创建新版本的容器配方 - EC2 Image Builder
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建新版本的容器配方

本节展示了如何创建创建新版本的容器配方。

使用控制台创建新的容器配方版本

创建新版本的容器配方与创建新配方几乎相同。不同之处在于,在大多数情况下,为匹配基础配方,某些详细信息都是预先选择的。以下列表描述了创建新配方和创建现有配方的新版本之间的区别。

配方详细信息
  • 名称 - 不可编辑

  • 版本 - 必填。此详细信息未预先填充当前版本或任何类型的序列。以 major.minor.patch 格式输入要创建的版本号。如果该版本已经存在,则会遇到错误。

基础映像
  • 选择映像选项 - 预先选择,但可以编辑。如果您更改对基础映像来源的选择,则可能会丢失其他详细信息,这些详细信息取决于您选择的原始选项。

    要查看与您的基础映像选择相关的详细信息,请选择与您的选择相匹配的选项卡。

    Managed images
    • 映像操作系统 (OS) - 不可编辑

    • 映像名称 - 根据您为现有配方所做的基础映像选择的组合进行预先选择。但是,如果您更改选择映像选项,则会丢失预先选择的映像名称

    • 自动版本控制选项 - 与您的基础配方匹配。自动版本控制选项默认为使用选定的操作系统版本选项。

      重要

      如果您使用语义版本控制来启动管道构建,请确保将此值更改为使用最新的可用操作系统版本。要了解有关 Image Builder 资源的语义版本控制的更多信息,请参阅Semantic version

    ECR image
    • 映像操作系统 (OS) - 预先选择,但可编辑。

    • 操作系统版本 - 预先选择,但可编辑。

    • ECR 映像 ID – 已预先填充,但可编辑。

    Docker Hub image
    • 映像操作系统 (OS) - 不可编辑

    • 操作系统版本 - 预先选择,但可编辑。

    • Docker 映像 ID – 已预先填充,但可以编辑。

实例配置
  • AMI ID – 已预先填充,但可编辑。

  • 存储(卷)

    EBS 第 1 卷(AMI 根)— 已预先填充。您无法编辑根卷设备名称快照IOPS 选项。但是,您可以更改所有其余设置,例如大小。您还可以添加新卷。

    注意

    如果您指定了从另一个账户共享的基本 AMI,则指定的任何辅助卷的快照还必须与您的账户共享。

工作目录
  • 工作目录路径 – 已预先填充,但可编辑。

组件
  • 组件 - 已包含在配方中的组件显示在每个组件列表(构建和测试)末尾的选定组件部分中。您可以移除所选组件或对其重新排序,以满足您的需要。

    CIS 加固组件未遵循 Image Builder 配方中的标准组件排序规则。CIS 强化组件始终最后运行,以确保基准测试针对您的输出映像运行。

    注意

    构建和测试组件列表根据组件所有者类型显示可用组件。要为配方添加或更新组件,请为要查找的组件选择所有者类型。例如,如果要添加与您在中订阅的基本图像关联的组件 Amazon Web Services Marketplace,请Third party managed从搜索栏旁边的所有者类型列表中进行选择。

    您可以为自己的所选组件配置以下设置:

    • 版本控制选项 - 已预先选择,但您可以对其进行更改。我们建议您选择使用最新的可用组件版本选项,以确保您的映像版本始终使用最新版本的组件。如果您需要在配方中使用特定的组件版本,则可以选择指定组件版本,然后在出现的组件版本框中输入版本。

    • 输入参数 - 显示组件接受的输入参数。该预先填充了配方先前版本中的值。如果您在此配方中首次使用此组件,并且已为该组件定义了默认值,则默认值以灰色文本显示在框中。如果未输入值,则 EC2 TOE 使用默认值。

      重要

      组件参数是纯文本值,并且已记录在 Amazon CloudTrail中。我们建议您使用 Amazon Secrets Manager 或 P Amazon Systems Manager arameter Store 来存储您的密钥。有关 Secrets Manager 的更多信息,请参阅Amazon Secrets Manager 用户指南中的什么是 Secrets Manager?。有关 Amazon Systems Manager Parameter Store 的更多信息,请参阅《Amazon Systems Manager 用户指南》中的Amazon Systems Manager Parameter Store

    要展开版本控制选项输入参数的设置,可以选择设置名称旁边的箭头。要展开所有选定组件的所有设置,可以关闭和打开全部展开开关。

目标存储库
  • 目标存储库名称 – 如果您的管道的分发配置中没有为管道运行区域(区域 1)指定其他存储库,则输出映像存储在 Amazon ECR 存储库。

创建新的容器配方版本:
  1. 在容器配方详细信息页面的顶部,选择Create new version(创建新版本)。您将进入容器配方的创建配方页面。

  2. 要创建新版本,请进行更改,然后选择Create recipe(创建配方)。

有关如何在创建映像管道时创建容器配方的更多信息,请参阅本指南的入门章节中的步骤 2:选择配方

通过 Amazon CLI创建容器配方

要使用中的imagebuilder create-container-recipe命令创建 Image Builder 容器配方 Amazon CLI,请执行以下步骤:

先决条件

在运行本节中的 Image Builder 命令使用创建容器配方之前 Amazon CLI,必须创建配方将使用的组件。以下步骤中的容器配方示例引用了在本指南 使用创建组件 Amazon CLI 章节中创建的示例组件。

创建组件后,或者如果您使用的是现有组件,请记下您想要包含在配方中的 ARN。

  1. 创建 CLI 输入 JSON 文件

    您可以使用内联命令参数为 create-container-recipe 命令提供所有输入。但是,生成的命令可能会很长。为了简化命令,您可以改为提供一个包含所有容器配方设置的 JSON 文件

