nexus/wiki/sources/ctp-topic-26-standard-ami-build-publish-share-processes.md

title, type, tags, date

title	type	tags	date
CTP Topic 26 Standard AMI – build, publish, share processes	source	AWS AMI Build-Process CTP	2026-04-14

Source File

• raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-26-standard-ami-build-publish-share-processes.md

Summary（用中文描述）

• 核心主题：Foundation AMI（基础亚马逊机器镜像）的构建、加固与分发全生命周期管理
• 问题域：企业 AWS 云环境中如何标准化、安全化、可复用地管理 EC2 实例镜像
• 方法/机制：基于市场主流 OS（CentOS/Ubuntu/Windows）进行 CIS 安全基准加固，集成 McAfee EPO 防病毒 + Syslog-ng 日志管理 + AD 单点登录；使用 HashiCorp Packer + Jenkins 流水线实现镜像创建全自动化；通过跨账号共享（AMI Sharing）而非物理复制分发到全球多个区域（俄勒冈、法兰克福、悉尼等）；遵循 N-2 版本保留策略，每两个月更新一次
• 结论/价值：CCOE 提供安全的基础镜像（Foundation AMI），产品团队在此之上构建自定义"产品特定 AMI"，实现安全合规与灵活定制兼顾的责任共担模型

Key Claims（用中文描述）

• CCOE 通过 HashiCorp Packer + Jenkins 构建自动化流水线，使镜像创建完全自动化
• Foundation AMI 集成 CIS 安全基准 + McAfee EPO 防病毒 + SSM Agent + SiteScope 监控，确保所有实例从启动起即符合 Micro Focus 安全合规标准
• AMI 通过跨账号共享（AMI Sharing）分发至全球多区域，而非物理复制（AMI Copying），避免额外存储成本
• Foundation AMI 每两个月更新一次，采用 N-2 版本保留策略
• 责任共担：CCOE 负责 Foundation AMI，产品团队负责在其之上构建产品特定 AMI

Key Quotes

"Foundation AMI 是基于市场主流操作系统（如 CentOS, Ubuntu, Windows 等）进行深度加固的镜像，集成了 CIS 安全基准、防病毒软件（McAfee EPO）、日志管理（Syslog-ng）以及单点登录（AD 集成）。" — Foundation AMI 定义与集成组件说明

"镜像通过跨账号共享（Sharing）而非物理复制（Copying）的方式分发到全球多个区域（如俄勒冈、法兰克福、悉尼等）。" — AMI 分发机制说明

"Foundation AMI 每两个月更新一次，遵循 N-2 的版本保留策略。" — AMI 更新与版本管理策略

"CCOE 负责提供安全的基础镜像，而产品团队则被鼓励在 Foundation AMI 之上构建自定义的'产品特定 AMI'，以满足各自应用的特殊需求，并负责其后续的生命周期管理。" — 责任共担模型说明

Key Concepts

• Foundation-AMI：经过安全加固、集成标准组件并预配置好的操作系统模板，是 Micro Focus 云环境的标准化基础镜像
• OS-Hardening：操作系统加固，通过关闭不必要服务、优化内核参数和应用安全补丁来减少系统攻击面
• CIS-Benchmark：由互联网安全中心制定的安全配置基准，用于衡量镜像是否符合行业最佳安全实践
• HashiCorp：开源基础设施自动化工具公司，HashiCorp 出品的 Packer 用于镜像构建自动化（本来源中称 HashiCorp Packer）
• AWS-SSM：AWS 系统管理器代理，用于实现实例的远程管理、自动化补丁更新和配置同步
• AMI-Sharing：镜像共享机制，通过授权其他账号访问中央镜像，避免跨账号复制带来的额外存储成本
• Central Repository：中央仓库，用于统一存放和管理经过验证的官方镜像，确保分发源的唯一性

Key Entities

• CCOE（Cloud Center of Excellence）：负责提供安全的基础镜像（Foundation AMI）

Connections

• Foundation-AMI ← uses ← HashiCorp Packer + Jenkins
• Foundation-AMI ← extends ← CIS-Benchmark（安全加固标准）
• Foundation-AMI ← depends_on ← AWS-SSM（实例管理能力）
• AMI-Sharing ← uses ← Central Repository
• ctp-topic-26-standard-ami-build-publish-share-processes ← extends ← ctp-topic-58-aws-ec2-image-builder
• Foundation-AMI ← provides ← AMI-Sharing
• Product-Specific AMI ← extends ← Foundation-AMI

Contradictions

• 与 ctp-topic-58-aws-ec2-image-builder 描述不同 AMI 生命周期阶段：
  • 冲突点：ctp-topic-26 描述现有 Packer + Jenkins 自动化构建流程；ctp-topic-58 描述 EC2 Image Builder 作为替代方案
  • 当前观点（ctp-topic-26）：Packer + Jenkins 是当前生产级 AMI 构建标准
  • 对方观点（ctp-topic-58）：EC2 Image Builder 是 CCOE 加固脚本转换为可复用组件的未来演进方向
  • 结论：非冲突，而是同一 AMI 生命周期管理在不同时期的技术选型——当前实践 vs 未来演进方向