0

我有一个 EKS 集群,在私有子网中有工作节点。工作节点可以通过 nat 网关访问互联网。我有一个 Route53 托管区域记录将流量(别名)路由到负载均衡器。

当我尝试从 EKS 集群中的 pod 访问 url(route53 记录)时,它会超时。我尝试在负载均衡器安全组的入站规则中允许工作节点安全组,但它不起作用。唯一有效的是,如果我在负载均衡器安全组的入站规则中允许 nat 网关的公共 IP。

我确信这种设置很常见。我的问题是,在 LB SG 的入站规则中允许 nat 网关公共 ip 的解决方案是正确的方式,还是有更好更干净的方式来允许访问?

4

1 回答 1

1

根据您在此处描述的内容,您似乎有一个面向 Internet 的负载均衡器并试图从 pod 访问它。在这种情况下,流量需要从互联网(通过 nat 网关)返回到负载均衡器,这就是为什么只有将 nat 网关的公共 IP 添加到负载均衡器的 SG 时才有效。现在,就解决方案而言,这取决于您在此处尝试执行的操作:

  • 如果您只需要使用集群内的服务,则可以使用为集群内的该服务创建的 DNS 名称。在这种情况下,流量将留在集群内。你可以在这里阅读更多
  • 如果您需要将服务提供给同一 VPC 的其他集群,您可以使用私有负载均衡器并将工作节点的安全组添加到负载均衡器 SG。
  • 如果服务需要暴露在互联网上,那么您的解决方案可以工作,但您必须向所有访问该服务的公共 IP 打开公共负载均衡器的 SG。
于 2021-10-10T14:09:58.657 回答