Terraform AWS EKS模块中管理节点组安全组的注意事项

在使用Terraform AWS EKS模块管理Amazon EKS集群时，正确配置节点组的安全组是一个关键环节。本文将通过一个常见配置问题，深入分析EKS模块中安全组的工作原理和最佳实践。

问题背景

在EKS集群部署中，用户经常需要为托管节点组(eks_managed_node_group)配置额外的安全组规则。一个典型的错误场景是：用户尝试通过设置node_security_group_id参数来添加安全组，但实际上安全组并未按预期附加到节点组上。

核心问题分析

1. 参数冲突问题

在配置示例中，node_security_group_id参数被重复定义了两次：

• 第一次在模块顶层参数中设置
• 第二次在eks_managed_node_group_defaults中设置

这种重复定义会导致不可预测的行为，Terraform通常会采用最后一次定义的值，而忽略之前的设置。

2. 启动模板与安全组的关系

当use_custom_launch_template设置为false时，EKS模块不会使用自定义启动模板，而是依赖EKS服务默认的启动配置。在这种情况下，通过Terraform添加额外安全组的尝试将不会生效，因为安全组的修改需要配合自定义启动模板使用。

正确配置方法

方法一：使用自定义启动模板

eks_managed_node_groups = {
  on-demand = {
    use_custom_launch_template = true
    vpc_security_group_ids = [
      aws_security_group.eks_managed_nodes_sg.id,
      aws_security_group.additional_sg.id
    ]
    # 其他配置...
  }
}

方法二：正确使用默认安全组

module "eks" {
  # ...
  create_node_security_group = true
  node_security_group_id    = aws_security_group.custom_node_sg.id
  # ...
}

安全组配置最佳实践

1. 避免重复定义参数：确保每个参数在模块中只定义一次
2. 明确创建意图：如果要使用自定义安全组，显式设置create_node_security_group = false
3. 启动模板选择：需要修改安全组时，必须启用自定义启动模板
4. 安全组规划：提前规划好节点组需要的网络访问规则，避免频繁修改

底层原理

EKS托管节点组的安全组管理实际上是通过EC2启动模板实现的。当使用自定义启动模板时，Terraform可以完全控制安全组的分配；而使用EKS默认配置时，安全组管理权交给了EKS服务，此时只能通过有限的接口进行配置。

总结

在Terraform AWS EKS模块中管理节点组安全组时，开发者需要特别注意参数的定义方式和启动模板的使用选择。理解这些配置背后的工作原理，可以帮助避免常见的配置陷阱，确保EKS集群的网络安全性得到正确实施。记住，当需要精细控制安全组时，自定义启动模板是不可或缺的工具。