67 lines
4.8 KiB
Markdown
67 lines
4.8 KiB
Markdown
---
|
||
title: "CTP Topic 26 Standard AMI – build, publish, share processes"
|
||
type: source
|
||
tags:
|
||
- AWS
|
||
- AMI
|
||
- Build-Process
|
||
- CTP
|
||
date: 2026-04-14
|
||
---
|
||
|
||
## Source File
|
||
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-26-standard-ami-build-publish-share-processes.md]]
|
||
|
||
## Summary(用中文描述)
|
||
- 核心主题:Foundation AMI(基础亚马逊机器镜像)的构建、加固与分发全生命周期管理
|
||
- 问题域:企业 AWS 云环境中如何标准化、安全化、可复用地管理 EC2 实例镜像
|
||
- 方法/机制:基于市场主流 OS(CentOS/Ubuntu/Windows)进行 CIS 安全基准加固,集成 McAfee EPO 防病毒 + Syslog-ng 日志管理 + AD 单点登录;使用 HashiCorp Packer + Jenkins 流水线实现镜像创建全自动化;通过跨账号共享(AMI Sharing)而非物理复制分发到全球多个区域(俄勒冈、法兰克福、悉尼等);遵循 N-2 版本保留策略,每两个月更新一次
|
||
- 结论/价值:CCOE 提供安全的基础镜像(Foundation AMI),产品团队在此之上构建自定义"产品特定 AMI",实现安全合规与灵活定制兼顾的责任共担模型
|
||
|
||
## Key Claims(用中文描述)
|
||
- CCOE 通过 HashiCorp Packer + Jenkins 构建自动化流水线,使镜像创建完全自动化
|
||
- Foundation AMI 集成 CIS 安全基准 + McAfee EPO 防病毒 + SSM Agent + SiteScope 监控,确保所有实例从启动起即符合 Micro Focus 安全合规标准
|
||
- AMI 通过跨账号共享(AMI Sharing)分发至全球多区域,而非物理复制(AMI Copying),避免额外存储成本
|
||
- Foundation AMI 每两个月更新一次,采用 N-2 版本保留策略
|
||
- 责任共担:CCOE 负责 Foundation AMI,产品团队负责在其之上构建产品特定 AMI
|
||
|
||
## Key Quotes
|
||
> "Foundation AMI 是基于市场主流操作系统(如 CentOS, Ubuntu, Windows 等)进行深度加固的镜像,集成了 CIS 安全基准、防病毒软件(McAfee EPO)、日志管理(Syslog-ng)以及单点登录(AD 集成)。" — Foundation AMI 定义与集成组件说明
|
||
|
||
> "镜像通过跨账号共享(Sharing)而非物理复制(Copying)的方式分发到全球多个区域(如俄勒冈、法兰克福、悉尼等)。" — AMI 分发机制说明
|
||
|
||
> "Foundation AMI 每两个月更新一次,遵循 N-2 的版本保留策略。" — AMI 更新与版本管理策略
|
||
|
||
> "CCOE 负责提供安全的基础镜像,而产品团队则被鼓励在 Foundation AMI 之上构建自定义的'产品特定 AMI',以满足各自应用的特殊需求,并负责其后续的生命周期管理。" — 责任共担模型说明
|
||
|
||
## Key Concepts
|
||
- [[Foundation AMI]]:经过安全加固、集成标准组件并预配置好的操作系统模板,是 Micro Focus 云环境的标准化基础镜像
|
||
- [[OS Hardening]]:操作系统加固,通过关闭不必要服务、优化内核参数和应用安全补丁来减少系统攻击面
|
||
- [[CIS Benchmarks]]:由互联网安全中心制定的安全配置基准,用于衡量镜像是否符合行业最佳安全实践
|
||
- [[HashiCorp Packer]]:开源工具,用于从单一源配置为多个云平台自动创建一致的机器镜像
|
||
- [[SSM Agent]]:AWS 系统管理器代理,用于实现实例的远程管理、自动化补丁更新和配置同步
|
||
- [[AMI Sharing]]:镜像共享机制,通过授权其他账号访问中央镜像,避免跨账号复制带来的额外存储成本
|
||
- [[Central Repository]]:中央仓库,用于统一存放和管理经过验证的官方镜像,确保分发源的唯一性
|
||
|
||
## Key Entities
|
||
- [[Srihari]]:本次会议主讲人之一
|
||
- [[Alan]]:本次会议主讲人之一
|
||
- [[Praveen]]:本次会议主讲人之一
|
||
- [[CCOE]](Cloud Center of Excellence):负责提供安全的基础镜像(Foundation AMI)
|
||
|
||
## Connections
|
||
- [[Foundation AMI]] ← uses ← [[HashiCorp Packer]] + [[Jenkins]]
|
||
- [[Foundation AMI]] ← extends ← [[CIS Benchmarks]](安全加固标准)
|
||
- [[Foundation AMI]] ← depends_on ← [[SSM Agent]](实例管理能力)
|
||
- [[AMI Sharing]] ← uses ← [[Central Repository]]
|
||
- [[ctp-topic-26-standard-ami-build-publish-share-processes]] ← extends ← [[ctp-topic-58-aws-ec2-image-builder]]
|
||
- [[Foundation AMI]] ← provides ← [[AMI Sharing]]
|
||
- [[Product-Specific AMI]] ← extends ← [[Foundation AMI]]
|
||
|
||
## Contradictions
|
||
- 与 [[ctp-topic-58-aws-ec2-image-builder]] 描述不同 AMI 生命周期阶段:
|
||
- 冲突点:ctp-topic-26 描述现有 Packer + Jenkins 自动化构建流程;ctp-topic-58 描述 EC2 Image Builder 作为替代方案
|
||
- 当前观点(ctp-topic-26):Packer + Jenkins 是当前生产级 AMI 构建标准
|
||
- 对方观点(ctp-topic-58):EC2 Image Builder 是 CCOE 加固脚本转换为可复用组件的未来演进方向
|
||
- 结论:非冲突,而是同一 AMI 生命周期管理在不同时期的技术选型——当前实践 vs 未来演进方向
|