Amazon App Mesh 和 Amazon ECS 入门 - Amazon App Mesh
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon App Mesh 和 Amazon ECS 入门

本主题将帮助您配合使用 Amazon App Mesh 和在 Amazon ECS 上运行的实际服务。本教程介绍了多种 App Mesh 资源类型的基本功能。

情况

为了说明如何配合使用 App Mesh,假定您有一个具有以下功能的应用程序:

  • 由名为 serviceAserviceB 的两项服务组成。

  • 这两项服务均注册到名为 apps.local 的命名空间。

  • ServiceA 通过 HTTP/2 和端口 80 与 serviceB 通信。

  • 您已部署 serviceB 的版本 2,并采用名称 serviceBv2apps.local 命名空间中注册了该服务。

您的要求如下:

  • 您希望将 75% 的流量从 serviceA 发送到 serviceB,并将 25% 的流量发送到 serviceBv2,以验证在将 100% 的流量从 serviceA 发送到它之前,serviceBv2 没有错误。

  • 您希望能够轻松调整流量权重,以便一旦证明 serviceBv2 可靠便可将 100% 的流量发送到该服务。将所有流量发送到 serviceBv2 后,您希望弃用 serviceB

  • 您不希望必须更改实际服务的任何现有应用程序代码或服务发现注册,才能满足以前的要求。

为了满足您的要求,您决定创建包含虚拟服务、虚拟节点、虚拟路由器和路由的 App Mesh 服务网格。实施您的网格后,更新使用 Envoy 代理的服务。更新后,您的服务将通过 Envoy 代理相互通信,而不是直接相互通信。

先决条件

  • 已了解 App Mesh 概念。有关更多信息,请参阅 什么是 Amazon App Mesh?

  • 已对 Kubernetes 概念有所了解。有关更多信息,请参阅《Amazon Elastic Container Service 开发人员指南》中的 Amazon ECS 的定义

  • App Mesh 支持已注册到 DNS、Amazon Cloud Map 或两者兼有的 Linux 服务。要使用此入门指南,我们建议您提供三项已注册到 DNS 的现有服务。该主题的剩余步骤假定现有服务命名为 serviceAserviceBserviceBv2,并且可以在名为 apps.local 的命名空间中发现所有服务。

    即使服务不存在,您也可以创建服务网格及其资源,但在部署实际服务之前,您无法使用网格。有关 Amazon ECS 上服务发现的更多信息,请参阅服务发现。要使用服务发现创建 Amazon ECS 服务,请参阅教程:使用服务发现创建服务。如果您尚未运行服务,则可以创建带有服务发现功能的 Amazon ECS 服务

步骤 1:创建网格和虚拟服务

服务网格是一种用于驻留在其内的服务之间的网络流量的逻辑边界。有关更多信息,请参阅服务网格。虚拟服务是实际服务的抽象。有关更多信息,请参阅虚拟服务

创建以下资源:

  • 名为 apps 的网格,因为此场景中的所有服务均注册到 apps.local 命名空间。

  • 名为 serviceb.apps.local 的虚拟服务,因为虚拟服务表示可以使用该名称发现的服务,并且您不希望更改代码以引用其他名称。稍后的步骤中将添加名为 servicea.apps.local 的虚拟服务。

您可以使用 Amazon Web Services Management Console 或 Amazon CLI 版本 1.18.116 或更高版本或者版本 2.0.38 或更高版本来完成以下步骤。如果使用 Amazon CLI,请使用 aws --version 命令检查已安装的 Amazon CLI 版本。如果您没有安装版本 1.18.116 或更高版本或者没有安装版本 2.0.38 或更高版本,则必须安装或更新 Amazon CLI。选择要使用的工具所对应的选项卡。

Amazon Web Services Management Console
  1. 打开 App Mesh 控制台首次运行向导,网址为 https://console.aws.amazon.com/appmesh/get-started

  2. 对于网格名称,输入 apps

  3. 对于虚拟服务名称,输入 serviceb.apps.local

  4. 要继续,请选择 Next

Amazon CLI
  1. 使用 create-mesh 命令创建网格。

    aws appmesh create-mesh --mesh-name apps
  2. 使用 create-virtual-service 命令创建虚拟服务。

    aws appmesh create-virtual-service --mesh-name apps --virtual-service-name serviceb.apps.local --spec {}

步骤 2:创建虚拟节点

虚拟节点充当实际服务的逻辑指针。有关更多信息,请参阅 虚拟节点

创建名为 serviceB 的虚拟节点,因为某个虚拟节点表示名为 serviceB 的实际服务。可使用主机名 serviceb.apps.local,通过 DNS 发现虚拟节点所表示的实际服务。或者,也可以使用 Amazon Cloud Map 发现实际服务。虚拟节点将采用 HTTP/2 协议在端口 80 上侦听流量。此外,还支持其他协议和运行状况检查。您将在后面的步骤中为 serviceBv2serviceA 创建虚拟节点。

