我有一个在私有子网中具有工作节点的EKS集群。工人通过nat网关节点可以访问互联网。我有一个Route53托管区域记录路由流量(别名)到负载均衡器。
当我试图从EKS集群中的pod访问url (route53记录)时,它超时了。我尝试在负载平衡器安全组的入站规则中允许工作节点安全组,但它不起作用。唯一有效的是,如果我允许nat网关的公网IP在负载均衡器安全组的入站规则中。
我相信这种设置很常见。我的问题是,是允许nat网关的解决方案的公共ip的入站规则磅SG的正确方法或者有更好的清洁方法允许访问吗?
根据您在这里描述的内容,似乎您有一个面向Internet的负载均衡器,并试图从pod访问它。在这种情况下,流量需要去互联网(通过nat网关),并返回到负载均衡器,这就是为什么它只有当你添加nat网关的公网IP到负载均衡器的SG时才能工作。现在,就解决方案而言,这取决于您在这里要做什么:
- 如果您只需要在集群内使用该服务,则可以在集群内使用为该服务创建的DNS名称。在这种情况下,流量将留在集群内。你可以在这里阅读更多
- 如果您需要将该服务提供给同一VPC以外的其他集群使用,您可以使用私有负载均衡器,并将工作节点的安全组添加到负载均衡器SG。
- 如果服务需要暴露在互联网上,那么你的解决方案工作,但你必须打开公共负载均衡器的SG到所有访问该服务的公共ip。