Envoy イメージ - AWS App Mesh
Envoy イメージバリアント

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Envoy イメージ

重要

サポート終了通知: 2026 年 9 月 30 日、 AWS はサポートを終了します AWS App Mesh。2026 年 9 月 30 日以降、 AWS App Mesh コンソールまたは AWS App Mesh リソースにアクセスできなくなります。詳細については、このブログ記事「 から Amazon ECS Service Connect AWS App Mesh への移行」を参照してください。

AWS App Mesh は Envoy プロキシに基づくサービスメッシュです。

ECS Task/Kubernetes Pod with Proxy and Microservice Container communicating via ports 8080 and 8081.

仮想ノードや仮想ゲートウェイなど、App Mesh エンドポイントで表される Amazon ECS タスク、Kubernetes ポッド、または Amazon EC2 インスタンスに Envoy プロキシを追加する必要があります。App Mesh は、最新の脆弱性とパフォーマンスの更新がパッチされた Envoy プロキシコンテナイメージを提供します。App Mesh は、新しいイメージを使用可能にする前に、App Mesh 機能セットに対して新しい Envoy プロキシリリースをテストします。

Envoy イメージバリアント

App Mesh は、Envoy プロキシコンテナイメージの 2 つのバリアントを提供します。この 2 つの違いは、Envoy プロキシが App Mesh データプレーンと通信する方法と、Envoy プロキシが相互に通信する方法です。1 つは標準イメージで、標準の App Mesh サービスエンドポイントと通信します。もう 1 つのバリアントは FIPS に準拠しており、App Mesh FIPS サービスエンドポイントと通信し、App Mesh サービス間の TLS 通信で FIPS 暗号化を適用します。

次のリストから地域別の画像を選択するか、aws-appmesh-envoyという名前の公開リポジトリから画像を選択できます。

重要

  • 2023 年 6 月 30 日以降、Envoy イメージ v1.17.2.0-prod以降のみが App Mesh と互換性があります。より前の Envoy イメージを使用している現在のお客様についてはv1.17.2.0、既存の使節には引き続き互換性がありますが、最新バージョンへの移行を強くお勧めします。

  • ベストプラクティスとして、Envoy バージョンを定期的に最新バージョンにアップグレードすることを特にお勧めします。最新の Envoy バージョンのみが、最新のセキュリティパッチ、機能リリース、パフォーマンスの向上で検証されます。

  • Version 1.17 では、Envoy が大幅に更新されています。詳細については、「Envoy 1.17 へのアップデート/移行」を参照してください。

  • バージョン 1.20.0.1 以降は ARM64 と互換性があります。

  • IPv6 のサポートには、Envoy バージョン 1.20 以降が必要です。

注記

FIPS は、米国およびカナダで見つかったリージョンでのみ使用できます。

サポートされているすべてのリージョンは、リージョンコードを me-south-1ap-east-1、、ap-southeast-3eu-south-1il-central-1、および 以外のリージョンに置き換えることができますaf-south-1

規格

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.12.1-prod

FIPS 準拠

840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.29.12.1-prod-fips
me-south-1

規格

772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.12.1-prod
ap-east-1

規格

856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.29.12.1-prod
ap-southeast-3

規格

909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.29.12.1-prod
eu-south-1

規格

422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.12.1-prod
il-central-1

規格

564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.29.12.1-prod
af-south-1

規格

924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.29.12.1-prod
Public repository

規格

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.12.1-prod

FIPS 準拠

public.ecr.aws/appmesh/aws-appmesh-envoy:v1.29.12.1-prod-fips
注記

512 CPU ユニットと少なくとも 64 MiB のメモリを Envoy コンテナに割り当てるようお勧めします。Fargate では、設定できる最小メモリ容量は 1024 MiB です。コンテナのインサイトやその他の指標から負荷が高いためにリソースが不足していることが判明した場合には、Envoy コンテナへのリソース割り当てを増やすことができます。

注記

v1.22.0.0 以降のすべての aws-appmesh-envoy イメージリリースバージョンは、distroless の Docker イメージとしてビルドされます。この変更は、イメージサイズを小さくし、イメージ内に存在する未使用のパッケージが脆弱性にさらされる可能性を減らすことができるようにするためです。aws-appmesh-envoy イメージをベースに構築していて、AL2 ベースパッケージ (yum など) や機能の一部に依存している場合は、aws-appmesh-envoy イメージ内からバイナリをコピーして AL2 ベースで新しい Docker イメージをビルドすることをおすすめします。

このスクリプトを実行して、aws-appmesh-envoy:v1.22.0.0-prod-al2: タグ付きのカスタム Docker イメージを生成します。

cat << EOF > Dockerfile
FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy

FROM public.ecr.aws/amazonlinux/amazonlinux:2
RUN yum -y update && \
    yum clean all && \
    rm -rf /var/cache/yum

COPY --from=envoy /usr/bin/envoy /usr/bin/envoy
COPY --from=envoy /usr/bin/agent /usr/bin/agent
COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm

CMD [ "/usr/bin/agent" ]
EOF

docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .

Amazon ECR でのこのコンテナイメージへのアクセスは、 AWS Identity and Access Management (IAM) によって制御されます。そのため、IAM を使用して Amazon ECR への読み取りアクセス権があることを確認する必要があります。例えば、Amazon ECS を使用する場合、適切なタスク実行ロールを Amazon ECS タスクに割り当てることができます。特定の Amazon ECR リソースへのアクセスを制限する IAM ポリシーを使用する場合は、aws-appmesh-envoy リポジトリを識別するリージョン固有の Amazon リソースネーム (ARN) へのアクセスを許可していることを確認する必要があります。例えば、us-west-2 リージョンの場合は、次のリソースへのアクセスを許可します。arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy。詳細については、「Amazon ECR Managed Policies」を参照してください。Amazon EC2 インスタンスで Docker を使用している場合は、リポジトリに対して Docker を認証します。詳細については、「レジストリの認証」を参照してください。

上流の Envoy イメージにまだマージされていない Envoy の変更に依存する新しい App Mesh 機能をリリースすることがあります。これらの新しい App Mesh 機能を、Envoy の変更を上流にマージする前に使用するには、App Mesh で提供されている Envoy コンテナイメージを使用する必要があります。変更のリストについては、Envoy Upstream というラベルの付いた「App Mesh GitHub ロードマップの問題」を参照してください App Mesh Envoy コンテナイメージを最適なサポートオプションとして使用することをお勧めします。