Amazon Web Services Management Console
  1. 对于虚拟节点名称,输入 serviceB

  2. 对于服务发现方法,选择 DNS,并为DNS 主机名输入 serviceb.apps.local

  3. 侦听器配置下,为协议选择 http2,并在端口中,输入 80

  4. 要继续,请选择 Next

Amazon CLI
  1. 使用以下内容创建名为 create-virtual-node-serviceb.json 的文件:

    { "meshName": "apps", "spec": { "listeners": [ { "portMapping": { "port": 80, "protocol": "http2" } } ], "serviceDiscovery": { "dns": { "hostname": "serviceB.apps.local" } } }, "virtualNodeName": "serviceB" }
  2. 采用 JSON 文件作为输入,使用 create-virtual-node 命令创建虚拟节点。

    aws appmesh create-virtual-node --cli-input-json file://create-virtual-node-serviceb.json

步骤 3:创建虚拟路由器和路由

虚拟路由器路由网格中一个或多个虚拟服务的流量。有关更多信息,请参阅 虚拟路由器路由

创建以下资源:

  • 名为 serviceB 的虚拟路由器,因为 serviceB.apps.local 虚拟服务不会启动与任何其他服务的出站通信。请记住,您之前创建的虚拟服务是实际 serviceb.apps.local 服务的抽象。虚拟服务将流量发送到虚拟路由器。虚拟路由器采用 HTTP/2 协议在端口 80 上侦听流量。此外,还支持其他协议。

  • 名为 serviceB 的路由。它将 100% 的流量路由到 serviceB 虚拟节点。添加 serviceBv2 虚拟节点后,在稍后的步骤中出现权重。虽然本指南中未作介绍,但您可以为路由添加额外的筛选条件,并添加重试策略,从而使 Envoy 代理在遇到通信问题时会多次尝试将流量发送到虚拟节点。

Amazon Web Services Management Console
  1. 对于虚拟路由器名称,输入 serviceB

  2. 侦听器配置下,为协议选择 http2,并为端口指定 80

  3. 对于路由名称,输入 serviceB

  4. 对于路由类型,选择 http2

  5. 目标配置下的虚拟节点名称中,选择 serviceB,并为权重输入 100

  6. 匹配配置下,选择一种方法

  7. 要继续,请选择 Next

Amazon CLI
  1. 创建虚拟路由器。

    1. 使用以下内容创建名为 create-virtual-router.json 的文件:

      { "meshName": "apps", "spec": { "listeners": [ { "portMapping": { "port": 80, "protocol": "http2" } } ] }, "virtualRouterName": "serviceB" }
    2. 采用 JSON 文件作为输入,使用 create-virtual-router 命令创建虚拟路由器。

      aws appmesh create-virtual-router --cli-input-json file://create-virtual-router.json
  2. 创建路由。

    1. 使用以下内容创建名为 create-route.json 的文件:

      { "meshName" : "apps", "routeName" : "serviceB", "spec" : { "httpRoute" : { "action" : { "weightedTargets" : [ { "virtualNode" : "serviceB", "weight" : 100 } ] }, "match" : { "prefix" : "/" } } }, "virtualRouterName" : "serviceB" }
    2. 采用 JSON 文件作为输入,使用 create-route 命令创建路由。

      aws appmesh create-route --cli-input-json file://create-route.json

步骤 4:审核并创建

根据之前的说明审核设置。

Amazon Web Services Management Console

如果需要对任何部分进行任何更改,请选择编辑。在您对设置感到满意后,选择创建网格

状态屏幕将显示已创建的所有网格资源。您可以通过选择查看网格来在控制台中查看创建的资源。

Amazon CLI

使用 describe-mesh 命令查看所创建网格的设置。

aws appmesh describe-mesh --mesh-name apps

使用 describe-virtual-service 命令查看所创建的虚拟服务的设置。

aws appmesh describe-virtual-service --mesh-name apps --virtual-service-name serviceb.apps.local

使用 describe-virtual-node 命令查看所创建的虚拟节点的设置。

aws appmesh describe-virtual-node --mesh-name apps --virtual-node-name serviceB

使用 describe-virtual-router 命令查看所创建的虚拟路由器的设置。

aws appmesh describe-virtual-router --mesh-name apps --virtual-router-name serviceB

使用 describe-route 命令查看所创建路由的设置。

aws appmesh describe-route --mesh-name apps \ --virtual-router-name serviceB --route-name serviceB

