Amazon web services EKS工作节点未就绪且无法访问ECRs_Amazon Web Services_Kubernetes_Amazon Eks

Amazon web services EKS工作节点未就绪且无法访问ECRs

amazon-web-services kubernetes

Amazon web services EKS工作节点未就绪且无法访问ECRs,amazon-web-services,kubernetes,amazon-eks,Amazon Web Services,Kubernetes,Amazon Eks,us-east-1中的我的EKS群集在所有节点未就绪的情况下停止工作，因为kubelet无法拉动暂停容器。这是启动时执行的kubelet命令 /usr/bin/kubelet --cloud-provider aws --config /etc/kubernetes/kubelet/kubelet-config.json --kubeconfig /var/lib/kubelet/kubeconfig --container-runtime docker --network-plugin cni

us-east-1中的我的EKS群集在所有节点未就绪的情况下停止工作，因为kubelet无法拉动暂停容器。这是启动时执行的kubelet命令

/usr/bin/kubelet --cloud-provider aws --config /etc/kubernetes/kubelet/kubelet-config.json --kubeconfig /var/lib/kubelet/kubeconfig --container-runtime docker --network-plugin cni --node-ip=10.0.21.107 --pod-infra-container-image=602401143452.dkr.ecr.us-east-1.amazonaws.com/eks/pause-amd64:3.1 --node-labels=kubernetes.io/lifecycle=spot

问题在于拉取图像

602401143452.dkr.ecr.us-east-1.amazonaws.com/eks/pause-amd64:3.1

其他所需的容器也不可用，例如：

602401143452.dkr.ecr.us-east-1.amazonaws.com/eks/kube-proxy:v1.14.6
602401143452.dkr.ecr.us-east-1.amazonaws.com/eks/coredns:v1.3.1

另一方面，容器图像可以从其他区域获得，而不是集群所在的区域

Kubernetes事件提到cni插件未初始化。这是意料之中的，因为aws节点吊舱不会启动。

工作节点所在的VPC有一个ECR专用链路端点。该端点及其附带的DNS条目使同一区域内的ECR域解析为专用IP。这就是docker pull仅在同一地区的ECR中失败的原因

工作节点的安全组需要允许（https）通信量输出到PrivateLink端点安全组