本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 管理映像建置器基礎設施組態
您可以使用基礎設施組態來指定 Image Builder 用來建置和測試 EC2 Image Builder 映像的 Amazon EC2 EC2 基礎設施。基礎設施設定包括:
+ 建置和測試基礎設施的執行個體類型。我們建議您指定多個執行個體類型,因為這可讓 Image Builder 從具有足夠容量的集區啟動執行個體。這可以減少您的暫時性建置失敗。
對於 Mac 映像,您可能想要選擇原生支援 macOS 作業系統的執行個體類型。如需詳細資訊,請參閱[《Amazon EC2 使用者指南》中的 Amazon EC2 Mac 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html)。 *Amazon EC2 *
+ 執行個體置放設定,您可以在其中指定從映像啟動的執行個體應前往的主機、主機置放群組或可用區域。
+ 執行個體描述檔,為您的建置和測試執行個體提供執行自訂活動所需的許可。例如,如果您有一個從 Amazon S3 擷取資源的元件,執行個體描述檔需要存取這些檔案的許可。執行個體描述檔也需要一組最低的許可,EC2 Image Builder 才能成功與執行個體通訊。如需詳細資訊,請參閱[準備使用映像建置器建置自訂映像](set-up-ib-env.md)。
+ 管道建置和測試執行個體的 VPC、子網路和安全群組。
+ Image Builder 存放建置和測試應用程式日誌的 Amazon S3 位置。如果您設定記錄,基礎設施組態中指定的執行個體描述檔必須具有目標儲存貯體 () 的`s3:PutObject`許可`arn:aws:s3:::BucketName/*`。
+ Amazon EC2 金鑰對,可讓您登入執行個體,在建置失敗且`terminateInstanceOnFailure`設定為 時進行故障診斷`false`。
+ 映像建置器傳送事件通知的 SNS 主題。如需 Image Builder 如何與 Amazon SNS 整合的詳細資訊,請參閱 [Image Builder 中的 Amazon SNS 整合](integ-sns.md)。
**注意**
如果您的 SNS 主題已加密,加密此主題的金鑰必須位於 Image Builder 服務執行所在的帳戶中。Image Builder 無法將通知傳送至使用其他帳戶金鑰加密的 SNS 主題。
您可以使用 Image Builder 主控台、Image Builder API 或 中的 **imagebuilder** 命令來建立和管理基礎設施組態 AWS CLI。
**Topics**
+ [
# 列出和檢視基礎設施組態詳細資訊
](infra-config-details.md)
+ [
# 建立基礎架構組態
](create-infra-config.md)
+ [
# 更新基礎設施組態
](update-infra-config.md)
+ [
# 映像建置器和 AWS PrivateLink 界面 VPC 端點
](vpc-interface-endpoints.md)
**提示**
當您有多個相同類型的資源時,標記可協助您根據您指派給該資源的標籤來識別特定資源。如需在 中使用 Image Builder 命令標記資源的詳細資訊 AWS CLI,請參閱本指南的 [標籤資源](tag-resources.md)一節。
# 列出和檢視基礎設施組態詳細資訊
本節說明您可以尋找資訊和檢視 EC2 Image Builder 基礎設施組態詳細資訊的各種方式。
**Topics**
+ [
## 從 列出基礎設施組態 AWS CLI
](#cli-list-infrastructure-configurations)
+ [
## 從 取得基礎設施組態詳細資訊 AWS CLI
](#cli-get-infrastructure-configuration-details)
## 從 列出基礎設施組態 AWS CLI
下列範例示範如何使用 中的 **[list-infrastructure-configurations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/list-infrastructure-configurations.html)**命令列出所有基礎設施組態 AWS CLI。
```
aws imagebuilder list-infrastructure-configurations
```
## 從 取得基礎設施組態詳細資訊 AWS CLI
下列範例示範如何在 中使用 **[get-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/get-infrastructure-configuration.html)**命令 AWS CLI ,透過指定其 Amazon Resource Name (ARN) 來取得基礎設施組態的詳細資訊。
```
aws imagebuilder get-infrastructure-configuration --infrastructure-configuration-arn arn:aws:imagebuilder:us-west-2:123456789012:infrastructure-configuration/my-example-infrastructure-configuration
```
# 建立基礎架構組態
本節說明如何使用 中的 Image Builder 主控台或**imagebuilder**命令 AWS CLI 來建立基礎設施組態,
------
#### [ Console ]
若要從 Image Builder 主控台建立基礎設施組態資源,請遵循下列步驟:
