EC2 Image Builder: вопросы и ответы

Вы можете настроить создание образов по триггерам, например при выпуске обновлений (в том числе обновлений исходного кода AMI, обновлений системы безопасности, обновлений для соответствия требованиям, новых тестов и т. д.) или с заданным интервалом времени. Вы можете задать «период сборки» золотых образов с новейшими обновлениями, применяя изменения, ожидающие обработки. Актуальные образы можно тестировать с помощью Image Builder для проверки приложений в обновленных сборках. Вы также можете подписаться на уведомления через очереди SNS для ожидающих обработки обновлений образов, созданных с помощью Image Builder. Вы можете использовать эти уведомления в качестве триггеров для создания новых образов.

Образы программного обеспечения можно настраивать с помощью зарегистрированных источников ПО, таких как пакеты RPM/Debian или пакеты MSI и пользовательские установщики в Windows. Помимо заранее зарегистрированных источников программного обеспечения AWS можно зарегистрировать один или несколько репозиториев и расположений Amazon S3, содержащих ПО для установки. Вы можете реализовать механизмы автоматического реагирования (например, файлы ответов) для рабочих процессов установки, требующих интерактивного ввода.

Как и текущие компоненты Конструктора образов EC2, компоненты AWS Marketplace можно найти в консоли Конструктора образов EC2 или на сайте AWS Marketplace. Оформив подписку, вы можете добавить эти компоненты в «рецепт» Конструктора образов EC2, управляя конвейером Конструктора образов EC2.

Это зависит от вариантов доставки, выбранных вендором ПО (ISV) при публикации своей версии программного обеспечения в AWS Marketplace. Вендор может опубликовать свое ПО в AWS Marketplace для использования в качестве AMI, компонента Конструктора образов EC2 или того и другого. Если вендор ПО опубликовал свое программное обеспечение для использования в качестве AMI и компонента Конструктора образов EC2 в одном и том же предложении, вам потребуется только одна подписка на программное обеспечение. В этом случае вы можете выполнить развертывание в качестве AMI или использовать ПО в качестве компонента Конструктора образов EC2 по той же подписке. Если у вендора ПО два предложения в AWS Marketplace: одно — как образ AMI, а другое — как компонент, то потребуется оформить две отдельные подписки.

Информацию о поддержке можно найти на странице сведений о продукте в AWS Marketplace. Вам нужно будет напрямую обратиться в службу поддержки вендора, чтобы задать вопросы по конкретным компонентам. Чтобы оставить отзыв или получить ответы на дополнительные вопросы, вы можете написать нам по адресу aws-mp-imagebuilder@amazon.com.

Image Builder дает возможность определять коллекции параметров безопасности, которые можно редактировать, обновлять и использовать для дополнительной защиты образов, созданных с помощью Image Builder. Эти коллекции параметров можно применять для соблюдения применимых нормативных требований. Эти критерии могут быть установлены вашей организацией или управляющим органом вашей отрасли. AWS предоставляет коллекцию параметров, помогающих соблюдать популярные отраслевые нормативы. Вы можете применять наборы параметров непосредственно или с изменениями. Например, параметры от AWS для STIG закрывают необязательные открытые порты и включают программный брандмауэр.

Нет. Коллекции параметров от AWS представляют рекомендуемые подходы к обеспечению соответствия требованиям, но не гарантируют его. Вам потребуется проверить соответствие требованиям в сотрудничестве с соответствующим отделом и аудиторами. Параметры от AWS можно менять в соответствии с потребностями и сохранять для повторного использования в коллекции.

Коллекции параметров можно создавать с нуля или на основе шаблонов AWS и сохранять в зарегистрированном расположении Amazon S3. Вы можете создавать собственные коллекции, применяющие такие параметры, как применение исправлений безопасности, установка брандмауэра, закрытие определенных портов, запрет обмена файлами между программами, установка антивирусного ПО, создание надежных паролей, хранение резервной копии, использование шифрования по мере возможности, отключение слабого шифрования, управление ведением журналов и аудитом, удаление персональных данных и т. д. Вы можете добавить свои настройки в коллекцию.

