在我的 EKS 集群中,我有一个部署和一个守护进程集。
以下 SGP 将我的部署的 pod 绑定到我需要的几个安全组:
apiVersion: vpcresources.k8s.aws/v1beta1
kind: SecurityGroupPolicy
metadata:
name: efs-csi-controller
namespace: kube-system
spec:
podSelector:
matchLabels:
app: efs-csi-controller
securityGroups:
groupIds:
- sg-11111111111111111
- sg-22222222222222222
这有效。但我还需要另一组 pod 来附加相同的安全组。
不过,这次是 DaemonSet。
我的第二个 SGP 有不同的名称和选择器:
podSelector:
matchLabels:
app: efs-csi-node
问题是:SGP 似乎对我的 DaemonSet 没有影响!
vpc.amazonaws.com/pod-eni
未应用,并且我在 pod k8s 事件中没有看到任何相关消息。在这里遇到同样的问题,似乎安全组只应用于主容器,DaemonSet 没有获得任何安全组,我也使用 ISTIO-proxy 作为我的 DaemonSet,但它没有通过准备问题... .