现k8s中使用的都是coreDNS进行内部地址的解析及路由,在k8s v1.10之前的版本是使用kubeDNS。基于k8s 实战篇 - 镜像打包部署 - springboot&mysql - 3中的数据库链接配置,讨论一下内部域名解析问题

K8s内部域名解析

1、 K8s Kube-dns 架构

在这里插入图片描述

Kube-dns包含以下三个核心组件:
kubedns:监控kubernetes的Server资源的变化,根据Server的名称和ip地址生成DNS记录然后将DNS记录保存到内存中
dnsmasq:DNS配置工具,监听53端口,为集群提供DNS查询服务。dnsmasq 提供DNS缓存,降低了kubedns的查询压力,提升了DNS域名解析的整体性能;
exechealthz:健康检查,检查Kube-dns和dnsmasq的健康,对外提供/healthz HTTP接口以查询Kube-dns的健康状况。

2、K8s DNS 策略

Kubernetes 中 Pod 的 DNS 策略有四种类型。
Default(默认):Pod 继承所在主机上的 DNS 配置;
ClusterFirst(集群优先):K8s 的默认设置;先在 K8s 集群配置的 coreDNS 中查询,查不到的再去继承自主机的上游 nameserver 中查询;
ClusterFirstWithHostNet(集群 DNS 优先,并伴随着使用宿主机网络:对于网络配置为 hostNetwork 的 Pod 而言,其 DNS 配置规则与 ClusterFirst 一致;
None(无):忽略 K8s 环境的 DNS 配置,只认 Pod 的 dnsConfig 设置。
Kubernetes 目前在 Pod 定义中支持两个 DNS 策略:Default和ClusterFirst,dnsPolicy缺省为ClusterFirst。

3、CoreDns简介

coreDNS是一个DNS服务器,它使用go语言编写。CoreDns是一个灵活的可扩展的DNS服务器,作为kubernetes集群的默认DNS服务器。CoreDNS是经过Apache 许可证授权的,并且是完全开源的。引入表达力更强的DSL,即Corefile形式的配置文件(也是基于Caddy框架开发的)。

4、CoreDNS的配置及相关解析流程

coreDNS使用Corefile作为配置文件使用,如下:

coredns.io:5300 {
    file db.coredns.io
}

example.io:53 {
    log
    errors
    file db.example.io
}

example.net:53 {
    file db.example.net
}

.:53 {
    kubernetes
    forward . 8.8.8.8
    log
    errors
    cache
}

当CoreDNS进行解析的时候,如下:
在这里插入图片描述

5、查看k8s的dns配置

执行命令“kubectl describe configmap coredns -n kube-system ”可以查看coreDNS的默认配置。

PS C:\Users\Desktop> kubectl describe configmap coredns -n kube-system
Name:         coredns
Namespace:    kube-system
Labels:       <none>
Annotations:  <none>

Data
====
Corefile:
----
.:53 {
    errors
    health {
       lameduck 5s
    }
    ready
    kubernetes cluster.local in-addr.arpa ip6.arpa {
       pods insecure
       fallthrough in-addr.arpa ip6.arpa
       ttl 30
    }
    prometheus :9153
    forward . /etc/resolv.conf {
       max_concurrent 1000
    }
    cache 30
    loop
    reload
    loadbalance
}


BinaryData
====

Events:  <none>

5.1、Corefile 文件分析

5.1.1、kubernetes cluster.local in-addr.arpa ip6.arpa说明:
kubernetes cluster.local in-addr.arpa ip6.arpa {
   pods insecure
   fallthrough in-addr.arpa ip6.arpa
   ttl 30
}

指明 cluster.local 后缀的域名,都是 kubernetes 内部域名,coredns 会监听 service 的变化来维护域名关系,所以cluster.local 相关域名都在这里解析。

5.1.2、forward . /etc/resolv.conf说明:
forward . /etc/resolv.conf {
   max_concurrent 1000
}

forward 指 coredns 中没有找到记录,则去 /etc/resolv.conf中的 nameserver 请求解析,而 coredns 容器中的 /etc/resolv.conf 是继承自宿主机的。

