如何实现重新烘焙 AMI 的一致性

Question

我想知道烘焙 AMI 的最佳方法是什么。尽管它提供了很多一致性，但当您需要重新烘焙 AMI 时，由于小的安全更新或新的包版本，很难达到一定程度的一致性，因为您很可能最终会更新您不使用的其他包不需要更新，这可能会导致某些事情发生故障。

到目前为止，我正在烘焙我的所有软件包安装，包括 docker 和拉取基本映像（例如 Ubuntu）。

我知道当您执行 apt-get install 或其 cfn-init 等效项时，可以准确指定您需要的软件包版本，但如果它不再受支持怎么办？我应该将我的包裹放在 S3 存储桶中吗？但是那么所有的依赖项呢？是否有任何简单的方法可以从 s3 进行 apt-get install 而不是转到 3rd 方 repo？

Answer 1

我刚刚回答了一个类似的问题，即将资源烘焙到 AMI 与使用 Chef、Puppet 等配置管理工具。

简短的回答是尝试不要将软件烘焙到 AMI 中，而是使用可重复的“食谱”（厨师术语）在基础映像之上构建。

至于要安装的特定版本的软件包，您当然可以将软件依赖项固定到特定版本。如果您没有对它们做任何特别的事情，我强烈建议您尽可能使用本机包管理器。至于不再可用的软件包，Ubuntu LTS 希望这不是什么大问题。

请参阅full answer here。