1. 開啟 EC2 Image Builder 主控台,位於 [https://console.aws.amazon.com/imagebuilder/](https://console.aws.amazon.com/imagebuilder/)。
1. 從導覽窗格中,選擇**基礎設施組態**。
1. 選擇**建立基礎設施組態**。
1. 在**一般**區段中,輸入下列必要資訊:
+ 輸入基礎設施組態資源**的名稱**。
+ 針對建置和測試執行個體上的元件許可,選取要與執行個體描述檔建立關聯的 **IAM 角色**。Image Builder 使用這些許可來下載和執行元件、將日誌上傳至 CloudWatch,以及執行配方中元件指定的任何其他動作。
1. 在**AWS 基礎設施**面板中,您可以設定可用的其餘基礎設施設定。輸入下列必填資訊:
+ **執行個體類型** – 您可以指定要用於此建置的一或多個執行個體類型。服務會根據可用性挑選其中一個執行個體類型。
**注意**
Mac 執行個體在專用主機上的`.metal`執行個體類型上執行。您的執行個體類型必須符合其執行所在的主機所定義的其中一種類型。如需 Mac 執行個體的詳細資訊,以及原生支援 macOS 作業系統的執行個體類型清單,請參閱[《Amazon EC2 使用者指南》中的 Amazon EC2 Mac 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-mac-instances.html)。 *Amazon EC2 *
+ **SNS 主題 (選用)** – 選取 SNS 主題以接收來自 EC2 Image Builder 的通知和提醒。
如果您未提供下列設定的值,它們會在適用時使用服務特定的預設值。
+ **VPC、子網路和安全群組** – Image Builder 使用您的預設 VPC 和子網路。如需設定 VPC 介面端點的詳細資訊,請參閱 [映像建置器和 AWS PrivateLink 界面 VPC 端點](vpc-interface-endpoints.md)。
+ 在**疑難排解設定**區段中,您可以設定下列值:
+ 根據預設,會選取在**失敗時終止執行個體**核取方塊。不過,當組建失敗時,您可以登入 EC2 執行個體進行故障診斷。如果您希望執行個體在建置失敗後繼續執行,請清除核取方塊。
+ **金鑰對** – 如果您的 EC2 執行個體在建置失敗後繼續執行,您可以建立金鑰對,或使用現有的金鑰對登入執行個體並進行故障診斷。
+ **日誌** – 您可以指定 S3 儲存貯體,讓 Image Builder 撰寫應用程式日誌,以協助疑難排解您的建置和測試。如果您未指定 S3 儲存貯體,Image Builder 會將應用程式日誌寫入執行個體。
+ 在**執行個體中繼資料設定**區段中,您可以設定下列值,以套用至映像建置器用來建置和測試映像的 EC2 執行個體:
+ 選取**中繼資料版本**,以判斷 EC2 是否需要執行個體中繼資料擷取請求的簽章字符標頭。
+ **V1 和 V2 (金鑰選用)** – 如果您未選取任何項目,則為預設值。
+ **V2 (需要權杖)**
**注意**
我們建議您將映像建置器從管道建置啟動的所有 EC2 執行個體設定為使用 IMDSv2,以便執行個體中繼資料擷取請求需要簽章權杖標頭。
+ **中繼資料字符回應跳轉限制** – 中繼資料字符可以移動的網路跳轉數量。最小跳轉:1,最大跳轉:64,預設為一個跳轉。
+ 在**執行個體置放設定**區段中,您可以設定下列值,以套用至映像建置器用來建置和測試映像的 EC2 執行個體:
+ 您可以選取映像建置器在映像建立期間啟動執行個體的**可用區域**。
+ 選擇性地為執行您啟動之執行個體的伺服器選取**租用**。依預設,EC2 執行個體在共用的租用硬體上執行。這表示多個 AWS 帳戶 可能會共用相同的實體硬體。具有`dedicated`租用的執行個體會在單一租用戶硬體上執行。具有`host`租用的執行個體會在專用主機上執行。
Mac 執行個體需要建立為先決條件的專用主機,才能建置自訂映像。`host` 為您的 macOS 映像選取 。然後,您可以選取要啟動執行個體的目標主機或主機資源群組,但如果您的專用主機已啟用自動配置,則不需要。如需詳細資訊,請參閱《*Amazon EC2 使用者指南*》中的[自動置放](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/dedicated-hosts-understanding.html#dedicated-hosts-auto-placement)。
+ **租用主機 ID** – 執行個體執行所在的專用主機 ID。
+ **租用主機資源群組** – 要在其中啟動執行個體之主機資源群組的 Amazon Resource Name (ARN)。
1. 在**基礎設施標籤**區段 (選用) 中,您可以將中繼資料標籤指派給映像建置器在建置程序期間啟動的 Amazon EC2 執行個體。標籤會輸入為索引鍵值對。
1. 在**標籤**區段 (選用) 中,您可以將中繼資料標籤指派給 Image Builder 建立為輸出的基礎設施組態資源。標籤會輸入為索引鍵值對。
------
#### [ AWS CLI ]
下列程序說明如何使用 中的映像建置器**[create-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/create-infrastructure-configuration.html)**命令來設定映像的基礎設施 AWS CLI。步驟 2 中的 命令會採用您在步驟 1 中建立的 檔案。對於這些範例,步驟 1 的檔案稱為 `create-infrastructure-configuration.json`。
1.
