- Komputasi›
- EC2 Image Builder›
- FAQ
FAQ EC2 Image Builder
Umum
Apa itu EC2 Image Builder?
EC2 Image Builder menyederhanakan pembuatan, pemeliharaan, validasi, berbagi, dan penerapan gambar Linux atau Windows untuk digunakan dengan Amazon EC2 dan lokal.
Apa keuntungan Image Builder?
Produktivitas TI meningkat
EC2 Image Builder menyederhanakan proses membangun, memelihara, dan menerapkan gambar dengan aman dan memenuhi tanpa perlu menulis dan memelihara kode otomatisasi. Offloading otomatisasi ke Image Builder akan membebaskan sumber daya dan menghemat waktu TI.
Lebih mudah untuk diamankan
EC2 Image Builder memungkinkan Anda membuat gambar hanya dengan komponen-komponen dasar, mengurangi paparan Anda terhadap kerentanan keamanan. Anda juga dapat menerapkan pengaturan keamanan yang disediakan AWS untuk lebih mengamankan gambar Anda untuk memenuhi kriteria keamanan internal.
Manajemen gambar sederhana untuk AWS dan lokal
EC2 Image Builder bersama dengan AWS VM Import/Export (VMIE) memungkinkan Anda membuat dan memelihara gambar emas untuk Amazon EC2 (AMI) juga format VM lokal (VHDX, VMDK, dan OVF).
Dukungan Validasi Bawan
EC2 Image Builder memungkinkan Anda dengan mudah memvalidasi gambar Anda dengan pengujian oleh AWS dan pengujian Anda sendiri sebelum menggunakannya dalam produksi. Ini mengurangi kesalahan yang ditemukan pada gambar yang biasanya disebabkan pengujian yang tidak memadai dan dapat memicu waktu henti. Kebijakan dapat diatur yang menerapkan gambar ke wilayah AWS tertentu hanya setelah melalui pengujian yang Anda tentukan.
Penegakan Kebijakan Terpusat
EC2 Image Builder memungkinkan kontrol versi untuk memudahkan manajemen revisi. Terintegrasi dengan AWS Resource Access Manager dan AWS Organizations untuk memungkinkan berbagi skrip otomatisasi, resep, dan gambar di seluruh akun AWS. Image Builder juga memungkinkan tim Keamanan Informasi dan TI menegakkan kebijakan dan kepatuhan gambar dengan lebih baik.
Bagaimana cara mulai menggunakan Image Builder?
Anda dapat menggunakan Image Builder dengan konsol AWS, AWS CLI, atau API untuk membuat gambar di akun AWS Anda sendiri. Bila digunakan dengan konsol AWS, Image Builder menyediakan panduan langkah demi langkah sebagai berikut:
- Langkah 1: Siapkan gambar OS dasar
- Langkah 2: Pilih perangkat lunak untuk instalasi
- Langkah 3: Pilih dan jalankan pengujian
- Langkah 4: Distribusikan gambar ke wilayah yang dipilih
Gambar yang Anda bangun ada di akun AWS Anda dan dapat dikonfigurasi untuk di-patch secara berkelanjutan. Anda dapat memantau kemajuan dan meminta acara CloudWatch memberi tahu Anda untuk pemecahan masalah dan debugging. Selain menghasilkan gambar final, Image Builder juga menghasilkan file “resep” yang dapat digunakan dengan sistem kontrol versi kode sumber dan kerangka program CI/CD untuk otomatisasi berulang.
Format gambar apa yang didukung Image Builder?
EC2 Image Builder, bersama dengan AWS VM Import/Export (VMIE), memungkinkan Anda membuat dan memelihara gambar emas untuk Amazon EC2 (AMI) serta format VM on-premise (VHDX, VMDK, dan OVF). Anda dapat menggunakan AMI yang ada (baik AMI kustom Anda sendiri, atau memilih dari daftar gambar terkelola Image Builder) sebagai titik awal proses pembangunan gambar Anda. Atau, Anda dapat menggunakan VMIE untuk mengimpor gambar dari format VMDK, VHDX, atau OVF ke dalam AMI, yang kemudian dapat menjadi titik awal pembangunan gambar Anda. Gambar akhir yang dihasilkan dalam format AMI, yang dapat diekspor ke format VHDX, VMDK, dan OVF menggunakan VMIE.
Sistem operasi apa yang didukung oleh Image Builder?
