ALB Ingress安全组注释不起作用

Question

我在security-groups注释中使用了一个现有的安全组。但是，当通过Ingress创建ALB时，它会附加一个默认SG。为什么它没有附加在我的注释中使用的现有SG。我使用的是alb-ingress-controller。

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: app-ingress
  annotations:
    kubernetes.io/ingress.class: alb
    alb.ingress.kubernetes.io/scheme: internet-facing
    alb.ingress.kubernetes.io/target-type: "instance"
    alb.ingress.kubernetes.io/security-groups: sg-**********
    alb.ingress.kubernetes.io/certificate-arn: arn
    alb.ingress.kubernetes.io/listen-ports: '[{"HTTP":80,"HTTPS": 443}]'
spec:
  rules:
  - host: host
    http:
      paths:
      - path: /
        backend:
          serviceName: serviceName
          servicePort: 80

Answer 1

注释的实际语法是alb.ingress.kubernetes.io/security-groups: sg-xxxx，nameOfSg1，nameOfSg2

您需要创建一对SGs。一个连接到ELB，另一个连接到运行pods的工作节点。

如果名称标记为'elb_sg‘的sg-12345连接到ELB，而' worker_sg’连接到工作节点，则注释应为:alb.ingress.kubernetes.io/安全组: sg-12345，elb_sg，worker_sg

别忘了将worker_sg上的入站添加到来自elb_sg的所有流量中。

Answer 2

我对通过' Security -groups‘注解指定一个现有的安全组没有任何问题(在v1.1.2中使用aws-alb-ingress-controller有任何问题吗?)

在创建新的Ingress资源时，您是否在alb-ingress控制器的Pod中看到任何错误？

你可以用下面的命令来检查*

kubectl logs -n kube-system $(kubectl get po -n kube-system | egrep -o alb-ingress[a-zA-Z0-9-]+)

*在您的情况下可能会略有不同，这取决于部署到哪个名称空间alb-ingress中。