5.1.3、其他说明:

prometheus:CoreDNS 的监控地址为: http://localhost:9153/metrics ,满足 Prometheus 的格式。
cache:允许缓存
loop:如果找到循环,则检测简单的转发循环并停止 CoreDNS 进程。
reload:允许 Corefile 的配置自动更新。在更改 ConfigMap 后两分钟,修改生效
loadbalance:这是一个循环 DNS 负载均衡器,可以在答案中随机化 A,AAAA 和 MX 记录的顺序。

6、查看pod域名解析

由Corefile文件解析可知,DNS 查询会被发送到 kube-dns 服务。kube-dns 服务负责相应以集群域名为后缀(cluster.local)的查询。其他的域名查询(例如 www.kubernetes.io )会被转发给来自节点定义的上级域名服务器。DNS 查询可能因为执行查询的 Pod 所在的名字空间而返回不同的结果。 不指定名字空间的 DNS 查询会被限制在 Pod 所在的名字空间内。 要访问其他名字空间中的 Service,需要在 DNS 查询中指定名字空间。

PS C:\Users\Desktop> kubectl exec -it docker-demo-776857b688-5bwvd -n default cat /etc/resolv.conf
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
nameserver 10.96.0.10
search default.svc.cluster.local svc.cluster.local cluster.local
options ndots:5

其中nameserver是dns所在服务器ip地址,可以执行命令kubectl get svc -n kube-system | grep kube-dns查看dns的ip地址。

PS C:\Users\Desktop> kubectl get svc -n kube-system | findstr kube-dns
kube-dns   ClusterIP   10.96.0.10   <none>        53/UDP,53/TCP,9153/TCP   30d

其中search为解析项,如果访问docker-demo项目,则解析请求以次为:docker-demo.default.svc.cluster.local -> docker-demo.svc.cluster.local -> docker-demo.cluster.local ,所以可以确定docker-demo的正确访问方式,依次为:docker-demo\docker-demo.default\docker-demo.default.svc\docker-demo.default.svc.cluster.local。请求格式为:<service-name>.<space-name>.svc.cluster.local,docker-demo所在的默认命名空间为default,如果docker-demo由default空间变为了test空间,则需要带上把default替换称新的命名空间才行,例如:docker-demo.test.svc.cluster.local。我们来测试一下:

/ # nslookup docker-demo
nslookup: can't resolve '(null)': Name does not resolve

Name:      docker-demo
Address 1: 10.101.174.221 docker-demo.default.svc.cluster.local
/ # nslookup docker-demo.default
nslookup: can't resolve '(null)': Name does not resolve

Name:      docker-demo.default
Address 1: 10.101.174.221 docker-demo.default.svc.cluster.local
/ # nslookup docker-demo.default.svc
nslookup: can't resolve '(null)': Name does not resolve

Name:      docker-demo.default.svc
Address 1: 10.101.174.221 docker-demo.default.svc.cluster.local
/ # nslookup docker-demo.default.svc.cluster.local
nslookup: can't resolve '(null)': Name does not resolve

Name:      docker-demo.default.svc.cluster.local
Address 1: 10.101.174.221 docker-demo.default.svc.cluster.local

从以上解析查看,使用"docker-demo\docker-demo.default\docker-demo.default.svc\docker-demo.default.svc.cluster.local"都能成功访问10.101.174.221地址,是因为docker-demo的pod在同一个namespace内,如果在不同的namespace中,需要加入"docker-demo.default"。直接通过"docker-demo.default.svc.cluster.local"访问可以减少解析。
其中options ndots:5为解析小数点不超过5的域名,如果超过5个,则可以直接访问。

/ # nslookup 1.docker-demo.default.svc.cluster.local
nslookup: can't resolve '(null)': Name does not resolve

nslookup: can't resolve '1.docker-demo.default.svc.cluster.local': Name does not resolve

域名前面加上1.就不能正常访问了。

# kubernetes # docker # 容器
Logo
华为云开发者联盟

为开发者提供学习成长、分享交流、生态实践、资源工具等服务,帮助开发者快速成长。

更多推荐

cover

openEuler系统通过shell脚本安装openGauss 5.0.0企业版

avatar 华为云开发者联盟
cover

一文了解npm install -g和npm install --save-dev的关系

avatar 华为云开发者联盟
cover

【FAQ】HarmonyOS SDK 闭源开放能力 —Map Kit(2)

avatar 华为云开发者联盟