Платформа тестирования в Image Builder позволяет выявлять несовместимости, вызванные обновлениями ОС, перед развертыванием в регионах AWS. Вы можете проводить как тесты от AWS, так и собственные тесты, управлять испытаниями и результатами, а также ограничивать нижестоящие операции согласно прохождению тестов. Примеры тестов от AWS: проверка возможности загрузки AMI до экрана входа, тестовый запуск образца приложения в AMI и т. д. Вы также можете проводить с образами собственные тесты.

Каждый тест в Image Builder состоит из скрипта, двоичного файла и метаданных. Скрипт теста содержит команды управления для запуска двоичного файла, который может быть написан на любом языке и на любой тестовой платформе, которую поддерживает ОС (например, PowerShell для Windows и bash, python, ruby и т. д. для Linux). Коды завершения служат обозначением для результатов тестов. Метаданные теста также содержат такие атрибуты, как имя, описание, пути к двоичному файлу теста, ожидаемую продолжительность и т. д.

Image Builder интегрируется с AWS Organizations, что позволяет предоставлять аккаунтам AWS общий доступ к AMI с помощью существующих механизмов. Image Builder может менять разрешения на запуск AMI, проверяя таким образом, каким аккаунтам AWS, помимо владельца, разрешено запускать виртуальные машины EC2 с AMI (например, частным, общедоступным или конкретным аккаунтам). Ваш главный аккаунт организации AWS может разрешить аккаунтам-участникам запускать инстансы только с утвержденными и соответствующими требованиям AMI. Подробные сведения об интеграции с AWS Organizations представлены в документации по Image Builder. Если ваши образы AMI содержат сторонние компоненты из AWS Marketplace, вы должны предоставить этим аккаунтам лицензию на программное обеспечение, чтобы они могли использовать компонент.

Да. Вы, как клиент AWS Marketplace, можете использовать функцию управляемых разрешений, предоставляемую AWS Marketplace, для распространения лицензий на программное обеспечение в своей организации через Менеджер лицензий AWS. Аккаунты, с которыми вы поделились лицензией, могут использовать стороннее программное обеспечение и запускать эталонные образы. Если лицензия на использование компонента отсутствует, работа Конструктора образов EC2 завершается сбоем и выдается исключение, уведомляющее об отсутствии действующей подписки.

В качестве сервиса входящих и исходящих данных для образов контейнеров Image Builder использует Amazon ECR (управляемый сервис для реестров контейнеров). У пользователя есть возможность настроить политики управления разрешениями отдельно для каждого репозитория и предоставить ограниченный доступ для определенных пользователей или ролей IAM, а также аккаунтов AWS. ECR интегрируется с RAM и AWS Organizations, что позволяет распределять и реплицировать образы контейнеров среди аккаунтов и регионов AWS, а также открывать для них совместный доступ к образам контейнеров. ECR использует политики IAM для организации контроля доступа к ресурсам.

В Image Builder можно копировать AMI в указанные регионы AWS, используя имеющиеся механизмы общего доступа к AMI. Распределение можно ограничить согласно прохождению тестов в Image Builder.

Image Builder можно интегрировать с такими сервисами AWS CI/CD, как Code Build и Code Pipeline, чтобы реализовать полноценный конвейер CI/CD для создания, тестирования и развертывания AMI.

Image Builder отслеживает и отображает ход выполнения каждого этапа создания образа. Кроме того, Image Builder может передавать журналы в CloudWatch. Для использования расширенных возможностей устранения неполадок вы можете запускать произвольные команды и скрипты с помощью интерфейса SSM runCommand.

Чтобы диагностировать сбой сборки AMI из-за стороннего компонента, необходимо проверить журналы сборки на предмет ошибок. Крайне важно проверить зависимости и совместимость с другими компонентами AMI. Кроме того, необходимо ознакомиться с документацией компонента и системными требованиями, предоставленными вендором ПО (ISV) в инструкциях по использованию компонента. Если вы не можете решить проблему, обратитесь за рекомендациями к вендору ПО. AWS не проверяет зависимости между сторонними компонентами, поэтому перед созданием образов AMI необходимо убедиться в совместимости.