Используя надстройку AWS VPC CNI для EKS, могу ли я получить доступ к модулю напрямую через его IP-адрес vpc через vpn?

Мой общий вопрос в заголовке. Я чувствую, что неправильно понял, как модули подключаются к VPC. Я предполагал, что это сделает модули маршрутизируемыми на vpc, но похоже, что это не так.

Должен ли трафик по-прежнему проходить через узлы eks?

Вот моя текущая конфигурация vpc:

Hub VPC -- пиринг с -- Prod VPC

Мой сервер vpn живет в Hub VPC, а экс работает в Prod VPC.

Я могу подключиться по ssh к узлам EKS через vpn, поэтому маршрутизация между vpc и через vpn в порядке.

Я не могу пинговать pod с сервера vpn.

Я могу пропинговать pod с узла eks.

Я могу пропинговать модуль из нового экземпляра, загруженного в Prod VPC.

Я включил плагин aws vpc-cni через консоль.

У меня есть включен внешний SNAT с помощью

kubectl set env daemonset -n kube-system aws-node AWS_VPC_K8S_CNI_EXTERNALSNAT = true

Я не перезапускал ни один из узлов, поскольку документация требует этого.

Я действительно думаю, что он использует плагин vpc-cni по умолчанию.

у меня к8с 1.21 и vpc-cni 1.9.3

На самом деле это работает именно так, как я ожидаю, и я могу получить доступ к модулям напрямую через соединение vpn. Это оказалось правилом группы безопасности, блокирующим доступ к порту, который я пытался использовать для подключения к модулю.