Amazon EKS AMI 使用 CIS 基准镜像时遇到的权限问题分析

问题背景

在使用 Amazon EKS 优化 AMI 构建 Kubernetes 工作节点时，如果选择 CIS 基准安全加固的 Amazon Linux 2023 作为基础镜像，可能会遇到两个典型问题：

问题一：Kubernetes 二进制文件下载失败

当尝试下载 Kubernetes 组件时出现 404 错误，提示特定版本的 kubelet 文件不存在。这通常是由于指定的 Kubernetes 构建日期不正确导致的。

根本原因：用户错误地指定了一个不存在的构建日期（如 2022-06-06），而该日期对应的 Kubernetes 1.30 版本二进制文件确实不存在。

解决方案：

1. 使用项目提供的 latest-binaries.sh 脚本查询可用的最新二进制文件
2. 确保构建日期与 Kubernetes 版本匹配
3. 对于 Kubernetes 1.30，应使用 2024 年及以后的构建日期

问题二：IMDS 权限被拒绝

在 CIS 加固的基础镜像上运行时，会出现 /tmp/worker/shared/bin/imds: Permission denied 错误。

根本原因：CIS 基准安全配置对系统权限进行了严格限制，特别是：

• 限制了临时目录的执行权限
• 可能禁用了某些系统调用
• 实施了严格的 SELinux 策略

解决方案：

1. 调整 CIS 基准配置，为必要的组件添加例外
2. 修改构建脚本，将临时文件放在非受限目录
3. 预先为必要的二进制文件设置正确的权限

最佳实践建议

1. 版本匹配：始终确保 Kubernetes 版本与构建日期匹配
2. 安全与功能平衡：在安全加固和生产可用性之间找到平衡点
3. 测试验证：在正式部署前充分测试 AMI 构建
4. 权限规划：预先规划好各组件需要的权限，并在安全策略中做好配置

总结

使用 CIS 基准镜像构建 EKS 工作节点 AMI 时，需要特别注意版本匹配和权限配置问题。通过合理调整安全策略和正确指定构建参数，可以在保证安全性的同时确保 Kubernetes 组件的正常运行。