Kein Out-of-Pod-Networking im EKS-Cluster

Kein Out-of-Pod-Networking im EKS-Cluster

Ich habe einen EKS-Cluster (1.24) mit dem AWS EKS-Modul von Terraform gestartet. Vom System generierte Sicherheitsgruppen. Private oder öffentliche Subnetze.

Cluster eingehend: Cluster-Ports für eingehende Sicherheitsgruppen

Knoten eingehend: Ingress-Sicherheitsgruppen-Ports auf Knotenebene

Knoten ausgehend: Ports für ausgehende Sicherheitsgruppen auf Knotenebene

Der Cluster hat 1 Knoten und die Backplane. Er geht online, der Knoten stellt eine Verbindung her und ist bereit. Allerdings ist coredns mega traurig, da es die Version nicht von der Cluster-API abrufen kann.

Wenn es online geht, gibt es keine Anzeichen eines Problems, aber es stellt keine Verbindung zur API der Steuerebene über den lokalen Loopback her. Und es hat keine Internetverbindung.

./kubectl run -i --tty --rm debug --image=busybox -- sh
If you don't see a command prompt, try pressing enter.
/ #  wget $KUBERNETES_PORT_443_TCP_ADDR:$KUBERNETES_PORT_443_TCP_PORT/version
Connecting to 172.20.0.1:443 (172.20.0.1:443)
wget: can't connect to remote host (172.20.0.1): Connection timed out

/ # nc gooogle.com
nc: bad address 'gooogle.com'

Ich habe das NACL mit einem anderen Konto verglichen, bei dem es funktioniert, und es sieht für mich in Ordnung aus. Ich habe es mit und ohne VPC CNI probiert.

Auf Knotenebene kann der Knoten eine Verbindung zum Internet herstellen und Bilder abrufen. Was fehlt mir auf Pod-Ebene? Warum kann er keine Verbindung zur API herstellen und warum kann er keine Verbindung zum Internet herstellen?

Antwort1

Jemand, der unsere benutzerdefinierten AMI-Bilder erstellt hat, hat beschlossen, sie sysctl net.ipv4.ip_forwardauf 0 zu setzen, wodurch der gesamte Netzwerkverkehr blockiert wurde

verwandte Informationen