AWS Load Balancer Controller中后端安全组规则缺失问题解析

问题背景

在使用AWS Load Balancer Controller（ALB控制器）为Kubernetes集群配置Ingress资源时，用户可能会遇到后端安全组规则未自动生成的问题。具体表现为：虽然前端安全组（关联到ALB）和节点安全组（关联到EC2实例）已正确创建，但节点安全组中缺少必要的端口范围后端规则（描述中包含"elbv2.k8s.aws/targetGroupBinding=shared"的规则）。

问题现象

当出现此问题时，ALB的目标健康检查会显示"Unhealthy"状态，服务无法正常访问。手动添加从ALB前端安全组到Kubernetes节点安全组的规则后，健康状态会恢复正常，服务变得可访问。

根本原因

此问题通常与Terraform EKS模块的配置有关。默认情况下，EKS模块会创建一个主集群安全组并为其添加特定标签。当存在多个带有kubernetes.io/cluster/<cluster-name>标签的安全组时，AWS Load Balancer Controller无法确定应该使用哪个安全组来管理后端规则，从而导致规则创建失败。

解决方案

通过在Terraform EKS模块配置中设置create_cluster_primary_security_group_tags = false，可以禁用主集群安全组的标签创建，确保控制器能够正确识别并管理节点安全组。

技术细节

1. 安全组架构：

   • 前端安全组（k8s-traffic-<cluster_name>-）：关联到ALB
   • 节点安全组（<cluster_name>-node-）：关联到工作节点EC2实例
   • 集群主安全组（可选）：由EKS模块创建

2. 规则生成机制：

   • AWS Load Balancer Controller依赖特定的安全组标签来识别正确的目标安全组
   • 当存在多个带有集群标签的安全组时，控制器无法确定正确的目标

3. Ingress配置要点：

   • 必须确保ingressClassName: alb正确设置
   • 目标类型（target-type）应根据部署需求选择ip或instance模式

最佳实践建议

1. Terraform配置：

   module "eks" {
     create_cluster_primary_security_group_tags = false
     # 其他配置...
   }
   

2. Ingress注解：

   • 明确指定目标类型（ip或instance）
   • 根据需要配置后端协议和方案（HTTP/HTTPS，internal/internet-facing）

3. 监控与排查：

   • 定期检查控制器日志中的警告信息
   • 监控Kubernetes事件中的FailedNetworkReconcile事件
   • 验证安全组标签的唯一性

总结

AWS Load Balancer Controller与EKS的集成需要特别注意安全组的管理。通过正确配置Terraform模块参数，可以避免后端安全组规则缺失的问题，确保ALB能够正常将流量路由到Kubernetes服务。理解控制器与AWS资源之间的交互机制，有助于快速诊断和解决类似网络连接问题。