Envoy 이미지 - AWS App Mesh

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Envoy 이미지

AWS App Mesh Envoy 프록시를 기반으로 하는 서비스 메쉬입니다.

Envoy 프록시를 App Mesh 엔드포인트(예: 가상 노드 또는 가상 게이트웨이)로 표시되는 Amazon ECS 태스크, Kubernetes 포드 또는 Amazon EC2 인스턴스에 추가해야 합니다. App Mesh는 Envoy 프록시 Docker 컨테이너 이미지를 제공하고, 이 컨테이너 이미지가 최신 취약성 및 성능 패치로 패치되었는지 확인합니다. App Mesh는 새 컨테이너 이미지를 제공하기 전에 App Mesh 기능 세트를 대상으로 새로운 Envoy 프록시 릴리스를 테스트합니다.

아래 목록에서 리전별 이미지를 선택하거나 이름이 aws-appmesh-envoy퍼블릭 리포지토리에서 이미지를 선택할 수 있습니다.

중요

  • 2023년 6월 30일부터는 Envoy 이미지 v1.17.2.0-prod 이상만 App Mesh에서 사용할 수 있습니다. v1.17.2.0 이전의 Envoy 이미지를 사용 중인 현재 고객의 경우 기존 Envoy가 계속 호환되더라도 최신 버전으로 마이그레이션하는 것이 좋습니다.

  • Envoy 버전을 정기적으로 최신 버전으로 업그레이드하는 것이 가장 좋습니다. 최신 envoy 버전만 보안 패치, 기능 릴리스, 성능 개선 등과 함께 공식적으로 지원됩니다.

  • 버전 1.17은 Envoy의 중요한 업데이트였습니다. 자세한 내용은 Envoy 1.17로 업데이트/마이그레이션을 참조하세요.

  • 버전 1.20.0.1 이상은 ARM64와 호환됩니다.

  • IPv6 지원을 받으려면 Envoy 버전 1.20 이상이 필요합니다.

  • me-south-1, ap-east-1, ap-southeast-3, eu-south-1, il-central-1af-south-1을 제외한 모든 지원 리전 Region-codeme-south-1, ap-east-1, ap-southeast-3, eu-south-1, il-central-1af-south-1 이외의 리전으로 바꿀 수 있습니다.

    840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

  • me-south-1 리전:

    772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

  • ap-east-1 리전:

    856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

  • ap-southeast-3 리전:

    909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

  • eu-south-1 리전:

    422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

  • il-central-1 리전:

    564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

  • af-south-1 리전:

    924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.3.0-prod

  • Public repository

    public.ecr.aws/appmesh/aws-appmesh-envoy:v1.27.3.0-prod
참고

Envoy 컨테이너에 512개의 CPU 단위와 최소 64MiB의 메모리를 할당하는 것이 좋습니다. Fargate에서 설정할 수 있는 최소 메모리 양은 1024MiB입니다. 부하 증가로 인해 컨테이너 인사이트 또는 기타 지표에 리소스가 충분하지 않은 것으로 나타나는 경우 Envoy 컨테이너에 대한 리소스 할당을 늘릴 수 있습니다.

참고

v1.22.0.0부터 모든 aws-appmesh-envoy 이미지 릴리스 버전은 Distroless Docker 이미지로 빌드됩니다. 이미지 크기를 줄이고 이미지에 있는 미사용 패키지의 취약성 노출을 줄일 수 있도록 변경했습니다. aws-appmesh-envoy 이미지를 기반으로 빌드하고 일부 AL2 기본 패키지 (예: yum) 및 기능에 의존하는 경우 이미지 내부의 바이너리를 복사하여 AL2 기반으로 새 Docker aws-appmesh-envoy 이미지를 빌드하는 것이 좋습니다.

이 스크립트를 실행하여 aws-appmesh-envoy:v1.22.0.0-prod-al2: 태그가 포함된 사용자 지정 docker 이미지를 생성합니다.

cat << EOF > Dockerfile
FROM public.ecr.aws/appmesh/aws-appmesh-envoy:v1.22.0.0-prod as envoy

FROM public.ecr.aws/amazonlinux/amazonlinux:2
RUN yum -y update && \
    yum clean all && \
    rm -rf /var/cache/yum

COPY --from=envoy /usr/bin/envoy /usr/bin/envoy
COPY --from=envoy /usr/bin/agent /usr/bin/agent
COPY --from=envoy /aws_appmesh_aggregate_stats.wasm /aws_appmesh_aggregate_stats.wasm

CMD [ "/usr/bin/agent" ]
EOF

docker build -f Dockerfile -t aws-appmesh-envoy:v1.22.0.0-prod-al2 .

Amazon ECR에서 이 컨테이너 이미지에 대한 액세스는 AWS Identity and Access Management (IAM) 에 의해 제어됩니다. 따라서 IAM을 사용하여 Amazon ECR에 대한 읽기 권한이 있는지 확인해야 합니다. 예를 들어, Amazon ECS를 사용하는 경우 Amazon ECS 태스크에 적절한 태스크 실행 역할을 할당할 수 있습니다. 특정 Amazon ECR 리소스에 대한 액세스를 제한하는 IAM 정책을 사용하는 경우 aws-appmesh-envoy 리포지토리를 식별하는 리전별 Amazon 리소스 이름(ARN)에 대한 액세스를 허용하는지 확인하세요. 예를 들어, us-west-2 리전에서는 arn:aws:ecr:us-west-2:840364872350:repository/aws-appmesh-envoy 리소스에 대한 액세스를 허용합니다. 자세한 내용은 Amazon ECR 관리형 정책을 참조하세요. Amazon EC2 인스턴스에서 Docker를 사용하는 경우 리포지토리에서 Docker를 인증합니다. 자세한 내용은 레지스트리 인증을 참조하십시오.

아직 업스트림 Envoy 이미지에 병합되지 않은 Envoy 변경 사항을 기준으로 하는 새로운 App Mesh 기능이 출시되는 경우가 있습니다. Envoy 변경 사항이 업스트림에 병합되기 전에 이러한 새로운 App Mesh 기능을 사용하려면 App Mesh에서 제공하는 Envoy 컨테이너 이미지를 사용해야 합니다. 변경 사항 목록은 Envoy Upstream 라벨과 관련된 App Mesh GitHub 로드맵 문제를 참조하십시오. App Mesh Envoy 컨테이너 이미지를 최상의 지원 옵션으로 사용하는 것이 좋습니다.