Fargate on SRE运维博客 https://www.cnsre.cn/categories/fargate/ Recent content in Fargate on SRE运维博客 Hugo -- gohugo.io zh Mon, 09 Sep 2024 09:28:27 +0800 daily daily 如何解决 Amazon EKS 中 Fargate 无法访问公网的问题 https://www.cnsre.cn/posts/240909092827/ Mon, 09 Sep 2024 09:28:27 +0800 Thu, 20 Mar 2025 11:15:50 +0800 https://www.cnsre.cn/posts/240909092827/ 作者:SRE运维博客 博客地址:https://www.cnsre.cn/ 文章地址:https://www.cnsre.cn/posts/24 <hr /> <blockquote> <p>作者:<a href="https://www.cnsre.cn/">SRE运维博客</a><br /> 博客地址:<a href="https://www.cnsre.cn/">https://www.cnsre.cn/</a><br /> 文章地址:<a href="https://www.cnsre.cn/posts/240909092827/">https://www.cnsre.cn/posts/240909092827/</a><br /> 相关话题:<a href="https://www.cnsre.cn/tags/eks/">https://www.cnsre.cn/tags/eks/</a></p> </blockquote> <hr /> <h1 id="如何解决-amazon-eks-中-fargate-无法访问公网的问题">如何解决 Amazon EKS 中 Fargate 无法访问公网的问题</h1> <h2 id="背景介绍">背景介绍</h2> <p>在使用 EKS + Fargate 创建服务的测试过程中,遇到了 Fargate 中的 Pod 无法访问公网的问题。该案例中,Fargate 和 EC2 实例使用了相同的子网配置,然而 Fargate Pod 无法访问公网,而 EC2 Pod 可以正常访问。本文将深入分析该问题的原因,并提供相应的解决方案。</p> <h2 id="案例描述">案例描述</h2> <p>我们在 AWS 环境中配置了一个 EKS 集群,其中既包含 EC2 节点的 Pod,也包含 Fargate 节点的 Pod。EC2 节点的 Pod 可以正常访问公网,但 Fargate 节点的 Pod 却出现了无法解析域名、访问超时的情况。</p> <h3 id="关键问题">关键问题</h3> <p>在我们尝试使用 Fargate Pod 访问公网时,使用 <code>kubectl exec</code> 进入 Fargate Pod 后,尝试执行 <code>apt-get update</code> 以更新系统包,但出现了如下错误:</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">0% <span class="o">[</span>Connecting to archive.ubuntu.com<span class="o">]</span> <span class="o">[</span>Connecting to security.ubuntu.com<span class="o">]</span> ^C </span></span></code></pre></td></tr></table> </div> </div><p>这表明 Fargate Pod 无法访问外部网络,而 EC2 节点的 Pod 则可以正常执行命令、连接公网。</p> <hr /> <h2 id="分析与调查">分析与调查</h2> <p>经过 AWS 技术支持的深入分析,问题的根源在于 <strong>安全组配置</strong>。Fargate 使用的 Pod 默认通过 CoreDNS 解析域名,当我们使用 <code>dig</code> 命令解析域名时,返回了超时错误。这说明 Fargate Pod 的 DNS 请求未能正确处理。</p> <p>在检查我们的 EC2 节点时,发现该节点的安全组仅放行了来自 Fargate 的 TCP 请求。然而,DNS 请求通常使用 UDP 协议,因此在 Fargate Pod 尝试进行 DNS 解析时,由于安全组未放行 UDP 流量,导致了超时。</p> <hr /> <h2 id="解决方案">解决方案</h2> <p>为了解决这一问题,AWS 技术支持建议修改 <strong>EC2 节点的安全组配置</strong>。通过放行来自 <strong>集群安全组</strong> 的所有流量,包括 TCP 和 UDP 请求,确保 Fargate Pod 能够正常进行 DNS 解析和公网访问。</p> <h3 id="步骤如下">步骤如下:</h3> <ol> <li><strong>登录 AWS 控制台</strong>,进入 EC2 管理页面。</li> <li>选择对应的 EC2 实例,并查看其附加的安全组。</li> <li><strong>修改安全组规则</strong>,确保放行来自 Fargate 的所有流量,特别是 <strong>UDP 53 端口</strong>,用于 DNS 请求。</li> <li>保存更改后,重新测试 Fargate Pod 的公网访问能力。