Terraform AWS EKS模块中节点安全组创建问题的分析与解决

问题背景

在使用Terraform AWS EKS模块(版本20.29.0)创建Kubernetes集群时，当配置create_node_security_group参数为true时，部署过程会在module.eks.aws_security_group_rule.node步骤卡住。这是一个典型的资源依赖关系问题，值得深入分析其根本原因和解决方案。

核心问题分析

安全组依赖关系

EKS集群的安全组架构设计上存在明确的依赖链：

1. 集群安全组(Cluster Security Group)：控制主节点与工作节点间的通信
2. 节点安全组(Node Security Group)：控制工作节点间的通信及与外部资源的交互

当create_cluster_security_group设置为false时，模块无法自动建立这两种安全组之间的必要关联规则，特别是节点安全组需要引用集群安全组的ID来配置正确的入口规则。

配置误区

常见错误配置表现为：

• 同时设置create_cluster_security_group = false
• 却要求create_node_security_group = true
• 没有提供替代的安全组引用方案

这种配置会导致Terraform无法解析安全组之间的依赖关系，从而在创建安全组规则时陷入等待状态。

正确配置方案

基础配置

对于大多数标准EKS集群部署，推荐使用模块的默认安全组配置：

module "eks" {
  source  = "terraform-aws-modules/eks/aws"
  version = "20.29.0"

  # 基础配置
  cluster_name    = "example-cluster"
  cluster_version = "1.27"
  
  # 网络配置
  vpc_id     = module.vpc.vpc_id
  subnet_ids = module.vpc.private_subnets
  
  # 安全组配置(使用默认值即可)
  # create_cluster_security_group = true (默认)
  # create_node_security_group    = true (默认)
}

高级网络场景

对于需要使用自定义网络配置(如Secondary CNI配合前缀委派)的场景，应确保：

1. 保持集群安全组的创建
2. 明确安全组间的关联关系
3. 为节点组配置正确的网络设置

module "eks" {
  # ...其他基础配置...

  # 安全组配置
  create_cluster_security_group = true
  create_node_security_group    = true
  
  # 节点组网络配置
  eks_managed_node_groups = {
    default = {
      # 确保使用正确的子网
      subnet_ids = module.vpc.intra_subnets
      
      # 其他节点配置...
    }
  }
}

最佳实践建议

1. 理解安全组架构：部署前应充分理解EKS的安全组设计模式和交互关系
2. 谨慎修改默认值：除非有特殊需求，否则建议保持安全组创建的默认配置
3. 分阶段验证：复杂网络配置应先在小规模环境验证
4. 监控资源创建：使用Terraform的详细日志(-v选项)来跟踪资源创建过程

总结

EKS集群的安全组配置需要遵循AWS的设计规范，模块提供的默认值已经考虑了大多数使用场景。当遇到类似安全组规则卡住的问题时，首先应检查安全组间的依赖关系是否完整，特别是当禁用某些自动创建功能时，需要手动提供替代的引用关系。对于高级网络场景，建议在保持基础安全架构完整的前提下进行扩展配置。