Развертывание AWS EC2 с использованием AMI
Я хотел спросить более опытных облачных пользователей, я думаю о развертывании своих приложений на машинах EC2 с использованием моментальных снимков AMI. Каждый новый выпуск — это новый снимок AMI, содержащий артефакты приложения, созданный из базового образа, каждый EC2 заменяется при развертывании.
Это плохая практика? Существуют ли возможные проблемы или уязвимости, которые могут возникнуть при использовании этого подхода? Я не вижу никаких недостатков, кроме длительного времени развертывания.
Создание нового образа AMI для развертывания является хорошей практикой с точки зрения безопасности. Однако он медленнее (как вы уже упоминали). Вы можете рассмотреть возможность использования таких инструментов, как Hashicorp Упаковщик для этого типа работы.
Если вы ищете «мнения», вы можете получить лучший ответ по адресу: reddit.com/r/aws.
Ответы 1
Это неплохая практика. В наши дни многие поставщики создают свои образы AMI и делятся ими со своими клиентами. Создание AMI не является сложной задачей, вы всегда можете запустить экземпляр из предыдущего AMI, обновить его и вызвать AWS API для создания нового AMI из экземпляра после его завершения.
Однако вы захотите автоматизировать связанные с этим задачи, поскольку было бы обременительно вручную обновлять код, обновлять изображение и устанавливать обновления безопасности, а также выполнять любую очистку, которая может вам понадобиться.
Развертывание — это отдельная история. Проблема в том, что ami-id теперь изменится, и вам нужен способ обновить ami-id для любого продукта, запускающего экземпляры. Вы можете пометить свои AMI и построить логику, чтобы всегда использовать тег и искать последний при выборе ami-id и т. д.
Использование золотых образов довольно стандартно, единственное, что нужно учитывать, это то, как вы создаете ami, и если у вас есть что-то, что может сломаться на коробке, например, агент jumpcloud linux сломается и потребует новой установки каждый раз, когда вы стоите это вверх и т.д...