Imagen de Envoy - AWS App Mesh
Variantes de imagen de Envoy

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Imagen de Envoy

importante

Aviso de fin de soporte: el 30 de septiembre de 2026, AWS suspenderemos el soporte para AWS App Mesh. Después del 30 de septiembre de 2026, ya no podrás acceder a la AWS App Mesh consola ni a AWS App Mesh los recursos. Para obtener más información, visita esta entrada de blog Migración desde AWS App Mesh a Amazon ECS Service Connect.

AWS App Mesh es una malla de servicios basada en el proxy de Envoy.

ECS Task/Kubernetes Pod with Proxy and Microservice Container communicating via ports 8080 and 8081.

Debes añadir un proxy de Envoy a la ECS tarea de Amazon, al pod de Kubernetes o a la EC2 instancia de Amazon representada por tu punto de conexión de App Mesh, como un nodo virtual o una puerta de enlace virtual. App Mesh vende una imagen de contenedor proxy de Envoy parcheada con las últimas actualizaciones de vulnerabilidad y rendimiento. App Mesh prueba cada nueva versión de proxy de Envoy comparándola con el conjunto de funciones App Mesh antes de poner a tu disposición una nueva imagen.

Variantes de imagen de Envoy

App Mesh ofrece dos variantes de la imagen del contenedor proxy de Envoy. La diferencia entre ambos es la forma en que el proxy de Envoy se comunica con el plano de datos de App Mesh y la forma en que los proxies de Envoy se comunican entre sí. Una es una imagen estándar, que se comunica con los puntos finales del servicio App Mesh estándar. La otra variante es FIPS compatible con -R, que se comunica con los puntos finales del FIPS servicio App Mesh y aplica la FIPS criptografía en la comunicación entre los servicios de TLS App Mesh.

Puede elegir una imagen regional de la lista siguiente o una imagen de nuestro repositorio público denominada aws-appmesh-envoy.

importante

  • A partir del 30 de junio de 2023, solo la imagen de Envoy v1.17.2.0-prod o una versión posterior será compatible con App Mesh. En el caso de los clientes actuales que hayan utilizado anteriormente una imagen de Envoyv1.17.2.0, aunque las imágenes de Envoys existentes seguirán siendo compatibles, recomendamos encarecidamente migrar a la versión más reciente.

  • Como práctica recomendada, se recomienda encarecidamente actualizar la versión de Envoy a la última versión de forma periódica. Solo se valida la versión más reciente de Envoy con los parches de seguridad, las versiones de funciones y las mejoras de rendimiento más recientes.

  • La versión 1.17 fue una actualización importante de Envoy. Consulte Actualización o migración a Envoy 1.17 para obtener más información.

  • La versión 1.20.0.1 o posterior es compatible con ARM64.

  • Para obtener asistencia para IPv6, se requiere la versión 1.20 o posterior de Envoy.

Todas las regiones son compatibles excepto me-south-1, ap-east-1, ap-southeast-3, eu-south-1, il-central-1 y af-south-1. Puedes reemplazar Region-code con cualquier región que no sea me-south-1 ap-east-1ap-southeast-3,eu-south-1,il-central-1, yaf-south-1.

Estándar

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatible

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
me-south-1

Estándar

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatible

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
ap-east-1

Estándar

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatible

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
ap-southeast-3

Estándar

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatible

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
eu-south-1

Estándar

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatible

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
il-central-1

Estándar

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatible

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
af-south-1

Estándar

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatible

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
Public repository

Estándar

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatible

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.9.0-prod-fips
nota

Recomendamos asignar 512 CPU unidades y al menos 64 MiB de memoria al contenedor Envoy. En Fargate, la cantidad mínima de memoria que puede establecer es de 1024 MiB. La asignación de recursos al contenedor de Envoy se puede aumentar si los datos del contenedor u otras métricas indican que los recursos son insuficientes debido a una carga mayor.

nota

Todas las versiones de lanzamiento de la imagen aws-appmesh-envoy a partir de la v1.22.0.0 están diseñadas como una imagen de Docker sin distribución. Hicimos este cambio para poder reducir el tamaño de la imagen y reducir nuestra exposición a las vulnerabilidades en los paquetes no utilizados presentes en la imagen. Si está creando sobre una aws-appmesh-envoy imagen y confía en algunos de los paquetes AL2 básicos (por ejemplo, yum) y funcionalidades, le sugerimos que copie los archivos binarios del interior de una aws-appmesh-envoy imagen para crear una nueva imagen de Docker con base. AL2

Ejecute este script para generar una imagen de Docker personalizada con la etiqueta aws-appmesh-envoy:v1.22.0.0-prod-al2:

cat << EOF > Dockerfile
FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy

FROM public.ecr.aws/amazonlinux/amazonlinux:2
RUN yum -y update && \
    yum clean all && \
    rm -rf /var/cache/yum

COPY --from=envoy /usr/bin/envoy /usr/bin/envoy
COPY --from=envoy /usr/bin/agent /usr/bin/agent
COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm

CMD [ "/usr/bin/agent" ]
EOF

docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .

El acceso a esta imagen de contenedor en Amazon ECR está controlado por AWS Identity and Access Management (IAM). Como resultado, debes usarlo IAM para verificar que tienes acceso de lectura a AmazonECR. Por ejemplo, cuando utilizas AmazonECS, puedes asignar una función de ejecución de tareas adecuada a una ECS tarea de Amazon. Si utilizas IAM políticas que limitan el acceso a ECR recursos de Amazon específicos, asegúrate de que permites el acceso al nombre de recurso de Amazon específico de la región (ARN) que identifica el aws-appmesh-envoy repositorio. Por ejemplo, en la región us-west-2, permite el acceso al siguiente recurso: arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy. Para obtener más información, consulta Amazon ECR Managed Policies. Si utilizas Docker en una EC2 instancia de Amazon, autentica Docker en el repositorio. Para obtener más información, consulte Autenticación del registro.

De vez en cuando lanzamos nuevas características de App Mesh que dependen de los cambios de Envoy que aún no se han fusionado con las imágenes originales de Envoy. Para usar estas nuevas características de App Mesh antes de que los cambios de Envoy se fusionen previamente, debe usar la imagen del contenedor de Envoy vendida por App Mesh. Para ver una lista de cambios, consulta la hoja de GitHubruta de App Mesh sobre los problemas con la Envoy Upstream etiqueta. Recomendamos que utilice la imagen del contenedor de App Mesh Envoy como la mejor opción compatible.