步骤 5:创建其他资源

要完成此场景,您需要执行以下操作:

  • 创建名为 serviceBv2 的虚拟节点,以及名为 serviceA 的虚拟节点。这两个虚拟节点均通过 HTTP/2 和端口 80 侦听请求。对于 serviceA 虚拟节点,将后端配置为 serviceb.apps.local。来自 serviceA 虚拟节点的所有出站流量都将发送到名为 serviceb.apps.local 的虚拟服务。虽然本指南中未作介绍,但您还可以为虚拟节点指定用于写入访问日志的文件路径。

  • 另外创建一个名为 servicea.apps.local 的虚拟服务,该虚拟服务将所有流量直接发送到 serviceA 虚拟节点。

  • 更新在上一步中创建的 serviceB 路由,以将 75% 的流量发送到 serviceB 虚拟节点,将 25% 的流量发送到 serviceBv2 虚拟节点。随着时间的推移,您可以继续修改权重,直到 serviceBv2 收到 100% 的流量。将所有流量发送到 serviceBv2 后,您可以关闭并弃用 serviceB 虚拟节点和实际服务。在更改权重时,不需要对代码进行任何修改,因为 serviceb.apps.local 虚拟服务名称和实际服务名称没有改变。回想一下,serviceb.apps.local 虚拟服务将流量发送到虚拟路由器,该路由器将流量路由到虚拟节点。虚拟节点的服务发现名称可以随时更改。

Amazon Web Services Management Console
  1. 在左侧导航窗格中,选择网格

  2. 选择在上一步中创建的 apps 网格。

  3. 在左侧导航窗格中,选择虚拟节点

  4. 选择创建虚拟节点

  5. 虚拟节点名称输入 serviceBv2,为服务发现方法选择 DNS,并为 DNS 主机名输入 servicebv2.apps.local

  6. 对于侦听器配置,为协议选择 http2,并在端口中,输入 80

  7. 选择创建虚拟节点

  8. 再次选择创建虚拟节点。对于虚拟节点名称,输入 serviceA。对于服务发现方法,选择 DNS,并为 DNS 主机名输入 servicea.apps.local

  9. 新后端下的输入虚拟服务名称中,输入 serviceb.apps.local

  10. 侦听器配置下,为协议选择 http2,并在端口中输入 80,然后选择创建虚拟节点

  11. 在左侧导航窗格中,选择虚拟路由器,然后从列表中选择 serviceB 虚拟路由器。

  12. 路由下,选择在上一步中创建的名为 ServiceB 的路由,然后选择编辑

  13. 目标虚拟节点名称下,将 serviceB权重值更改为 75

  14. 选择添加目标,从下拉列表中选择 serviceBv2,然后将权重值设置为 25

  15. 选择保存

  16. 在左侧导航窗格中,选择虚拟服务,然后选择创建虚拟服务

  17. 针对虚拟服务名称输入 servicea.apps.local,为提供者选择虚拟节点,为虚拟节点选择 serviceA,然后选择创建虚拟服务。

Amazon CLI
  1. 创建 serviceBv2 虚拟节点。

    1. 使用以下内容创建名为 create-virtual-node-servicebv2.json 的文件:

      { "meshName": "apps", "spec": { "listeners": [ { "portMapping": { "port": 80, "protocol": "http2" } } ], "serviceDiscovery": { "dns": { "hostname": "serviceBv2.apps.local" } } }, "virtualNodeName": "serviceBv2" }
    2. 创建虚拟节点。

      aws appmesh create-virtual-node --cli-input-json file://create-virtual-node-servicebv2.json
  2. 创建 serviceA 虚拟节点。

    1. 使用以下内容创建名为 create-virtual-node-servicea.json 的文件:

      { "meshName" : "apps", "spec" : { "backends" : [ { "virtualService" : { "virtualServiceName" : "serviceb.apps.local" } } ], "listeners" : [ { "portMapping" : { "port" : 80, "protocol" : "http2" } } ], "serviceDiscovery" : { "dns" : { "hostname" : "servicea.apps.local" } } }, "virtualNodeName" : "serviceA" }
    2. 创建虚拟节点。

      aws appmesh create-virtual-node --cli-input-json file://create-virtual-node-servicea.json
  3. 更新在上一步中创建的 serviceb.apps.local 虚拟服务,以将其流量发送到 serviceB 虚拟路由器。最初创建虚拟服务时,它不会向任何位置发送流量,因为尚未创建 serviceB 虚拟路由器。

    1. 使用以下内容创建名为 update-virtual-service.json 的文件:

