我想将aws-node cni替换为calico。我已经删除了aws-node守护进程并安装了calico。 Pod之间的网络运行良好,但是当我使用突变Webhooks时,kube-api-server无法连接到目标服务,因为没有从它到Pod的路由:
E0304 15:41:02.131212 1 dispatcher.go:71] failed calling webhook "secrets.vault.admission.banzaicloud.com": Post https://vault-secrets-webhook.vault.svc:443/secrets?timeout=30s: net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)
该服务具有端点,可以从pods中获得。如果我使用默认的cni,则从kube-api-server到webhook的服务的连接将起作用,因为主vpc路由表具有必要的路由。 有可能解决这个问题吗?
答案 0 :(得分:0)
我希望您关注此处https://docs.aws.amazon.com/eks/latest/userguide/calico.html
提到的文档此印花布与aws-cni一起运行,也就是说,您仍然需要aws-node。
如果您想用库存印花布替换aws-cni,仍然可以,但未经测试,您将失去依赖于aws-node的EKS功能。
因此,如果您只是想在EKS上寻求更好的安全性,只需在现有的EKS上安装calico,即可获得正式支持。