CoreDNS域名解析
插件简介
CoreDNS域名解析插件是一款通过链式插件的方式为Kubernetes提供域名解析服务的DNS服务器。
CoreDNS是由CNCF孵化的开源软件,用于Cloud-Native环境下的DNS服务器和服务发现解决方案。CoreDNS实现了插件链式架构,能够按需组合插件,运行效率高、配置灵活。在Kubernetes集群中使用CoreDNS能够自动发现集群内的服务,并为这些服务提供域名解析。同时,通过级联云上DNS服务器,还能够为集群内的工作负载提供外部域名的解析服务。
该插件为系统资源插件,在创建集群时默认安装。
目前CoreDNS已经成为社区Kubernetes集群推荐的DNS服务器解决方案。
CoreDNS官网:https://coredns.io/
开源社区地址:https://github.com/coredns/coredns
DNS详细使用方法请参见DNS。
约束与限制
CoreDNS域名解析插件正常运行或升级时,请确保集群中的可用节点数大于等于插件的实例数,且所有实例都处于运行状态,否则将导致插件异常或升级失败。
安装插件
本插件为系统默认安装,若因特殊情况卸载后,可参照如下步骤重新安装。
- 登录CCE控制台,单击集群名称进入集群,在左侧导航栏中选择“插件中心”,在右侧找到CoreDNS域名解析插件,单击“安装”。
- 在安装插件页面,根据需求选择“规格配置”。
- 选择“系统预置规格”时,您可根据并发域名解析能力选择“小规格”、“中规格”或“大规格”,系统会根据不同的预置规格配置插件的实例数及资源配额,具体配置值请以控制台显示为准。
“小规格”的外部域名解析能力为2500QPS,内部域名解析能力为10000QPS;“中规格”的外部域名解析能力为5000QPS,内部域名解析能力为20000QPS;“大规格”的外部域名解析能力为10000QPS,内部域名解析能力为40000QPS。
- 选择“自定义规格”时,您可根据需求调整插件实例数和资源配额。CoreDNS所能提供的域名解析QPS与CPU消耗成正相关,集群中的节点/容器数量增加时,CoreDNS实例承受的压力也会同步增加。请根据集群的规模,合理调整插件实例数和容器CPU/内存配额,配置建议请参见表1。
- 选择“系统预置规格”时,您可根据并发域名解析能力选择“小规格”、“中规格”或“大规格”,系统会根据不同的预置规格配置插件的实例数及资源配额,具体配置值请以控制台显示为准。
- 通过界面设置插件支持的“参数配置”。
表2 CoreDNS插件参数配置 参数
参数说明
存根域设置
对自定义的域名配置域名服务器,格式为一个键值对,键为DNS后缀域名,值为一个或一组DNS IP地址,如 'acme.local -- 1.2.3.4,6.7.8.9'。
详情请参见为CoreDNS配置存根域。
扩展参数配置
- parameterSyncStrategy:插件升级时是否配置一致性检查。
- ensureConsistent:表示启用配置一致性检查。如果下发的配置与当前生效配置不同,则覆盖当前生效配置;如果下发的配置与当前生效配置相同,则保留当前生效配置。使用ensureConsistent可以确保配置的一致性,如果存在手动修改configmap的场景,插件将无法升级,需要使用force或inherit策略进行插件升级。
- force:表示升级时忽略配置一致性检查。将以升级插件时下发的配置为准,请您自行确保升级插件时下发的配置和当前生效配置一致。插件升级完毕后,需将parameterSyncStrategy参数值恢复为ensureConsistent,重新启用配置一致性检查。
- inherit:如果升级插件时下发的配置和当前生效配置不一致,将忽略升级插件时下发的配置,以当前生效配置为准。插件升级完毕后,parameterSyncStrategy的参数值将自动恢复为ensureConsistent,重新启用配置一致性检查。
- servers: CoreDNS 1.23.1插件版本开始开放servers配置,用户可对servers做定制化配置,详情请参见dns-custom-nameservers。
其中plugins为CoreDNS中各组件配置。一般场景建议保持默认配置,以免出现配置错误而导致CoreDNS整体不可用。每个plugin组件可包含"name"、"parameters"(可选)、"configBlock"(可选)配置,对应生成的Corefile配置文件中格式如下:
$name $parameters { $configBlock }
- upstream_nameservers:上游域名服务器地址。
高级配置示例:
{ "annotations": {}, "parameterSyncStrategy": "ensureConsistent", "servers": [ { "plugins": [ { "name": "bind", "parameters": "{$POD_IP}" }, { "name": "cache", "configBlock": "servfail 5s", "parameters": 30 }, { "name": "errors" }, { "name": "health", "parameters": "{$POD_IP}:8080" }, { "name": "ready", "parameters": "{$POD_IP}:8081" }, { "configBlock": "pods insecure\nfallthrough in-addr.arpa ip6.arpa", "name": "kubernetes", "parameters": "cluster.local in-addr.arpa ip6.arpa" }, { "name": "loadbalance", "parameters": "round_robin" }, { "name": "prometheus", "parameters": "{$POD_IP}:9153" }, { "configBlock": "policy random", "name": "forward", "parameters": ". /etc/resolv.conf" }, { "name": "reload" } ], "port": 5353, "zones": [ { "zone": "." } ] } ], "upstream_nameservers": ["8.8.8.8", "8.8.4.4"] }
