Imagen de Envoy - AWS App Mesh
Variantes de imagen de Envoy

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Imagen de Envoy

AWS App Mesh es una malla de servicios basada en el proxy de Envoy.

Debe añadir un proxy de Envoy a la tarea de Amazon ECS, al pod de Kubernetes o a la instancia de Amazon EC2 representada por su punto de conexión de App Mesh, como un nodo virtual o una puerta de enlace virtual. App Mesh vende una imagen de contenedor proxy de Envoy parcheada con las últimas actualizaciones de vulnerabilidad y rendimiento. App Mesh prueba cada nueva versión de proxy de Envoy comparándola con el conjunto de funciones App Mesh antes de poner a tu disposición una nueva imagen.

Variantes de imagen de Envoy

App Mesh ofrece dos variantes de la imagen del contenedor proxy de Envoy. La diferencia entre ambos es la forma en que el proxy de Envoy se comunica con el plano de datos de App Mesh y la forma en que los proxies de Envoy se comunican entre sí. Una es una imagen estándar, que se comunica con los puntos finales del servicio App Mesh estándar. La otra variante es compatible con FIPS, que se comunica con los puntos finales del servicio FIPS de App Mesh y aplica la criptografía FIPS en la comunicación TLS entre los servicios de App Mesh.

Puede elegir una imagen regional de la lista siguiente o una imagen de nuestro repositorio público denominada aws-appmesh-envoy.

importante

  • A partir del 30 de junio de 2023, solo la imagen de Envoy v1.17.2.0-prod o una versión posterior será compatible con App Mesh. Para los clientes actuales que hayan utilizado una imagen de Envoy anteriormentev1.17.2.0, aunque las imágenes de Envoys existentes seguirán siendo compatibles, recomendamos encarecidamente migrar a la versión más reciente.

  • Como práctica recomendada, se recomienda encarecidamente actualizar la versión de Envoy a la última versión de forma periódica. Solo se valida la versión más reciente de Envoy con los parches de seguridad, las versiones de funciones y las mejoras de rendimiento más recientes.

  • La versión 1.17 fue una actualización importante de Envoy. Consulte Actualización o migración a Envoy 1.17 para obtener más información.

  • La versión 1.20.0.1 o posterior es compatible con ARM64.

  • Para obtener asistencia para IPv6, se requiere la versión 1.20 o posterior de Envoy.

Todas las regiones son compatibles excepto me-south-1, ap-east-1, ap-southeast-3, eu-south-1, il-central-1 y af-south-1. Puede reemplazar el código de región por cualquier región que no sea me-south-1, ap-east-1, ap-southeast-3, eu-south-1, il-central-1 y af-south-1.

Estándar

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

Cumple con las normas FIPS

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
me-south-1

Estándar

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

Cumple con FIPS

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
ap-east-1

Estándar

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

Cumple con FIPS

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
ap-southeast-3

Estándar

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

Cumple con FIPS

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
eu-south-1

Estándar

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

Cumple con FIPS

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
il-central-1

Estándar

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

Cumple con FIPS

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
af-south-1

Estándar

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

Cumple con FIPS

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
Public repository

Estándar

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.27.3.0-prod

Cumple con FIPS

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.27.3.0-prod-fips
nota

Recomendamos asignar 512 unidades de CPU y al menos 64 MiB de memoria al contenedor de Envoy. En Fargate, la cantidad mínima de memoria que puede establecer es de 1024 MiB. La asignación de recursos al contenedor de Envoy se puede aumentar si los datos del contenedor u otras métricas indican que los recursos son insuficientes debido a una carga mayor.

nota

Todas las versiones de lanzamiento de la imagen aws-appmesh-envoy a partir de la v1.22.0.0 están diseñadas como una imagen de Docker sin distribución. Hicimos este cambio para poder reducir el tamaño de la imagen y reducir nuestra exposición a las vulnerabilidades en los paquetes no utilizados presentes en la imagen. Si está creando sobre una aws-appmesh-envoy imagen y confía en algunos de los paquetes base de AL2 (por ejemplo, yum) y funcionalidades, le sugerimos que copie los archivos binarios del interior de una aws-appmesh-envoy imagen para crear una nueva imagen de Docker con la base de AL2.

Ejecute este script para generar una imagen de Docker personalizada con la etiqueta aws-appmesh-envoy:v1.22.0.0-prod-al2:

cat << EOF > Dockerfile
FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy

FROM public.ecr.aws/amazonlinux/amazonlinux:2
RUN yum -y update && \
    yum clean all && \
    rm -rf /var/cache/yum

COPY --from=envoy /usr/bin/envoy /usr/bin/envoy
COPY --from=envoy /usr/bin/agent /usr/bin/agent
COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm

CMD [ "/usr/bin/agent" ]
EOF

docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .

El acceso a esta imagen de contenedor en Amazon ECR lo controla AWS Identity and Access Management (IAM). Por lo tanto, debe usar IAM para comprobar que tiene acceso de lectura a Amazon ECR. Por ejemplo, al utilizar Amazon ECS, puede asignar un rol de ejecución de tareas adecuado a una tarea de Amazon ECS. Si utiliza políticas de IAM que limitan el acceso a recursos de Amazon ECR específicos, asegúrese de que permite el acceso al nombre de recurso de Amazon (ARN) específico de la región que identifica al repositorio aws-appmesh-envoy. Por ejemplo, en la región us-west-2, permite el acceso al siguiente recurso: arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy. Para obtener más información, consulte Políticas administradas de Amazon ECR. Si utiliza Docker en una instancia de Amazon EC2, autentique Docker en el repositorio. Para obtener más información, consulte Autenticación del registro.

De vez en cuando lanzamos nuevas características de App Mesh que dependen de los cambios de Envoy que aún no se han fusionado con las imágenes originales de Envoy. Para usar estas nuevas características de App Mesh antes de que los cambios de Envoy se fusionen previamente, debe usar la imagen del contenedor de Envoy vendida por App Mesh. Para ver una lista de cambios, consulta la hoja de GitHubruta de App Mesh sobre los problemas con la Envoy Upstream etiqueta. Recomendamos que utilice la imagen del contenedor de App Mesh Envoy como la mejor opción compatible.