**建立 CLI 輸入 JSON 文件**
下列範例顯示您可能為基礎設施組態建立的 JSON 檔案變化。使用檔案編輯工具建立您自己的 JSON 檔案。
**範例 1:從失敗的建置保留執行個體的組態**
此範例會指定兩種執行個體類型 `m5.large`和 `m5.xlarge`。我們建議您指定多個執行個體類型,因為這可讓 Image Builder 從具有足夠容量的集區啟動執行個體。這可以減少您的暫時性建置失敗。
`instanceProfileName` 指定執行個體描述檔,為執行個體提供執行自訂活動所需的許可。例如,如果您有一個從 Amazon S3 擷取資源的元件,執行個體描述檔需要存取這些檔案的許可。執行個體描述檔也需要一組最低的許可,EC2 Image Builder 才能成功與執行個體通訊。如需詳細資訊,請參閱[準備使用映像建置器建置自訂映像](set-up-ib-env.md)。
```
{
"name": "ExampleInfraConfigDontTerminate",
"description": "An example that will retain instances of failed builds",
"instanceTypes": [
"m5.large", "m5.xlarge"
],
"instanceProfileName": "myIAMInstanceProfileName",
"securityGroupIds": [
"sg-12345678"
],
"subnetId": "sub-12345678",
"logging": {
"s3Logs": {
"s3BucketName": "my-logging-bucket",
"s3KeyPrefix": "my-path"
}
},
"keyPair": "myKeyPairName",
"terminateInstanceOnFailure": false,
"snsTopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic"
}
```
**範例 2:具有自動配置的 macOS 組態**
此範例指定專用主機已啟用自動置放的 Mac 執行個體的執行個體類型和置放。
```
{
"name": "macOSInfraConfigAutoPlacement",
"description": "An example infrastructure configuration for macOS.",
"instanceProfileName": "EC2InstanceProfileForImageBuilder",
"instanceTypes": ["mac1.metal, mac2.metal"],
"terminateInstanceOnFailure": false,
"placement": {
"tenancy": "host"
}
}
```
**範例 3:指定主機 ID 的 macOS 組態**
此範例指定以特定專用主機為目標之 Mac 執行個體的執行個體類型和放置位置。
```
{
"name": "macOSInfraConfigHostPlacement",
"description": "An example infrastructure configuration for macOS.",
"instanceProfileName": "EC2InstanceProfileForImageBuilder",
"instanceTypes": ["mac2-m1ultra.metal"],
"terminateInstanceOnFailure": false,
"placement": {
"tenancy": "host",
"hostId" : "h-1234567890abcdef0"
}
}
```
1.