表3 CoreDNS默认配置说明 plugin名称
类型
描述
bind
默认配置
CoreDNS侦听的hostIP配置,建议保持当前默认值{$POD_IP}。详情请参见bind。
cache
默认配置
启用DNS缓存。详情请参见cache。
插件版本>=1.25.10时,支持关闭servfail缓存。如需关闭servfail缓存,请将configBlock设置为"servfail 0";否则servfail缓存的单位为s,不可省略。
errors
默认配置
错误信息到标准输出。详情请参见errors。
health
默认配置
CoreDNS健康检查配置,当前侦听{$POD_IP}:8080,请保持此默认值,否则导致coredns健康检查失败而不断重启。详情请参见health。
ready
默认配置
检查后端服务是否准备好接收流量,当前侦听{$POD_IP}:8081。如果后端服务没有准备好,CoreDNS将会暂停 DNS 解析服务,直到后端服务准备好为止。详情请参见ready。
kubernetes
默认配置
CoreDNS Kubernetes插件,提供集群内服务解析能力。详情请参见kubernetes。
loadbalance
默认配置
轮转式 DNS 负载均衡器,在应答中随机分配A、AAAA和MX记录的顺序。详情请参见loadbalance。
prometheus
默认配置
CoreDNS自身metrics数据接口,默认侦听{$POD_IP}:9153,请保持此默认值,否则普罗无法采集coredns metrics数据。详情请参见prometheus。
forward
默认配置
不在 Kubernetes 集群域内的任何查询都将转发到默认的解析器 (/etc/resolv.conf)。详情请参见forward。
reload
默认配置
允许自动重新加载已更改的Corefile。编辑ConfigMap配置后,请等待两分钟,以使更改生效。详情请参见reload。
log
扩展配置
开启CoreDNS域名解析的日志。详情请参见log。
示例如下:
{ "name": "log" }
template
扩展配置
设置快速应答模板,AAAA表示IPv6解析请求,rcode控制应答返回NXDOMAIN,即表示没有IPv6解析结果。详情请参见template。
示例如下:
{ "configBlock": "rcode NXDOMAIN", "name": "template", "parameters": "ANY AAAA" }
- parameterSyncStrategy:插件升级时是否配置一致性检查。
- 设置插件实例的部署策略。
- 调度策略对于DaemonSet类型的插件实例不会生效。
- 设置多可用区部署或节点亲和策略时,需保证集群中存在满足调度策略的节点且拥有足够的资源,否则插件实例将无法运行。
表4 插件调度配置 参数
参数说明
多可用区部署
- 优先模式:优先将插件的Deployment实例调度到不同可用区的节点上,如集群下节点不满足多可用区,插件实例将调度到单可用区下的不同节点。
- 均分模式:插件Deployment实例均匀调度到当前集群下各可用区,增加新的可用区后建议扩容插件实例以实现跨可用区高可用部署;均分模式限制不同可用区间插件实例数相差不超过1,单个可用区资源不足会导致后续其他实例无法调度。
- 强制模式:插件Deployment实例强制调度到不同可用区的节点上,每个可用区下最多运行一个实例。如集群下节点不满足多可用区,插件实例将无法全部运行。节点故障后,插件实例存在无法迁移风险。
节点亲和
容忍策略
容忍策略与节点的污点能力配合使用,允许(不强制)插件的 Deployment 实例调度到带有与之匹配的污点的节点上,也可用于控制插件的 Deployment 实例所在的节点被标记污点后插件的 Deployment 实例的驱逐策略。
插件会对实例添加针对node.kubernetes.io/not-ready和node.kubernetes.io/unreachable污点的默认容忍策略,容忍时间窗为60s。
详情请参见设置容忍策略。
- 完成以上配置后,单击“安装”。
使用Corefile配置CoreDNS插件
安装CoreDNS插件时,不支持使用Corefile视图配置,仅编辑/升级场景支持使用Corefile视图配置。
- 登录CCE控制台,单击集群名称进入集群,在左侧导航栏中选择“插件中心”,在右侧找到CoreDNS域名解析插件,单击“编辑”。
- 在“参数配置”中,选择是否切换Corefile视图(1.30.3及以上版本的插件支持)。
切换后将通过Corefile格式直接配置kube-system命名空间下的CoreDNS的ConfigMap,且已有的存根域配置和高级配置内 parameterSyncStrategy/servers/upstream_nameservers等参数均不再生效,您需要自行保证Corefile配置的正确性。
关于Corefile格式的说明请参考如何配置Corefile。
