do Image Builder.

Gerenciamento de componentes

EC2Image Builder usa um aplicativo de gerenciamento de componentes AWS Task Orchestrator and Executor (AWSTOE) que ajuda você a orquestrar fluxos de trabalho complexos, modificar configurações do sistema e testar seus sistemas com YAML componentes de script baseados em. Porque AWSTOE é um aplicativo independente, não requer nenhuma configuração adicional. Pode ser executado em qualquer infraestrutura de nuvem e no local. Para começar a usar AWSTOE como um aplicativo independente, consulteConfiguração manual para desenvolver componentes personalizados com AWSTOE.

Usos do Image Builder AWSTOE para realizar todas as atividades na instância. Isso inclui criar e validar sua imagem antes de tirar um snapshot e testar o snapshot para garantir que ele funcione conforme o esperado antes de criar a imagem final. Para obter mais informações sobre como o Image Builder usa AWSTOE para gerenciar seus componentes, consulteUse componentes para personalizar sua imagem do Image Builder. Para obter mais informações sobre a criação de componentes com AWSTOE, consulte Como o Image Builder usa o AWS Task Orchestrator and Executor aplicativo para gerenciar componentes.

Teste de imagem

Você pode usar: AWSTOE teste os componentes para validar sua imagem e garantir que ela funcione conforme o esperado, antes de criar a imagem final.

Geralmente, cada componente de teste consiste em um YAML documento que contém um script de teste, um binário de teste e metadados de teste. O script de teste contém os comandos de orquestração para iniciar o binário de teste, que pode ser escrito em qualquer linguagem compatível com o sistema operacional. Os códigos de status de saída indicam o resultado do teste. Os metadados de teste descrevem o teste e seu comportamento; por exemplo, o nome, a descrição, os caminhos para testar o binário e a duração esperada.

Recursos criados

Quando você cria um pipeline, nenhum recurso externo ao Image Builder é criado, a menos que o seguinte seja verdadeiro:

  • Quando uma imagem é criada por meio do cronograma do pipeline

  • Quando você escolhe Executar pipeline no menu Ações no console do Image Builder

  • Quando você executa um desses comandos a partir do API ou AWS CLI: StartImagePipelineExecution ou CreateImage

Os seguintes recursos são criados durante o processo de criação da imagem:

AMIpipelines de imagem
  • EC2instância (temporária)

  • Systems Manager Inventory Association (por meio do Systems Manager State Manager, se EnhancedImageMetadata estiver habilitado) na EC2 instância

  • Amazon EC2 AMI

  • O Amazon EBS Snapshot associado à Amazon EC2 AMI

Pipelines de imagens de contêiner
  • Contêiner Docker em execução em uma EC2 instância (temporário)

  • A Systems Manager Inventory Association (por meio do Systems Manager State Manager) EnhancedImageMetadata está ativada) na EC2 instância

  • Imagem do contêiner do docker

  • Dockerfile

Depois que a imagem for criada, todos os recursos temporários serão excluídos.

Distribuição

EC2O Image Builder pode distribuir AMIs ou armazenar imagens para qualquer AWS Região. A imagem é copiada para cada região especificada na conta usada para criar a imagem.

Para imagens AMI de saída, você pode definir permissões de AMI inicialização para controlar quais Contas da AWS têm permissão para iniciar EC2 instâncias com o criadoAMI. Por exemplo, você pode tornar a imagem privada, pública ou compartilhar com contas específicas. Se você distribuir o AMI para outras regiões e definir permissões de lançamento para outras contas, as permissões de lançamento serão propagadas para o AMIs em todas as regiões nas quais o AMI é distribuído.

Você também pode usar seu AWS Organizations conta para impor limitações às contas dos membros para iniciar instâncias somente com instâncias aprovadas e em conformidadeAMIs. Para obter mais informações, consulte Gerenciando o Contas da AWS na sua organização.

Para atualizar suas configurações de distribuição usando o console do Image Builder, siga as etapas para Crie uma nova versão de receita de imagem a partir do console, ou Crie uma nova versão de fórmula de contêiner com o console.

Compartilhar recursos

Para compartilhar componentes, receitas ou imagens com outras contas ou dentro AWS Organizations, consulte Compartilhe recursos do Image Builder com AWS RAM.

Conformidade

Para os benchmarks do Center for Internet Security (CIS), o EC2 Image Builder usa o Amazon Inspector para realizar avaliações de exposição, vulnerabilidades e desvios das melhores práticas e padrões de conformidade. Por exemplo, o Image Builder avalia a acessibilidade não intencional da rede, a conectividade pública sem patches com CVEs a Internet e a ativação remota do login raiz. O Amazon Inspector é oferecido como um componente de teste que você pode escolher adicionar à sua fórmula de imagem. Para obter mais informações sobre o Amazon Inspector, consulte o Guia do usuário do Amazon Inspector. . Para obter mais informações, consulte Center for Internet Security (CIS) Benchmarks.

O Image Builder fornece componentes STIG de fortalecimento para ajudá-lo a criar imagens compatíveis com os padrões básicos com mais eficiência. STIG Esses STIG componentes verificam se há configurações incorretas e executam um script de correção. Não há custos adicionais pelo uso STIG de componentes compatíveis. Para obter uma lista completa dos STIG componentes disponíveis por meio do Image Builder, consulteComponentes de proteção STIG gerenciados pela Amazon para o Image Builder.