创建映像配方的新版本 - EC2 Image Builder
创建新的映像配方版本(控制台)使用创建图像配方 Amazon CLI在控制台中导入虚拟机 (VM) 作为基础映像
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建映像配方的新版本

本节介绍如何创建映像配方的新版本。

创建新的映像配方版本(控制台)

当您创建新的配方版本时,它与创建新配方的操作几乎相同。不同之处在于,在大多数情况下,为匹配基础配方,某些详细信息都是预先选择的。以下列表描述创建新配方和创建现有配方的新版本之间的区别。

新版本中的基础配方详细信息

  • 名称 - 不可编辑

  • 版本 - 必填。此基础详细信息未预先填充当前版本或任何类型的序列。输入要创建的版本号,格式为 <major>.<minor>.<patch>。如果该版本已经存在,则会遇到错误。

  • 选择映像选项 - 已预先选择,但您可以对其进行编辑。如果您更改对基础映像来源的选择,则可能会丢失其他详细信息,这些详细信息取决于您选择的原始选项。

    要查看与您的基础映像选择相关的详细信息,请选择与您的选择相匹配的选项卡。

    Managed image

    • 映像操作系统 (OS) - 不可编辑

    • 映像名称 - 根据您为现有配方所做的基础映像选择的组合进行预先选择。但是,如果您更改选择映像选项,则会丢失预先选择的映像名称

    • 自动版本控制选项 - 与您的基础配方匹配。此映像选项默认为使用选定的操作系统版本选项。

      重要

      如果您使用语义版本控制来启动管道构建,请确保将此值更改为使用最新的可用操作系统版本。要了解有关 Image Builder 资源的语义版本控制的更多信息,请参阅Semantic 版本控制

    Amazon Web Services Marketplace image

    • 订阅 — 此选项卡应处于打开状态,并且 Amazon Web Services Marketplace 应预先选择订阅的图片以匹配您的基本食谱。如果您更改配方用作基础映像的映像,则可能会丢失其他详细信息,这些详细信息取决于您选择的原始映像。

    有关 Amazon Web Services Marketplace 产品的更多信息,请参阅《Amazon Web Services Marketplace 家指南》中的 “购买商品”。

    Custom AMI

    • AMI ID - 必填项。但是,此设置并未预先填入您的原始条目。您必须输入基础映像的 AMI ID。

  • 实例配置 - 设置是预先选择的,但您可以对其进行编辑。

    • Systems Manager 代理 – 您可以选中或清除此复选框来控制在新映像上安装 Systems Manager 代理。默认情况下,该复选框处于清除状态,以便在新映像中包含 Systems Manager 代理。要从最终映像中移除 Systems Manager 代理,请选中该复选框以使代理不包含在您的 AMI 中。

    • 用户数据 – 当您启动构建实例时,可以使用此区域以提供要运行的命令或命令脚本。但是,此值会替换 Image Builder 可能添加的任何命令,以确保安装 Systems Manager。这些命令包括 Image Builder 通常在创建新映像之前为 Linux 映像运行的清理脚本。

      注意

      • 如果您要输入用户数据,请确保在您的基础映像上预先安装 Systems Manager 代理,或者将安装的内容包含在您的用户数据中。

      • 对于 Linux 映像,请通过创建一条在用户数据脚本中命名为 perform_cleanup 的空文件的命令,以确保运行清理步骤。Image Builder 会检测到此文件,并在创建新映像之前运行清理脚本。有关更多信息和示例脚本,请参阅 EC2 Image Builder 的安全最佳实践

  • 工作目录 - 已预先选择,但您可以对其进行编辑。

  • 组件 - 已包含在配方中的组件显示在每个组件列表(构建和测试)末尾的选定组件部分中。您可以移除所选组件或对其重新排序,以满足您的需要。

    CIS 加固组件未遵循 Image Builder 配方中的标准组件排序规则。CIS 强化组件始终最后运行,以确保基准测试针对您的输出映像运行。

    注意

    构建和测试组件列表根据组件所有者类型显示可用组件。要为配方添加或更新组件,请为要查找的组件选择所有者类型。例如,如果要添加与您在中订阅的基本图像关联的组件 Amazon Web Services Marketplace,请Third party managed从搜索栏旁边的所有者类型列表中进行选择。

    您可以为自己的所选组件配置以下设置:

