опа  а  это  уже  интересно

вот так выглядит живой сервис в проде, который автоматически поднимает балансировщик и удаляет, если нет сервисов, использующих его

Именно  но  вот впроспочему  так  много  Рулов  для  несчастных двух  портов  на  кждом  LB  и  как  это  можно  контролировать

без контроллера?

NLB если не ошибаюсь не может иметь вообще SG, если мы про NLB
проверьте вот это
https://docs.aws.amazon.com/eks/latest/userguide/security-groups-for-pods.html

да тут он не  нужен

нет  это  не  группа  NLB йто  группа  класстера

можно и так и так, балансировщик просто форвардит трафик в кластер, а там вы его либо терминируете через ingress controller, либо сразу в приложение, т.к. не все приложения работают через HTTP

https://docs.aws.amazon.com/eks/latest/userguide/sec-group-reqs.html

больше, чем здесь описано?

вот именно  в эту  группу  аппликация  и  добавляет  rules

ну я понял. мы обсуждаем разные вещи. твой вариант это nlb
То о чем говорил я это речь про alb
https://docs.aws.amazon.com/eks/latest/userguide/alb-ingress.html
вот тут прямо сказано в requirements что The AWS Load Balancer Controller provisioned on your cluster. For more information, see AWS Load Balancer Controller.
раз у товарища вопрос по nlb а не по alb то конечно твои знания тут правильнее ;)

а раз он изначально не уточнил что у него за тип лоад балансировки то могли оказаться правы оба :D

новый aws-load-balancer-controller кстати вообще не требует аннотирования особого на уровне сервиса/деплоя (в отличии от предыдущей версии которая называлась aws alb ingress-controller)
там достаточно добавить лейбл на неймспейс, и далее если есть сервисы и ингрессы (на момент запуска пода!) то контроллер сам все сделает
но конечно не отменяет необходимость правильно разметить ингресс манифест нужными аннотациями типа ssl сертификата, пути хелсчеков итд

кстаи а где  можно  найти  полный  список  анатаций  и  что  каждай говорит  походу  у  меня тут  затык !

ого, ну такое чувство, что есть ресурс SecurityGroupPolicy, через который гипотетически могут поды трогать sg, иначе это совсем не секьюрно.
вообще использование SecurityGroupPolicy редко когда нужно, типо вайтлистингов

вот  я и пытаюсь  раскапать  где  туту  ноги  растут

я дополнительно чекнул мануалы по aws-load-balancer-controller и он таки умеет и в nlb  начиная с 1.18
An AWS Network Load Balancer (NLB) when you create a Kubernetes Service of type LoadBalancer using IP targets on 1.18 or later Amazon EKS clusters.
так что если хотя бы в теории планируются alb балансировщики то стоит его начинать разворачивать и учиться с ним работать

плюс конечно там удобно смотреть в 1 месте логов на регистрацию/дерегистрацию таргетов итд, смотреть на состояние контроллера и его ошибки

ну а не нужен он как говорит сам амазон "If you're load balancing network traffic to instance targets, then you use the in-tree Kubernetes load balancer controller and don't need to install this controller."