无法使用eksctl创建AWS EKS集群

Question

无法从Windows 10 PC使用eksctl创建AWS EKS群集。下面是我正在执行的命令

eksctl create cluster --name revit --version 1.17 --region ap-southeast-2 --fargate

eksctl版本: 0.25.0

AWS CLI版本: aws-cli/2.0.38 Python/3.7.7 Windows/10 exe/AMD64

执行create cluster命令时出错

2020-08-08T19:05:35+10:00 [ℹ]  eksctl version 0.25.0
2020-08-08T19:05:35+10:00 [ℹ]  using region ap-southeast-2
2020-08-08T19:05:35+10:00 [!]  retryable error (RequestError: send request failed
caused by: Put "http://169.254.169.254/latest/api/token": dial tcp 169.254.169.254:80: connectex: A socket operation was attempted to an unreachable network.) from ec2metadata/GetToken - will retry after delay of 54.121635ms
2020-08-08T19:05:35+10:00 [!]  retryable error (RequestError: send request failed
caused by: Put "http://169.254.169.254/latest/api/token": dial tcp 169.254.169.254:80: connectex: A socket operation was attempted to an unreachable network.) from ec2metadata/GetToken - will retry after delay of 86.006168ms

Answer 1

我也有同样的错误，我已经摆脱了它来证明我的AWS程序访问凭证(AWS访问密钥ID，AWS安全访问密钥)：

$ aws configure

下一次我使用eksctl时，它只是没有尝试自己进行身份验证，而是传递了命令。

Answer 2

我怀疑这与此有关：https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/

具体地说：

防御开放的第3层防火墙和NAT最后，IMDSv2中的最后一层防御旨在保护被错误配置为开放路由器、第3层防火墙、VPN、隧道或NAT设备的EC2实例。使用IMDSv2，默认情况下，包含秘密令牌的PUT响应将不能在实例之外传播。这是通过将包含秘密令牌的低级IP分组上的默认生存时间(TTL)设置为“1”来实现的，该值比典型值(如“64”)低得多。处理数据包的硬件和软件(包括EC2实例)在传递数据包时会从每个数据包的TTL字段减去1。如果TTL为0，则丢弃数据包，并将错误消息发送回发送方。因此，TTL为“64”的分组在放弃之前可以在网络中进行64次“跳跃”，而TTL为“1”的分组可以仅存在于一个网络中。此功能允许合法流量到达预期目的地，但设计用于在网络中存在循环时阻止数据包无休止地绕圈运行。

您是否碰巧在桥模式下启动的容器中运行上面的命令？我也遇到过类似的问题。如果是这种情况，您可以使用--network host或通过将凭证作为系统变量传递来运行它。