Amazon web services EKS工作节点未就绪且无法访问ECRs
us-east-1中的我的EKS群集在所有节点未就绪的情况下停止工作,因为kubelet无法拉动暂停容器。这是启动时执行的kubelet命令Amazon web services EKS工作节点未就绪且无法访问ECRs,amazon-web-services,kubernetes,amazon-eks,Amazon Web Services,Kubernetes,Amazon Eks,us-east-1中的我的EKS群集在所有节点未就绪的情况下停止工作,因为kubelet无法拉动暂停容器。这是启动时执行的kubelet命令 /usr/bin/kubelet --cloud-provider aws --config /etc/kubernetes/kubelet/kubelet-config.json --kubeconfig /var/lib/kubelet/kubeconfig --container-runtime docker --network-plugin cni
/usr/bin/kubelet --cloud-provider aws --config /etc/kubernetes/kubelet/kubelet-config.json --kubeconfig /var/lib/kubelet/kubeconfig --container-runtime docker --network-plugin cni --node-ip=10.0.21.107 --pod-infra-container-image=602401143452.dkr.ecr.us-east-1.amazonaws.com/eks/pause-amd64:3.1 --node-labels=kubernetes.io/lifecycle=spot
问题在于拉取图像
602401143452.dkr.ecr.us-east-1.amazonaws.com/eks/pause-amd64:3.1
其他所需的容器也不可用,例如:
602401143452.dkr.ecr.us-east-1.amazonaws.com/eks/kube-proxy:v1.14.6
602401143452.dkr.ecr.us-east-1.amazonaws.com/eks/coredns:v1.3.1
另一方面,容器图像可以从其他区域获得,而不是集群所在的区域
Kubernetes事件提到cni插件未初始化。这是意料之中的,因为aws节点吊舱不会启动。工作节点所在的VPC有一个ECR专用链路端点。该端点及其附带的DNS条目使同一区域内的ECR域解析为专用IP。这就是docker pull仅在同一地区的ECR中失败的原因 工作节点的安全组需要允许(https)通信量输出到PrivateLink端点安全组