AWS SDK for JavaScript v3 在 EKS Pod Identity 环境下的 EC2 元数据服务问题解析

问题背景

在使用最新版本的 AWS SDK for JavaScript v3 时，开发者在 AWS EKS Kubernetes 集群中遇到了 EC2 元数据服务访问异常的问题。具体表现为在配置了 Pod Identity 的集群中，通过 @aws-sdk/ec2-metadata-service 模块无法获取 EC2 实例的元数据信息，返回 401 未授权错误。

环境配置差异分析

通过对比新旧集群的环境变量配置，可以观察到以下关键差异：

1. 旧集群使用 IRSA (IAM Roles for Service Accounts) 认证方式，通过 Web Identity Token 进行身份验证
2. 新集群采用 EKS Pod Identity 这一更新的认证机制，通过容器授权令牌文件进行身份验证

值得注意的是，虽然 Pod Identity 是 AWS 推荐的新认证方式，但在某些场景下可能会影响对传统 EC2 元数据服务的访问。

根本原因探究

经过深入排查，发现问题根源在于 Amazon Linux 2023 镜像的默认安全策略变更。新版本镜像默认加强了对 EC2 实例元数据服务(IMDS)的访问控制，需要显式配置才能允许 Pod 访问这些元数据。

具体表现为：

1. 对 169.254.169.254 (传统 EC2 元数据服务端点) 的请求返回 401 未授权
2. 对 169.254.170.23 (Pod Identity 凭证端点) 的请求可以正常工作，但仅提供凭证信息，不包含实例元数据

解决方案

要解决这一问题，需要在 Kubernetes 工作节点上调整安全配置，允许 Pod 访问实例元数据服务。具体措施包括：

1. 修改工作节点的安全组规则，允许 Pod 访问元数据服务
2. 更新节点实例的 IAM 策略，确保有访问元数据的权限
3. 检查并调整网络策略，确保元数据服务的可达性

实施这些变更后，@aws-sdk/ec2-metadata-service 模块即可正常获取 EC2 实例的元数据信息。

技术建议

对于在 EKS 环境中使用 AWS SDK 的开发人员，建议：

1. 明确区分实例元数据服务(IMDS)和 Pod Identity 凭证服务的不同用途
2. 在新集群部署时，预先考虑 Amazon Linux 2023 的安全策略变更影响
3. 对于需要获取实例元数据的应用，确保工作节点有正确的网络和 IAM 配置
4. 考虑使用 SDK 的默认凭证链，而非直接调用元数据服务客户端

总结

这一问题展示了 AWS 服务演进过程中认证机制的变化对开发实践的影响。通过理解底层认证流程和安全策略的变更，开发者可以更好地适应新环境并解决兼容性问题。对于使用 EKS Pod Identity 的开发团队，建议在集群规划阶段就考虑元数据访问需求，并相应配置工作节点的安全策略。