Envoy 映像 - AWS 應用程式網格
Envoy 映像變體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Envoy 映像

重要

支援終止通知:2026 年 9 月 30 日 AWS 將停止對 的支援 AWS App Mesh。2026 年 9 月 30 日後,您將無法再存取 AWS App Mesh 主控台或 AWS App Mesh 資源。如需詳細資訊,請造訪此部落格文章,從 遷移 AWS App Mesh 至 Amazon ECS Service Connect

AWS App Mesh 是以 Envoy 代理為基礎的服務網格。

ECS Task/Kubernetes Pod with Proxy and Microservice Container communicating via ports 8080 and 8081.

您必須將 Envoy 代理新增至 App Mesh 端點代表的 Amazon ECS任務、Kubernetes Pod 或 Amazon EC2執行個體,例如虛擬節點或虛擬閘道。App Mesh 提供 Envoy 代理容器映像,該映像會修補最新的漏洞和效能更新。App Mesh 會根據 App Mesh 功能集測試每個新的 Envoy 代理版本,然後再為您提供新的映像。

Envoy 映像變體

App Mesh 提供兩種 Envoy 代理容器映像變體。兩者之間的差異在於 Envoy 代理如何與 App Mesh 資料平面通訊,以及 Envoy 代理如何彼此通訊。一個是與標準 App Mesh 服務端點通訊的標準映像。另一個變體符合 FIPS,它與 App Mesh FIPS服務端點通訊,並強制執行 App Mesh 服務之間TLS通訊的FIPS密碼編譯。

您可以從下列清單中選擇區域映像,或從我們名為 的公有儲存庫中選擇映像aws-appmesh-envoy

重要

  • 從 2023 年 6 月 30 日起,只有 Envoy 映像v1.17.2.0-prod或更新版本可與 App Mesh 搭配使用。對於在 之前使用 Envoy 映像的現有客戶v1.17.2.0,雖然現有 envoy 將繼續相容,但我們強烈建議遷移至最新版本。

  • 最佳實務是,強烈建議定期將 Envoy 版本升級至最新版本。只有最新的 Envoy 版本才能透過最新的安全修補程式、功能版本和效能改進進行驗證。

  • 版本 1.17 是 Envoy 的重大更新。如需詳細資訊,請參閱更新/遷移至 Envoy 1.17。

  • 版本 1.20.0.1或更新版本ARM64相容。

  • 如需IPv6支援,需要 Envoy 版本 1.20或更新版本。

除了 me-south-1ap-east-1、、ap-southeast-3eu-south-1il-central-1和 以外的所有支援區域af-south-1。您可以取代 Region-code 除了 me-south-1ap-east-1、、ap-southeast-3eu-south-1il-central-1和 以外的任何 區域af-south-1

標準

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS合規

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
me-south-1

標準

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS合規

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
ap-east-1

標準

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS合規

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
ap-southeast-3

標準

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS合規

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
eu-south-1

標準

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS合規

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
il-central-1

標準

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS合規

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
af-south-1

標準

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS合規

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
Public repository

標準

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.9.0-prod

FIPS合規

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.9.0-prod-fips
注意

我們建議將 512 個CPU單位和至少 64 MiB 的記憶體配置到 Envoy 容器。在 Fargate 上,您可以設定的最低記憶體量為 1024 MiB 的記憶體。如果容器洞察或其他指標指出由於負載較高而導致資源不足,則可以增加對 Envoy 容器的資源配置。

注意

從 開始的所有aws-appmesh-envoy映像版本v1.22.0.0都會建置為無可爭議的 Docker 映像。我們進行此變更,以便減少映像大小,並減少映像中未使用套件的漏洞暴露。如果您正在映像的 aws-appmesh-envoy頂端建置,且依賴某些AL2基本套件 (例如 yum) 和功能,建議您從aws-appmesh-envoy映像內部複製二進位檔案,以使用 AL2 base 建置新的 Docker 映像。

執行此指令碼以產生具有 標籤的自訂Docker 映像 aws-appmesh-envoy:v1.22.0.0-prod-al2:

cat << EOF > Dockerfile
FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy

FROM public.ecr.aws/amazonlinux/amazonlinux:2
RUN yum -y update && \
    yum clean all && \
    rm -rf /var/cache/yum

COPY --from=envoy /usr/bin/envoy /usr/bin/envoy
COPY --from=envoy /usr/bin/agent /usr/bin/agent
COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm

CMD [ "/usr/bin/agent" ]
EOF

docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .

在 Amazon 中存取此容器映像由 ECR AWS Identity and Access Management () 控制IAM。因此,您必須使用 IAM 來驗證您是否具有 Amazon 的讀取存取權ECR。例如,使用 Amazon 時ECS,您可以將適當的任務執行角色指派給 Amazon ECS任務。如果您使用限制存取特定 Amazon ECR 資源IAM的政策,請務必確認您允許存取可識別aws-appmesh-envoy儲存庫的區域特定 Amazon Resource Name (ARN)。例如,在 us-west-2區域中,您可以允許存取下列資源:arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy。如需詳細資訊,請參閱 Amazon ECR Managed Policy 。如果您是在 Amazon EC2執行個體上使用 Docker,請將 Docker 驗證至儲存庫。如需詳細資訊,請參閱登錄檔身分驗證

我們偶爾會發佈新的 App Mesh 功能,這些功能取決於尚未合併到上游 Envoy 映像的 Envoy 變更。若要在 Envoy 變更在上游合併之前使用這些新的 App Mesh 功能,您必須使用 App Mesh 版本 Envoy 容器映像。如需變更清單,請參閱標籤的應用程式網格 GitHub藍圖問題Envoy Upstream。我們建議您使用 App Mesh Envoy 容器映像作為最佳支援選項。