Imagem do Envoy - AWS App Mesh
Variantes de imagem do Envoy

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Imagem do Envoy

AWS App Mesh é uma malha de serviços baseada no proxy Envoy.

Você deve adicionar um proxy do Envoy à tarefa do Amazon ECS, ao pod do Kubernetes ou à instância do Amazon EC2 representada pelo seu endpoint do App Mesh, como um nó virtual ou gateway virtual. O App Mesh vende uma imagem de contêiner proxy Envoy que é corrigida com as atualizações mais recentes de vulnerabilidade e desempenho. O App Mesh testa cada nova versão do proxy Envoy em relação ao conjunto de recursos do App Mesh antes de disponibilizar uma nova imagem para você.

Variantes de imagem do Envoy

O App Mesh fornece duas variantes da imagem do contêiner proxy Envoy. As diferenças entre os dois são como o proxy Envoy se comunica com o plano de dados do App Mesh e como os proxies Envoy se comunicam entre si. Uma delas é uma imagem padrão, que se comunica com os endpoints padrão do serviço App Mesh. A outra variante é compatível com FIPS, que se comunica com os terminais do serviço FIPS do App Mesh e aplica a criptografia FIPS na comunicação TLS entre os serviços do App Mesh.

Você pode escolher uma imagem regional da lista abaixo ou uma imagem do nosso repositório público chamada aws-appmesh-envoy.

Importante

  • A partir de 30 de junho de 2023, somente a imagem Envoy v1.17.2.0-prod ou posterior é compatível para uso com o App Mesh. Para clientes atuais que usavam uma imagem do Envoy anteriormentev1.17.2.0, embora os envios existentes continuem sendo compatíveis, é altamente recomendável migrar para a versão mais recente.

  • Como prática recomendada, é altamente recomendável atualizar com frequência a versão do Envoy para a versão mais recente. Somente a versão mais recente do Envoy é validada com os patches de segurança, lançamentos de recursos e melhorias de desempenho mais recentes.

  • A versão 1.17 foi uma atualização significativa para o Envoy. Consulte Atualização/migração para o Envoy 1.17 para mais detalhes.

  • A versão 1.20.0.1 ou posterior é compatível com ARM64.

  • Para suporte ao IPv6, é necessária a versão 1.20 do Envoy ou posterior.

Todas as regiões suportadas, exceto me-south-1, ap-east-1, ap-southeast-3, eu-south-1, il-central-1 e af-south-1. Você pode substituir o Código de região por qualquer Região que não seja me-south-1, ap-east-1, ap-southeast-3, eu-south-1, il-central-1 e af-south-1.

Padrão

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod

Compatível com FIPS

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod-fips
me-south-1

Padrão

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod

Compatível com FIPS

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod-fips
ap-east-1

Padrão

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod

Compatível com FIPS

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod-fips
ap-southeast-3

Padrão

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod

Compatível com FIPS

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod-fips
eu-south-1

Padrão

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod

Compatível com FIPS

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod-fips
il-central-1

Padrão

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod

Compatível com FIPS

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod-fips
af-south-1

Padrão

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod

Compatível com FIPS

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.5.0-prod-fips
Public repository

Padrão

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.5.0-prod

Compatível com FIPS

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.5.0-prod-fips
nota

Recomendamos a alocação de 512 unidades de CPU e pelo menos 64 MiB de memória para o contêiner do Envoy. No Fargate, a menor quantidade de memória que você pode definir é 1024 MiB. A alocação de recursos para o contêiner do Envoy pode ser aumentada se os insights do contêiner ou outras métricas indicarem recursos insuficientes devido à maior carga.

nota

Todas as versões de lançamento de imagens do aws-appmesh-envoy a partir de v1.22.0.0 são criadas como uma imagem do Docker sem distribuição. Fizemos essa alteração para que pudéssemos reduzir o tamanho da imagem e reduzir nossa exposição à vulnerabilidade em pacotes não utilizados presentes na imagem. Se você está construindo com base na aws-appmesh-envoy imagem e está confiando em alguns dos pacotes básicos do AL2 (por exemplo, yum) e funcionalidades, sugerimos que você copie os binários de dentro de uma aws-appmesh-envoy imagem para criar uma nova imagem do Docker com base AL2.

Execute esse script para gerar uma imagem do docker personalizada com a tag aws-appmesh-envoy:v1.22.0.0-prod-al2:

cat << EOF > Dockerfile
FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy

FROM public.ecr.aws/amazonlinux/amazonlinux:2
RUN yum -y update && \
    yum clean all && \
    rm -rf /var/cache/yum

COPY --from=envoy /usr/bin/envoy /usr/bin/envoy
COPY --from=envoy /usr/bin/agent /usr/bin/agent
COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm

CMD [ "/usr/bin/agent" ]
EOF

docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .

O acesso a essa imagem de contêiner no Amazon ECR é controlado pelo AWS Identity and Access Management (IAM). Como resultado, você deve usar o IAM para verificar se você tem acesso de leitura ao Amazon ECR. Por exemplo, ao usar o Amazon ECS, você pode atribuir uma função apropriada de execução de tarefas a uma tarefa do Amazon ECS. Se você usa políticas do IAM que limitam o acesso a recursos específicos do Amazon ECR, certifique-se de verificar se você permite acesso ao nome do recurso da Amazon (ARN) específico da região que identifica o repositório aws-appmesh-envoy. Por exemplo, na região us-west-2, você permite acesso ao seguinte recurso: arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy. Para obter mais informações, consulte Políticas gerenciadas do Amazon ECR. Se você estiver usando o Docker em uma instância do Amazon EC2, autentique o Docker no repositório. Para obter mais informações, consulte Autenticação de registro.

Ocasionalmente, lançamos novos atributos do App Mesh que dependem das alterações do Envoy que ainda não foram mescladas às imagens upstream do Envoy. Para usar esses novos atributos do App Mesh antes que as alterações do Envoy sejam mescladas no upstream, você deve usar a imagem de contêiner do Envoy fornecida pelo App Mesh. Para ver uma lista de mudanças, consulte os problemas do GitHub roteiro do App Mesh com o Envoy Upstream rótulo. Recomendamos o uso da imagem do contêiner do App Mesh como a melhor opção compatível.