Мутация Webhooks в EKS не работает, когда ситец используется в качестве cni

Question

Я хочу заменить aws -узел cni на ситце. Я удалил aws -узел демона и установил бязь. Сеть между модулями работает отлично, но когда я использую мутационные веб-подключения, kube-api-server не может подключиться к целевому сервису, потому что нет маршрутов от него к модулям:

E0304 15:41:02.131212       1 dispatcher.go:71] failed calling webhook "secrets.vault.admission.banzaicloud.com": Post https://vault-secrets-webhook.vault.svc:443/secrets?timeout=30s: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

Сервис имеет конечные точки, и это доступно из стручков. Если я использую cni по умолчанию, подключение от kube-api-server к сервису webhook работает, потому что основная таблица маршрутов vp c имеет необходимые маршруты. Возможно ли решить эту проблему?

Answer 1

Я надеюсь, что вы следуете документам, упомянутым здесь https://docs.aws.amazon.com/eks/latest/userguide/calico.html

Этот бязь работает вместе с aws -cni ie, который вам все еще нужен aws -узел.

Если вы хотите заменить aws -cni на стоковую ситцевую, это все еще возможно, но это не проверено, и вы потеряете функции EKS, которые зависят от aws -узла.

Так если вы просто ищете лучшую защиту на EKS, просто установите ситцевое устройство на существующий EKS, и оно официально поддерживается.