Terraform AWS EKS模块中Karpenter的EC2标签权限问题解析

在使用Terraform AWS EKS模块部署Karpenter时，从版本20.0升级到20.24.0后，可能会遇到Karpenter无法为现有工作节点添加标签的权限问题。本文将深入分析这一问题的成因及解决方案。

问题现象

当用户将terraform-aws-modules/eks/aws//modules/karpenter从20.0升级到20.24.0版本，并同时将Karpenter Helm图表从0.37.0升级到1.0.1后，Karpenter日志中会出现如下错误：

"error":"tagging nodeclaim, tagging instance, UnauthorizedOperation: You are not authorized to perform this operation.

错误表明Karpenter的服务账号角色缺少对现有EC2实例执行ec2:CreateTags操作的权限。

根本原因分析

通过检查IAM策略可以发现，当前策略中的ec2:CreateTags权限附带了特定条件限制：

"Condition": {
    "StringEquals": {
        "aws:RequestTag/kubernetes.io/cluster/atlas-eks-ops-1-30-cluster": "owned",
        "ec2:CreateAction": [
            "RunInstances",
            "CreateFleet",
            "CreateLaunchTemplate"
        ]
    }
}

这些条件限制意味着：

1. 权限仅适用于创建新资源时（RunInstances、CreateFleet、CreateLaunchTemplate）
2. 不适用于对已有资源进行标签操作

解决方案

要解决此问题，可以采取以下两种方法：

1. 启用v1权限：在模块配置中设置enable_v1_permissions = true参数，这将应用Karpenter v1.0版本所需的完整权限集。

2. 升级模块版本：将terraform-aws-modules/eks升级到20.24.1或更高版本，该版本已包含对Karpenter v1.0权限的完整支持。

最佳实践建议

1. 版本兼容性：在升级Karpenter Helm图表时，务必检查对应Terraform模块版本的兼容性说明。

2. 权限审核：定期审核IAM策略，确保服务账号拥有执行其功能所需的最小权限。

3. 测试策略：在升级前，使用AWS策略模拟器验证新策略是否覆盖所有必要操作。

4. 分阶段升级：先升级Terraform模块，验证无误后再升级Helm图表，降低风险。

总结

Karpenter v1.0引入了对现有节点标签管理的新需求，而早期版本的Terraform模块中的IAM策略未能完全覆盖这一变化。通过理解权限模型的演变并采取适当的升级措施，可以确保Karpenter在EKS集群中正常运行。对于生产环境，建议在升级前充分测试，并遵循最小权限原则配置IAM策略。