Amazon VPC CNI for Kubernetes中Pod安全组导致的DNS解析问题分析

问题背景

在使用Amazon VPC CNI for Kubernetes（简称aws-vpc-cni）的项目中，当为Pod分配安全组(Security Group)时，出现了DNS解析异常缓慢甚至失败的问题。这个问题在启用前缀委托(Prefix Delegation)功能的集群中尤为明显，表现为Pod对域名解析请求经常超时，但偶尔又能成功解析。

环境配置

出现问题的环境具有以下典型特征：

• Kubernetes版本：v1.31.2-eks-7f9249a
• CNI插件版本：v1.18.6-eksbuild.1
• 启用了Pod安全组功能(POD_SECURITY_GROUP_ENFORCING_MODE=standard)
• 启用了前缀委托功能(ENABLE_PREFIX_DELEGATION=true)
• 节点类型为r6g.medium
• 每个Pod同时关联了安全组和网络策略

问题现象

具有安全组的Pod表现出以下异常行为：

1. DNS解析极其缓慢，curl等命令经常因无法解析域名而超时
2. 经过多次重试后偶尔能成功解析
3. 移除Pod的安全组后，DNS解析立即恢复正常
4. 问题在Pod整个生命周期内持续存在，不会随时间改善

根本原因分析

经过深入排查，发现问题的根本原因在于网络流量路径的变化：

1. CoreDNS Pod分布不均：在案例中，两个CoreDNS Pod都调度到了同一个节点上
2. 安全组隔离效应：当Pod关联安全组后，其网络流量会受到安全组规则的严格管控
3. 跨节点通信问题：位于第二个节点上的Pod尝试访问第一个节点上的CoreDNS时，由于安全组规则限制，无法建立有效连接
4. 隐式拒绝：默认情况下，AWS安全组会拒绝所有未明确允许的入站流量

解决方案

针对这个问题，可以采取以下几种解决方案：

临时解决方案

1. 手动添加安全组规则：在节点安全组中显式允许来自Pod安全组的DNS流量（TCP/UDP 53端口）
   • 缺点：需要为每个Pod安全组单独添加规则，管理成本高

长期解决方案

1. 调整CoreDNS部署策略：

   • 使用反亲和性规则确保CoreDNS Pod均匀分布在所有节点上
   • 增加CoreDNS副本数以提高可用性

2. 网络策略优化：

   • 为CoreDNS服务创建专用的网络策略
   • 确保允许所有节点上的Pod访问CoreDNS

3. 安全组设计：

   • 为需要DNS解析的Pod创建专用的安全组
   • 在该安全组中预先配置好DNS访问规则

4. 架构调整：

   • 考虑使用NodeLocal DNS Cache减少跨节点DNS查询
   • 评估是否必须为所有Pod启用安全组功能

最佳实践建议

1. 监控DNS性能：建立完善的DNS解析延迟和成功率监控
2. 测试环境验证：在启用Pod安全组功能前，在测试环境中充分验证DNS解析能力
3. 文档记录：记录安全组与网络策略的关联关系，便于问题排查
4. 版本兼容性检查：升级集群前检查CNI插件与Kubernetes版本的兼容性

总结

这个问题展示了在Kubernetes网络设计中，安全组功能与核心服务（如DNS）之间的复杂交互关系。通过理解AWS VPC CNI的工作原理和安全组的实施机制，可以更好地规划和设计集群网络架构，避免类似问题的发生。对于生产环境，建议在启用高级网络功能前进行全面的测试和验证。