    • 版本控制选项 - 已预先选择,但您可以对其进行更改。我们建议您选择使用最新的可用组件版本选项,以确保您的映像版本始终使用最新版本的组件。如果您需要在配方中使用特定的组件版本,则可以选择指定组件版本,然后在出现的组件版本框中输入版本。

    • 输入参数 - 显示组件接受的输入参数。该预先填充了配方先前版本中的值。如果您在此配方中首次使用此组件,并且为输入参数定义了默认值,则默认值将显示在 “值” 框中,文本为灰色。如果未输入其他值,Image Builder 将使用默认值。

      如果需要输入参数,但组件中没有定义默认值,则必须提供一个值。如果缺少任何必需的参数且未定义默认值,Image Builder 将不会创建配方版本。

      重要

      组件参数是纯文本值,并且已记录在 Amazon CloudTrail中。我们建议您使用 Amazon Secrets Manager 或 P Amazon Systems Manager arameter Store 来存储您的密钥。有关 Secrets Manager 的更多信息,请参阅Amazon Secrets Manager 用户指南中的什么是 Secrets Manager?。有关 Amazon Systems Manager Parameter Store 的更多信息,请参阅《Amazon Systems Manager 用户指南》中的Amazon Systems Manager Parameter Store

    要展开版本控制选项输入参数的设置,可以选择设置名称旁边的箭头。要展开所有选定组件的所有设置,可以关闭和打开全部展开开关。

  • 存储(卷) - 已预先填好。根卷设备名称快照IOPS 选项不可编辑。但是,您可以更改所有其余设置,例如大小。您还可以添加新卷以及加密新卷或现有卷。

    要在源区域(运行构建的地方)为 Image Builder 在您的账户下创建的映像进行加密,您必须在映像配方中使用存储卷加密。在该构建的分配阶段运行的加密仅适用于分配给其他账户或地区的映像。

    注意

    如果您对卷使用加密,则必须分别为每个卷选择密钥,即使该密钥与用于根卷的密钥相同。

创建新的映像配方版本:

  1. 在配方详细信息页面顶部,选择创建新版本。这将带您进入创建映像配方页面。

  2. 要创建新版本,请进行更改,然后选择创建映像配方

有关如何在创建映像管道时创建映像配方的更多信息,请参阅本指南的入门部分的 步骤 2:选择配方

使用创建图像配方 Amazon CLI

要使用中的 Image Builder create-image-recipe 命令创建图像配方 Amazon CLI,请执行以下步骤:

先决条件

在运行本节中的 Image Builder 命令从 Amazon CLI中创建映像配方之前,必须创建该配方使用的组件。以下步骤中的映像配方示例引用了在本指南 使用创建组件 Amazon CLI 部分中创建的示例组件。

创建组件后,或者如果您使用的是现有组件,请记下您想要包含在配方中的 ARN。

  1. 创建 CLI 输入 JSON 文件

    您可以使用内联命令参数为 create-image-recipe 命令提供所有输入。但是,生成的命令可能会很长。为了简化命令,您可以改为提供包含所有配方设置的 JSON 文件。

    注意

    JSON 文件中数据值的命名惯例遵循为 Image Builder API 操作请求参数指定的模式。要查看 API 命令请求参数,请参阅《EC2 Image Builder API 参考》中的CreateImageRecipe命令。

    要将数据值作为命令行参数提供,请参阅《Amazon CLI 命令引用》中指定的参数名称。

    以下是这些示例指定的参数的摘要:

    • 名称(字符串,必填项) - 映像配方的名称。

    • 描述(字符串)- 映像配方的描述。

    • parentImage (字符串,必填项)- 映像配方用作自定义映像基础的映像。该值可以是基础映像 ARN 或 AMI ID。

      注意

      Linux 示例使用 Image Builder AMI,Windows 示例使用 ARN。

    • semanticVersion(字符串,必填) – 映像配方的语义版本,用以下格式表示,每个位置都有数值来表示特定的版本:<major>.<minor>.<patch>。例如,值可能为 1.0.0。要了解有关 Image Builder 资源的语义版本控制的更多信息,请参阅Semantic 版本控制

    • 组件(数组,必填)– 包含 ComponentConfiguration 对象的数组。必须指定至少一个构建组件:

