Envoy イメージ - AWS App Mesh
Envoy イメージバリアント

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Envoy イメージ

重要

サポート終了通知: 2026 年 9 月 30 日、 AWS は のサポートを終了します AWS App Mesh。2026 年 9 月 30 日以降、 AWS App Mesh コンソールまたは AWS App Mesh リソースにアクセスできなくなります。詳細については、このブログ記事の「 から Amazon ECS Service Connect AWS App Mesh への移行」を参照してください。

AWS App Mesh は、Envoy プロキシに基づくサービスメッシュです。

ECS Task/Kubernetes Pod with Proxy and Microservice Container communicating via ports 8080 and 8081.

Envoy プロキシは、仮想ノードや仮想ゲートウェイなど、App Mesh エンドポイントによって表される Amazon ECSタスク、Kubernetes ポッド、または Amazon EC2インスタンスに追加する必要があります。App Mesh は、最新の脆弱性とパフォーマンスの更新プログラムがパッチされた Envoy プロキシコンテナイメージを提供します。App Mesh は、新しいイメージを使用可能にする前に、新しい Envoy プロキシリリースを App Mesh 機能セットに対してテストします。

Envoy イメージバリアント

App Mesh は、Envoy プロキシコンテナイメージの 2 つのバリアントを提供します。この 2 つの違いは、Envoy プロキシが App Mesh データプレーンと通信する方法と、Envoy プロキシが相互に通信する方法です。1 つは標準イメージで、標準の App Mesh サービスエンドポイントと通信します。もう 1 つのバリアントは FIPSに準拠しており、App Mesh FIPSサービスエンドポイントと通信し、App Mesh サービス間のTLS通信でFIPS暗号化を適用します。

次のリストから地域別の画像を選択するか、aws-appmesh-envoyという名前の公開リポジトリから画像を選択できます。

重要

  • 2023 年 6 月 30 日以降、App Mesh で使用できるのは Envoy イメージv1.17.2.0-prod以降のみです。より前の Envoy イメージを使用している現在のお客様はv1.17.2.0、既存のエンボイは引き続き互換性がありますが、最新バージョンへの移行を強くお勧めします。

  • ベストプラクティスとして、Envoy バージョンを定期的に最新バージョンにアップグレードすることを特にお勧めします。最新の Envoy バージョンのみが、最新のセキュリティパッチ、機能リリース、パフォーマンスの向上で検証されます。

  • Version 1.17 では、Envoy が大幅に更新されています。詳細については、「Envoy 1.17 へのアップデート/移行」を参照してください。

  • バージョン 1.20.0.1 以降は ARM64 と互換性があります。

  • IPv6 のサポートには、Envoy バージョン 1.20 以降が必要です。

me-south-1ap-east-1ap-southeast-3eu-south-1il-central-1af-south-1 以外のサポートされているリージョンすべて。を置き換えることができます。Region-codeme-south-1ap-east-1、、ap-southeast-3eu-south-1il-central-1、および 以外のリージョン。 af-south-1

標準

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS準拠

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
me-south-1

標準

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS準拠

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
ap-east-1

標準

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS準拠

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
ap-southeast-3

標準

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS準拠

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
eu-south-1

標準

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS準拠

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
il-central-1

標準

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS準拠

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
af-south-1

標準

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod

FIPS準拠

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.9.0-prod-fips
Public repository

標準

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.9.0-prod

FIPS準拠

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.9.0-prod-fips
注記

Envoy コンテナに 512 CPUユニットと少なくとも 64 MiB のメモリを割り当てることをお勧めします。Fargate では、設定できる最小メモリ容量は 1024 MiB です。コンテナのインサイトやその他の指標から負荷が高いためにリソースが不足していることが判明した場合には、Envoy コンテナへのリソース割り当てを増やすことができます。

注記

v1.22.0.0 以降のすべての aws-appmesh-envoy イメージリリースバージョンは、distroless の Docker イメージとしてビルドされます。この変更は、イメージサイズを小さくし、イメージ内に存在する未使用のパッケージが脆弱性にさらされる可能性を減らすことができるようにするためです。イメージ上に aws-appmesh-envoy構築していて、一部のAL2ベースパッケージ (yum など) と機能に依存している場合は、aws-appmesh-envoyイメージ内からバイナリをコピーして、AL2ベースで新しい Docker イメージを構築することをお勧めします。

このスクリプトを実行して、aws-appmesh-envoy:v1.22.0.0-prod-al2: タグ付きのカスタム Docker イメージを生成します。

cat << EOF > Dockerfile
FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy

FROM public.ecr.aws/amazonlinux/amazonlinux:2
RUN yum -y update && \
    yum clean all && \
    rm -rf /var/cache/yum

COPY --from=envoy /usr/bin/envoy /usr/bin/envoy
COPY --from=envoy /usr/bin/agent /usr/bin/agent
COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm

CMD [ "/usr/bin/agent" ]
EOF

docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .

Amazon でのこのコンテナイメージへのアクセスECRは、 AWS Identity and Access Management () によって制御されますIAM。そのため、 IAM を使用して Amazon への読み取りアクセス権があることを確認する必要がありますECR。例えば、Amazon を使用する場合ECS、Amazon タスクに適切なECSタスク実行ロールを割り当てることができます。特定の Amazon ECRリソースへのアクセスを制限するIAMポリシーを使用する場合は、aws-appmesh-envoyリポジトリを識別するリージョン固有の Amazon リソースネーム (ARN) へのアクセスを許可していることを確認してください。例えば、us-west-2 リージョンの場合は、次のリソースへのアクセスを許可します。arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy。詳細については、「Amazon ECRマネージドポリシー」を参照してください。Amazon EC2インスタンスで Docker を使用している場合は、リポジトリに対して Docker を認証します。詳細については、「レジストリの認証」を参照してください。

上流の Envoy イメージにまだマージされていない Envoy の変更に依存する新しい App Mesh 機能をリリースすることがあります。これらの新しい App Mesh 機能を、Envoy の変更を上流にマージする前に使用するには、App Mesh で提供されている Envoy コンテナイメージを使用する必要があります。変更のリストについては、Envoy Upstreamラベルの App Mesh GitHub ロードマップの問題を参照してください。App Mesh Envoy コンテナイメージを最適なサポートオプションとして使用することをお勧めします。