自定义 DNS 服务

本页介绍如何配置 DNS Pod(s),并自定义集群中的 DNS 解析过程。

开始之前

你需要有一个 Kubernetes 集群,并且必须配置 kubectl 命令行工具以与你的集群通信。建议在至少有两个节点且不充当控制平面主机的集群上运行本教程。如果还没有集群,你可以使用 minikube 创建一个,或者你可以使用这些 Kubernetes 游乐场之一

你的集群必须运行 CoreDNS 插件。

你的 Kubernetes 服务器版本必须为 v1.12 或更高版本。要检查版本,请输入 kubectl version

简介

DNS 是一个内置的 Kubernetes 服务,它使用插件管理器 集群插件自动启动。

如果你将 CoreDNS 作为 Deployment 运行,它通常会作为具有静态 IP 地址的 Kubernetes 服务公开。kubelet 通过 --cluster-dns=<dns-service-ip> 标志将 DNS 解析器信息传递给每个容器。

DNS 名称还需要域名。你可以使用 --cluster-domain=<default-local-domain> 标志在 kubelet 中配置本地域名。

DNS 服务器支持正向查找(A 和 AAAA 记录)、端口查找(SRV 记录)、反向 IP 地址查找(PTR 记录)等等。有关更多信息,请参阅 服务和 Pod 的 DNS

如果 Pod 的 dnsPolicy 设置为 default,它将从运行该 Pod 的节点继承名称解析配置。Pod 的 DNS 解析行为应与节点相同。但请参阅 已知问题

如果你不希望这样做,或者你希望 pod 有不同的 DNS 配置,你可以使用 kubelet 的 --resolv-conf 标志。将此标志设置为 "" 以阻止 Pod 继承 DNS。将其设置为有效的文件路径以指定除 /etc/resolv.conf 之外的 DNS 继承文件。

CoreDNS

CoreDNS 是一个通用的权威 DNS 服务器,可以作为集群 DNS,符合 DNS 规范

CoreDNS ConfigMap 选项

CoreDNS 是一个模块化和可插拔的 DNS 服务器,插件添加了新功能。可以通过维护 Corefile 来配置 CoreDNS 服务器,Corefile 是 CoreDNS 配置文件。作为集群管理员,你可以修改 CoreDNS Corefile 的 ConfigMap,以更改该集群的 DNS 服务发现行为。

在 Kubernetes 中,CoreDNS 安装时具有以下默认 Corefile 配置

apiVersion: v1
kind: ConfigMap
metadata:
  name: coredns
  namespace: kube-system
data:
  Corefile: |
    .:53 {
        errors
        health {
            lameduck 5s
        }
        ready
        kubernetes cluster.local in-addr.arpa ip6.arpa {
            pods insecure
            fallthrough in-addr.arpa ip6.arpa
            ttl 30
        }
        prometheus :9153
        forward . /etc/resolv.conf
        cache 30
        loop
        reload
        loadbalance
    }

Corefile 配置包括以下 CoreDNS 插件

  • errors:错误记录到 stdout。
  • health:CoreDNS 的运行状况报告给 https://127.0.0.1:8080/health。在这种扩展语法中,lameduck 会使进程不健康,然后在进程关闭之前等待 5 秒。
  • ready:当所有能够发出就绪信号的插件都完成时,端口 8181 上的 HTTP 端点将返回 200 OK。
  • kubernetes:CoreDNS 将根据服务和 Pod 的 IP 回复 DNS 查询。你可以在 CoreDNS 网站上找到有关此插件的更多详细信息
    • ttl 允许你为响应设置自定义 TTL。默认值为 5 秒。允许的最小 TTL 为 0 秒,最大上限为 3600 秒。将 TTL 设置为 0 将阻止缓存记录。
    • 提供 pods insecure 选项是为了与 kube-dns 向后兼容。
    • 你可以使用 pods verified 选项,该选项仅当在同一命名空间中存在具有匹配 IP 的 pod 时才返回 A 记录。
    • 如果你不使用 pod 记录,则可以使用 pods disabled 选项。
  • prometheus:CoreDNS 的指标以 Prometheus 格式(也称为 OpenMetrics)在 https://127.0.0.1:9153/metrics 上可用。
  • forward:Kubernetes 集群域之外的任何查询都会转发到预定义的解析器(/etc/resolv.conf)。
  • cache:这将启用前端缓存。
  • loop:检测简单的转发循环,如果发现循环,则停止 CoreDNS 进程。
  • reload:允许自动重新加载更改的 Corefile。在你编辑 ConfigMap 配置后,请等待两分钟以使更改生效。
  • loadbalance:这是一个轮询 DNS 负载均衡器,它会随机化答案中 A、AAAA 和 MX 记录的顺序。

你可以通过修改 ConfigMap 来修改默认的 CoreDNS 行为。

使用 CoreDNS 配置存根域和上游名称服务器

CoreDNS 可以使用 forward 插件配置存根域和上游名称服务器。

示例

如果集群操作员有一个位于 "10.150.0.1" 的 Consul 域服务器,并且所有 Consul 名称都带有后缀 ".consul.local"。要在 CoreDNS 中配置它,集群管理员将在 CoreDNS ConfigMap 中创建以下节。

consul.local:53 {
    errors
    cache 30
    forward . 10.150.0.1
}

要显式强制所有非集群 DNS 查找都通过 172.16.0.1 上的特定名称服务器,请将 forward 指向该名称服务器,而不是指向 /etc/resolv.conf

forward .  172.16.0.1

最终的 ConfigMap 以及默认的 Corefile 配置如下所示

apiVersion: v1
kind: ConfigMap
metadata:
  name: coredns
  namespace: kube-system
data:
  Corefile: |
    .:53 {
        errors
        health
        kubernetes cluster.local in-addr.arpa ip6.arpa {
           pods insecure
           fallthrough in-addr.arpa ip6.arpa
        }
        prometheus :9153
        forward . 172.16.0.1
        cache 30
        loop
        reload
        loadbalance
    }
    consul.local:53 {
        errors
        cache 30
        forward . 10.150.0.1
    }

下一步

上次修改时间为太平洋标准时间 2023 年 1 月 11 日上午 11:12: 更新 /tasks/administer-cluster 部分中的页面权重 (b1202c78ff)