      { "meshName" : "apps", "spec" : { "provider" : { "virtualRouter" : { "virtualRouterName" : "serviceB" } } }, "virtualServiceName" : "serviceb.apps.local" }
    2. 使用 update-virtual-service 命令更新虚拟服务。

      aws appmesh update-virtual-service --cli-input-json file://update-virtual-service.json
  4. 更新在上一步中创建的 serviceB 路径。

    1. 使用以下内容创建名为 update-route.json 的文件:

      { "meshName" : "apps", "routeName" : "serviceB", "spec" : { "http2Route" : { "action" : { "weightedTargets" : [ { "virtualNode" : "serviceB", "weight" : 75 }, { "virtualNode" : "serviceBv2", "weight" : 25 } ] }, "match" : { "prefix" : "/" } } }, "virtualRouterName" : "serviceB" }
    2. 使用 update-route 命令更新路由。

      aws appmesh update-route --cli-input-json file://update-route.json
  5. 创建 serviceA 虚拟服务。

    1. 使用以下内容创建名为 create-virtual-servicea.json 的文件:

      { "meshName" : "apps", "spec" : { "provider" : { "virtualNode" : { "virtualNodeName" : "serviceA" } } }, "virtualServiceName" : "servicea.apps.local" }
    2. 创建虚拟服务。

      aws appmesh create-virtual-service --cli-input-json file://create-virtual-servicea.json
网格摘要

在创建服务网格之前,您具有三个名为 servicea.apps.localserviceb.apps.localservicebv2.apps.local 的实际服务。除实际服务之外,现在您还具有一个服务网格,其中包含用以表示实际服务的以下资源:

  • 两个虚拟服务。代理通过虚拟路由器将所有流量从 servicea.apps.local 虚拟服务发送到 serviceb.apps.local 虚拟服务。

  • 三个名为 serviceAserviceBserviceBv2 的虚拟节点。Envoy 代理使用为虚拟节点配置的服务发现信息来查找实际服务的 IP 地址。

  • 一个虚拟路由器,其路由指示 Envoy 代理将 75% 的入站流量路由到 serviceB 虚拟节点,将 25% 的流量路由到 serviceBv2 虚拟节点。

步骤 6:更新服务

创建网格后,您需要完成以下任务:

  • 授予随每项 Amazon ECS 任务服务部署的 Envoy 代理读取一个或多个虚拟节点配置的权限。有关如何向代理授权的更多信息,请参阅代理授权

  • 更新每个现有 Amazon ECS 任务定义服务,以使用 Envoy 代理。

凭证

Envoy 容器需要 Amazon Identity and Access Management 凭证来签署发送到 App Mesh 服务的请求。对于使用 Amazon EC2 启动类型部署的 Amazon ECS 任务,凭证可以来自实例角色任务 IAM 角色。在 Linux 容器上使用 Fargate 部署的 Amazon ECS 任务无法访问提供实例 IAM 配置凭证的 Amazon EC2 元数据服务器。要提供凭证,您必须将 IAM 任务角色附加到在 Linux 容器类型上使用 Fargate 启动类型部署的任何任务。

如果以 Amazon EC2 启动类型部署任务,并且无法访问 Amazon EC2 元数据服务器(如 IAM 任务角色中的重要注释中所述),则还必须为该任务附加任务 IAM 角色。您分配给实例或任务的角色必须附加一个 IAM 策略,如代理授权中所述。

使用 Amazon Web Services Management Console 更新任务定义

以下步骤仅显示如何更新此场景的 taskB 任务。您还需要通过更改相应值来更新 taskBv2taskA 任务。

  1. https://console.aws.amazon.com/ecs/v2 打开控制台。

  2. 要访问经典版 Amazon ECS 控制台,请在左上角切换新 ECS 体验

    重要

    App Mesh 集成仅在经典 Amazon ECS 控制台中可用。

  3. 从导航栏中,选择包含您的任务定义的地区。

  4. 在导航窗格中,选择 Task Definitions

  5. 任务定义页面上,选择要修订的任务定义左侧的框。从先决条件和之前的步骤中,您可能已具有名为 taskAtaskBtaskBv2 的任务定义。选择 taskB,然后选择创建新修订

  6. 创建任务定义的新修订页面上,进行以下更改来启用 App Mesh 集成。

    1. 对于服务集成,要配置 App Mesh 集成的参数,请选择启用 App Mesh 集成,然后执行以下操作:

      1. 对于应用程序容器名称,选择要用于 App Mesh 应用程序的容器名称。必须已在任务定义中定义此容器。

      2. 对于 Envoy 镜像,完成以下任务并输入返回的值。

        • me-south-1ap-east-1ap-southeast-3eu-south-1il-central-1af-south-1 之外的所有受支持地区。您可以用me-south-1ap-east-1ap-southeast-3eu-south-1il-central-1af-south-1 之外的任何地区替换地区代码