      注意

      Image Builder 按照您在配方中指定的顺序安装组件。但是,CIS 强化组件始终最后运行,以确保基准测试针对您的输出映像运行。

      • componentARN(字符串,必填)– 组件 ARN。

        提示

        要使用其中一个示例创建自己的映像配方,必须将示例 ARN 替换为用于配方的组件的 ARN。

      • 参数(对象数组)- 包含 ComponentParameter 对象数组。如果需要输入参数,但组件中没有定义默认值,则必须提供一个值。如果缺少任何必需的参数且未定义默认值,Image Builder 将不会创建配方版本。

        重要

        组件参数是纯文本值,并且已记录在 Amazon CloudTrail中。我们建议您使用 Amazon Secrets Manager 或 P Amazon Systems Manager arameter Store 来存储您的密钥。有关 Secrets Manager 的更多信息,请参阅Amazon Secrets Manager 用户指南中的什么是 Secrets Manager?。有关 Amazon Systems Manager Parameter Store 的更多信息,请参阅《Amazon Systems Manager 用户指南》中的Amazon Systems Manager Parameter Store

        • 名称(字符串,必填)- 要设置的组件参数的名称。

        • (字符串数组,必填)- 包含用于设置指定组件参数值的字符串数组。如果为组件定义了默认值,但未提供其他值,则 EC2 TOE 使用默认值。

    • additionalInstanceConfiguration(object)-为您的编译实例指定其他设置并启动脚本。

      • systemsManagerAgent(对象)-包含编译实例上的 Systems Manager 代理的设置。

        • uninstallAfterBuild(布尔值)-控制在创建新 AMI 之前是否从最终构建映像中删除 Systems Manager 代理。如果将此选项设置为 true,则从最终映像中移除该代理。如果将此选项设置为 false,则保留该代理,以便将它包含在新 AMI 中。默认值为 false

          注意

          如果 JSON 文件中未包含该 uninstallAfterBuild 属性,并且满足以下条件,则 Image Builder 会从最终映像中移除 Systems Manager 代理,使其在 AMI 中不可用:

          • userDataOverride 为空或已从 JSON 文件中省略。

          • 对于未在基础映像上预装代理的操作系统,Image Builder 会自动在构建实例上安装 Systems Manager 代理。

      • userDataOverride(字符串)-提供启动构建实例时要运行的命令或命令脚本。

        注意

        用户数据始终采用 base 64 编码。例如,以下命令被编码为 IyEvYmluL2Jhc2gKbWtkaXIgLXAgL3Zhci9iYi8KdG91Y2ggL3Zhcg==

        #!/bin/bash
mkdir -p /var/bb/
touch /var

        Linux 示例使用此编码值。

    Linux

    以下示例中的基础映像(parentImage 属性)是 AMI。使用 AMI 时,您必须具有访问该 AMI 的权限,并且 AMI 必须位于源区域(与 Image Builder 运行命令的区域相同)。将文件另存为 create-image-recipe.json,并在 create-image-recipe 命令中使用。

    {
"name": "BB Ubuntu Image recipe",
"description": "Hello World image recipe for Linux.",
"parentImage": "ami-0a01b234c5de6fabc",
"semanticVersion": "1.0.0",
"components": [
	{
		"componentArn": "arn:aws:imagebuilder:us-west-2:123456789012:component/bb$"
	}
],
"additionalInstanceConfiguration": {
	"systemsManagerAgent": {
	 	"uninstallAfterBuild": true
	},
	"userDataOverride": "IyEvYmluL2Jhc2gKbWtkaXIgLXAgL3Zhci9iYi8KdG91Y2ggL3Zhcg=="
}
}
    Windows

    以下示例引用最新版本的 Windows Server 2016 英文版全基础映像。根据您指定的语义版本筛选条件,该示例中的 ARN 引用 SKU 中的最新映像:arn:aws:imagebuilder:us-west-2:aws:image/windows-server-2016-english-full-base-x86/x.x.x

    {
"name": "MyBasicRecipe",
"description": "This example image recipe creates a Windows 2016 image.",
"parentImage": "arn:aws:imagebuilder:us-west-2:aws:image/windows-server-2016-english-full-base-x86/x.x.x",
"semanticVersion": "1.0.0",
"components": [
	{
		"componentArn": "arn:aws:imagebuilder:us-west-2:123456789012:component/my-example-component/2019.12.02/1"
	},
	{
		"componentArn": "arn:aws:imagebuilder:us-west-2:123456789012:component/my-imported-component/1.0.0/1"
	}
]
}
    注意

