Knative Serving 1.17.0版本在EKS上拉取ECR镜像失败问题解析

在Knative Serving升级到1.17.0版本后，部分用户在使用Amazon EKS集群时遇到了无法从ECR（Elastic Container Registry）拉取容器镜像的问题。本文将深入分析该问题的成因、影响范围以及解决方案。

问题现象

当用户将Knative Serving从1.16.2版本升级到1.17.0版本后，部署在EKS上的应用会出现"ContainerMissing"错误。具体表现为Knative控制器日志中显示401未授权错误，无法从ECR获取镜像的digest信息。

错误日志显示控制器尝试通过HEAD请求获取镜像清单时，收到了401未授权的响应。这与1.16.2版本形成鲜明对比，在旧版本中相同的配置可以正常工作。

问题根源

经过社区调查，发现问题出在Knative Serving 1.17.0版本中用于执行标签到digest解析的库存在兼容性问题。这个库负责与容器注册表通信，将用户指定的镜像标签转换为具体的digest值。

在AWS ECR环境下，该库未能正确处理AWS特有的认证流程。值得注意的是，这个问题不仅影响使用显式IAM角色绑定的场景，也影响了依赖节点实例配置(instance profiles)的认证方式。

解决方案

Knative社区迅速响应并修复了这个问题。解决方案包括：

1. 升级到Knative Serving 1.17.1版本，该版本包含了修复后的库
2. 对于急需修复的用户，可以使用Knative nightly构建版本作为临时解决方案
3. 确保控制器Pod具有正确的EKS IAM角色关联，以便注入必要的环境变量

技术细节

在AWS环境下，Knative使用ECR凭证助手来处理认证。这个助手依赖于标准的AWS凭证链，包括：

• 显式配置的IAM角色
• 节点实例配置
• 环境变量凭证

当hop count设置为1时，系统不会回退到节点认证，此时必须确保控制器Pod有正确的IAM角色关联。

验证与确认

多位社区成员验证了修复的有效性：

1. 使用nightly构建版本的控制器镜像可以解决问题
2. 1.17.1正式发布后，确认修复了原始问题
3. 在1.18.0版本中，虽然解决了401错误，但出现了新的超时问题，这表明可能需要进一步优化ECR交互逻辑

最佳实践建议

对于在EKS上使用Knative Serving的用户，建议：

1. 及时升级到1.17.1或更高版本
2. 确保控制器Pod有适当的IAM权限
3. 考虑使用IRSA(IAM Roles for Service Accounts)进行更精细的权限控制
4. 测试环境可以先试用nightly构建验证修复效果

总结

Knative Serving 1.17.0版本的ECR认证问题展示了容器编排系统与云提供商特定服务集成时的挑战。通过社区的快速响应和协作，问题得到了及时解决。这个案例也提醒我们，在升级生产环境的关键组件前，充分的测试和验证是必不可少的。

对于遇到类似问题的用户，建议参考本文描述的解决方案，并根据自身环境特点选择最适合的修复路径。随着Knative的持续发展，这类云服务集成问题有望得到更系统性的解决。