          840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
        • me-south-1 地区:

          772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
        • ap-east-1 地区:

          856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
        • ap-southeast-3 地区:

          909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
        • eu-south-1 地区:

          422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
        • il-central-1 地区:

          564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
        • af-south-1 地区:

          924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
        • cn-north-1 地区:

          919366029133.dkr.ecr.cn-north-1.amazonaws.com.cn/aws-appmesh-envoy:v1.27.2.0-prod
        • cn-northwest-1 地区:

          919830735681.dkr.ecr.cn-northwest-1.amazonaws.com.cn/aws-appmesh-envoy:v1.27.2.0-prod
        • Public repository

          public.ecr.aws/appmesh/aws-appmesh-envoy:v1.27.2.0-prod
        重要

        仅支持 v1.9.0.0-prod 或更高版本与 App Mesh 一起使用。

      3. 对于网格名称,选择要使用的 App Mesh 服务网格。在本主题中,创建的网格名称为 apps.

      4. 对于虚拟节点名称,选择要使用的 App Mesh 虚拟节点。例如,对于 taskB 任务,您可以选择在上一步中创建的 serviceB 虚拟节点。

      5. 虚拟节点端口的值将使用您在创建虚拟节点时指定的侦听器端口进行预填充。

      6. 选择应用,然后选择确认。将创建一个新的 Envoy 代理容器并将其添加到任务定义中,同时还会创建支持该容器的设置。然后,Envoy 代理容器会为下一步预填充 App Mesh 代理配置设置。

    2. 对于代理配置,请验证所有预填充值。

    3. 对于网络模式,请确保选择 awsvpc。要了解有关 awsvpc 网络模式的更多信息,请参阅使用 awsvpc 网络模式进行任务联网

  7. 选择创建

  8. 使用更新后的任务定义更新服务。有关更多信息,请参阅更新服务

控制台创建任务定义的 json 规范。您可以修改某些设置,但不能修改其他设置。有关更多信息,请扩展以下部分 。

代理配置

要将您的 Amazon ECS 服务配置为使用 App Mesh,您的服务的任务定义必须具有以下代理配置部分。将代理配置 type 设置为 APPMESH,并 containerName 配置为 envoy。相应地设置以下属性值。

IgnoredUID

Envoy 代理不会路由来自使用此用户 ID 的进程的流量。您可以为此属性值选择所需的任何用户 ID,但此 ID 必须与任务定义中的 Envoy 容器的 user ID 相同。此匹配允许 Envoy 忽略其自己的流量,而无需使用代理。出于历史原因,我们的示例使用 1337

ProxyIngressPort

这是 Envoy 代理容器的入口端口。将此值设置为 15000

ProxyEgressPort

这是 Envoy 代理容器的出口端口。将此值设置为 15001

AppPorts

指定您的应用程序容器在其上侦听的任何入口端口。在此示例中,应用程序容器在端口 9080 上侦听。您指定的端口必须与虚拟节点侦听器上配置的端口匹配。

EgressIgnoredIPs

Envoy 不会将流量代理至这些 IP 地址。将此值设置为 169.254.170.2,169.254.169.254,这会忽略 Amazon EC2 元数据服务器和 Amazon ECS 任务元数据端点。元数据端点为任务凭证提供 IAM 角色。您可以添加其他地址。

EgressIgnoredPorts

您可以添加以逗号分隔的端口列表。Envoy 不会将流量转发至这些端口。即使您没有列出任何端口,端口 22 也会被忽略。

注意

可以忽略的最大出站端口数为 15。

"proxyConfiguration": { "type": "APPMESH", "containerName": "envoy", "properties": [{ "name": "IgnoredUID", "value": "1337" }, { "name": "ProxyIngressPort", "value": "15000" }, { "name": "ProxyEgressPort", "value": "15001" }, { "name": "AppPorts", "value": "9080" }, { "name": "EgressIgnoredIPs", "value": "169.254.170.2,169.254.169.254" }, { "name": "EgressIgnoredPorts", "value": "22" } ] }
应用程序容器 Envoy 依赖项

您的任务定义中的应用程序容器必须等待 Envoy 代理来引导和启动之后才能启动。为确保发生此情况,设置每个应用程序容器定义中的 dependsOn 部分以等待 Envoy 容器报告为 HEALTHY。以下代码显示了包含此依赖项的应用程序容器定义示例。以下示例中的所有属性都是必需的。某些属性值也是必需的,但某些属性值是可替换的

