Karpenter AWS Provider中SQS队列加密配置的最佳实践

在使用Karpenter AWS Provider时，正确配置中断通知的SQS队列加密方式至关重要。许多用户可能没有意识到，当使用Amazon托管密钥(SSE-SQS)加密SQS队列时，会导致EventBridge无法将EC2中断事件传递到队列中。

问题背景

Karpenter通过SQS队列接收来自AWS服务(如EC2 Spot中断、健康事件等)的通知。这些通知对于Karpenter及时响应基础设施变化非常关键。然而，当队列使用默认的Amazon托管密钥加密时，EventBridge服务无法将事件推送到队列中。

根本原因分析

EventBridge服务需要特定的KMS权限才能向加密的SQS队列发送消息。当使用Amazon托管密钥时，系统无法自动授予这些权限，导致消息传递失败。监控指标会显示：

• EventBridge规则的"FailedInvocations"与"Invocations"数量完全匹配
• SQS队列的"NumberOfMessagesReceived"始终为零

解决方案

正确的做法是使用客户托管密钥(CMK)来加密SQS队列，并配置适当的KMS密钥策略：

1. 创建客户托管KMS密钥
2. 在密钥策略中为EventBridge服务添加必要的权限
3. 使用该密钥加密SQS队列
4. 确保Karpenter的IAM角色具有解密权限

配置示例

以下是正确的Terraform配置示例：

resource "aws_kms_key" "karpenter_sqs" {
  description = "KMS key for Karpenter interruption queue"
}

resource "aws_sqs_queue" "karpenter_interruption" {
  name                      = "karpenter-interruption-queue"
  message_retention_seconds = 300
  kms_master_key_id         = aws_kms_key.karpenter_sqs.arn
}

最佳实践建议

1. 始终使用客户托管密钥加密Karpenter中断队列
2. 定期检查EventBridge和SQS的监控指标，确保消息正常传递
3. 为KMS密钥设置适当的轮换策略
4. 在密钥策略中限制最小权限，仅允许必要的服务访问

通过遵循这些实践，可以确保Karpenter能够可靠地接收AWS服务的中断通知，从而做出及时的响应和调整。