0

我想将 aws-node cni 替换为 calico。我已经删除了 aws-node daemonset 并安装了 calico。pod 之间的网络运行良好,但是当我使用突变 webhook 时,kube-api-server 无法连接到目标服务,因为没有从它到 pod 的路由:

E0304 15:41:02.131212       1 dispatcher.go:71] failed calling webhook "secrets.vault.admission.banzaicloud.com": Post https://vault-secrets-webhook.vault.svc:443/secrets?timeout=30s: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

该服务具有端点,可从 pod 获得。如果我使用默认 cni,则从 kube-api-server 到 webhook 服务的连接有效,因为主 vpc 路由表具有必要的路由。有可能解决这个问题吗?

4

1 回答 1

0

我希望您遵循此处提到的文档https://docs.aws.amazon.com/eks/latest/userguide/calico.html

此印花布与 aws-cni 一起运行,即您仍然需要 aws-node。

如果您想用库存印花布替换 aws-cni,它仍然是可能的,但它没有经过测试,您将失去依赖于 aws-node 的 EKS 功能。

因此,如果您只是在 EKS 上寻找更好的安全性,只需在现有的 EKS 上安装 calico,它就会得到官方支持。

于 2020-03-05T06:58:14.810 回答