{ "name": "appName", "image": "appImage", "portMappings": [{ "containerPort": 9080, "hostPort": 9080, "protocol": "tcp" }], "essential": true, "dependsOn": [{ "containerName": "envoy", "condition": "HEALTHY" }] }

Envoy 容器定义

您的 Amazon ECS 任务定义必须包含 App Mesh Envoy 容器镜像。

  • me-south-1ap-east-1ap-southeast-3eu-south-1il-central-1af-south-1 之外的所有受支持地区。您可以用me-south-1ap-east-1ap-southeast-3eu-south-1il-central-1af-south-1之外的任何地区替换地区代码

    840364872350.dkr.ecr.region-code.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
  • me-south-1 地区:

    772975370895.dkr.ecr.me-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
  • ap-east-1 地区:

    856666278305.dkr.ecr.ap-east-1.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
  • ap-southeast-3 地区:

    909464085924.dkr.ecr.ap-southeast-3.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
  • eu-south-1 地区:

    422531588944.dkr.ecr.eu-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
  • il-central-1 地区:

    564877687649.dkr.ecr.il-central-1.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
  • af-south-1 地区:

    924023996002.dkr.ecr.af-south-1.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod
  • cn-north-1 地区:

    919366029133.dkr.ecr.cn-north-1.amazonaws.com.cn/aws-appmesh-envoy:v1.27.2.0-prod
  • cn-northwest-1 地区:

    919830735681.dkr.ecr.cn-northwest-1.amazonaws.com.cn/aws-appmesh-envoy:v1.27.2.0-prod
  • Public repository

    public.ecr.aws/appmesh/aws-appmesh-envoy:v1.27.2.0-prod
重要

仅支持 v1.9.0.0-prod 或更高版本与 App Mesh 一起使用。

在 Envoy 项目团队合并支持 App Mesh 的更改之前,您必须使用 App Mesh Envoy 容器镜像。有关其他详细信息,请参阅 GitHub 路线图问题

以下示例中的所有属性都是必需的。某些属性值也是必需的,但某些属性值是可替换的

注意
  • Envoy 容器定义必须标记为 essential

  • 我们建议为 Envoy 容器分配 512 个 CPU 单元及至少 64 MiB 的内存。在 Fargate 上,您可以设置的最低内存为 1024MiB。

  • Amazon ECS 服务的虚拟节点名称必须设置为 APPMESH_RESOURCE_ARN 属性的值。此属性需要版本1.15.0或更高版本的 Envoy 镜像。有关更多信息,请参阅Envoy 镜像

  • user 设置的值必须与任务定义代理配置中的 IgnoredUID 值匹配。在此示例中,我们使用的是 1337

  • 此处显示的运行状况检查等待 Envoy 容器正确引导,然后再向 Amazon ECS报告其运行状况良好且已准备好启动应用程序容器。

  • 默认情况下,当 Envoy 在指标和跟踪中引用自身时,App Mesh 使用您在 APPMESH_RESOURCE_ARN 中指定的资源的名称。您可以通过使用自己的名称设置 APPMESH_RESOURCE_CLUSTER 环境变量来覆盖此行为。此属性需要版本 1.15.0 或更高版本的 Envoy 镜像。有关更多信息,请参阅Envoy 镜像

以下代码显示 Envoy 容器定义示例。

{ "name": "envoy", "image": "840364872350.dkr.ecr.us-west-2.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod", "essential": true, "environment": [{ "name": "APPMESH_RESOURCE_ARN", "value": "arn:aws:appmesh:us-west-2:111122223333:mesh/apps/virtualNode/serviceB" }], "healthCheck": { "command": [ "CMD-SHELL", "curl -s http://localhost:9901/server_info | grep state | grep -q LIVE" ], "startPeriod": 10, "interval": 5, "timeout": 2, "retries": 3 }, "user": "1337" }
示例任务定义

以下示例 Amazon ECS 任务定义显示如何将上述示例合并到 taskB 的任务定义中。本文分别提供了使用或不使用 Amazon X-Ray 为两种 Amazon ECS 启动类型创建任务的示例。可根据需要更改可替换的 值,为此场景中名为 taskBv2taskA 的任务创建任务定义。用您的网格名称和虚拟节点名称替换 APPMESH_RESOURCE_ARN 值,并用您的应用程序侦听的端口列表替换代理配置 AppPorts 值。默认情况下,当 Envoy 在指标和跟踪中引用自身时,App Mesh 使用您在 APPMESH_RESOURCE_ARN 中指定的资源的名称。您可以通过使用自己的名称设置 APPMESH_RESOURCE_CLUSTER 环境变量来覆盖此行为。以下示例中的所有属性都是必需的。某些属性值也是必需的,但某些属性值是可替换的

