Terraform AWS EKS模块v20升级后Fargate Pod启动问题深度解析

2025-06-12 11:44:57作者：丁柯新Fawn

项目地址：https://gitcode.com/GitHub_Trending/te/terraform-aws-eks

问题背景

在使用Terraform AWS EKS模块从v19升级到v20版本后，许多用户报告了Fargate Pod无法正常启动的问题。错误信息通常显示"Pod execution role is not found in auth config or does not have all required permissions for launching fargate pods"。这个问题不仅出现在升级场景中，甚至在新创建的集群上也会出现。

核心问题分析

这个问题源于EKS v20模块中认证模式的重大变更。在v19版本中，模块会自动管理aws-auth ConfigMap，包括为Fargate配置文件添加必要的IAM角色条目。而在v20中，模块引入了新的认证模式选项：

CONFIG_MAP：仅使用传统的aws-auth ConfigMap
API：仅使用EKS访问条目(Access Entry)
API_AND_CONFIG_MAP：混合使用两种认证方式

当使用API_AND_CONFIG_MAP模式时，EKS理论上应该自动为Fargate配置文件和托管节点组创建访问条目，并更新aws-auth ConfigMap。然而实际观察发现：

EKS确实会创建访问条目
EKS也会在ConfigMap中添加条目
但当通过Terraform管理ConfigMap时，这些自动添加的条目会被覆盖或删除
一段时间后(通常1-2小时)，Fargate Pod启动开始失败

技术细节解析

认证机制变更

在v19中，模块通过Kubernetes provider直接管理aws-auth ConfigMap，自动添加Fargate和节点组的IAM角色。这种方式虽然方便，但存在资源所有权冲突的风险。

v20改为：

默认使用API_AND_CONFIG_MAP模式
移除了自动ConfigMap管理功能
依赖EKS自动管理访问条目和ConfigMap更新

问题根源

当Terraform继续管理ConfigMap时(即使内容为空)，它会：

覆盖EKS自动添加的Fargate角色条目
导致EKS控制平面无法正确识别Fargate执行角色
最终使Fargate调度器拒绝启动Pod

解决方案

根据实际验证，有以下几种解决方案：

方案一：完全迁移到API模式

按照官方迁移指南，先使用过渡模块
将认证模式设置为API
确保所有必要的IAM角色都有对应的访问条目
完全放弃ConfigMap管理

module "eks" {
  source  = "terraform-aws-modules/eks/aws"
  version = "20.x.x"

  authentication_mode = "API"
  # 其他配置...
}

方案二：手动维护ConfigMap条目

如果必须使用API_AND_CONFIG_MAP模式，需要显式添加Fargate角色到ConfigMap：

module "eks_auth" {
  source = "terraform-aws-modules/eks/aws//modules/aws-auth"

  manage_aws_auth_configmap = true

  aws_auth_roles = [
    {
      rolearn  = module.eks.fargate_profiles.kube-system.fargate_profile_pod_execution_role_arn
      username = "system:node:{{SessionName}}"
      groups   = ["system:bootstrappers", "system:nodes", "system:node-proxier"]
    }
  ]
}