k8s的DNS相關(guān)內(nèi)容刷后,詳見(jiàn)官方文檔地址
一、k8s默認(rèn)的DNS策略
k8s提供了5種DNS策略扔傅,如下:
-
Default: Pod 從運(yùn)行所在的節(jié)點(diǎn)繼承名稱(chēng)解析配置碰声。 -
ClusterFirst: 與配置的集群域后綴不匹配的任何 DNS 查詢(xún)(例如 “www.kubernetes.io”) 都將轉(zhuǎn)發(fā)到從節(jié)點(diǎn)繼承的上游名稱(chēng)服務(wù)器诡蜓。集群管理員可能配置了額外的存根域和上游 DNS 服務(wù)器。 -
ClusterFirstWithHostNet:對(duì)于以 hostNetwork 方式運(yùn)行的 Pod胰挑,應(yīng)顯式設(shè)置其 DNS 策略ClusterFirstWithHostNet蔓罚。 -
None: 此設(shè)置允許 Pod 忽略 Kubernetes 環(huán)境中的 DNS 設(shè)置椿肩。Pod 會(huì)使用其dnsConfig字段 所提供的 DNS 設(shè)置。
k8s默認(rèn)使用的DNS策略是ClusterFirst豺谈,這點(diǎn)需要注意郑象,也就是說(shuō)域名解析會(huì)優(yōu)先使用集群的DNS(kube-DNS)進(jìn)行查詢(xún),如果k8s的DNS解析失敗茬末,會(huì)轉(zhuǎn)發(fā)到宿主機(jī)的DNS進(jìn)行解析厂榛。
二、k8s容器的resolv.conf
k8s上運(yùn)行的容器丽惭,其域名解析和一般的Linux一樣击奶,都是根據(jù) /etc/resolv.conf 文件進(jìn)行解析,下面看一個(gè)開(kāi)發(fā)環(huán)境某一個(gè)pod的resolv.conf內(nèi)容:
nameserver 10.96.0.10
search jplat.svc.cluster.local svc.cluster.local cluster.local localhost
options ndots:5
上面內(nèi)容中nameserver即為k8s集群中kube-dns的Service的CLUSTER-IP责掏,該集群中容器的nameserver均為kube-dns的ip柜砾。
search和options ndots我們一起來(lái)講。首先我們需要了解一個(gè)概念FQDN(Fully qualified domain name)即完整域名换衬。一般來(lái)說(shuō)如果一個(gè)域名以.結(jié)束痰驱,就表示一個(gè)完整域名。比如www.abc.xyz.就是一個(gè)FQDN瞳浦,而www.abc.xyz則不是FQDN担映。了解了這個(gè)概念之后我們就來(lái)看search和options ndots。
如果我們的pod使用的是默認(rèn)的DNS策略叫潦,即ClusterFirst蝇完,那么如果一個(gè)域名是FQDN,那么這個(gè)域名會(huì)被轉(zhuǎn)發(fā)給DNS服務(wù)器進(jìn)行解析诅挑。如果域名不是FQDN四敞,那么這個(gè)域名會(huì)到search搜索解析泛源,還是通過(guò)一個(gè)例子說(shuō)明拔妥,比如訪問(wèn)abc.xyz這個(gè)域名,因?yàn)樗⒉皇且粋€(gè)FQDN达箍,所以它會(huì)和search域中的值進(jìn)行組合而變成一個(gè)FQDN没龙,以上文的resolv.conf為例,這域名會(huì)這樣組合:
abx.xyz.jplat.svc.cluster.local.
abc.xyz.svc.cluster.local.
abc.xyz.cluster.local.
...
然后這些域名先被kube-DNS解析缎玫,如果沒(méi)有解析成功再由宿主機(jī)的DNS服務(wù)器進(jìn)行解析硬纤。
而ndots是用來(lái)表示一個(gè)域名中.的個(gè)數(shù)在不小于該值的情況下會(huì)被認(rèn)為是一個(gè)FQDN。簡(jiǎn)單說(shuō)這個(gè)屬性用來(lái)判斷一個(gè)不是以.結(jié)束的域名在什么條件下會(huì)被認(rèn)定為是一個(gè)FQDN赃磨。還是通過(guò)我們另一個(gè)pod的resolv.conf為例筝家,如下:
nameserver 10.96.0.10
search oms-dev.svc.cluster.local svc.cluster.local cluster.local localhost
options ndots:2 edns0
在這個(gè)resolv.conf中ndots為2,也就是說(shuō)如果一個(gè)域名中.的數(shù)量大于等于2邻辉,即使域名不是以.結(jié)尾溪王,也會(huì)被認(rèn)定為是一個(gè)FQDN腮鞍。比如:域名是abc.xyz.xxx這個(gè)域名就是FQDN,而abc.xyz則不是FQDN莹菱。
之所以會(huì)有search域主要還是為了方便k8s內(nèi)部服務(wù)之間的訪問(wèn)移国。比如:k8s在同一個(gè)namespace下是可以直接通過(guò)服務(wù)名稱(chēng)進(jìn)行訪問(wèn)的,其原理就是會(huì)在search域查找道伟,比如上面的resolv.conf中jplat迹缀、oms-dev著兩個(gè)其實(shí)都是這兩個(gè)pod所在的namespace的名稱(chēng)。所以通過(guò)服務(wù)名稱(chēng)訪問(wèn)的時(shí)候蜜徽,會(huì)和search域進(jìn)行組合祝懂,這樣最終域名會(huì)組合成servicename.namespace.svc.cluster.local。而如果是跨namespace訪問(wèn)拘鞋,則可以通過(guò)servicename.namespace這樣的形式嫂易,在通過(guò)和search域組合,依然可以得到servicename.namespace.svc.cluster.local掐禁。
三怜械、解決問(wèn)題
在了解k8s的DNS相關(guān)知識(shí)之后,回到我們項(xiàng)目組在開(kāi)發(fā)中遇到一個(gè)問(wèn)題:一個(gè)應(yīng)用的pod內(nèi)調(diào)用外部接口失敗傅事,報(bào)錯(cuò)的原因就是unknown host缕允,最開(kāi)始我以為是外部應(yīng)用沒(méi)在一個(gè)網(wǎng)段的問(wèn)題,但是直接通過(guò)服務(wù)器卻可以訪問(wèn)的蹭越。當(dāng)時(shí)pod使用的是默認(rèn)的DNS策略障本,即ClusterFirst,ndots也是默認(rèn)值响鹃,即5驾霜。問(wèn)題出現(xiàn)了。我請(qǐng)求的域名是www.abc.com/api买置,域名只有2個(gè)點(diǎn)粪糙,所以會(huì)和search域的域名進(jìn)行組合,結(jié)果當(dāng)然無(wú)法解析忿项∪馗裕考慮到我們的pod訪問(wèn)都是在同一namespace下,即使跨namespace轩触,我們也是通過(guò)servicename.namespace進(jìn)行訪問(wèn)的寞酿,所以最終選擇將ndots改為2。修改應(yīng)用的Deployment yaml文件脱柱,修改如下:
dnsConfig:
options:
- name: ndots
value: "2"
修改完成之后重新部署項(xiàng)目伐弹,測(cè)試解決。
