Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Imagen de Envoy
AWS App Mesh es una malla de servicios basada en el proxy de Envoy
Debe añadir un proxy de Envoy a la tarea de Amazon ECS, al pod de Kubernetes o a la instancia de Amazon EC2 representada por su punto de conexión de App Mesh, como un nodo virtual o una puerta de enlace virtual. App Mesh vende una imagen de contenedor proxy de Envoy parcheada con las últimas actualizaciones de vulnerabilidad y rendimiento. App Mesh prueba cada nueva versión de proxy de Envoy comparándola con el conjunto de funciones App Mesh antes de poner a tu disposición una nueva imagen.
Variantes de imagen de Envoy
App Mesh ofrece dos variantes de la imagen del contenedor proxy de Envoy. La diferencia entre ambos es la forma en que el proxy de Envoy se comunica con el plano de datos de App Mesh y la forma en que los proxies de Envoy se comunican entre sí. Una es una imagen estándar, que se comunica con los puntos finales del servicio App Mesh estándar. La otra variante es compatible con FIPS, que se comunica con los puntos finales del servicio FIPS de App Mesh y aplica la criptografía FIPS en la comunicación TLS entre los servicios de App Mesh.
Puede elegir una imagen regional de la lista siguiente o una imagen de nuestro repositorio públicoaws-appmesh-envoy
.
importante
-
A partir del 30 de junio de 2023, solo la imagen de Envoy
v1.17.2.0-prod
o una versión posterior será compatible con App Mesh. Para los clientes actuales que hayan utilizado una imagen de Envoy anteriormentev1.17.2.0
, aunque las imágenes de Envoys existentes seguirán siendo compatibles, recomendamos encarecidamente migrar a la versión más reciente. -
Como práctica recomendada, se recomienda encarecidamente actualizar la versión de Envoy a la última versión de forma periódica. Solo se valida la versión más reciente de Envoy con los parches de seguridad, las versiones de funciones y las mejoras de rendimiento más recientes.
-
La versión
1.17
fue una actualización importante de Envoy. Consulte Actualización o migración a Envoy 1.17 para obtener más información. -
La versión
1.20.0.1
o posterior es compatible conARM64
. -
Para obtener asistencia para
IPv6
, se requiere la versión1.20
o posterior de Envoy.
- Todas las regiones son compatibles excepto
me-south-1
,ap-east-1
,ap-southeast-3
,eu-south-1
,il-central-1
yaf-south-1
. Puede reemplazar elcódigo de región
por cualquier región que no seame-south-1
,ap-east-1
,ap-southeast-3
,eu-south-1
,il-central-1
yaf-south-1
. -
Estándar
840364872350.dkr.ecr.
region-code
.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prodCumple con las normas FIPS
840364872350.dkr.ecr.
region-code
.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips me-south-1
-
Estándar
772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod
Cumple con FIPS
772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
ap-east-1
-
Estándar
856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod
Cumple con FIPS
856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
ap-southeast-3
-
Estándar
909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod
Cumple con FIPS
909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
eu-south-1
-
Estándar
422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod
Cumple con FIPS
422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
il-central-1
-
Estándar
564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod
Cumple con FIPS
564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
af-south-1
-
Estándar
924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod
Cumple con FIPS
924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
Public repository
-
Estándar
public.ecr.aws/appmesh/aws-appmesh-envoy:v1.27.3.0-prod
Cumple con FIPS
public.ecr.aws/appmesh/aws-appmesh-envoy:v1.27.3.0-prod-fips
nota
Recomendamos asignar 512 unidades de CPU y al menos 64 MiB de memoria al contenedor de Envoy. En Fargate, la cantidad mínima de memoria que puede establecer es de 1024 MiB. La asignación de recursos al contenedor de Envoy se puede aumentar si los datos del contenedor u otras métricas indican que los recursos son insuficientes debido a una carga mayor.
nota
Todas las versiones de lanzamiento de la imagen aws-appmesh-envoy
a partir de la v1.22.0.0
están diseñadas como una imagen de Docker sin distribución. Hicimos este cambio para poder reducir el tamaño de la imagen y reducir nuestra exposición a las vulnerabilidades en los paquetes no utilizados presentes en la imagen. Si está creando sobre una aws-appmesh-envoy imagen y confía en algunos de los paquetes base de AL2 (por ejemplo, yum) y funcionalidades, le sugerimos que copie los archivos binarios del interior de una aws-appmesh-envoy
imagen para crear una nueva imagen de Docker con la base de AL2.
Ejecute este script para generar una imagen de Docker personalizada con la etiqueta aws-appmesh-envoy:v1.22.0.0-prod-al2:
cat << EOF > Dockerfile FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy FROM public.ecr.aws/amazonlinux/amazonlinux:2 RUN yum -y update && \ yum clean all && \ rm -rf /var/cache/yum COPY --from=envoy /usr/bin/envoy /usr/bin/envoy COPY --from=envoy /usr/bin/agent /usr/bin/agent COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm CMD [ "/usr/bin/agent" ] EOF docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .
El acceso a esta imagen de contenedor en Amazon ECR lo controla AWS Identity and Access Management (IAM). Por lo tanto, debe usar IAM para comprobar que tiene acceso de lectura a Amazon ECR. Por ejemplo, al utilizar Amazon ECS, puede asignar un rol de ejecución de tareas adecuado a una tarea de Amazon ECS. Si utiliza políticas de IAM que limitan el acceso a recursos de Amazon ECR específicos, asegúrese de que permite el acceso al nombre de recurso de Amazon (ARN) específico de la región que identifica al repositorio aws-appmesh-envoy
. Por ejemplo, en la región us-west-2
, permite el acceso al siguiente recurso: arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy
. Para obtener más información, consulte Políticas administradas de Amazon ECR. Si utiliza Docker en una instancia de Amazon EC2, autentique Docker en el repositorio. Para obtener más información, consulte Autenticación del registro.
De vez en cuando lanzamos nuevas características de App Mesh que dependen de los cambios de Envoy que aún no se han fusionado con las imágenes originales de Envoy. Para usar estas nuevas características de App Mesh antes de que los cambios de Envoy se fusionen previamente, debe usar la imagen del contenedor de Envoy vendida por App Mesh. Para ver una lista de cambios, consulta la hoja de GitHubruta de App Mesh sobre los problemasEnvoy Upstream
etiqueta. Recomendamos que utilice la imagen del contenedor de App Mesh Envoy como la mejor opción compatible.