View a markdown version of this page

从中创建容器映像管道 AWS CLI - EC2 Image Builder

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

从中创建容器映像管道 AWS CLI

要从中创建映像管道 AWS CLI,请使用适用于您的管道的配置选项运行create-image-pipeline命令。您可以选择创建包含所有工作流配置的 JSON 文件,或者在运行时指定配置。本节使用 JSON 配置文件方法来简化命令。

您的管道构建新映像以合并基础映像和组件中所有待处理更新的频率取决于您所配置的 schedule。每个 schedule 都具有以下属性:

  • scheduleExpression— 设置管道运行的时间计划,以评估 pipelineExecutionStartCondition 并确定是否应开始构建。该计划是使用 cron 表达式配置的。有关如何在 Image Builder 中设置 cron 表达式格式的更多信息,请参阅 在 Image Builder 中使用 cron 表达式

  • pipelineExecutionStartCondition— 确定您的管道是否应该开始构建。有效值包括:

    • EXPRESSION_MATCH_ONLY— 每次 cron 表达式与当前时间匹配时,Pipeline 都会生成一个新映像。

    • EXPRESSION_MATCH_AND_DEPENDENCY_UPDATES_AVAILABLE— 只有当计划表达式匹配并且您的基础映像或组件有待更新时,您的管道才会生成新映像。如果没有待处理的更新,则会跳过构建。要在不等待更新的情况下立即构建,请手动运行管道。

在中运行create-image-pipeline命令时 AWS CLI,许多配置资源都是可选的。但是,有些资源有条件性要求,具体取决于管道创建的映像类型。容器映像管道需要以下资源:

  • 容器配方 ARN

  • 基础设施配置 ARN

如果您在运行 create-image-pipeline 命令时未包含分配配置资源,则输出映像将存储在您运行该命令的区域的容器配方中指定为目标存储库的 ECR 存储库中。如果您为管道添加了分配配置资源,则将使用您在分配中为第一个区域指定的目标存储库。

  1. 创建 CLI 输入 JSON 文件

    使用您常用的文件编辑工具创建 JSON 文件,其中包含以下密钥以及对您的环境有效的值。此示例使用名为 create-image-pipeline.json 的文件:

    {
	"name": "MyWindows2019Pipeline",
	"description": "Builds Windows 2019 Images",
	"enhancedImageMetadataEnabled": true,
	"containerRecipeArn": "arn:aws:imagebuilder:us-west-2:123456789012:container-recipe/my-example-recipe/2020.12.03",
	"infrastructureConfigurationArn": "arn:aws:imagebuilder:us-west-2:123456789012:infrastructure-configuration/my-example-infrastructure-configuration",
	"distributionConfigurationArn": "arn:aws:imagebuilder:us-west-2:123456789012:distribution-configuration/my-example-distribution-configuration",
	"imageTestsConfiguration": {
		"imageTestsEnabled": true,
		"timeoutMinutes": 60
	},
	"schedule": {
		"scheduleExpression": "cron(0 0 * * SUN *)",
		"pipelineExecutionStartCondition": "EXPRESSION_MATCH_AND_DEPENDENCY_UPDATES_AVAILABLE"
	},
	"status": "ENABLED"
}
    注意

    • JSON 文件路径开头必须包含 file:// 符号。

    • JSON 文件的路径应遵循运行命令的基本操作系统的相应约定。例如,Windows 使用反斜杠 (\) 引用目录路径,而 Linux 和 macOS 使用正斜杠 (/)。

  2. 使用创建的文件作为输入,运行以下命令。

    aws imagebuilder create-image-pipeline --cli-input-json file://create-image-pipeline.json
示例:使用图像扫描和自定义工作流程创建容器管道

此示例配置了一个容器管道,该管道在世界标准时间每周一上午 10:00 进行检查,并且仅在依赖项更新可用时运行。配置文件使用容器配方和基础设施的现有资源。它支持通过 Amazon Inspector 和 ECR 集成的漏洞扫描。该配置还指定了具有执行角色的自定义工作流程。并行组同时运行安全测试和功能测试。管道日志将发送到自定义CloudWatch 日志组

  1. 创建配置文件

    创建名为的 JSON 文件create-container-pipeline-with-workflows.json。此文件定义了启用图像扫描和自定义测试工作流程的容器管道配置。将占位符值替换为您自己的资源 ARN。

    {
	"name": "MyContainerPipelineWithScanning",
	"description": "Container pipeline with vulnerability scanning and custom workflows",
	"containerRecipeArn": "arn:aws:imagebuilder:us-east-1:123456789012:container-recipe/my-container-recipe/1.0.0",
	"infrastructureConfigurationArn": "arn:aws:imagebuilder:us-east-1:123456789012:infrastructure-configuration/my-infra-config",
	"distributionConfigurationArn": "arn:aws:imagebuilder:us-east-1:123456789012:distribution-configuration/my-dist-config",
	"imageScanningConfiguration": {
		"imageScanningEnabled": true,
		"ecrConfiguration": {
			"repositoryName": "my-scanning-repo",
			"containerTags": ["scan-latest"]
		}
	},
	"workflows": [
		{
			"workflowArn": "arn:aws:imagebuilder:us-east-1:123456789012:workflow/build/my-build-workflow/1.0.0"
		},
		{
			"workflowArn": "arn:aws:imagebuilder:us-east-1:123456789012:workflow/test/my-security-scan/1.0.0",
			"onFailure": "ABORT",
			"parallelGroup": "security"
		},
		{
			"workflowArn": "arn:aws:imagebuilder:us-east-1:123456789012:workflow/test/my-compliance-check/1.0.0",
			"onFailure": "ABORT",
			"parallelGroup": "security"
		},
		{
			"workflowArn": "arn:aws:imagebuilder:us-east-1:123456789012:workflow/test/my-functional-test/1.0.0",
			"onFailure": "CONTINUE",
			"parallelGroup": "functional"
		},
		{
			"workflowArn": "arn:aws:imagebuilder:us-east-1:123456789012:workflow/test/my-performance-test/1.0.0",
			"onFailure": "CONTINUE",
			"parallelGroup": "functional"
		}
	],
	"executionRole": "arn:aws:iam::123456789012:role/ImageBuilderExecutionRole",
	"loggingConfiguration": {
		"imageLogGroupName": "/aws/imagebuilder/my-container-pipeline-image-logs",
		"pipelineLogGroupName": "/aws/imagebuilder/my-container-pipeline-execution-logs"
	},
	"imageTestsConfiguration": {
		"imageTestsEnabled": true,
		"timeoutMinutes": 120
	},
	"schedule": {
		"scheduleExpression": "cron(0 10 ? * MON *)",
		"pipelineExecutionStartCondition": "EXPRESSION_MATCH_AND_DEPENDENCY_UPDATES_AVAILABLE"
	},
	"status": "ENABLED"
}
    注意

    • JSON 文件路径开头必须包含 file:// 符号。

    • JSON 文件的路径应遵循运行命令的基本操作系统的相应约定。例如,Windows 使用反斜杠 (\) 引用目录路径,而 Linux 和 macOS 使用正斜杠 (/)。

  2. 运行 命令
    aws imagebuilder create-image-pipeline --cli-input-json file://create-container-pipeline-with-workflows.json