Bild des Gesandten - AWS App Mesh

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bild des Gesandten

AWS App Mesh ist ein Service Mesh, das auf dem Envoy-Proxy basiert.

ECS Task/Kubernetes Pod with Proxy and Microservice Container communicating via ports 8080 and 8081.

Sie müssen der ECS Amazon-Aufgabe, dem Kubernetes-Pod oder der EC2 Amazon-Instance, die durch Ihren App Mesh Mesh-Endpunkt repräsentiert wird, einen Envoy-Proxy hinzufügen, z. B. einen virtuellen Knoten oder ein virtuelles Gateway. App Mesh verkauft ein Envoy-Proxy-Container-Image, das mit den neuesten Sicherheitslücken- und Leistungsupdates gepatcht ist. App Mesh testet jede neue Envoy-Proxy-Version anhand des App Mesh Mesh-Funktionsumfangs, bevor Ihnen ein neues Image zur Verfügung gestellt wird.

Envoy-Bildvarianten

App Mesh bietet zwei Varianten des Envoy-Proxy-Container-Images. Der Unterschied zwischen den beiden besteht darin, wie der Envoy-Proxy mit der App Mesh Mesh-Datenebene kommuniziert und wie die Envoy-Proxys miteinander kommunizieren. Eines ist ein Standard-Image, das mit den Standard-App Mesh-Dienstendpunkten kommuniziert. Die andere Variante ist FIPS -konform, sie kommuniziert mit den Endpunkten des App Mesh FIPS Mesh-Dienstes und erzwingt FIPS Kryptografie bei der TLS Kommunikation zwischen App Mesh Mesh-Diensten.

Sie können entweder ein regionales Bild aus der folgenden Liste oder ein Bild aus unserem öffentlichen Repository mit dem Namen auswählen. aws-appmesh-envoy

Wichtig
  • Ab dem 30. Juni 2023 ist nur Envoy Image v1.17.2.0-prod oder höher für die Verwendung mit App Mesh kompatibel. Für aktuelle Kunden, die bereits ein Envoy-Image verwendet habenv1.17.2.0, empfehlen wir dringend, auf die neueste Version zu migrieren, obwohl bestehende Envoys weiterhin kompatibel sein werden.

  • Als bewährte Methode wird dringend empfohlen, die Envoy-Version regelmäßig auf die neueste Version zu aktualisieren. Nur die neueste Envoy-Version wird mit den neuesten Sicherheitspatches, Feature-Releases und Leistungsverbesserungen validiert.

  • Die Version 1.17 war ein wichtiges Update für Envoy. Weitere Informationen finden Sie unter Aktualisierung/Migration auf Envoy 1.17.

  • Version oder höher 1.20.0.1 ist kompatibel. ARM64

  • Für den IPv6 Support ist die Envoy-Version 1.20 oder höher erforderlich.

Alle unterstützten Regionen außerme-south-1,ap-east-1,ap-southeast-3, eu-south-1il-central-1, undaf-south-1. Sie können ersetzen Region-code mit einer anderen Region als me-south-1ap-east-1,ap-southeast-3,eu-south-1,il-central-1, undaf-south-1.

Standard

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod

FIPS-konform

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod-fips
me-south-1

Standard

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod

FIPS-konform

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod-fips
ap-east-1

Standard

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod

FIPS-konform

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod-fips
ap-southeast-3

Standard

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod

FIPS-konform

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod-fips
eu-south-1

Standard

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod

FIPS-konform

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod-fips
il-central-1

Standard

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod

FIPS-konform

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod-fips
af-south-1

Standard

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod

FIPS-konform

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.6.1-prod-fips
Public repository

Standard

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.6.1-prod

FIPS-konform

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.6.1-prod-fips
Anmerkung

Wir empfehlen, dem Envoy-Container 512 CPU Einheiten und mindestens 64 MiB Speicher zuzuweisen. Auf Fargate ist die niedrigste Speichermenge, die Sie einstellen können, 1024 MiB Speicher. Die Ressourcenzuweisung für den Envoy-Container kann erhöht werden, wenn Erkenntnisse aus dem Container oder andere Messwerte darauf hindeuten, dass aufgrund der höheren Auslastung nicht genügend Ressourcen zur Verfügung stehen.

Anmerkung

Alle aws-appmesh-envoy Image-Release-Versionen, beginnend mit, v1.22.0.0 werden als Docker-Image ohne Distribution erstellt. Wir haben diese Änderung vorgenommen, um die Image-Größe zu reduzieren und unsere Sicherheitsanfälligkeit in ungenutzten Paketen, die im Image vorhanden sind, zu verringern. Wenn Sie auf einem aws-appmesh-envoy Image aufbauen und sich auf einige der AL2 Basispakete (z. B. yum) und Funktionen verlassen, empfehlen wir Ihnen, die Binärdateien aus einem Image zu kopieren, um ein neues aws-appmesh-envoy Docker-Image mit Base zu erstellen. AL2

Führen Sie dieses Skript aus, um ein benutzerdefiniertes Docker-Image mit dem Tag zu generieren aws-appmesh-envoy:v1.22.0.0-prod-al2:

cat << EOF > Dockerfile FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy FROM public.ecr.aws/amazonlinux/amazonlinux:2 RUN yum -y update && \ yum clean all && \ rm -rf /var/cache/yum COPY --from=envoy /usr/bin/envoy /usr/bin/envoy COPY --from=envoy /usr/bin/agent /usr/bin/agent COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm CMD [ "/usr/bin/agent" ] EOF docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .

Der Zugriff auf dieses Container-Image in Amazon ECR wird von AWS Identity and Access Management (IAM) gesteuert. Aus diesem Grund müssen Sie überprüfenIAM, ob Sie Lesezugriff auf Amazon habenECR. Wenn Sie beispielsweise Amazon verwendenECS, können Sie einer ECS Amazon-Aufgabe eine entsprechende Aufgabenausführungsrolle zuweisen. Wenn Sie IAM Richtlinien verwenden, die den Zugriff auf bestimmte ECR Amazon-Ressourcen einschränken, stellen Sie sicher, dass Sie den Zugriff auf den regionsspezifischen Amazon-Ressourcennamen (ARN) zulassen, der das aws-appmesh-envoy Repository identifiziert. In der us-west-2 Region gewähren Sie beispielsweise den Zugriff auf die folgende Ressource:arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy. Weitere Informationen finden Sie unter Von Amazon ECR verwaltete Richtlinien. Wenn Sie Docker auf einer EC2 Amazon-Instance verwenden, authentifizieren Sie Docker im Repository. Weitere Informationen finden Sie unter Registrierungsauthentifizierung.

Wir veröffentlichen gelegentlich neue App Mesh Mesh-Funktionen, die von Envoy-Änderungen abhängen, die noch nicht mit den Upstream-Envoy-Images zusammengeführt wurden. Um diese neuen App Mesh Mesh-Funktionen zu verwenden, bevor die Envoy-Änderungen im Upstream zusammengeführt werden, müssen Sie das von App Mesh angebotene Envoy-Container-Image verwenden. Eine Liste der Änderungen finden Sie in der App Mesh GitHub Mesh-Roadmap Probleme mit dem Envoy Upstream Label. Wir empfehlen, das App Mesh Envoy-Container-Image als die am besten unterstützte Option zu verwenden.