Отсутствие внешнего сетевого взаимодействия в кластере EKS

Отсутствие внешнего сетевого взаимодействия в кластере EKS

У меня есть кластер EKS(1.24), запущенный с модулем Terraform AWS EKS. Группы безопасности, сгенерированные системой. Частные или публичные подсети.

Входящий кластер: Кластерные входящие порты группы безопасности

Входящий узел: Группа безопасности входящего уровня узла

Узел исходящий: Выходные порты группы безопасности уровня узла

Кластер имеет 1 узел и объединительную плату. Он подключается, узел подключается и находится в состоянии готовности. Хотя coredns очень печален, так как не может получить версию из API кластера.

Когда он подключается к сети, никаких признаков проблемы не наблюдается, но он не подключается к API плоскости управления через локальный обратный шлейф. И у него нет подключения к Интернету.

./kubectl run -i --tty --rm debug --image=busybox -- sh
If you don't see a command prompt, try pressing enter.
/ #  wget $KUBERNETES_PORT_443_TCP_ADDR:$KUBERNETES_PORT_443_TCP_PORT/version
Connecting to 172.20.0.1:443 (172.20.0.1:443)
wget: can't connect to remote host (172.20.0.1): Connection timed out

/ # nc gooogle.com
nc: bad address 'gooogle.com'

Я проверил NACL на другом аккаунте, где он работает, и мне кажется, что все в порядке. Я пробовал с VPC CNI и без него.

На уровне узла узел может подключаться к интернету и вытягивать изображения. Что я упускаю на уровне pod, почему он не может подключиться к API и почему он не может подключиться к интернету?

решение1

Кто-то, кто придумал наши пользовательские образы AMI, решил установить sysctl net.ipv4.ip_forwardзначение 0, что заблокировало весь сетевой трафик

Связанный контент