AWS Load Balancer Controller 外部负载均衡器配置问题解析

在 Kubernetes 环境中使用 AWS Load Balancer Controller (ALBC) 管理外部负载均衡器时，很多开发者会遇到配置问题。本文将深入分析一个典型场景：如何正确配置 ALBC 以使用预先存在的 AWS 网络负载均衡器 (NLB)。

问题背景

当开发者尝试按照官方文档配置 ALBC 使用外部管理的 NLB 时，经常会出现控制器意外删除安全组或创建额外目标组的情况。这通常是由于对 ALBC 工作原理和配置方式理解不足导致的。

核心概念解析

外部管理负载均衡器模式

ALBC 支持两种负载均衡器管理模式：

1. 控制器托管模式：由 ALBC 全权负责创建和管理负载均衡器资源
2. 外部管理模式：由运维人员预先创建好负载均衡器，然后通过 ALBC 将其与 Kubernetes 服务关联

TargetGroupBinding 资源

这是 ALBC 提供的自定义资源，用于将预先存在的 AWS 目标组与 Kubernetes 服务绑定。它是外部管理模式的核心组件。

典型配置误区

错误配置模式

开发者经常混淆以下两种配置：

1. 使用 service.beta.kubernetes.io/aws-load-balancer-type: external 注解
2. 真正的外部管理模式配置

前者实际上是指定负载均衡器的 IP 地址类型（外部/内部），而非管理模式。

安全组问题

当出现 "unexpected securityGroup with no resourceID" 错误时，表明控制器无法识别指定的安全组。这是因为安全组缺少必要的标签或标识信息。

正确配置步骤

1. 预先创建 AWS 资源

在 AWS 控制台或 CLI 中手动创建：

• 网络负载均衡器 (NLB)
• 目标组
• 相关监听器

2. 添加必要标签

为 NLB 添加以下标签：

• elbv2.k8s.aws/cluster = [集群名称]
• service.k8s.aws/resource = LoadBalancer
• service.k8s.aws/stack = [命名空间]/[服务名称]

3. 创建 TargetGroupBinding

编写 YAML 文件将预先创建的目标组与 Kubernetes 服务绑定：

apiVersion: elbv2.k8s.aws/v1beta1
kind: TargetGroupBinding
metadata:
  name: my-tgb
  namespace: mynamespace
spec:
  targetGroupARN: arn:aws:elasticloadbalancing:region:account:targetgroup/my-tg/id
  targetType: instance
  serviceRef:
    name: myservice
    port: 80

4. 服务配置注意事项

对于外部管理模式：

• 不需要在 Service 上添加特殊注解
• 避免使用会触发控制器自动管理的注解
• 确保服务选择器与目标 Pod 匹配

常见问题排查

1. 目标组未被正确关联

   • 检查 TargetGroupBinding 中的 targetGroupARN 是否正确
   • 确认目标组类型与 targetType 匹配

2. 安全组问题

   • 确保安全组已正确配置入站规则
   • 检查安全组是否位于正确的 VPC 中

3. 网络连接问题

   • 验证 Pod 是否能够接收来自 NLB 的流量
   • 检查节点安全组是否允许来自 NLB 的流量

最佳实践建议

1. 明确管理模式：在项目初期就确定使用控制器托管还是外部管理模式，避免中途切换带来的复杂性。

2. 标签规范化：为所有 AWS 资源添加一致的标签，便于管理和故障排查。

3. 渐进式部署：先在小规模环境中测试配置，确认无误后再推广到生产环境。

4. 监控配置：设置适当的监控和告警，及时发现配置异常。

通过理解这些核心概念和配置要点，开发者可以更有效地在 Kubernetes 环境中使用 ALBC 管理外部负载均衡器，避免常见的配置陷阱。