Amazon 如何建立 AWSWindows AMIs - AWS Windows AMIs
Windows Server 安裝媒體對官方的期望 AWSWindows AMI驗證軟體 AWS AMIsAmazon 如何決定 AWSWindows AMIs要提供哪些修補程式、安全性更新和 AMI ID

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon 如何建立 AWSWindows AMIs

以下是 Amazon 用來建立程序的高階概觀 AWSWindows AMIs。詳細資訊包括您可以對官方的期望 AWSWindows AMI,以及 Amazon 用來驗證 AMI 安全性和可靠性的標準。

取得Windows Server安裝媒體 AWS 的位置

Windows Server 發行新版本的 時,我們會從 Microsoft 下載 Windows ISO Microsoft並驗證雜湊發佈。接著會從Windows分佈 ISO 建立初始 AMI。除了我們的 EC2 啟動代理程式之外,還包含在 EC2 上啟動所需的驅動程式。我們會執行自動化流程將 ISO 轉換為 AMI,以便做好準備,公開發行此初始 AMI。此準備好的 AMI 用於每月自動更新和發行程序。

對官方的期望 AWSWindows AMI

Amazon AWSWindows AMIs為Microsoft支援的Windows Server作業系統提供熱門版本的各種組態。如上節所述,我們從 Microsoft 大量授權服務中心 (VLSC) 的 Windows Server ISO 開始,並驗證雜湊,以確保它符合 Microsoft 的新Windows Server作業系統文件。

我們在 上使用自動化執行下列變更 AWS ,以取得目前的 Windows Server AMIs 並進行更新:

  • 安裝所有Microsoft建議Windows的安全性修補程式。我們會在每月Microsoft修補程式可用後立即發行映像。

  • 安裝 AWS 硬體的最新驅動程式,包括網路和磁碟驅動程式、用於故障診斷的EC2WinUtil公用程式,以及所選 AMIs中的 GPU 驅動程式。

  • 預設包含下列 AWS 啟動代理程式軟體:

    • EC2Launch v2 適用於 Windows Server 2022 和 2025,以及選擇性適用於具有特定 AMIs Windows Server 2019 和 2016。

    • EC2Launch v1 適用於 Windows Server 2016 和 2019。

    • EC2Config 適用於 Windows Server 2012 R2 及更早版本。

  • 設定Windows時間以使用 Amazon Time Sync Service

  • 變更所有電源配置,將顯示器設定為永不關閉。

  • 執行次要的錯誤修正:一般為一行的登錄變更,可啟用或停用我們所發現可改善 AWS效能的功能。

  • 在新的和現有的 EC2 平台上測試和驗證 AMIs,以協助確保發行前的相容性、穩定性和一致性。

如需包含已套用的初始化、安裝和組態設定的更詳細清單,請參閱 適用於 的更新 AWSWindows AMIs

Amazon 如何驗證 AMIs 上軟體的安全性、完整性和真實性

我們在映像建置過程中採取許多步驟,以維護 的安全性、完整性和真實性 AWSWindows AMIs。一些範例包括:

  • AWSWindows AMIs 是使用直接從 Microsoft 取得的來源媒體建置。

  • Windows 直接從 Microsoft Windows 的 Windows Update Service 下載更新,並安裝在用於在映像建置過程中建立 AMI 的執行個體上。

  • AWS 軟體是從安全的 S3 儲存貯體下載,並安裝在 AMIs中。

  • 例如晶片組和 GPU 的驅動程式會直接從廠商取得、存放在安全的 S3 儲存貯體中,並在映像建置程序期間安裝在 AMIs 上。

Amazon 如何決定 AWSWindows AMIs要提供哪些

每個 AMI 在公開發行之前都經過廣泛測試。我們會定期簡化我們的 AMI 項目以簡化客戶選擇和減少成本。

  • 將為新作業系統版本建立新的 AMI 項目。您可以依賴 Amazon 發行英文和其他廣泛使用語言的 BaseCoreSQL Express/Standard/Web/Enterprise 產品。Base 與 Core 項目的主要差異為 Base 項目具有桌面/GUI,而 Core 項目僅是 PowerShell 命令列。如需詳細資訊,請參閱 Microsoft 網站上的 Windows Server Core

  • 建立新的 AMI 產品以支援新平台 – 例如,建立深度學習和Nvidia AMIs 來支援使用我們 GPU 執行個體類型 (P2 和 P3, G3 等) 的客戶。

  • 有時會移除較不熱門的 AMI。如果我們看到特定 AMI 在其整個生命週期中僅啟動了幾次,我們將移除它以有利於更廣泛使用的選項。

如果您想要查看 AMI 變體,請開啟支援案例或提供意見回饋,讓我們知道。

修補程式、安全性更新和 AMI ID

Amazon AWSWindows AMIs會在 Microsoft 修補程式週二 (每個月的第二個週二) 的五個工作天內提供更新、完全修補。新的 AMI 會立即透過 Amazon EC2 主控台的 Images (映像) 頁面提供。新的 AMIs 可在發行後的幾天內於 AWS Marketplace 和啟動執行個體精靈的 Quick Start 索引標籤中使用。

注意

從 Windows Server 2019 年及更新版本 AMIs執行個體可能會顯示Windows更新對話方塊訊息,指出「某些設定由您的組織管理」。此訊息顯示為 Windows Server 2019 年變更的結果,不會影響Windows更新的行為或您管理更新設定的能力。

若要移除此警告,請參閱部分設定是由您的組織所管理

AWSWindows AMIs 會在發行後三個月內公開提供。在新 AMIs 發行後的 10 天內, 會 AWS 變更超過三個月AMIs 存取權,使其成為私有。

將 AMI AWS 設為私有後,您便無法再透過任何方法擷取它。在 主控台中,私有 AMI 的 AMI ID 欄位狀態為 Cannot load detail for ami-1234567890abcdef0. You may not be permitted to view it.

如果 AMI 已棄用,但尚未標記為私有,您仍然可以使用它。不過,我們建議您一律使用最新版本。

AWSWindows AMIs; 在每個版本中都有新的 AMI IDs。因此,我們建議您編寫指令碼, AWSWindows AMIs依其名稱尋找最新的 ,而不是依其 IDs。如需詳細資訊,請參閱下列範例: