调试 DNS 解析
此页面提供了诊断 DNS 问题的提示。
准备工作
你需要拥有一个 Kubernetes 集群,并且 kubectl 命令行工具已配置为与你的集群通信。建议在至少有两个非控制平面主机的节点的集群上运行此教程。如果你还没有集群,可以使用 minikube 创建一个,或者可以使用以下 Kubernetes 游乐场之一:
你的集群必须配置为使用 CoreDNS 插件 或其前身 kube-dns。
你的 Kubernetes 服务器版本必须是 v1.6 或更高。
要检查版本,输入 kubectl version。
创建一个简单的 Pod 用作测试环境
apiVersion: v1
kind: Pod
metadata:
name: dnsutils
namespace: default
spec:
containers:
- name: dnsutils
image: registry.k8s.io/e2e-test-images/agnhost:2.39
imagePullPolicy: IfNotPresent
restartPolicy: Always
使用该清单创建 Pod
kubectl apply -f https://k8s.io/examples/admin/dns/dnsutils.yaml
pod/dnsutils created
…并验证其状态
kubectl get pods dnsutils
NAME READY STATUS RESTARTS AGE
dnsutils 1/1 Running 0 <some-time>
一旦 Pod 运行起来,你可以在该环境中执行 nslookup。如果你看到类似如下的输出,则表明 DNS 工作正常。
kubectl exec -i -t dnsutils -- nslookup kubernetes.default
Server: 10.0.0.10
Address 1: 10.0.0.10
Name: kubernetes.default
Address 1: 10.0.0.1
如果 nslookup 命令失败,请检查以下项:
首先检查本地 DNS 配置
查看 resolv.conf 文件内容。(更多信息请参阅 定制 DNS 服务 和下面的已知问题)
kubectl exec -ti dnsutils -- cat /etc/resolv.conf
验证搜索路径和名称服务器是否设置如下所示(注意:不同的云提供商的搜索路径可能有所不同)
search default.svc.cluster.local svc.cluster.local cluster.local google.internal c.gce_project_id.internal
nameserver 10.0.0.10
options ndots:5
如下所示的错误表明 CoreDNS(或 kube-dns)插件或关联的 Service 存在问题
kubectl exec -i -t dnsutils -- nslookup kubernetes.default
Server: 10.0.0.10
Address 1: 10.0.0.10
nslookup: can't resolve 'kubernetes.default'
或
kubectl exec -i -t dnsutils -- nslookup kubernetes.default
Server: 10.0.0.10
Address 1: 10.0.0.10 kube-dns.kube-system.svc.cluster.local
nslookup: can't resolve 'kubernetes.default'
检查 DNS Pod 是否正在运行
使用 kubectl get pods 命令验证 DNS Pod 正在运行。
kubectl get pods --namespace=kube-system -l k8s-app=kube-dns
NAME READY STATUS RESTARTS AGE
...
coredns-7b96bf9f76-5hsxb 1/1 Running 0 1h
coredns-7b96bf9f76-mvmmt 1/1 Running 0 1h
...
注意
对于 CoreDNS 和 kube-dns 部署,标签k8s-app 的值都是 kube-dns。如果你看到没有 CoreDNS Pod 正在运行,或者 Pod 失败/已完成,则你的当前环境可能没有默认部署 DNS 插件,你需要手动部署它。
检查 DNS Pod 中的错误
使用 kubectl logs 命令查看 DNS 容器的日志。
对于 CoreDNS
kubectl logs --namespace=kube-system -l k8s-app=kube-dns
以下是健康的 CoreDNS 日志示例
.:53
2018/08/15 14:37:17 [INFO] CoreDNS-1.2.2
2018/08/15 14:37:17 [INFO] linux/amd64, go1.10.3, 2e322f6
CoreDNS-1.2.2
linux/amd64, go1.10.3, 2e322f6
2018/08/15 14:37:17 [INFO] plugin/reload: Running configuration MD5 = 24e6c59e83ce706f07bcc82c31b1ea1c
查看日志中是否有任何可疑或意外的消息。
DNS Service 是否已启动?
使用 kubectl get service 命令验证 DNS Service 已启动。
kubectl get svc --namespace=kube-system
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE
...
kube-dns ClusterIP 10.0.0.10 <none> 53/UDP,53/TCP 1h
...
注意
对于 CoreDNS 和 kube-dns 部署,Service 名称都是kube-dns。如果你创建了 Service,或者 Service 应该默认创建但未出现,更多信息请参阅调试 Service。
DNS Endpoint 是否已暴露?
可以使用 kubectl get endpointslice 命令验证 DNS Endpoint 已暴露。
kubectl get endpointslices -l k8s.io/service-name=kube-dns --namespace=kube-system
NAME ADDRESSTYPE PORTS ENDPOINTS AGE
kube-dns-zxoja IPv4 53 10.180.3.17,10.180.3.17 1h
如果你没有看到 Endpoint,请参阅调试 Service 文档中的 Endpoint 部分。
有关更多 Kubernetes DNS 示例,请参阅 Kubernetes GitHub 仓库中的cluster-dns 示例。
是否接收/处理 DNS 查询?
可以通过将 log 插件添加到 CoreDNS 配置(即 Corefile)中来验证 CoreDNS 是否正在接收查询。CoreDNS Corefile 存储在名为 coredns 的 ConfigMap 中。要编辑它,请使用以下命令:
kubectl -n kube-system edit configmap coredns
然后按照下面的示例在 Corefile 部分添加 log
apiVersion: v1
kind: ConfigMap
metadata:
name: coredns
namespace: kube-system
data:
Corefile: |
.:53 {
log
errors
health
kubernetes cluster.local in-addr.arpa ip6.arpa {
pods insecure
upstream
fallthrough in-addr.arpa ip6.arpa
}
prometheus :9153
forward . /etc/resolv.conf
cache 30
loop
reload
loadbalance
}
保存更改后,Kubernetes 可能需要一两分钟才能将这些更改传播到 CoreDNS Pod。
接下来,进行一些查询并按照本文前面章节的说明查看日志。如果 CoreDNS Pod 正在接收查询,你应该能在日志中看到它们。
以下是日志中查询的示例
.:53
2018/08/15 14:37:15 [INFO] CoreDNS-1.2.0
2018/08/15 14:37:15 [INFO] linux/amd64, go1.10.3, 2e322f6
CoreDNS-1.2.0
linux/amd64, go1.10.3, 2e322f6
2018/09/07 15:29:04 [INFO] plugin/reload: Running configuration MD5 = 162475cdf272d8aa601e6fe67a6ad42f
2018/09/07 15:29:04 [INFO] Reloading complete
172.17.0.18:41675 - [07/Sep/2018:15:29:11 +0000] 59925 "A IN kubernetes.default.svc.cluster.local. udp 54 false 512" NOERROR qr,aa,rd,ra 106 0.000066649s
CoreDNS 是否具有足够的权限?
CoreDNS 必须能够列出 Service 和 EndpointSlice 相关资源,才能正确解析 Service 名称。
错误消息示例
2022-03-18T07:12:15.699431183Z [INFO] 10.96.144.227:52299 - 3686 "A IN serverproxy.contoso.net.cluster.local. udp 52 false 512" SERVFAIL qr,aa,rd 145 0.000091221s
首先,获取 system:coredns 的当前 ClusterRole
kubectl describe clusterrole system:coredns -n kube-system
预期输出
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
endpoints [] [] [list watch]
namespaces [] [] [list watch]
pods [] [] [list watch]
services [] [] [list watch]
endpointslices.discovery.k8s.io [] [] [list watch]
如果缺少任何权限,请编辑 ClusterRole 添加它们
kubectl edit clusterrole system:coredns -n kube-system
EndpointSlices 权限插入示例
...
- apiGroups:
- discovery.k8s.io
resources:
- endpointslices
verbs:
- list
- watch
...
你是否在 Service 所在的正确命名空间中?
未指定命名空间的 DNS 查询仅限于 Pod 所在的命名空间。
如果 Pod 和 Service 的命名空间不同,DNS 查询必须包含 Service 的命名空间。
此查询仅限于 Pod 所在的命名空间
kubectl exec -i -t dnsutils -- nslookup <service-name>
此查询指定了命名空间
kubectl exec -i -t dnsutils -- nslookup <service-name>.<namespace>
要了解更多关于名称解析的信息,请参阅Services 和 Pod 的 DNS。
已知问题
某些 Linux 发行版(例如 Ubuntu)默认使用本地 DNS 解析器(systemd-resolved)。Systemd-resolved 会移动并替换 /etc/resolv.conf 文件为一个存根文件,这在使用上游服务器解析名称时可能导致致命的转发循环。可以通过手动使用 kubelet 的 --resolv-conf 参数指向正确的 resolv.conf 来解决(对于 systemd-resolved,文件路径是 /run/systemd/resolve/resolv.conf)。kubeadm 会自动检测 systemd-resolved 并相应地调整 kubelet 参数。
默认情况下,Kubernetes 安装不会配置节点的 resolv.conf 文件以使用集群 DNS,因为这个过程本质上取决于发行版。这可能最终会实现。
Linux 的 libc (a.k.a. glibc) 默认将 DNS nameserver 记录限制为 3 条,而 Kubernetes 需要消耗 1 条 nameserver 记录。这意味着如果本地安装已经使用了 3 条 nameserver,其中一些条目将会丢失。为了解决此限制,节点可以运行 dnsmasq,它将提供更多的 nameserver 条目。你也可以使用 kubelet 的 --resolv-conf 参数。
如果你正在使用 Alpine 版本 3.17 或更早版本作为基础镜像,由于 Alpine 的设计问题,DNS 可能无法正常工作。直到 musl 1.24 版本才包含了 TCP 回退到 DNS 存根解析器的功能,这意味着任何超过 512 字节的 DNS 调用都会失败。请将你的镜像升级到 Alpine 版本 3.18 或更高版本。