    注意

    JSON 文件中数据值的命名惯例遵循为 Image Builder API 操作请求参数指定的模式。要查看 API 命令请求参数,请参阅 EC2 Image Builder API 参考中的 CreateContainerRecipe 命令。

    要将数据值作为命令行参数提供,请参阅《Amazon CLI 命令引用》中指定的参数名称。

    以下是此示例中参数的摘要:

    • 组件(对象数组,必填)- 包含 ComponentConfiguration 对象数组。必须指定至少一个构建组件:

      注意

      Image Builder 按照您在配方中指定的顺序安装组件。但是,CIS 强化组件始终最后运行,以确保基准测试针对您的输出映像运行。

      • componentARN(字符串,必填)– 组件 ARN。

        提示

        要使用该示例创建您自己的容器配方,请将示例 ARN 替换为您用于配方的组件的 ARN。其中包括每个版本的 Amazon Web Services 区域、名称和版本号。

      • 参数(对象数组)- 包含 ComponentParameter 对象数组。

        重要

        组件参数是纯文本值,并且已记录在 Amazon CloudTrail中。我们建议您使用 Amazon Secrets Manager 或 P Amazon Systems Manager arameter Store 来存储您的密钥。有关 Secrets Manager 的更多信息,请参阅Amazon Secrets Manager 用户指南中的什么是 Secrets Manager?。有关 Amazon Systems Manager Parameter Store 的更多信息,请参阅《Amazon Systems Manager 用户指南》中的Amazon Systems Manager Parameter Store

        • 名称(字符串,必填)- 要设置的组件参数的名称。

        • (字符串数组,必填)- 包含用于设置指定组件参数值的字符串数组。如果为组件定义了默认值,但未提供其他值,则 EC2 TOE 使用默认值。

    • containerType(字符串,必填)- 要创建的容器的类型。有效值包括 DOCKER

    • dockerfileTemplateData(字符串)— 用于构建映像的 Dockerfile 模板,表示为内联数据 blob。

    • 名称(字符串,必填)- 容器配方的名称。

    • 描述(字符串)- 容器配方的描述。

    • parentImage(字符串,必填)- 用作自定义映像基础的容器配方的映像。该值可以是基础映像 ARN 或 AMI ID。

    • platformOverride(字符串)– 指定使用自定义基础映像时的操作系统平台。

    • semanticVersion(字符串,必填)– 容器配方的语义版本按以下格式指定,每个位置都有数值以表示特定版本:<major>.<minor>.<patch>。例如,1.0.0 就是一个示例。要了解有关 Image Builder 资源的语义版本控制的更多信息,请参阅Semantic version

    • 标签(字符串映射)– 附加到容器配方的标签。

    • instanceConfiguration(对象)– 可用于配置实例以构建和测试容器映像的一组选项。

      • 映像(字符串)– 用作容器构建和测试实例基础映像的 AMI ID。如果您未指定此值,Image Builder 将使用相应的 Amazon ECS 优化 AMI 作为基础映像。

      • blockDeviceMappings(对象数组)— 定义要连接的块设备,以便从image参数中指定的 Image Builder AMI 构建实例。

        • deviceName(字符串)- 这些映射适用的设备。

        • ebs(对象)– 用于管理此映射的特定于 Amazon EBS 的配置。

          • deleteOnTermination(布尔值)-用于配置关联设备终止时的删除。

          • 已加密(布尔值)- 用于配置设备加密。

          • volumeSize(整数)- 用于覆盖设备的卷大小。

          • volumeType(字符串)- 用于覆盖设备的卷类型。

    • targetRepository(对象,必填)– 如果管道的分发配置中没有为管道运行区域(区域 1)指定其他存储库,则为容器映像的目标存储库。

      • repositoryName(字符串,必填)– 存储输出容器映像的容器存储库的名称。此名称以存储库位置作为前缀。

      • 服务(字符串,必填)– 指定注册此映像的服务。

    • workingDirectory(字符串)– 构建和测试工作流期间使用的工作目录。

    { "components": [ { "componentArn": "arn:aws:imagebuilder:us-east-1:123456789012:component/helloworldal2/x.x.x" } ], "containerType": "DOCKER", "description": "My Linux Docker container image", "dockerfileTemplateData": "FROM {{{ imagebuilder:parentImage }}}\n{{{ imagebuilder:environments }}}\n{{{ imagebuilder:components }}}", "name": "amazonlinux-container-recipe", "parentImage": "amazonlinux:latest", "platformOverride": "Linux", "semanticVersion": "1.0.2", "tags": { "sometag" : "Tag detail" }, "instanceConfiguration": { "image": "ami-1234567890", "blockDeviceMappings": [ { "deviceName": "/dev/xvda", "ebs": { "deleteOnTermination": true, "encrypted": false, "volumeSize": 8, "volumeType": "gp2" } } ] }, "targetRepository": { "repositoryName": "myrepo", "service": "ECR" }, "workingDirectory": "/tmp" }
  2. 创建配方

    使用以下命令以创建配方。在 --cli-input-json 参数中提供您在上一步中创建的 JSON 文件的名称:

    aws imagebuilder create-container-recipe --cli-input-json file://create-container-recipe.json
    注意
    • JSON 文件路径开头必须包含 file:// 符号。

    • JSON 文件的路径应遵循运行命令的基本操作系统的相应约定。例如,Windows 使用反斜杠 (\) 引用目录路径,Linux 则使用正斜杠 (/)。