    要了解有关 Image Builder 资源的语义版本控制的更多信息,请参阅Semantic 版本控制
  2. 创建配方

    使用以下命令以创建配方。在 --cli-input-json 参数中提供您在上一步中创建的 JSON 文件的名称:

    aws imagebuilder create-image-recipe --cli-input-json file://create-image-recipe.json
    注意

    • JSON 文件路径开头必须包含 file:// 符号。

    • JSON 文件的路径应遵循运行命令的基本操作系统的相应约定。例如,Windows 使用反斜杠 (\) 引用目录路径,Linux 则使用正斜杠 (/)。

在控制台中导入虚拟机 (VM) 作为基础映像

在本节中,我们将重点介绍如何导入虚拟机 (VM) 作为映像配方的基础映像。这里我们不介绍创建配方或配方版本所涉及的其他步骤。有关在 Image Builder 控制台中使用管道创建向导创建新映像配方的其他步骤,请参阅 创建映像管道 (AMI)。有关创建新映像配方或配方版本的其他步骤,请参阅 创建映像配方的新版本

要在 Image Builder 控制台中导入虚拟机 (VM) 作为映像配方的基础映像,请按照以下步骤以及任何其他必需的步骤来创建您的配方或配方版本。

  1. 在基础映像的选择映像部分中,选择导入基础映像选项。

  2. 像往常一样选择映像操作系统 (OS)操作系统 (OS) 版本

虚拟机导入配置

当您从虚拟化环境中导出虚拟机时,该过程会创建一个或多个磁盘容器文件,这些文件充当虚拟机环境、设置和数据的快照。您可以使用这些文件导入虚拟机作为映像配方的基本映像。有关在 Image Builder 中导入虚拟机的详细信息,请参阅 导入和导出 VM 映像

要指定导入源的位置,请执行以下步骤:

导入源

磁盘容器 1 部分中指定要导入的第一个虚拟机映像磁盘容器或快照的来源。

  1. – 可以是 S3 存储桶或 EBS 快照。

  2. 选择磁盘的 S3 位置 – 输入 Amazon S3 中存储磁盘映像的位置。要浏览位置,请选择浏览 S3

  3. 要添加磁盘容器,请选择添加磁盘容器

IAM 角色

要将 IAM 角色与您的虚拟机导入配置相关联,请从 IAM 角色下拉列表中选择该角色,或者选择创建新角色来创建一个新角色。如果您创建了新角色,IAM 角色控制台页面将在单独的标签页中打开。

高级设置 – 可选

以下设置可选:使用这些设置,您可以为导入创建的基本映像配置加密、许可、标签等。

常规

  1. 为基本映像指定一个唯一的名称。如果不输入任何值,则基础映像将继承该配方名称。

  2. 指定基础映像的版本。采用以下格式:<major>.<minor>.<patch>。如果不输入任何值,则基础映像将继承该配方版本。

  3. 您也可以为基础映像输入描述

基础映像架构

要指定虚拟机导入源的架构,请从架构列表中选择一个值。

加密

如果您的虚拟机磁盘映像已加密,则必须提供用于导入过程的密钥。要 Amazon KMS key 为导入指定一个,请从加密(KMS 密钥)列表中选择一个值。该列表包含您的账户在当前区域中有权访问的 KMS 密钥。

许可证管理

导入虚拟机时,导入过程会自动检测虚拟机操作系统并将相应的许可证应用于基本映像。根据您的操作系统平台,许可证类型如下:

  • 包含许可证 — 适用于您的平台的相应 Amazon 许可证将应用于您的基本映像。

  • 自带许可(BYOL) - 保留源自虚拟机的许可证(如果适用)。

要将使用创建的许可证配置附加 Amazon License Manager 到您的基础映像,请从许可证配置名称列表中进行选择。有关 License Manager 的更多信息,请参阅使用 Amazon License Manager

注意

  • 许可证配置包含基于您的企业协议条款的许可规则。

  • Linux 仅支持 BYOL 许可证。

标签(基本映像)

标签使用键值对为您的 Image Builder 资源分配可搜索的文本。要为导入的基础映像指定标签,请使用框输入键值对。

要添加标签,请选择 Add tag(添加标签)。要删除标签,请选择 Remove tag(删除标签)。