Folosind suplimentul AWS VPC CNI pentru EKS, pot accesa un pod direct prin adresa sa ip vpc printr-un vpn?

Întrebarea mea generală este în titlu. Simt că am înțeles greșit modul în care podurile sunt conectate la VPC. Am presupus că acest lucru ar face podurile rutabile pe vpc, dar se pare că nu este cazul.

Mai trebuie să circule traficul prin nodurile eks?

Iată configurația actuală a vpc-ului meu:

Hub VPC -- peered la -- Prod VPC

Serverul meu VPN locuiește în VPC-ul Hub și eks rulează în VPC-ul Prod.

Pot intra în nodurile EKS prin vpn, astfel încât rutarea între vpc și peste vpn este în regulă.

Nu pot da ping la pod de pe serverul vpn.

Pot da ping la pod de la nodul eks.

Pot să pun ping la pod de la o instanță nouă pornită în VPC-ul Prod.

Am activat pluginul aws vpc-cni prin consolă.

eu am SNAT extern activat prin intermediul

kubectl set env daemonset -n kube-system aws-node AWS_VPC_K8S_CNI_EXTERNALSNAT=true

Nu am repornit niciunul dintre noduri, deoarece documentația pare să o solicite.

De fapt, cred că folosește pluginul vpc-cni implicit.

Conduc k8s 1.21 si vpc-cni 1.9.3

Acest lucru funcționează exact așa cum mă aștept și pot accesa poduri direct prin conexiunea VPN. Aceasta s-a dovedit a fi o regulă de grup de securitate care blochează accesul la portul pe care încercam să îl folosesc pentru a mă conecta la pod.