У меня есть кластер EKS(1.24), запущенный с модулем Terraform AWS EKS. Группы безопасности, сгенерированные системой. Частные или публичные подсети.
Входящий кластер:
Входящий узел:
Узел исходящий:
Кластер имеет 1 узел и объединительную плату. Он подключается, узел подключается и находится в состоянии готовности. Хотя coredns очень печален, так как не может получить версию из API кластера.
Когда он подключается к сети, никаких признаков проблемы не наблюдается, но он не подключается к API плоскости управления через локальный обратный шлейф. И у него нет подключения к Интернету.
./kubectl run -i --tty --rm debug --image=busybox -- sh
If you don't see a command prompt, try pressing enter.
/ # wget $KUBERNETES_PORT_443_TCP_ADDR:$KUBERNETES_PORT_443_TCP_PORT/version
Connecting to 172.20.0.1:443 (172.20.0.1:443)
wget: can't connect to remote host (172.20.0.1): Connection timed out
/ # nc gooogle.com
nc: bad address 'gooogle.com'
Я проверил NACL на другом аккаунте, где он работает, и мне кажется, что все в порядке. Я пробовал с VPC CNI и без него.
На уровне узла узел может подключаться к интернету и вытягивать изображения. Что я упускаю на уровне pod, почему он не может подключиться к API и почему он не может подключиться к интернету?
решение1
Кто-то, кто придумал наши пользовательские образы AMI, решил установить
sysctl net.ipv4.ip_forwardзначение 0, что заблокировало весь сетевой трафик