Karpenter AWS Provider 节点注册失败问题分析与解决

问题背景

在使用 Karpenter AWS Provider 1.3.2 版本与 EKS 1.31(eks.20)集群时，用户遇到了节点无法成功注册到集群的问题。尽管 Karpenter 能够成功启动 EC2 实例，但节点无法加入 Kubernetes 集群，表现为 NodeClaim 状态停留在"Unknown"状态。

故障现象

1. EC2 实例能够正常启动并配置了正确的 IAM 角色和权限
2. 节点被创建在正确的安全组和子网中
3. 安全组配置允许访问集群 API(与 AWS 托管节点组使用相同的安全组)
4. Karpenter 日志中没有显示错误信息
5. 节点系统日志显示以下关键错误：

   Failed to start nodeadm-co.service - EKS Nodeadm Config
   Dependency failed for nodeadm-run.service - EKS Nodeadm Run
   

6. 节点状态报告为"Node not registered with cluster"和"NodeNotFound"

根本原因分析

经过排查，发现问题根源在于 IAM 角色的变更处理不当。具体来说：

1. 用户曾删除并重新创建了 Karpenter 使用的 IAM 角色(IRSA)
2. 虽然角色被重建，但 EKS 集群的访问条目(access-entries)中仍保留着旧的引用
3. 这导致新创建的节点虽然获得了正确的 IAM 权限，但无法通过 EKS 的身份验证流程

解决方案

解决此问题需要执行以下步骤：

1. 从 EKS 集群的访问条目(access-entries)中删除旧的 Karpenter IRSA 角色记录
2. 重新将新建的 IAM 角色添加到访问条目中
3. 确保角色具有正确的信任关系和权限策略

预防措施

为避免类似问题再次发生，建议：

1. 在修改 Karpenter 使用的 IAM 角色时，先检查并更新 EKS 访问条目
2. 使用基础设施即代码(IaC)工具管理这些关联关系，确保变更的一致性
3. 在删除 IAM 角色前，先确认所有依赖项并做好清理工作

技术要点

1. EKS 集群使用访问条目来管理对集群 API 的访问权限
2. Karpenter 节点需要正确的 IAM 权限和 EKS 访问权限才能完成注册
3. IAM 角色的变更需要同步更新相关依赖项
4. 节点注册失败时，检查系统日志和 IAM 配置是重要的排错步骤

总结

这个问题展示了 Kubernetes 集群管理中权限配置的重要性，特别是在使用服务账户(IAM Roles for Service Accounts)时。理解 EKS 的访问控制机制和 Karpenter 的工作流程对于快速诊断和解决类似问题至关重要。通过系统化的变更管理和全面的权限检查，可以避免这类节点注册失败的问题。