</li> </ol> <hr /> <h2 id="结果验证">结果验证</h2> <p>在修改安全组后,我们的 Fargate Pod 可以正常访问公网,使用 <code>apt-get update</code> 命令成功连接到外部源。这说明问题已彻底解决。</p> <h3 id="fargate-pod-成功连接公网输出">Fargate Pod 成功连接公网输出</h3> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span><span class="lnt">2 </span><span class="lnt">3 </span><span class="lnt">4 </span><span class="lnt">5 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-bash" data-lang="bash"><span class="line"><span class="cl">root@awslinux-fargate-pod:/# apt-get update </span></span><span class="line"><span class="cl">Hit:1 http://archive.ubuntu.com/ubuntu focal InRelease </span></span><span class="line"><span class="cl">Get:2 http://security.ubuntu.com/ubuntu focal-security InRelease <span class="o">[</span><span class="m">114</span> kB<span class="o">]</span> </span></span><span class="line"><span class="cl">Fetched <span class="m">114</span> kB in 1s <span class="o">(</span><span class="m">150</span> kB/s<span class="o">)</span> </span></span><span class="line"><span class="cl">Reading package lists... Done </span></span></code></pre></td></tr></table> </div> </div><p>通过这些配置修改,Fargate Pod 的网络访问问题得到了彻底解决,我们的生产环境也恢复了正常运行。</p> <hr /> <h2 id="常见问题与预防">常见问题与预防</h2> <h3 id="为什么-fargate-和-ec2-的网络行为不同">为什么 Fargate 和 EC2 的网络行为不同?</h3> <p>Fargate 和 EC2 节点虽然可以共享同一个子网,但它们在网络层面的实现存在差异。Fargate 使用 AWS 提供的托管网络,因此其默认行为与 EC2 节点有所不同。在配置安全组时,特别需要注意两者的网络规则是否兼容。</p> <h3 id="如何避免类似问题">如何避免类似问题?</h3> <p>为了避免类似的网络问题,建议在配置 EKS 集群时,仔细检查所有节点(包括 Fargate 和 EC2)的 <strong>安全组配置</strong> 和 <strong>网络规则</strong>。确保放行集群内部所需的所有流量,尤其是 <strong>UDP 53 端口</strong>,以支持 DNS 请求的正常运行。</p> <div class="alert alert-warning" role="alert" data-dir="ltr">注意:<br /> 为了能够保证Fargate 和EC2 node 的通信,尽量打通集群安全组,和 EC2 node 的安全组的通讯问题。即 EC2 node 安全组全部放行可以访问集群安全组,集群安全组全部放行可以访问EC2 node。</div> <hr /> <h2 id="结论">结论</h2> <p>通过本文,我们深入探讨了 Amazon EKS 环境中 Fargate Pod 无法访问公网的问题及其解决方案。这一问题主要是由于 <strong>安全组未放行 UDP 流量</strong> 导致的,通过适当的安全组配置调整,问题得以顺利解决。如果您在使用 AWS EKS 时遇到类似的网络问题,建议从安全组配置入手,确保所有必要的流量得到了正确放行。</p> <hr /> <blockquote> <p>作者:<a href="https://www.cnsre.cn/">SRE运维博客</a><br /> 博客地址:<a href="https://www.cnsre.cn/">https://www.cnsre.cn/</a><br /> 文章地址:<a href="https://www.cnsre.cn/posts/240909092827/">https://www.cnsre.cn/posts/240909092827/</a><br /> 相关话题:<a href="https://www.cnsre.cn/tags/eks/">https://www.cnsre.cn/tags/eks/</a></p> </blockquote> <hr /> Wenlong featured image fargate eks aws kubernetes fargate eks aws kubernetes