Amazon EKS AMI 1.30版本AL2023节点网络策略问题分析

问题背景

在使用Amazon EKS 1.30版本集群时，用户发现当Karpenter将Pod调度到新创建的AL2023节点（使用amazon-eks-node-al2023-arm64-standard-1.30-v20240807 AMI）时，Pod无法通过Kubernetes服务端点进行通信，出现连接超时错误。值得注意的是，这个问题仅在Pod被调度到新创建的AL2023节点时出现，而在现有AL2023节点上则工作正常。

问题现象

具体表现为：

1. 两个Pod运行在同一命名空间下
2. 通过ClusterIP服务访问另一个Pod时出现连接超时
3. 直接检查网络连接性失败，curl命令返回"Connection timed out"错误

根本原因分析

经过深入排查，发现问题与AWS VPC CNI插件中的网络策略实施模式配置有关。当配置了"NETWORK_POLICY_ENFORCING_MODE":"strict"时，系统会强制要求为Pod间通信配置网络策略。在AL2节点上相同的配置可以正常工作，但在AL2023节点上却出现了问题。

技术细节

1. 网络策略实施模式：AWS VPC CNI插件提供了网络策略实施功能，当设置为"strict"模式时，必须显式定义网络策略才能允许Pod间通信。

2. AL2023与AL2的差异：虽然用户配置了允许所有Ingress/Egress通信的网络策略，但在AL2023新节点上这种配置未能正确生效，表明可能存在CNI插件与AL2023内核或网络栈的兼容性问题。

3. Karpenter调度影响：问题仅在新创建的AL2023节点上出现，说明可能与节点初始化过程中CNI插件的配置或网络策略代理的加载时序有关。

解决方案

1. 临时解决方案：可以暂时将"NETWORK_POLICY_ENFORCING_MODE"设置为非strict模式，但这会降低安全性。

2. 根本解决方案：等待AWS网络策略代理(aws-network-policy-agent)的修复版本发布，或者联系AWS支持团队获取针对性的补丁。

最佳实践建议

1. 在升级到AL2023节点前，全面测试网络策略功能
2. 考虑在非生产环境中先验证新AMI版本
3. 保持关注AWS官方发布的安全公告和补丁说明
4. 对于关键业务系统，建议保留回滚到AL2节点的能力

总结

这个问题凸显了在Kubernetes生态系统中，网络策略实施与底层操作系统和CNI插件版本间的复杂交互关系。作为集群管理员，在升级节点操作系统或CNI插件版本时，应当进行全面的功能测试，特别是网络策略这类关键安全功能。同时，这也提醒我们基础设施的各个组件版本间可能存在隐式的依赖关系，需要谨慎管理。