Dukungan Image Builder:
- Amazon Linux 2
- Windows Server 2012, 2016, dan 2019
- Ubuntu Server 16 dan 18
- Red Hat Enterprise Linux (RHEL) 7 dan 8
- Cent OS 7 dan 8
- SUSE Linux Enterprise Server (SLES) 15
Apa output dari Image Builder?
Image Builder menghasilkan output gambar server dalam format AMI. Anda dapat menggunakan VMIE untuk mengekspor AMI ini ke VHDX, VMDK, atau OVF untuk penggunaan on-premise.
Apa itu resep Image Builder?
Resep Image Builder adalah file yang mewakili keadaan akhir dari gambar yang dihasilkan oleh kerangka otomatisasi dan memungkinkan Anda mengulang pembuatan berkali-kali. Resep dapat dibagikan, bercabang, dan diedit di luar UI Image Builder. Anda dapat menggunakan resep dengan perangkat lunak kontrol versi untuk menjaga resep terkendali versi yang dapat Anda gunakan untuk berbagi dan melacak perubahan.
Berapa harga Image Builder?
Image Builder ditawarkan tanpa biaya, selain biaya sumber daya dasar dari AWS yang digunakan untuk membuat, menyimpan, dan berbagi gambar.
Patching yang sedang berlangsung untuk gambar terbaru
Bagaimana saya bisa secara otomatis membuat gambar terbaru dengan patch dan pembaruan terbaru?
Gambar baru dapat dikonfigurasi untuk dibuat berdasarkan pemicu seperti setiap kali ada pembaruan yang tertunda (mis., Pembaruan AMI sumber, pembaruan keamanan, pembaruan kepatuhan, pengujian baru, dll.) atau pada ritme waktu yang ditentukan. Anda dapat menentukan “ritme bentuk” di mana gambar emas baru dihasilkan dengan perubahan terbaru dengan menerapkan perubahan yang tertunda. Gambar terbaru dapat diuji dengan Image Builder untuk memvalidasi aplikasi Anda pada bentuk yang diperbarui. Anda juga dapat berlangganan notifikasi melalui antrian SNS untuk menunggu pembaruan bagi gambar yang dibangun dengan Image Builder. Anda dapat menggunakan notifikasi ini sebagai pemicu untuk membangun gambar baru.
Menyesuaikan gambar
Bagaimana saya bisa menyesuaikan gambar saya?
Anda dapat menyesuaikan gambar perangkat lunak dari sumber perangkat lunak terdaftar seperti repositori paket RPM/Debian serta MSI dan penginstal khusus pada Windows. Selain sumber perangkat lunak AWS pra-terdaftar, Anda juga dapat mendaftarkan satu atau lebih repositori dan lokasi Amazon S3 yang berisi perangkat lunak untuk instalasi. Anda dapat memberikan mekanisme “tanpa pengawasan” spesifik penginstal (seperti file jawaban) untuk alur kerja instalasi yang membutuhkan input interaktif.
Bagaimana cara menemukan dan mengadakan komponen AWS Marketplace yang saya inginkan?
Sama dengan cara Anda mencari komponen EC2 Image Builder saat ini, Anda dapat mencari komponen AWS Marketplace dari konsol EC2 Image Builder atau dari situs web AWS Marketplace. Setelah berlangganan, Anda dapat menambahkan komponen ini dalam resep EC2 Image Builder, sambil mengelola jalur EC2 Image Builder Anda.
Saya membeli perangkat lunak sebagai AMI. Apakah saya dapat menggunakan langganan yang sama untuk melakukan deployment komponen EC2 Image Builder?
Itu tergantung pada opsi pengiriman yang dipilih oleh Vendor Perangkat Lunak Independen (ISV) saat menerbitkan versi perangkat lunak mereka di AWS Marketplace. ISV dapat menerbitkan perangkat lunak mereka di AWS Marketplace baik untuk digunakan sebagai AMI, komponen EC2 Image Builder, maupun keduanya. Jika ISV menerbitkan perangkat lunak mereka untuk digunakan sebagai AMI dan komponen EC2 Image Builder dalam daftar yang sama, Anda hanya perlu 1 langganan ke perangkat lunak. Dalam hal ini, Anda memiliki pilihan untuk melakukan deployment sebagai AMI, atau menggunakan perangkat lunak sebagai komponen EC2 Image Builder menggunakan langganan yang sama. Jika ISV memilih untuk menerbitkan 2 daftar di AWS Marketplace, satu sebagai AMI, dan lainnya sebagai komponen, diperlukan 2 langganan yang berbeda.