**當您執行下列命令時,請使用您建立的檔案做為輸入。**
```
aws imagebuilder create-infrastructure-configuration --cli-input-json file://create-infrastructure-configuration.json
```
------
# 更新基礎設施組態
本節說明如何使用 中的映像建置器主控台或**imagebuilder**命令 AWS CLI 來更新基礎設施組態資源。若要追蹤您的 資源,您可以套用標籤,如下所示。標籤會輸入為索引鍵值對。
+ *資源標籤*會將中繼資料標籤指派給映像建置器在建置程序期間啟動的 Amazon EC2 執行個體。
+ *標籤*會將中繼資料標籤指派給 Image Builder 建立為輸出的基礎設施組態資源。
------
#### [ Console ]
您可以從 Image Builder 主控台編輯下列基礎設施組態詳細資訊:
+ 基礎設施組態的**描述**。
+ 要與執行個體描述檔建立關聯的 **IAM 角色**。
+ **AWS 基礎設施**,包括**執行個體類型**和通知的 **SNS 主題**。
+ **VPC、子網路和安全群組**。
+ **故障診斷設定**,包括**故障時終止執行個體**、用於連線的**金鑰對**,以及執行個體日誌的選用 S3 儲存貯體位置。
若要從 Image Builder 主控台更新基礎設施組態資源,請遵循下列步驟:
**選擇現有的映像建置器基礎設施組態**
1. 開啟 EC2 Image Builder 主控台,位於 [https://console.aws.amazon.com/imagebuilder/](https://console.aws.amazon.com/imagebuilder/)。
1. 若要查看您帳戶下的基礎設施組態資源清單,請從導覽窗格中選擇**基礎設施組態**。
1. 若要檢視詳細資訊或編輯基礎設施組態,請選擇**組態名稱**連結。這會開啟基礎設施組態的詳細資訊檢視。
**注意**
您也可以選取**組態名稱**旁的核取方塊,然後選擇**檢視詳細資訊**。
1. 從**基礎設施詳細資訊**面板的右上角,選擇**編輯** 。
1. 當您準備好儲存對基礎設施組態所做的更新時,請選擇**儲存變更**。
------
#### [ AWS CLI ]
下列範例顯示如何使用 中的 Image Builder **[update-infrastructure-configuration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/imagebuilder/update-infrastructure-configuration.html)**命令來更新映像的基礎設施組態 AWS CLI。
1.
**建立 CLI 輸入 JSON 文件**
此基礎設施組態範例使用與建立範例相同的設定,除了我們已將`terminateInstanceOnFailure`設定更新為 `false`。執行 **update-infrastructure-configuration**命令後,使用此基礎設施組態的管道會在建置失敗時終止建置和測試執行個體。
使用檔案編輯工具建立 JSON 檔案,其中包含下列範例中顯示的索引鍵,以及適用於您環境的值。此範例使用名為 `update-infrastructure-configuration.json` 的檔案:
```
{
"infrastructureConfigurationArn": "arn:aws:imagebuilder:us-west-2:123456789012:infrastructure-configuration/my-example-infrastructure-configuration",
"description": "An example that will terminate instances of failed builds",
"instanceTypes": [
"m5.large", "m5.2xlarge"
],
"instanceProfileName": "myIAMInstanceProfileName",
"securityGroupIds": [
"sg-12345678"
],
"subnetId": "sub-12345678",
"logging": {
"s3Logs": {
"s3BucketName": "my-logging-bucket",
"s3KeyPrefix": "my-path"
}
},
"terminateInstanceOnFailure": true,
"snsTopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic"
}
```
1.
**當您執行下列命令時,請使用您建立的檔案做為輸入。**
```
aws imagebuilder update-infrastructure-configuration --cli-input-json file://update-infrastructure-configuration.json
```
------
# 映像建置器和 AWS PrivateLink 界面 VPC 端點
您可以建立介面 VPC *端點*,在 VPC 和 EC2 Image Builder 之間建立私有連線。介面端點採用 [AWS PrivateLink](https://aws.amazon.com/privatelink/)技術,可讓您在沒有網際網路閘道、NAT 裝置、VPN 連線或 Direct Connect 連線的情況下,私下存取映像建置器 APIs。VPC 中的執行個體不需要公有 IP 地址,即可與映像建置器 APIs通訊。VPC 和映像建置器之間的流量不會離開 Amazon 網路。
每個介面端點都是由您子網路中的一或多個[彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。建立新映像時,您可以在基礎設施組態中指定 VPC 子網路 ID。
**注意**
您從 VPC 內存取的每個服務都有自己的界面端點,以及自己的端點政策。Image Builder 會下載 AWS TOE 元件管理員應用程式,並從 S3 儲存貯體存取受管資源以建立自訂映像。若要授予這些儲存貯體的存取權,您必須更新 S3 端點政策以允許它。如需詳細資訊,請參閱[S3 儲存貯體存取的自訂政策](#vpc-endpoint-policy-s3)。
如需 VPC 端點的詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[介面 VPC 端點 (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
## 映像建置器 VPC 端點的考量事項
在為映像建置器設定介面 VPC 端點之前,請務必檢閱《*Amazon VPC 使用者指南*》中的[介面端點屬性和限制](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#vpce-interface-limitations)。
Image Builder 支援從您的 VPC 呼叫其所有 API 動作。
