Envoy イメージ - AWS App Mesh

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Envoy イメージ

AWS App Mesh Envoy プロキシに基づくサービスメッシュです。

仮想ノードや仮想ゲートウェイなど、App Mesh エンドポイントで表される Amazon ECS タスク、Kubernetes ポッド、または Amazon EC2 インスタンスに Envoy プロキシを追加する必要があります。App Mesh は、最新の脆弱性とパフォーマンスの更新が適用された Envoy プロキシコンテナイメージを販売しています。App Mesh は、新しいイメージを利用できるようにする前に、新しいEnvoyプロキシリリースをApp Mesh 機能セットと照合してテストします。

Envoy イメージバリアント

App Mesh には Envoy プロキシコンテナイメージの 2 つのバリエーションがあります。この 2 つの違いは、Envoy プロキシが App Mesh データプレーンと通信する方法と、Envoy プロキシが互いに通信する方法です。1 つは標準イメージで、標準の App Mesh サービスエンドポイントと通信します。もう 1 つのバリアントは FIPS 準拠で、App Mesh FIPS サービスエンドポイントと通信し、App Mesh サービス間の TLS 通信に FIPS 暗号化を適用します。

次のリストから地域別の画像を選択するか、aws-appmesh-envoyという名前の公開リポジトリから画像を選択できます。

重要
  • 2023 年 6 月 30 日以降、App Mesh で使用できるのは Envoy v1.17.2.0-prod イメージ以降のみです。以前 Envoy イメージを使用している現在のお客様にはv1.17.2.0、既存の Envoy の互換性は引き続き維持されますが、最新バージョンへの移行を強くお勧めします。

  • ベストプラクティスとして、Envoy バージョンを定期的に最新バージョンにアップグレードすることを特にお勧めします。最新のセキュリティパッチ、機能リリース、およびパフォーマンスの向上が適用されていることが検証されるのは、最新の Envoy バージョンのみです。

  • Version 1.17 では、Envoy が大幅に更新されています。詳細については、「Envoy 1.17 へのアップデート/移行」を参照してください。

  • バージョン 1.20.0.1 以降は ARM64 と互換性があります。

  • IPv6 のサポートには、Envoy バージョン 1.20 以降が必要です。

me-south-1ap-east-1ap-southeast-3eu-south-1il-central-1af-south-1 以外のサポートされているリージョンすべて。Region-code は、me-south-1ap-east-1ap-southeast-3eu-south-1il-central-1af-south-1 以外の任意のリージョンに置き換えることができます。

規格

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

FIPS 準拠

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
me-south-1

規格

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

FIPS コンプライアンス

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
ap-east-1

規格

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

FIPS コンプライアンス

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
ap-southeast-3

規格

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

FIPS コンプライアンス

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
eu-south-1

規格

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

FIPS コンプライアンス

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
il-central-1

規格

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

FIPS コンプライアンス

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
af-south-1

規格

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

FIPS コンプライアンス

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod-fips
Public repository

規格

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.27.3.0-prod

FIPS コンプライアンス

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.27.3.0-prod-fips
注記

512 CPU ユニットと少なくとも 64 MiB のメモリを Envoy コンテナに割り当てるようお勧めします。Fargate では、設定できる最小メモリ容量は 1024 MiB です。コンテナのインサイトやその他の指標から負荷が高いためにリソースが不足していることが判明した場合には、Envoy コンテナへのリソース割り当てを増やすことができます。

注記

v1.22.0.0 以降のすべての aws-appmesh-envoy イメージリリースバージョンは、distroless の Docker イメージとしてビルドされます。この変更は、イメージサイズを小さくし、イメージ内に存在する未使用のパッケージが脆弱性にさらされる可能性を減らすことができるようにするためです。 aws-appmesh-envoy イメージ上にビルドしていて、AL2 ベースパッケージ (yum など) や機能に依存している場合は、イメージ内からバイナリをコピーして AL2 ベースで新しい Docker aws-appmesh-envoy イメージを構築することをおすすめします。

このスクリプトを実行して、aws-appmesh-envoy:v1.22.0.0-prod-al2: タグ付きのカスタム Docker イメージを生成します。

cat << EOF > Dockerfile FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy FROM public.ecr.aws/amazonlinux/amazonlinux:2 RUN yum -y update && \ yum clean all && \ rm -rf /var/cache/yum COPY --from=envoy /usr/bin/envoy /usr/bin/envoy COPY --from=envoy /usr/bin/agent /usr/bin/agent COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm CMD [ "/usr/bin/agent" ] EOF docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .

Amazon ECR でのこのコンテナイメージへのアクセスは AWS Identity and Access Management (IAM) によって制御されます。そのため、IAM を使用して Amazon ECR への読み取りアクセス権があることを確認する必要があります。例えば、Amazon ECS を使用する場合、適切なタスク実行ロールを Amazon ECS タスクに割り当てることができます。特定の Amazon ECR リソースへのアクセスを制限する IAM ポリシーを使用する場合は、aws-appmesh-envoy リポジトリを識別するリージョン固有の Amazon リソースネーム (ARN) へのアクセスを許可していることを確認する必要があります。例えば、us-west-2 リージョンの場合は、次のリソースへのアクセスを許可します。arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy。詳細については、「Amazon ECR Managed Policies」を参照してください。Amazon EC2 インスタンスで Docker を使用している場合は、リポジトリに対して Docker を認証します。詳細については、「レジストリの認証」を参照してください。

上流の Envoy イメージにまだマージされていない Envoy の変更に依存する新しい App Mesh 機能をリリースすることがあります。これらの新しい App Mesh 機能を、Envoy の変更を上流にマージする前に使用するには、App Mesh で提供されている Envoy コンテナイメージを使用する必要があります。変更点の一覧については、Envoy Upstreamラベルに関する App Mesh GitHub ロードマップの問題を参照してください。App Mesh Envoy コンテナイメージを最適なサポートオプションとして使用することをお勧めします。