Bagaimana cara memberikan umpan balik atau meminta peningkatan untuk komponen AWS Marketplace?
Anda dapat mencari informasi dukungan di halaman detail produk di AWS Marketplace. Anda harus menghubungi dukungan vendor secara langsung mengenai komponen khusus mereka. Untuk umpan balik atau pertanyaan lain, Anda dapat mengirim email kepada kami di aws-mp-imagebuilder@amazon.com.
Penyetelan standar untuk memenuhi persyaratan keamanan dan kepatuhan
Bagaimana cara menerapkan kebijakan TI internal saya untuk gambar saya yang dibuat dengan Image Builder?
Image Builder memungkinkan Anda menentukan kumpulan pengaturan keamanan yang dapat Anda edit, perbarui, dan gunakan untuk memperkeras gambar Anda yang dibangun dengan Image Builder. Kumpulan pengaturan ini dapat diterapkan untuk memenuhi kriteria kepatuhan yang berlaku. Kriteria ini dapat dimandatkan oleh organisasi Anda atau oleh otoritas pengawas di industri Anda. AWS menyediakan galeri pengaturan untuk membantu memenuhi peraturan industri yang populer. Anda dapat menerapkan kumpulan pengaturan secara langsung atau dalam bentuk yang dimodifikasi. Misalnya, pengaturan yang disediakan AWS untuk STIG menutup port tidak penting yang terbuka, dan mengaktifkan firewall perangkat lunak.
Apakah menggunakan Image Builder memastikan kepatuhan pada peraturan seperti CIS, HIPAA, dll.?
Tidak, kumpulan pengaturan dari AWS mewakili panduan yang disarankan untuk mencapai kepatuhan tetapi tidak menjamin kepatuhan. Anda perlu bekerja dengan tim kepatuhan dan auditor Anda untuk memvalidasi kepatuhan. Pengaturan yang disediakan oleh AWS dapat dimodifikasi sesuai kebutuhan Anda dan disimpan untuk digunakan kembali di galeri.
Bisakah mengambil pengaturan yang diperiksa oleh tim kepatuhan saya dan menggunakannya kembali untuk pengerasan gambar VM saya?
Kumpulan pengaturan dapat dibuat dari awal atau berasal dari templat yang disediakan AWS dan disimpan di lokasi Amazon S3 yang terdaftar. Anda dapat membangun kumpulan Anda sendiri yang menerapkan pengaturan keamanan seperti memastikan patch keamanan diterapkan, menginstal firewall, menutup port tertentu, tidak mengizinkan file sharing antar program, menginstal anti-malware, membuat kata sandi yang kuat, menyimpan cadangan, menggunakan enkripsi bila memungkinkan, menonaktifkan enkripsi yang lemah, kontrol logging/audit, penghapusan data pribadi, dll. Anda bisa menambahkan pengaturan khusus Anda ke galeri.
Pengujian
Bagaimana cara menguji gambar saya?
Kerangka kerja pengujian pada Image Builder memungkinkan Anda menangkap ketidaksesuaian akibat pembaruan OS sebelum diterapkan ke wilayah AWS. Anda dapat menjalankan keduanya - pengujian oleh AWS dan pengujian Anda sendiri, mengelola jalannya pengujian, hasil, dan menjaga keamanan operasi hilir pada saat kelulusan pengujian. Contoh-contoh pengujian oleh AWS meliputi: menguji apakah AMI dapat melakukan boot ke prompt login, menguji apakah AMI dapat menjalankan aplikasi sampel, dll. Anda juga dapat menjalankan pengujian Anda sendiri terhadap gambar.
Terdiri dari apa saja setiap pengujian pada Image Builder?
Setiap pengujian pada Image Builder terdiri dari skrip uji, biner uji, dan metadata uji. Skrip uji berisi perintah orkestrasi untuk memulai biner uji yang dapat ditulis dalam bahasa apa pun dan dalam kerangka kerja pengujian apa pun yang didukung oleh OS (misalnya, PowerShell pada Windows dan bash, python, ruby, dll. di Linux) dan kode status keluar menunjukkan hasil pengujian. Metadata uji juga mencakup atribut seperti nama, deskripsi, path untuk menguji biner, durasi yang diharapkan, dll.).