## 為映像建置器建立介面 VPC 端點
若要為 Image Builder 服務建立 VPC 端點,您可以使用 Amazon VPC 主控台或 AWS Command Line Interface (AWS CLI)。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[建立介面端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint)。
使用下列服務名稱為映像建置器建立 VPC 端點:
+ com.amazonaws.*region*.imagebuilder
如果您為端點啟用私有 DNS,則可以使用區域的預設 DNS 名稱向 Image Builder 提出 API 請求,例如:`imagebuilder.us-east-1.amazonaws.com`。若要查詢適用於目標區域的端點,請參閱 中的 [EC2 Image Builder 端點和配額](https://docs.aws.amazon.com/general/latest/gr/imagebuilder.html#imagebuilder_region)*Amazon Web Services 一般參考*。
如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[透過介面端點存取服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#access-service-though-endpoint)。
## 為映像建置器建立 VPC 端點政策
您可以將端點政策連接至 VPC 端點,以控制對 Image Builder 的存取。此政策會指定下列資訊:
+ 可執行動作的主體。
+ 可執行的動作。
+ 可供執行動作的資源。
如果您在配方中使用 Amazon 受管元件,Image Builder 的 VPC 端點必須允許存取下列服務擁有的元件程式庫:
`arn:aws:imagebuilder:region:aws:component/*`
**重要**
當非預設政策套用到 EC2 Image Builder 的介面 VPC 端點時,某些失敗的 API 請求`RequestLimitExceeded`可能不會記錄到 AWS CloudTrail 或 Amazon CloudWatch。
如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
### S3 儲存貯體存取的自訂政策
Image Builder 使用公開可用的 S3 儲存貯體來存放和存取受管資源,例如元件。它也會從單獨的 S3 儲存貯體下載 AWS TOE 元件管理應用程式。如果您在環境中為 Amazon S3 使用 VPC 端點,則需要確保您的 S3 VPC 端點政策允許 Image Builder 存取下列 S3 儲存貯體。每個 AWS 區域 (*區域*) 和應用程式環境 (*環境*) 的儲存貯體名稱都是唯一的。Image Builder 和 AWS TOE 支援下列應用程式環境:`prod`、 `preprod`和 `beta`。
+ AWS TOE 元件管理員儲存貯體:
```
s3://ec2imagebuilder-toe-region-environment
```
**範例:**s3://ec2imagebuilder-toe-us-west-2-prod/\$1
+ Image Builder 受管資源儲存貯體:
```
s3://ec2imagebuilder-managed-resources-region-environment/components
```
**範例:**s3://ec2imagebuilder-managed-resources-us-west-2-prod/components/\$1
### VPC 端點政策範例
本節包含自訂 VPC 端點政策的範例。
**Image Builder 動作的一般 VPC 端點政策**
下列 Image Builder 的端點政策範例拒絕刪除 Image Builder 映像和元件的許可。此範例政策也會授予執行所有其他 EC2 Image Builder 動作的許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "imagebuilder:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "imagebuilder:DeleteImage",
"Effect": "Deny",
"Resource": "*"
},
{
"Action": "imagebuilder:DeleteComponent",
"Effect": "Deny",
"Resource": "*"
}
]
}
```
------
**依組織限制存取,允許受管元件存取**
下列範例端點政策說明如何限制對屬於您組織的身分和資源的存取,並提供對 Amazon 受管映像建置器元件的存取。將 *region*、 *principal-org-id* 和 *resource-org-id* 取代為您組織的值。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "principal-org-id",
"aws:ResourceOrgID": "resource-org-id"
}
}
},
{
"Sid": "AllowAccessToEC2ImageBuilderComponents",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"imagebuilder:GetComponent"
],
"Resource": [
"arn:aws:imagebuilder:us-east-1:aws:component/*"
]
}
]
}
```
------
**Amazon S3 儲存貯體存取的 VPC 端點政策**
下列 S3 端點政策範例示範如何提供存取 Image Builder 用來建置自訂映像的 S3 儲存貯體。將*區域*和*環境*取代為您組織的值。根據您的應用程式需求,將任何其他必要的許可新增至政策。
**注意**
對於 Linux 映像,如果您未在映像配方中指定使用者資料,Image Builder 會新增指令碼,以在映像的建置和測試執行個體上下載並安裝 Systems Manager 代理程式。若要下載代理程式,Image Builder 會存取您建置區域的 S3 儲存貯體。
為了確保 Image Builder 可以引導建置和測試執行個體,請將下列其他資源新增至 S3 端點政策:
"`arn:aws:s3:::amazon-ssm-region/*`"
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowImageBuilderAccessToAppAndComponentBuckets",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::ec2imagebuilder-toe-region-environment/*",
"arn:aws:s3:::ec2imagebuilder-managed-resources-region-environment/components/*"
]
}
]
}
```
------