После запуска приведенного ниже сценария в рабочем узле Amazon AMI Linux, как описано в https://docs.aws.amazon.com/eks/latest/userguide/restrict-ec2-credential-access.html,
sudo yum install -y iptables-services
sudo yum install -y initscripts
sudo iptables --insert FORWARD 1 --in-interface eni+ --destination 169.254.169.254/32 --jump DROP
sudo iptables-save | tee /etc/sysconfig/iptables
sudo systemctl enable iptables.service
Я получаю ошибки для cert-manager-cainjector и модули cluster-autoscaler. Блоки cert-manager-cainjector и cluster-autoscaler перешли в состояние crashloopbackerror со следующей проблемой.
kubectl logs aws-cluster-autoscaler-5cd9d77588-tm4nz -n kube-system
Ошибка сервера: Get https://10.73.45.50: 10250 / containerLogs / kube-system / aws -cluster-autoscaler-5cd9d77588-tm4nz / aws -cluster-autoscaler : набрать tcp 10.73.45.50:10250: подключиться: нет маршрута к хосту
Я даже попытался вставить «-A FORWARD -d 169.254.169.254/32 -i eni + -j DROP» непосредственно в файл / etc / sysconfig / iptables и перезапустил iptables.service. Но все равно не повезло.
Оба Надстройки cert-manager-cainjector и cluster-autoscaler настраиваются с помощью IRSA. Надстройка SSM настроена с параметром hostNetwork: true и роль IAM «AmazonSSMManagedInstanceCore» добавлена в профиль экземпляра, так что набор демонов SSM может работать. Профиль экземпляра был добавлен с ролью IAM для SSM, поскольку кажется, что IRSA не работает в SSM агент.
Можно ли что-то сделать, чтобы исправить это соединение: нет маршрута к хосту?