我已经在 EKS 上部署了 argocd,并且 ingress 在 AWS 负载均衡器控制器上运行。
Alb 控制器部署在 中kube-system。Argo 部署在argocd命名空间中,使用入口注释创建内部 alb。在我通过 启用网络策略之前,一切正常vpc-cni addon。一旦网络策略到位,它还会限制来自 alb 的流量,并为我提供504 Gateway Time-out。
在创建网络策略时,我的逻辑非常明显。首先允许来自kube-system命名空间和argocd命名空间的流量:
ingress:
- from:
- namespaceSelector:
matchLabels:
kubernetes.io/metadata.name: argocd
- from:
- namespaceSelector:
matchLabels:
kubernetes.io/metadata.name: kube-system
尝试了上述不同组合,甚至添加了多个from块以覆盖集群中存在的所有命名空间。尝试通过 IP、eks 子网甚至整个 vpc cidr 进行白名单化。
- from:
- ipBlock:
cidr: x.x.x.x/x #ip block used by vpc
我查了其他类似的问题,将 alb 空闲时间从 60 秒延长到 300 秒并没有改变任何事情。我没什么主意了。有人成功了吗?我遗漏了什么?