Envoy イメージ - AWS App Mesh

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Envoy イメージ

AWS App Mesh は、Envoyプロキシに基づいたサービスメッシュです。

仮想ノードや仮想ゲートウェイなど、App Mesh エンドポイントで表される Amazon ECS タスク、Kubernetes ポッド、または Amazon EC2 インスタンスに Envoy プロキシを追加する必要があります。App Mesh は、Envoy プロキシ Docker コンテナイメージを提供し、このコンテナイメージに最新の脆弱性パッチとパフォーマンスパッチが適用されていることを検証します。App Mesh は、新しいコンテナイメージを利用可能にする前に、App Mesh 機能セットと照らし合わせて新しい Envoy プロキシリリースをテストします。

次のリストから地域別の画像を選択するか、aws-appmesh-envoyという名前の公開リポジトリから画像を選択できます。

重要

  • Version 1.17 では、Envoy が大幅に更新されています。詳細については、「Envoy 1.17 へのアップデート/移行」を参照してください。

  • 1.20.0.1ARM64バージョン以降は互換性があります。

  • IPv6サポートには、Envoy1.13 バージョン以降が必要です。

  • me-south-1、、ap-east-1ap-southeast-3eu-south-1および以外のすべてのサポート対象リージョンaf-south-1リージョンコードは、、me-south-1ap-east-1ap-southeast-3eu-south-1、以外の任意のリージョンに置き換えることができますaf-south-1

    840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.25.1.0-prod

  • me-south-1 リージョン :

    772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.25.1.0-prod

  • ap-east-1 リージョン :

    856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.25.1.0-prod

  • ap-southeast-3 リージョン :

    909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.25.1.0-prod

  • eu-south-1 リージョン :

    422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.25.1.0-prod

  • af-south-1 リージョン :

    924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.25.1.0-prod

  • Public repository

    public.ecr.aws/appmesh/aws-appmesh-envoy:v1.25.1.0-prod
重要

バージョン v1.9.0.0-prod 以降のみで、App Mesh での使用がサポートされています。

注記

512 CPU ユニットと少なくとも 64 MiB のメモリを Envoy コンテナに割り当てるようお勧めします。Fargate では、設定できる最小メモリ容量は 1024 MiB です。

注記

aws-appmesh-envoyv1.22.0.0以降のすべてのイメージリリースバージョンは、distroleless の Docker イメージとしてビルドされます。この変更を行ったのは、画像サイズを小さくし、画像に存在する未使用のパッケージによる脆弱性のリスクを減らすためです。 aws-appmesh-envoy イメージ上でビルドしていて、AL2 ベースパッケージ (yum など) や機能の一部に依存している場合は、aws-appmesh-envoyイメージ内からバイナリをコピーして AL2 ベースで新しい Docker イメージを構築することをお勧めします。

このスクリプトを実行して、タグ付きのカスタム Docker イメージを生成します。aws-appmesh-envoy:v1.22.0.0-prod-al2:

cat << EOF > Dockerfile
FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy

FROM public.ecr.aws/amazonlinux/amazonlinux:2
RUN yum -y update && \
    yum clean all && \
    rm -rf /var/cache/yum

COPY --from=envoy /usr/bin/envoy /usr/bin/envoy
COPY --from=envoy /usr/bin/agent /usr/bin/agent
COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm

CMD [ "/usr/bin/agent" ]
EOF

docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .

Amazon ECR 内のコンテナイメージへのアクセスはAWS Identity and Access Management (IAM) によって制御されます。そのため、IAM を使用して Amazon ECR への読み取りアクセス権があることを確認する必要があります。例えば、Amazon ECS を使用する場合、適切なタスク実行ロールを Amazon ECS タスクに割り当てることができます。特定の Amazon ECR リソースへのアクセスを制限する IAM ポリシーを使用する場合は、aws-appmesh-envoyリポジトリを識別するリージョン固有のAmazonリソースネーム (ARN) へのアクセスを許可することを必ず確認してください。たとえば、us-west-2リージョンでは、arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy次のリソースへのアクセスを許可します。詳細については、「Amazon ECR マネージドポリシー」を参照してください。Amazon EC2 インスタンスで Docker を使用している場合は、リポジトリに対して Docker を認証します。詳細については、「レジストリの認証」を参照してください。

上流の Envoy イメージにまだマージされていない Envoy の変更に依存する新しい App Mesh 機能をリリースすることがあります。これらの新しい App Mesh 機能を、Envoy の変更を上流にマージする前に使用するには、App Mesh で提供されている Envoy コンテナイメージを使用する必要があります。変更のリストについては、「App Mesh GitHub ロードマップの問題Envoy Upstream を参照してください。App Mesh Envoy コンテナイメージは App Mesh Envoy コンテナイメージを、最適なサポートオプションとして使用することをお勧めします。