Terraform AWS EKS 中 Windows 节点禁用 Defender 的配置实践

背景介绍

在使用 Terraform AWS EKS 模块部署 Kubernetes 集群时，Windows 节点默认会启用 Windows Defender 实时防护功能。这在生产环境中可能会带来性能开销，因此很多团队希望能够在节点初始化时自动禁用 Defender。

问题分析

通过分析用户提供的配置，我们发现主要存在以下几个技术要点：

1. 用户最初尝试通过 enable_bootstrap_user_data 和 pre_bootstrap_user_data 参数来注入 PowerShell 脚本以禁用 Defender，但这种方式会导致节点无法正常加入集群。

2. 根本原因在于 EKS 托管节点组(Managed Node Group)有其特定的用户数据处理机制，直接启用 bootstrap 用户数据会干扰 EKS 自身的初始化流程。

3. 正确的做法是仅使用 pre_bootstrap_user_data 参数，并确保 PowerShell 脚本格式正确。

解决方案

经过实践验证，以下是有效的配置方式：

windows = {
  ami_type = "WINDOWS_CORE_2019_x86_64"
  # 其他常规配置...
  
  pre_bootstrap_user_data = <<-EOT
  <powershell>
  # 禁用Windows Defender实时监控
  Set-MpPreference -DisableRealtimeMonitoring $true
  </powershell>
  EOT
  
  # 其他配置...
}

技术原理

1. EKS 托管节点组会自动处理用户数据，将其与必要的引导脚本合并。用户只需提供需要前置执行的脚本片段。

2. PowerShell 脚本必须包含在 <powershell></powershell> 标签中，这是 AWS EC2 用户数据处理的特殊标记。

3. 避免使用 enable_bootstrap_user_data 参数，因为这会覆盖 EKS 托管节点组的默认引导行为。

最佳实践

1. 对于 Windows 节点组的自定义配置，优先使用 pre_bootstrap_user_data 而非完整的用户数据覆盖。

2. 保持 PowerShell 脚本简洁，仅包含必要的系统配置命令。

3. 在测试环境验证脚本效果后，再部署到生产环境。

4. 考虑将常用配置（如 Defender 设置）封装为模块变量，提高代码复用性。

总结

在 Terraform AWS EKS 模块中配置 Windows 节点时，理解 EKS 托管节点组的工作机制至关重要。通过正确的 pre_bootstrap_user_data 使用方式，我们可以安全地实现系统级配置，如禁用 Windows Defender，同时确保节点能够正常加入 Kubernetes 集群。这种方案既满足了安全需求，又保持了 EKS 托管服务的便利性。