- 关闭Corefile视图后,依旧会以存根域配置和高级配置内 parameterSyncStrategy/servers/upstream_nameservers 等参数配置CoreDNS的配置项,切换时需要保证配置的合理性。
- 开启Corefile视图后更新/升级插件,再次关闭Corefile视图更新/升级插件,插件更新会拦截当前的配置,需要将 parameterSyncStrategy设置为force或者inherit策略后才能完成升级。
- 修改Corefile配置项后,需要等待CoreDNS内部的Reload机制自动完成配置刷新(约在十秒内配置生效)。
- 完成Corefile编辑后,单击“确定”。
组件说明
容器组件 |
说明 |
资源类型 |
---|---|---|
coredns |
该容器为提供集群域名解析服务的DNS服务器。 |
Deployment |
Kubernetes中的域名解析逻辑
DNS策略可以在每个pod基础上进行设置,目前,Kubernetes支持Default、ClusterFirst、ClusterFirstWithHostNet和None四种DNS策略,具体请参见Service与Pod的DNS。这些策略在pod-specific的dnsPolicy字段中指定。
- “Default”:如果dnsPolicy被设置为“Default”,则名称解析配置将从pod运行的节点继承。 自定义上游域名服务器和存根域不能够与这个策略一起使用。
- “ClusterFirst”:如果dnsPolicy被设置为“ClusterFirst”,任何与配置的集群域后缀不匹配的DNS查询(例如,www.kubernetes.io)将转发到从该节点继承的上游名称服务器。集群管理员可能配置了额外的存根域和上游DNS服务器。
- “ClusterFirstWithHostNet”:对于使用hostNetwork运行的Pod,您应该明确设置其DNS策略“ClusterFirstWithHostNet”。
- “None”:它允许Pod忽略Kubernetes环境中的DNS设置。应使用dnsConfigPod规范中的字段提供所有DNS设置 。
- Kubernetes 1.10及以上版本,支持Default、ClusterFirst、ClusterFirstWithHostNet和None四种策略;低于Kubernetes 1.10版本,仅支持default、ClusterFirst和ClusterFirstWithHostNet三种。
- “Default”不是默认的DNS策略。如果dnsPolicy的Flag没有特别指明,则默认使用“ClusterFirst”。
路由请求流程:
未配置存根域:没有匹配上配置的集群域名后缀的任何请求,例如 “www.kubernetes.io”,将会被转发到继承自节点的上游域名服务器。
已配置存根域:如果配置了存根域和上游DNS服务器,DNS查询将基于下面的流程对请求进行路由:
- 查询首先被发送到coredns中的DNS缓存层。
- 从缓存层,检查请求的后缀,并根据下面的情况转发到对应的DNS上:
- 具有集群后缀的名字(例如“.cluster.local”):请求被发送到coredns。
- 具有存根域后缀的名字(例如“.acme.local”):请求被发送到配置的自定义DNS解析器(例如:监听在 1.2.3.4)。
- 未能匹配上后缀的名字(例如“widget.com”):请求被转发到上游DNS。
版本记录
插件版本 |
支持的集群版本 |
更新特性 |
社区版本 |
---|---|---|---|
1.30.6 |
v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 v1.30 |
|
|
1.29.5 |
v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 |
修复部分问题 |
|
1.29.4 |
v1.21 v1.23 v1.25 v1.27 v1.28 v1.29 |
适配CCE v1.29集群 |
|
1.28.7 |
v1.21 v1.23 v1.25 v1.27 v1.28 |
支持插件热更新配置,无需滚动升级 |
|
1.28.5 |
v1.21 v1.23 v1.25 v1.27 v1.28 |
修复部分问题 |
|
1.28.4 |
v1.21 v1.23 v1.25 v1.27 v1.28 |
适配CCE v1.28集群 |
|
1.27.4 |
v1.19 v1.21 v1.23 v1.25 v1.27 |
- |
|
1.27.1 |
v1.19 v1.21 v1.23 v1.25 v1.27 |
适配CCE v1.27集群 |
|
1.25.1 |
v1.19 v1.21 v1.23 v1.25 |
适配CCE v1.25集群 |
|
1.23.3 |
v1.15 v1.17 v1.19 v1.21 v1.23 |
插件依赖例行升级 |
|
1.23.2 |
v1.15 v1.17 v1.19 v1.21 v1.23 |
插件依赖例行升级 |
|
1.23.1 |
v1.15 v1.17 v1.19 v1.21 v1.23 |
适配CCE v1.23集群 |
|
1.17.15 |
v1.15 v1.17 v1.19 v1.21 |
适配CCE v1.21集群 |
|
1.17.9 |
v1.15 v1.17 v1.19 |
插件依赖例行升级 |
|
1.17.7 |
v1.15 v1.17 v1.19 |
同步至社区v1.8.4版本 |
|
1.17.4 |
v1.17 v1.19 |
适配CCE v1.19集群 |
|
1.17.3 |
v1.17 |
支持v1.17集群,修复存根域配置问题 |
|
1.17.1 |
v1.17 |
支持v1.17集群 |