amazon-web-services - 为什么创建 EKS 集群会自动创建我已有的安全组
问题描述
我正在尝试通过 CloudFormation 创建一个 EKS 集群。我已经阅读了 Amazon 的所有 EKS安全组指南,并且已经建立了我的安全组,因为我想要更清晰、更整洁的命名,并且能够事先定义这些和其他一些(BastionHost SG 和 RDS SG)之间的复杂性。
看在上帝的份上,我无法理解为什么它会不断创建集群安全组,而忽略我在模板中作为参考传递的那个,并且在我指定堡垒的 NodeGroup 的远程访问安全组中也会发生同样的事情主机的安全组。它没有接受它,而是继续创建自己的新安全组,该安全组以我的 BastionHost 的安全组为源。
字面意思糊涂。我能克服这个吗?
更新: 所以我拥有亚马逊为我的 EKS 建议的 3 个安全组。我们称它们为cluster-sg、control-plane-sg和nodegroup-sg。还假设它们已按照上面的指南进行配置,采用“推荐的”入站/出站流量指南,而不是最低要求(尽管我认为这在这一部分中没有发挥重要作用)。此外,还有一个单独的 EC2 实例的安全组,它是我的堡垒主机,我们称之为bastion-sg。
我的 CloudFormation 模板如下所示:
EKSCluster:
Type: 'AWS::EKS::Cluster'
Properties:
Name: 'my-cluster'
Version: '1.17'
ResourcesVpcConfig:
SecurityGroupIds:
- !Ref clusterSG #do I need this cluster-sg here? do I need also nodegroup-sg? do I need both?
SubnetIds:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
- !Ref PrivateSubnet3
RoleArn: !GetAtt ClusterInstanceRole.Arn
NodeGroupCluster:
Type: AWS::EKS::Nodegroup
Properties:
ClusterName: !Ref EKSCluster
DiskSize: !Ref ClusterDiskSize
InstanceTypes: !Ref NodeInstanceTypes
ForceUpdateEnabled: false
NodegroupName: 'cluster-nodegroup'
NodeRole: !GetAtt NodeInstanceRole.Arn #this is a resource that I haven't provided
RemoteAccess:
Ec2SshKey: !Ref EC2KeyPair
SourceSecurityGroups:
- !Ref bastionSG
ScalingConfig:
DesiredSize: !Ref DesiredNodeSize
MaxSize: !Ref MaximumNodeSize
MinSize: !Ref MinimumNodeSize
Subnets:
- !Ref PrivateSubnet1
- !Ref PrivateSubnet2
- !Ref PrivateSubnet3
总而言之,问题有两个方面:a)我似乎缺少配置和安全组方面的内容。即我有亚马逊为整个集群推荐的 3 个安全组,但只有两个接受安全组的地方。b)我尝试过的任何组合(根据我的原始帖子)都没有考虑到cluster-sg,而是自动创建了一个,这不利于我的 IaaC 和自动部署理念。
解决方案
我正在经历同样的问题。EKS 控制平面位于 AWS 内某个单独的 VPC 上。当我们创建 EKS 集群时,它会自动创建一个 ENI,它将附加一个安全组,该安全组将用于控制平面和工作节点之间的通信。无论如何,这个集群的 SG 总是会被创建。现在,如果您在 cloudformation 脚本中传递其他安全组作为 SG 的参数,它将简单地将这些安全组与创建的 ENI 一起附加。如果您启动 Nodegroup NG-1 并将其附加到不同的安全组,请确保在集群 cloudformation 脚本中提供 SG,以便它可以将该安全组与 ENI 附加并打开相应的端口,以便工作节点可以与之通信集群。
我使用专用 SG 创建了启动模板,并使用相同的启动模板创建了一个 NodeGroup。我还在 CF 的集群脚本中提到了我的 Launchtemplate 的 SG,以确保我的节点可以与控制平面通信,否则节点组将无法启动。
所以简而言之,请记住以下几点:
- 总会有一个集群创建的安全组
-ClusterSG 或您在 cf 集群脚本中传递的任何其他 SG 将附加到 EKS 在启动时创建的 ENI。
请参阅以下文档以获得更好的理解。
https://docs.aws.amazon.com/eks/latest/userguide/sec-group-reqs.html
推荐阅读
- c++ - 通过添加操作优化 Eigen 表达式
- java - 如何实现呼叫屏蔽?
- datatables - 如何使用范围日期选择器过滤服务器端 jquery 数据表
- java - JUnit5 - @CsvSource - 将源转换为 POJO
- cmd - 在 cmd 中为特定命令创建别名
- python - 构建嗖嗖索引时超出最大递归深度
- python - 用全局变量序列化函数
- ios - 具有按比例填充的子视图和内在宽度的 iOS StackViews 未按预期运行
- android - 无法在扩展 View 的内部类中覆盖 onCreateOptionMenu
- python - 如何在幻灯片的特定位置通过 python 将 Excel 文件和链接数据嵌入 PowerPoint