AWS Load Balancer Controller中安全组规则未自动创建的问题解析

在使用AWS Load Balancer Controller（ALB Ingress Controller）为EKS Fargate集群部署应用时，开发者可能会遇到安全组规则未按预期自动创建的情况。本文将通过一个典型场景分析问题原因，并提供解决方案。

问题现象

当通过Terraform和Helm在EKS Fargate上部署应用时，虽然ALB负载均衡器成功创建且目标组显示健康状态，但应用URL返回504错误。检查发现安全组中缺少443端口的入站规则，导致HTTPS监听器显示"unreachable"状态。

配置分析

典型的Ingress配置包含以下关键注解：

alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS": 443}]'
alb.ingress.kubernetes.io/inbound-cidrs: 0.0.0.0/0
alb.ingress.kubernetes.io/scheme: internal
alb.ingress.kubernetes.io/target-type: ip

尽管明确指定了允许所有IP（0.0.0.0/0）访问443端口，安全组规则却未被创建。

根本原因

经过排查发现，问题源于Ingress分组配置冲突。当多个Ingress资源使用相同的group.name但设置了相同的group.order值时（本例中均为0），会导致控制器在管理安全组规则时出现异常。

解决方案

1. 检查Ingress分组顺序：确保同一ALB组内的不同Ingress资源具有唯一的group.order值。例如：

   alb.ingress.kubernetes.io/group.order: "1"  # 修改为唯一值
   

2. 验证安全组关联：确认ALB关联的安全组是否允许来自目标IP范围的443端口流量。可通过AWS控制台检查安全组规则。

3. 检查控制器日志：查看aws-load-balancer-controller的日志，确认是否有相关错误信息：

   kubectl logs -n kube-system <controller-pod-name>
   

最佳实践建议

1. 明确分组策略：为每个ALB组内的Ingress资源分配明确的顺序值，避免冲突。

2. 最小权限原则：虽然可以设置0.0.0.0/0开放访问，但生产环境建议限制为必要的IP范围。

3. 版本兼容性检查：确认使用的控制器版本(v2.7.0)与Kubernetes版本(1.28)兼容。

4. 多Ingress资源管理：当多个服务共享ALB时，确保它们的配置协调一致，特别是安全组相关设置。

通过以上调整，可以确保ALB Ingress Controller正确管理安全组规则，使应用能够正常接收外部流量。对于复杂场景，建议结合AWS支持进行深入排查。