如果按照“凭证”部分中所述运行 Amazon ECS 任务,那么需要将现有任务 IAM 角色添加到示例中。

重要

Fargate 必须使用大于 1024 的端口值。

例 亚马逊 ECS 任务定义的 JSON - Linux 容器上的 Fargate
{ "family" : "taskB", "memory" : "1024", "cpu" : "0.5 vCPU", "proxyConfiguration" : { "containerName" : "envoy", "properties" : [ { "name" : "ProxyIngressPort", "value" : "15000" }, { "name" : "AppPorts", "value" : "9080" }, { "name" : "EgressIgnoredIPs", "value" : "169.254.170.2,169.254.169.254" }, { "name": "EgressIgnoredPorts", "value": "22" }, { "name" : "IgnoredUID", "value" : "1337" }, { "name" : "ProxyEgressPort", "value" : "15001" } ], "type" : "APPMESH" }, "containerDefinitions" : [ { "name" : "appName", "image" : "appImage", "portMappings" : [ { "containerPort" : 9080, "protocol" : "tcp" } ], "essential" : true, "dependsOn" : [ { "containerName" : "envoy", "condition" : "HEALTHY" } ] }, { "name" : "envoy", "image" : "840364872350.dkr.ecr.us-west-2.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod", "essential" : true, "environment" : [ { "name" : "APPMESH_VIRTUAL_NODE_NAME", "value" : "mesh/apps/virtualNode/serviceB" } ], "healthCheck" : { "command" : [ "CMD-SHELL", "curl -s http://localhost:9901/server_info | grep state | grep -q LIVE" ], "interval" : 5, "retries" : 3, "startPeriod" : 10, "timeout" : 2 }, "memory" : "500", "user" : "1337" } ], "requiresCompatibilities" : [ "FARGATE" ], "taskRoleArn" : "arn:aws:iam::123456789012:role/ecsTaskRole", "executionRoleArn" : "arn:aws:iam::123456789012:role/ecsTaskExecutionRole", "networkMode" : "awsvpc" }
例 使用 Amazon X-Ray 的亚马逊 ECS 任务定义的 JSON - Linux 容器上的 Fargate

X-Ray 允许您收集有关应用程序服务于的请求的数据,并提供可用于可视化流量的工具。使用适用于 Envoy 的 X-Ray 驱动程序,Envoy 能够向 X-Ray 报告跟踪信息。您可以使用 Envoy 配置启用 X-Ray 跟踪。根据配置,Envoy 将跟踪数据发送到作为 sidecar 容器运行的 X-Ray 进程守护程序,该进程守护程序将跟踪转发给 X-Ray 服务。在将跟踪发布到 X-Ray 后,您可以使用 X-Ray 控制台来可视化服务调用图和请求跟踪详细信息。以下 JSON 表示用于启用 X-Ray 集成的任务定义。