Distribusi dan berbagi
Bagaimana cara membagikan AMI ke seluruh akun AWS?
Image Builder terintegrasi dengan AWS Organizations untuk memungkinkan berbagi AMI di akun AWS dengan menggunakan mekanisme yang ada. Image Builder dapat memodifikasi izin peluncuran AMI untuk mengontrol akun AWS mana selain pemilik yang diizinkan meluncurkan EC2 VM dengan AMI (mis., pribadi, publik, dan berbagi dengan akun tertentu). Anda juga dapat meminta akun master AWS Organizations Anda memberlakukan pembatasan pada akun anggota untuk meluncurkan instans hanya dengan AMI yang disetujui dan patuh. Lihat dokumentasi Image Builder untuk detail tentang integrasi dengan AWS Organizations. Jika AMI Anda memiliki komponen pihak ketiga dari AWS Marketplace, Anda harus membagikan lisensi perangkat lunak dengan akun ini agar komponen tersebut dapat digunakan.
Apakah saya dapat membagikan lisensi untuk perangkat lunak yang saya beli di AWS Marketplace?
Ya. Sebagai pelanggan AWS Marketplace, Anda dapat menggunakan fitur hak terkelola yang disediakan oleh AWS Marketplace untuk mendistribusikan hak lisensi perangkat lunak melalui AWS License Manager ke organisasi Anda. Akun yang sudah Anda beri hak dapat menggunakan perangkat lunak pihak ketiga dan dapat meluncurkan golden image. Jika hak untuk menggunakan komponen berlum diberikan, EC2 Image Builder gagal kecuali tidak ada langganan yang valid.
Bagaimana cara membagikan, mendistribusikan, dan mereplikasi gambar kontainer di seluruh akun AWS dan wilayah AWS?
Image Builder menggunakan Amazon ECR (layanan terkelola untuk register kontainer) sebagai input dan output gambar kontainer. Anda dapat mengonfigurasi kebijakan untuk mengelola izin untuk setiap repositori dan membatasi akses ke pengguna, peran IAM, atau akun AWS. ECR terintegrasi dengan RAM dan AWS Organizations agar dapat melakukan pembagian, distribusi, dan replikasi gambar kontainer di seluruh wilayah dan akun. ECR menggunakan kebijakan IAM untuk mengontrol akses ke sumber daya.
Bagaimana cara mendistribusikan AMI ke wilayah AWS?
Image Builder dapat menyalin AMI ke wilayah AWS yang dipilih dengan menggunakan mekanisme berbagi AMI yang ada. Distribusi dapat dijaga keamanannya pada kelulusan pengujian dengan Image Builder.
Saya sudah memiliki jalur CI/CD untuk membuat gambar saya. Bagaimana cara menggunakannya dengan Image Builder?
Image Builder dapat berintegrasi dengan layanan AWS CI/CD seperti Code Build dan Code Pipeline untuk membantu mengaktualisasikan kerangka program CI/CD secara menyeluruh untuk membangun, menguji, dan menerapkan AMI.
Pemecahan masalah dan debugging
Bagaimana cara mengatasi masalah dan debugging masalah dengan Image Builder?
Image Builder melacak dan menampilkan kemajuan setiap langkah dalam proses membangun gambar. Selain itu, Image Builder dapat dibuat untuk mengeluarkan log ke Cloudwatch. Untuk pemecahan masalah lanjutan, Anda dapat menjalankan perintah dan skrip sembarang dengan menggunakan antarmuka SSM runCommand.
Build AMI saya gagal saat instalasi/konfigurasi komponen AWS Marketplace. Bagaimana cara memecahkan masalah ini?
Untuk memecahkan masalah kegagalan build AMI dengan komponen pihak ketiga, Anda harus meninjau log build untuk mengetahui kesalahan. Sangat penting untuk memverifikasi dependensi dan kompatibilitas dengan komponen lain di AMI Anda. Anda harus memeriksa dokumentasi dan persyaratan sistem komponen yang disediakan oleh Vendor Perangkat Lunak Independen (ISV) dalam petunjuk penggunaan komponen. Jika tidak dapat mengatasi masalah ini, Anda dapat menghubungi ISV untuk mendapatkan bantuan. AWS tidak memvalidasi dependensi di antara komponen pihak ketiga, jadi Anda harus memastikan kompatibilitas sebelum membangun AMI.