Amazon VPC CNI K8s项目中网络策略代理日志输出配置优化

在Kubernetes集群中使用Amazon VPC CNI插件时，网络策略代理(aws-eks-nodeagent)的日志管理是一个值得关注的技术点。本文将深入分析当前日志输出机制的局限性，以及如何通过配置优化来改善日志收集体验。

当前网络策略代理默认将日志写入/var/log/aws-routed-eni/network-policy-agent.log文件。这种设计虽然直接，但在实际运维中会带来几个挑战：

首先，日志文件位于主机文件系统而非容器标准输出，这使得使用Fluent-bit等日志收集工具时，需要为相关Pod授予特权模式(privileged)才能访问日志文件，增加了安全风险。其次，与Kubernetes生态中常见的容器日志收集模式不一致，增加了运维复杂度。

技术实现上，网络策略代理其实已经内置了日志输出路径的配置能力，通过--log-file参数可以指定输出位置。但在VPC CNI的Helm chart中，这一参数并未作为可配置选项暴露给用户，导致无法通过标准部署方式灵活配置日志输出。

最新解决方案是通过修改Helm chart，将logFile配置项暴露出来。用户现在可以在values.yaml中指定：

networkPolicyAgent:
  logFile: "/dev/stdout"

这一改进带来了显著优势：完全兼容Kubernetes的标准日志收集模式，无需特权容器即可收集日志；简化了日志收集管道的配置；保持了与现有日志收集基础设施的一致性。

对于使用Terraform部署的用户，可以通过aws_eks_addon资源的configuration_values参数传递这一配置。这种改进体现了云原生设计原则，使组件更好地融入Kubernetes生态系统。

运维团队在升级到支持此功能的新版本后，可以简化日志收集架构，降低安全风险，同时获得更一致的日志管理体验。这也为未来可能的日志格式、日志级别等进一步优化奠定了基础。