{ "family" : "taskB", "memory" : "1024", "cpu" : "512", "proxyConfiguration" : { "containerName" : "envoy", "properties" : [ { "name" : "ProxyIngressPort", "value" : "15000" }, { "name" : "AppPorts", "value" : "9080" }, { "name" : "EgressIgnoredIPs", "value" : "169.254.170.2,169.254.169.254" }, { "name": "EgressIgnoredPorts", "value": "22" }, { "name" : "IgnoredUID", "value" : "1337" }, { "name" : "ProxyEgressPort", "value" : "15001" } ], "type" : "APPMESH" }, "containerDefinitions" : [ { "name" : "appName", "image" : "appImage", "portMappings" : [ { "containerPort" : 9080, "protocol" : "tcp" } ], "essential" : true, "dependsOn" : [ { "containerName" : "envoy", "condition" : "HEALTHY" } ] }, { "name" : "envoy", "image" : "840364872350.dkr.ecr.us-west-2.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod", "essential" : true, "environment" : [ { "name" : "APPMESH_VIRTUAL_NODE_NAME", "value" : "mesh/apps/virtualNode/serviceB" }, { "name": "ENABLE_ENVOY_XRAY_TRACING", "value": "1" } ], "healthCheck" : { "command" : [ "CMD-SHELL", "curl -s http://localhost:9901/server_info | grep state | grep -q LIVE" ], "interval" : 5, "retries" : 3, "startPeriod" : 10, "timeout" : 2 }, "memory" : "500", "user" : "1337" }, { "name" : "xray-daemon", "image" : "amazon/aws-xray-daemon", "user" : "1337", "essential" : true, "cpu" : "32", "memoryReservation" : "256", "portMappings" : [ { "containerPort" : 2000, "protocol" : "udp" } ] } ], "requiresCompatibilities" : [ "FARGATE" ], "taskRoleArn" : "arn:aws:iam::123456789012:role/ecsTaskRole", "executionRoleArn" : "arn:aws:iam::123456789012:role/ecsTaskExecutionRole", "networkMode" : "awsvpc" }
例 Amazon ECS 任务定义的 JSON - EC2 启动类型
{ "family": "taskB", "memory": "256", "proxyConfiguration": { "type": "APPMESH", "containerName": "envoy", "properties": [ { "name": "IgnoredUID", "value": "1337" }, { "name": "ProxyIngressPort", "value": "15000" }, { "name": "ProxyEgressPort", "value": "15001" }, { "name": "AppPorts", "value": "9080" }, { "name": "EgressIgnoredIPs", "value": "169.254.170.2,169.254.169.254" }, { "name": "EgressIgnoredPorts", "value": "22" } ] }, "containerDefinitions": [ { "name": "appName", "image": "appImage", "portMappings": [ { "containerPort": 9080, "hostPort": 9080, "protocol": "tcp" } ], "essential": true, "dependsOn": [ { "containerName": "envoy", "condition": "HEALTHY" } ] }, { "name": "envoy", "image": "840364872350.dkr.ecr.us-west-2.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod", "essential": true, "environment": [ { "name": "APPMESH_VIRTUAL_NODE_NAME", "value": "mesh/apps/virtualNode/serviceB" } ], "healthCheck": { "command": [ "CMD-SHELL", "curl -s http://localhost:9901/server_info | grep state | grep -q LIVE" ], "startPeriod": 10, "interval": 5, "timeout": 2, "retries": 3 }, "user": "1337" } ], "requiresCompatibilities" : [ "EC2" ], "taskRoleArn" : "arn:aws:iam::123456789012:role/ecsTaskRole", "executionRoleArn" : "arn:aws:iam::123456789012:role/ecsTaskExecutionRole", "networkMode": "awsvpc" }
例 带 Amazon X-Ray 的 Amazon ECS 任务定义的 JSON - EC2 启动类型
{ "family": "taskB", "memory": "256", "cpu" : "1024", "proxyConfiguration": { "type": "APPMESH", "containerName": "envoy", "properties": [ { "name": "IgnoredUID", "value": "1337" }, { "name": "ProxyIngressPort", "value": "15000" }, { "name": "ProxyEgressPort", "value": "15001" }, { "name": "AppPorts", "value": "9080" }, { "name": "EgressIgnoredIPs", "value": "169.254.170.2,169.254.169.254" }, { "name": "EgressIgnoredPorts", "value": "22" } ] }, "containerDefinitions": [ { "name": "appName", "image": "appImage", "portMappings": [ { "containerPort": 9080, "hostPort": 9080, "protocol": "tcp" } ], "essential": true, "dependsOn": [ { "containerName": "envoy", "condition": "HEALTHY" } ] }, { "name": "envoy", "image": "840364872350.dkr.ecr.us-west-2.amazonaws.com/aws-appmesh-envoy:v1.27.2.0-prod", "essential": true, "environment": [ { "name": "APPMESH_VIRTUAL_NODE_NAME", "value": "mesh/apps/virtualNode/serviceB" }, { "name": "ENABLE_ENVOY_XRAY_TRACING", "value": "1" } ], "healthCheck": { "command": [ "CMD-SHELL", "curl -s http://localhost:9901/server_info | grep state | grep -q LIVE" ], "startPeriod": 10, "interval": 5, "timeout": 2, "retries": 3 }, "user": "1337" }, { "name": "xray-daemon", "image": "amazon/aws-xray-daemon", "user": "1337", "essential": true, "cpu": 32, "memoryReservation": 256, "portMappings": [ { "containerPort": 2000, "protocol": "udp" } ] } ], "requiresCompatibilities" : [ "EC2" ], "taskRoleArn" : "arn:aws:iam::123456789012:role/ecsTaskRole", "executionRoleArn" : "arn:aws:iam::123456789012:role/ecsTaskExecutionRole", "networkMode": "awsvpc" }

高级主题

使用 App Mesh 进行金丝雀部署

金丝雀部署和版本可帮助您在应用程序的旧版本和新部署的版本之间切换流量。它还可监控新部署版本的运行状况。如果新版本有任何问题,金丝雀部署可以自动将流量切换回旧版本。利用金丝雀部署,能够更多地控制在应用程序版本之间切换流量。

有关如何使用 App Mesh 为 Amazon ECS 实施金丝雀部署的更多信息,请参阅使用 App Mesh 为亚马逊 ECS 创建带有金丝雀部署的管道

注意

有关 App Mesh 的更多示例和演练,请参阅 App Mesh 示例存储库