问题描述
在同一VPC中有两个K8s集群,他希望这两个集群都能够连接到一个MySQL Aurora RDS集群。然而,其中一个集群可以正常访问RDS集群,而另一个则无法访问。我们将这两个集群分别称为 eks-cluster-working 和 eks-cluster-broken。
他已经创建了允许流量访问集群的安全组,但是在 eks-cluster-working 和 eks-cluster-broken 中,只有 eks-cluster-working 能够正常访问RDS集群。这两个集群都使用了AWS在创建EKS集群时生成的默认安全组,而且它们都运行在相同的K8s版本(1.18)。唯一的例外是 eks-cluster-working 有一个额外的用于负载均衡服务的安全组,因为它托管了一个Web服务,而另一个集群 eks-cluster-broken 并没有这个安全组。两个集群都有出站流量规则,可以访问 0.0.0.0/0。
用户在所托管的区域中没有设置任何防火墙、防火墙策略或网络防火墙规则组。
用户还提供了用于从其VPC到默认VPC建立对等连接的Terraform配置。
解决方案
要解决 eks-cluster-broken 无法访问RDS集群的问题,可能需要检查以下几个方面。
检查DNS设置
对于对等连接,可能需要确保DNS设置正确。用户可以尝试以下步骤来检查和调整DNS设置:
1. 登录AWS管理控制台。
2. 找到并选择对等连接。
3. 在 “Actions” 或 “操作” 菜单中,选择 “Edit DNS Settings” 或 “编辑DNS设置”。
4. 确保 “Allow accepter VPC to resolve DNS of requester VPC hosts to private IP” 选项被勾选。如果之前没有勾选,勾选它。
5. 等待一段时间,让设置生效。
检查安全组规则
确保 eks-cluster-broken 的安全组配置与 eks-cluster-working 相似,尤其是针对RDS集群的安全组规则。检查以下几点:
– 确保在安全组中有适当的入站规则,允许流量从 eks-cluster-broken 到RDS集群的端口(通常是3306)。
– 确保出站规则允许流量从 eks-cluster-broken 到RDS集群的端口(同样是3306)。
检查网络路由和VPC连接
根据提供的Terraform配置,确保VPC对等连接和网络路由设置正确。检查以下几个方面:
– 确保VPC对等连接配置正确,特别是 eks-cluster-broken 所在VPC与默认VPC之间的对等连接。
– 确保网络路由表中存在正确的路由,允许流量从 eks-cluster-broken 到RDS集群。
调试其他问题
如果以上步骤没有解决问题,用户可以尝试以下调试方法:
– 使用网络抓包工具,如Wireshark,来检查网络流量是否正常流向RDS集群。
– 在集群内部进行连通性测试,查看是否可以通过ping或telnet等方式访问RDS集群。
总结
当出现K8s集群在对等VPC中无法访问RDS集群的问题时,可能是由于DNS设置、安全组规则、网络路由或VPC连接配置等方面的问题导致的。通过逐一检查并调整这些方面,用户应该能够解决这个问题并使 eks-cluster-broken 能够正常连接到RDS集群。