什么是黄金镜像？

在媒体制作领域，黄金镜像是指专辑或电影在完成所有编辑和混音后的最终剪辑版。它是最终的，最完美的成果，因此得名"黄金"。

系统管理后来借用了这个含义。在系统管理中，黄金镜像指特意配置的系统（或服务器、虚拟桌面环境甚至磁盘驱动器）快照，可用于部署新实例。由于这种黄金镜像（golden image/gold image）用于网络虚拟化以创建新系统，因此也称为主镜像或克隆镜像。还有一个比较流行的术语，叫基线镜像，这个名字可以说明黄金镜像为什么很有用：它们可以为系统配置创建一致且可靠的基线，使这些系统在其整个生命周期中的维护变得更加容易。

黄金镜像的概念始于虚拟机，而虚拟机本身是由模板专门配置并启动的。对虚拟环境而言，黄金镜像有两大好处：便利性和一致性。使用预定义的模板镜像的话，管理员就能用清楚且已知的配置，对系统进行一致的部署。

从本质上来说，云计算就是大规模的虚拟环境；两者的底层概念和技术非常相似，而区别只在于硬件管理和用户体验。云计算的一大区别就在于量，因为实例可以快速部署、更改或删除，并且不受资源消耗或访问的限制。

随着云计算的发展，黄金镜像成了重要的 IT 管理工具，能够帮助管理员在保持一致性的同时迅速部署大量实例来进行扩展。

云计算增加了基础架构的复杂性；而整个系统（实际为标准操作环境，也称为 SOE）如果保持一致，就能让管理员轻松执行大规模的常见管理任务，例如修补系统、升级软件包，甚至授予用户访问所需服务的权限。

在环境中使用黄金镜像对于系统生命周期的每个阶段都有好处。

• 部署更快：使用黄金镜像可帮助您在云环境中更快部署，既可通过脚本和自动化进行，也可在临时实例中进行。
• 人为错误更少：根据 IBM 网络安全情报指数，95%的系统入侵是由人为错误引起的，例如配置错误、系统未修补或访问控制不良。使用预定义且经过测试的模板可降低由于人为错误而导致系统易受攻击的风险。
• 补丁管理和升级更迅速：使用定义的模板有助于提高可见性和监控能力，因为可以快速查看哪些系统需要修补或更新的软件包，或者哪些系统受到安全漏洞的影响。此外，定义的模板还允许有效使用自动化，因此不必单独更新每个系统，也避免了丢失或错误配置系统的风险。
• 维护配置。有许多人知道"配置漂移"这个概念，但它仍然存在诸多困惑。"漂移"意味着系统发生了偏离理想基线的变化，比如添加或修改应用、更改安全设置，或是更改了数据中心和恢复系统之间的系统配置。如果没有基线，我们就很难确定系统是何时或如何被修改的，这对于维护监管和行业标准的合规体系至关重要。使用基线意味着您可以监控系统的漂移（您可以通过红帽® 智能分析对红帽® 企业 Linux® 和红帽 OpenShift® 系统进行监控）。

安全防护不是参数设置，好的安全防护是一种实践。它是众多不同的管理和流程加起来的成果。您可以将自己的特定安全要求和实践整合到基线镜像中，即使在不同的云环境和不同的足迹中，也能维持您的安全态势。

与媒体制作不同，IT 系统永远谈不上"大功告成"。良好的 IT 实践需要持续维护系统的整个生命周期，而黄金镜像则需要维护镜像目录以及使用模板部署的系统。

• 使用单独的虚拟环境来创建新镜像。使用红帽企业 Linux 镜像构建器等工具创建新的基础镜像时，由于系统具有特定的安全要求，强烈建议使用专用虚拟机。 
• 考虑在系统配置中设置角色、群组和服务。云部署的一大难题不是部署新实例，而是向正确的用户和服务授予访问新实例的权限。使用系统安全配置完成所需群组和角色的部署过程，从而使整个身份验证/授权过程更加精简。
• 发布前测试。制定适当的 QA 流程来测试配置（尤其是围绕应用和安全性的配置）是否满足您的要求。性能测试，根据要使用的特定云环境对软件包进行优化。
• 发布新软件包后更新镜像。使用镜像构建器等工具创建新镜像或编辑镜像会很轻松。要维护镜像的安全性和功能，每当有新版本的软件包，就应及时更新镜像。
• 监控已部署的系统。红帽智能分析等服务可帮助您了解整个基础架构，使用一组基线镜像可以更轻松地识别易受攻击的系统、创建自动化 playbook 并在系统内跟踪漂移。
• 设置好停用镜像和系统的流程。创建明确的策略，规定如何更新和弃用目录中的镜像，以及如何在镜像发生变更和停用时管理系统。
• 为特定目的制作镜像。确定您在环境中使用的不同配置文件，并根据不同目的创建特定的基线镜像。不建议使用通用镜像，因为使用自定义镜像可以帮助满足性能或安全性方面的要求。

如果您想构建自己的镜像，红帽企业 Linux 有一款名为镜像构建器的工具，该工具既可在本地运行，也可作为托管服务通过红帽混合云控制台运行。镜像构建器将创建自定义镜像的过程分解为若干个简单步骤，您可以在构建器中选择软件包、设置配置，然后根据特定云环境优化基础操作系统。

红帽还有一个名为 云接入（Cloud Access） 的计划，允许企业使用公共云提供商的订阅服务。在云接入计划中，红帽为 Amazon Web Services（AWS）、微软 Azure 和 Google 云创建了经过认证的预构建镜像，可用于红帽所有的主要产品，包括红帽企业 Linux、中间件和存储解决方案。

红帽甚至将经过优化、符合 OCI 标准的容器镜像作为自身通用基础镜像目录的一部分。