Golden image — tashkilot tomonidan tasdiqlangan, xavfsizlik va operatsion standartlarga mos machine yoki container image bazasidir. U OS patchlari, konfiguratsiya baseline’i, monitoring va security agentlarini oldindan birlashtiradi. Workloadlar nazoratdan o‘tgan shu asosdan yaratiladi.
Baseline tarkibi
Golden machine image odatda quyidagilarni o‘z ichiga oladi:
- qo‘llab-quvvatlanadigan OS va yangilanishlar;
- hardening sozlamalari;
- certificate trust store va vaqt sozlamasi;
- logging, metric va endpoint protection agentlari;
- cloud yoki virtualizatsiya driverlari;
- tashkilotning minimal user va permission siyosati.
Application secret, environment-specific IP va user data imagega kiritilmaydi. Ular runtime identity va secret manager orqali beriladi.
Pipeline
Image pipeline base source checksumini tekshiradi, scripted provisioning bajaradi, test va vulnerability scan’dan o‘tkazadi, so‘ng artifactni imzolaydi. Manual o‘zgarish emas, pipeline deklaratsiyasi authoritative manba bo‘ladi.
Build ephemeral workerda bajariladi. Credential faqat kerakli bosqichda vaqtincha berilib, disk tasvirida qolmasligi tekshiriladi. Capture oldidan unique machine ID, SSH host key, log va cache tozalanadi.
Tasdiqlash
Functional test image boot bo‘lishi, network va storage driver ishlashi, agentlar ro‘yxatdan o‘tishi va time sync mavjudligini tekshiradi. Security test port, service, file permission va hardening benchmarkni tekshiradi. Compliance natijasi image versiyasiga bog‘lanadi.
Scan “critical CVE yo‘q” siyosatiga tayanishi mumkin, ammo fix mavjud bo‘lmagan risk uchun muddati va owneri bo‘lgan exception kerak. Exception abadiy allowlistga aylanmaydi.
Versiyalash
Golden image immutable version oladi. ubuntu-golden-2026.07.15 kabi nom qulay, deployment esa aniq image ID yoki digestni pin qiladi. Mutable golden-latest channel discovery uchun ishlatilishi, lekin audit va rollback exact artifactga tayanishi mumkin.
Changelog OS package, agent va policy o‘zgarishini ko‘rsatadi. Semantic version har doim mos kelmasligi mumkin; build date va monotonic revision amaliy variantdir.
Yangilash va fleet rollout
Yangi image canary instance’larda sinovdan o‘tadi. Boot time, health check, application compatibility va resource sarfi oldingi versiya bilan taqqoslanadi. Keyin rolling yoki blue-green usulida fleet almashtiriladi.
Image catalog yangilanishi ishlayotgan serverni patch qilmaydi. Immutable infrastructure modelida eski instance tugatilib yangisi yaratiladi. Uzoq yashaydigan stateful serverlar uchun live patch va image replacement muvofiqlashtiriladi.
Drift
Instance ishga tushgach qo‘lda package va konfiguratsiya o‘zgarishi golden baseline’dan drift yaratadi. Configuration compliance agent image version va joriy holatni solishtiradi. Zarur emergency change pipeline kodiga qaytariladi.
Auto-scaling yangi instance’ni eski launch template’dan yaratmasligi uchun template image ID yangilanadi. Bir xil service ichida bir nechta image versiyasi uzoq qolsa xatti-harakat va patch darajasi notekis bo‘ladi.
Ta’minot zanjiri
Base OS repository, build tool, third-party agent va pipeline worker ta’minot zanjirining qismidir. Source image signature va package provenance tekshiriladi. SBOM image tarkibini ko‘rsatadi va yangi CVE chiqqanda qaysi versiyalar ta’sirlanganini aniqlaydi.
Publish huquqi tor rolga beriladi. Registry’da imzosiz yoki scan’dan o‘tmagan artifact production channelga ko‘chirilmaydi. Audit kim build, approve va promote qilganini saqlaydi.
Image retirement ham boshqariladi: yangi instance yaratish yopiladi, lekin rollback muddati tugamaguncha eski artifact va uning SBOMi saqlanadi. End-of-life sanasi yaqinlashganda egasiz workloadlar alohida aniqlanadi.
Bog‘liq tushunchalar
Machine image, Base image, Immutable infrastructure, Image pipeline, Hardening, SBOM, Configuration drift