Imagem do Envoy - AWS App Mesh
Variantes de imagem do Envoy

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Imagem do Envoy

Importante

Aviso de fim do suporte: em 30 de setembro de 2026, AWS o suporte para o. AWS App Mesh Depois de 30 de setembro de 2026, você não poderá mais acessar o AWS App Mesh console ou os AWS App Mesh recursos. Para obter mais informações, visite esta postagem no blog Migrando do AWS App Mesh Amazon ECS Service Connect.

AWS App Mesh é uma malha de serviços baseada no proxy Envoy.

ECS Task/Kubernetes Pod with Proxy and Microservice Container communicating via ports 8080 and 8081.

Você deve adicionar um proxy Envoy à ECS tarefa da Amazon, ao pod do Kubernetes ou à EC2 instância da Amazon representada pelo seu endpoint do App Mesh, como um nó virtual ou um gateway virtual. O App Mesh vende uma imagem de contêiner proxy Envoy que é corrigida com as atualizações mais recentes de vulnerabilidade e desempenho. O App Mesh testa cada nova versão do proxy Envoy em relação ao conjunto de recursos do App Mesh antes de disponibilizar uma nova imagem para você.

Variantes de imagem do Envoy

O App Mesh fornece duas variantes da imagem do contêiner proxy Envoy. As diferenças entre os dois são como o proxy Envoy se comunica com o plano de dados do App Mesh e como os proxies Envoy se comunicam entre si. Uma delas é uma imagem padrão, que se comunica com os endpoints padrão do serviço App Mesh. A outra variante é FIPS compatível, que se comunica com os endpoints do FIPS serviço App Mesh e impõe FIPS criptografia na comunicação entre TLS os serviços do App Mesh.

Você pode escolher uma imagem regional da lista abaixo ou uma imagem do nosso repositório público chamada aws-appmesh-envoy.

Importante

  • A partir de 30 de junho de 2023, somente a imagem Envoy v1.17.2.0-prod ou posterior é compatível para uso com o App Mesh. Para clientes atuais que usavam uma imagem do Envoy anteriormentev1.17.2.0, embora os envios existentes continuem sendo compatíveis, é altamente recomendável migrar para a versão mais recente.

  • Como prática recomendada, é altamente recomendável atualizar com frequência a versão do Envoy para a versão mais recente. Somente a versão mais recente do Envoy é validada com os patches de segurança, lançamentos de recursos e melhorias de desempenho mais recentes.

  • A versão 1.17 foi uma atualização significativa para o Envoy. Consulte Atualização/migração para o Envoy 1.17 para mais detalhes.

  • A versão 1.20.0.1 ou posterior é compatível com ARM64.

  • Para suporte ao IPv6, é necessária a versão 1.20 do Envoy ou posterior.

Todas as regiões suportadas, exceto me-south-1, ap-east-1, ap-southeast-3, eu-south-1, il-central-1 e af-south-1. Você pode substituir Region-code com qualquer região que não seja me-south-1 ap-east-1ap-southeast-3,eu-south-1,il-central-1,, af-south-1 e.

Padrão

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatível

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
me-south-1

Padrão

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatível

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
ap-east-1

Padrão

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatível

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
ap-southeast-3

Padrão

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatível

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
eu-south-1

Padrão

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatível

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
il-central-1

Padrão

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatível

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
af-south-1

Padrão

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatível

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
Public repository

Padrão

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.9.0-prod

FIPS-compatível

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.9.0-prod-fips
nota

Recomendamos alocar 512 CPU unidades e pelo menos 64 MiB de memória para o contêiner Envoy. No Fargate, a menor quantidade de memória que você pode definir é 1024 MiB. A alocação de recursos para o contêiner do Envoy pode ser aumentada se os insights do contêiner ou outras métricas indicarem recursos insuficientes devido à maior carga.

nota

Todas as versões de lançamento de imagens do aws-appmesh-envoy a partir de v1.22.0.0 são criadas como uma imagem do Docker sem distribuição. Fizemos essa alteração para que pudéssemos reduzir o tamanho da imagem e reduzir nossa exposição à vulnerabilidade em pacotes não utilizados presentes na imagem. Se você está construindo com AL2 base na aws-appmesh-envoy imagem e está confiando em alguns dos pacotes básicos (por exemplo, yum) e funcionalidades, sugerimos que você copie os binários de dentro de uma aws-appmesh-envoy imagem para criar uma nova imagem do Docker com base. AL2

Execute esse script para gerar uma imagem do docker personalizada com a tag aws-appmesh-envoy:v1.22.0.0-prod-al2:

cat << EOF > Dockerfile
FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy

FROM public.ecr.aws/amazonlinux/amazonlinux:2
RUN yum -y update && \
    yum clean all && \
    rm -rf /var/cache/yum

COPY --from=envoy /usr/bin/envoy /usr/bin/envoy
COPY --from=envoy /usr/bin/agent /usr/bin/agent
COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm

CMD [ "/usr/bin/agent" ]
EOF

docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .

O acesso a essa imagem de contêiner na Amazon ECR é controlado por AWS Identity and Access Management (IAM). Como resultado, você deve usar IAM para verificar se você tem acesso de leitura à AmazonECR. Por exemplo, ao usar a AmazonECS, você pode atribuir uma função apropriada de execução de tarefas a uma ECS tarefa da Amazon. Se você usa IAM políticas que limitam o acesso a ECR recursos específicos da Amazon, certifique-se de permitir o acesso ao Nome de recurso da Amazon específico da região (ARN) que identifica o aws-appmesh-envoy repositório. Por exemplo, na região us-west-2, você permite acesso ao seguinte recurso: arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy. Para obter mais informações, consulte Amazon ECR Managed Policies. Se você estiver usando o Docker em uma EC2 instância da Amazon, autentique o Docker no repositório. Para obter mais informações, consulte Autenticação de registro.

Ocasionalmente, lançamos novos atributos do App Mesh que dependem das alterações do Envoy que ainda não foram mescladas às imagens upstream do Envoy. Para usar esses novos atributos do App Mesh antes que as alterações do Envoy sejam mescladas no upstream, você deve usar a imagem de contêiner do Envoy fornecida pelo App Mesh. Para ver uma lista de mudanças, consulte os problemas do GitHub roteiro do App Mesh com o Envoy Upstream rótulo. Recomendamos o uso da imagem do contêiner do App Mesh como a melhor opção compatível.