Terraform AWS EKS 模块中 Karpenter 控制器凭证问题解析

问题现象

在使用 Terraform AWS EKS 模块部署 Kubernetes 集群并集成 Karpenter 时，用户遇到了 Karpenter 控制器无法正常启动的问题。具体表现为控制器日志中持续输出错误信息："ec2 api connectivity check failed" 和 "NoCredentialProviders: no valid providers in chain"。

问题根源分析

这个问题的核心在于 Karpenter 控制器无法获取有效的 AWS 凭证来调用 EC2 API。在 AWS EKS 环境中，工作负载通常通过以下几种方式获取 AWS 凭证：

1. IRSA (IAM Roles for Service Accounts)：通过 OpenID Connect (OIDC) 提供程序为 Kubernetes 服务账户分配 IAM 角色
2. Pod Identity：较新的凭证分配机制
3. 节点 IAM 角色：通过节点继承的 IAM 角色

在本案例中，用户配置了 enable_irsa = false 禁用了 IRSA，但同时又启用了 Pod Identity (enable_pod_identity = true)。这种混合配置可能导致凭证获取机制冲突。

解决方案

方案一：明确使用 Pod Identity 并确保正确配置

1. 确认 EKS Pod Identity Agent 正常运行：

   cluster_addons = {
     eks-pod-identity-agent = {}
   }
   

2. 验证 Pod Identity 关联：

   aws eks list-pod-identity-associations --region <region> --cluster-name <cluster-name>
   aws eks describe-pod-identity-association --cluster-name <cluster-name> --association-id <associationid>
   

3. 确保服务账户正确注解： 检查 Karpenter 的服务账户是否被正确注解了对应的 IAM 角色。

方案二：统一使用 IRSA 机制

1. 启用 OIDC 提供程序：

   enable_irsa = true
   

2. 为 Karpenter 配置适当的 IAM 角色和策略

3. 确保服务账户注解包含正确的 IAM 角色 ARN

最佳实践建议

1. 凭证机制选择：

   • 对于新集群，建议使用 Pod Identity 作为未来标准
   • 对于已有集群，可根据实际情况选择 IRSA 或 Pod Identity

2. 网络配置检查：

   • 确保私有子网正确配置了 NAT 网关或接口端点
   • 验证安全组规则允许控制器访问 EC2 API

3. 版本兼容性：

   • 确保 Karpenter 版本与 EKS 版本兼容
   • 检查 Terraform 模块版本是否支持所使用的凭证机制

故障排查步骤

1. 检查 Karpenter 控制器 Pod 日志
2. 验证服务账户注解
3. 确认 IAM 角色权限
4. 检查网络连通性
5. 验证凭证机制是否按预期工作

通过以上分析和解决方案，用户应能有效解决 Karpenter 控制器的凭证问题，确保自动扩缩容功能正常工作。