Amazon VPC CNI for Kubernetes中IRSA注解缺失问题分析

问题背景

在使用Amazon VPC CNI (Container Network Interface)插件时，有用户报告了一个与IAM角色服务账户(IRSA)相关的问题。具体表现为：当Kubernetes集群版本升级到1.28并使用vpc-cni版本v1.15.1-eksbuild.1时，aws-node服务账户上的IRSA注解(eks.amazonaws.com/role-arn)没有被正确设置，而在1.26/1.27版本集群中则工作正常。

问题现象

通过对比不同Kubernetes版本下的服务账户描述，可以清楚地看到差异：

• 在1.26版本集群中，aws-node服务账户正确显示了IRSA角色ARN的注解
• 在1.28版本集群中，该注解完全缺失

这种差异导致在1.28集群中，VPC CNI插件无法获取必要的AWS权限，进而导致节点无法正常加入集群，并出现"Container runtime network not ready"和"Unauthorized operation"等错误。

技术分析

IRSA(IAM Roles for Service Accounts)是AWS EKS提供的一种机制，允许将IAM角色与Kubernetes服务账户关联。对于VPC CNI插件来说，aws-node服务账户需要被正确注解才能获取操作EC2网络接口的必要权限。

从技术角度来看，这个问题实际上与VPC CNI插件本身关系不大，而是与集群管理工具有关。在用户案例中，使用的是Terraform和eks-blueprints-addons模块来管理集群。服务账户的注解应该由集群管理工具负责设置，而不是由CNI插件本身处理。

解决方案

对于遇到此问题的用户，可以考虑以下解决方案：

1. 手动添加注解：作为临时解决方案，可以通过kubectl命令手动为aws-node服务账户添加注解：

   kubectl annotate serviceaccount -n kube-system aws-node eks.amazonaws.com/role-arn=<your-role-arn>
   

2. 检查Terraform配置：确保使用的Terraform模块版本支持Kubernetes 1.28，并正确配置了IRSA相关参数。

3. 协调组件部署顺序：确保服务账户的注解在VPC CNI插件Pod部署之前就已经设置完成，否则需要重启Pod才能使更改生效。

最佳实践建议

1. 升级前测试：在升级Kubernetes版本前，建议在测试环境中验证所有关键组件(包括网络插件)的功能。

2. 监控权限问题：建立监控机制，及时发现和解决因权限问题导致的节点注册失败情况。

3. 保持工具更新：定期更新Terraform模块和其他管理工具，确保兼容最新的Kubernetes版本。

4. 文档检查：在进行重大版本升级前，仔细阅读官方文档中的变更说明和升级指南。

总结

这个问题提醒我们，在Kubernetes集群升级过程中，不仅要关注核心组件的版本兼容性，还需要注意周边工具链和管理流程的适配情况。特别是在使用IRSA等高级功能时，确保集群管理工具能够正确处理服务账户注解是保证网络插件正常工作的关键。