k8s教程(service篇)-Node本地DNS缓存

最新推荐文章于 2024-02-22 10:15:28 发布
最新推荐文章于 2024-02-22 10:15:28 发布
阅读量2.2k 收藏 5
点赞数
分类专栏: # k8s 文章标签: kubernetes 云原生 容器化技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20042935/article/details/128656654
版权

文章目录

01 引言

声明:本文为《Kubernetes权威指南:从Docker到Kubernetes实践全接触(第5版)》的读书笔记

由于在Kubernetes集群中配置的DNS服务 是一个名为 “kube-dns” 的Service, 所以容器应用都通过其ClusterIP地址(例如169.169.0.100)去执行服务名的DNS域名解析。这对于大规模集群可能引起以下两个问题:

  • 集群DNS服务压力增大(这可以通过自动扩容缓解)
  • 由于DNS服务的IP地址是ServiceClusterIP地址,所以会通过kube- proxy设置的iptables规则进行转发,可能导致域名解析性能很差,原因是Netfilter 在做DNAT转换时可能会引起conntrack冲突,从而导致DNS查询产生5s的延时

为了解决这两个问题,Kubernetes引入了Node本地DNS缓存NodeLocal DNSCache)来提高整个集群的DNS域名解析的性能,本文来讲解下。

02 Node本地DNS缓存

使用Node本地DNS缓存的好处如下

  • 在没有本地DNS缓存时,集群DNS服务的Pod很可能在其他节点上,跨主机访问会增加网络延时,使用Node本地DNS缓存可 显著减少跨主机查询的网络延时
  • 跳过iptables DNAT和连接跟踪将有助于 减少conntrack竞争,并避免UDP DNS记录填满conntrack表
  • 本地缓存到集群DNS服务的连接协议可以升级为TCP。TCP conntrack条目将在连接关闭时被删除;默认使用UDP时,conntrack条目只能等到超时时间过后才被删除,操作系统的默认超时时间(nf_conntrack_udp_timeout),为30s;
  • 将DNS查询从UDP升级为TCP,将减少由于丢弃的UDP数据包和DNS超时而引起的尾部延迟(tail latency),UDP超时时间可能会长达30s(3次重试, 每次10s);
  • 提供Node级别DNS解析请求的度量 (Metrics)和可见性 (visibility) 可以重新启用负缓存(Negative caching)功能,减少对集群DNS服务的查询数量

2.1 工作流程

Node本地DNS缓存(NodeLocal DNSCache)的工作流程如图所示,客户端Pod首先会通过本地DNS缓存进行域名解析,当缓存中不存在域名时,会将请求转发到集群DS服务进行解析
在这里插入图片描述

2.2 部署Node本地DNS缓存工具

配置文件nodelocaldns.yaml的内容如下,主要包括 ServiceAccount、Daemonset、ConfigMap和Service 几个资源对象。

2.2.1 资源对象配置

Service Account的定义如下:

apiVersion: v1
kind: ServiceAccount
metadata: 
	name: node-local-dns
	namespace: kube-system 
	labels:
		kubernetes.io/cluster-service: "true"
		addonmanager.kubernetes.io/mode: Reconcile

Service的定义如下:

apiVersion: v1
kind: Service
metadata:
	name: kube-dns-upstream
	namespace: kube-system 
	labels:
		k8s-app: kube-dns
		kubernetes.io/cluster-service: "true"
		addonmanager.kubernetes.io/mode: Reconcile 
		kubernetes.io/name: "KubeDNSUpstream"
spec:
	ports:
	- name: dns
	  port: 53
	  protocol: UDP
	  targetPort: 53
	- name: dns-tcp
	  port: 53
	  protocol: TCP
	  targetPort: 53
	selector:
	  k8s-app: kube-dns

ConfigMap的定义如下:

apiversion: v1
kind: ConfigMap
metadata:
	name: node-local-dns
	namespace: kube-system 
	labels:
		addonmanager.kubernetes.io/mode: Reconcile
data:
Corefile: |
	cluster.local:53 {
		errors
		cache{
			success 9984 30 
			denial 9984 5
		}
		reload
		loop
		bind169.254.20.10
		forward.169.169.0.100{
			force tcp
		}
		prometheus 9253
		hea1th169.254.20.10:8081 
		}
	in-addr.arpa:53 {
		errors 
		cache 30 
		reload
		loop
		bind 169.254.20.10
		forward . 169.169.0.100{
			force tcp
		}
		prometheus 9253 
		}
	ip6.arpa:53 {
		errors 
		cache 30 
		reload
		loop
	    bind 169.254.20.10
	    forward . 169.169.0.100{
			force tcp
	    }
		prometheus 9253
		}
	.:53 {
		errors 
		cache 30 
		reload
		loop
		bind 169.254.20.10
		forward . 169.169.0.100{
			force tcp
		}
		prometheus 9253 
		}

ConfigMap Corefile的主要配置参数如下:

  • bind 169.254.20.10 :node-local-dns需要绑定的本地IP地址,建议将其设置为169.254.0.0/16范围,确保不与集群内的其他IP冲突;
  • forward.169.169.0.100:在node-local-dns缓存中不存在域名记录时, 将转发到的上游DNS服务器IP设置为Kubernetes集群DNS服务(kube-dns)的IP,例如169.169.0.100;
  • health169.254.20.10:8081:健康检查端口号设置与Daemonset的livenessProbe一致,需要注意,node-local-dns网络模式设置了 hostNetwork=true,这个端口号也会被直接绑定到宿主机上,需要确保不与宿主机的其他应用冲突。

DaemonSet的定义如下:

apiVersion: apps/v1
kind: DaemonSet
metadata:
	name: node-local-dns 
	namespace: kube-system 
	labels:
		k8s-app: node-local-dns
		kubernetes.io/cluster-service: "true"
		addonmanager.kubernetes.io/mode: Reconcile 
spec:
	updatestrategy:
		rollingUpdate:
			maxUnavai1able: 10% 
	selector:
		matchLabels:
			k8s-app: node-local-dns 
	template:
		metadata:
			labels:
				k8s-app: node-local-dns 
			annotations:
				prometheus.io/port: "9253" 
				prometheus.io/scrape: "true" 
		spec:
			priorityclassName: system-node-critical 
			serviceAccountName: node-local-dns 
			hostNetwork: true
			dnsPolicy: Default Don't use cluster DNS. 
			tolerations:
			- key: "CriticalAddonsOnly" 
			  operator: "Exists"
			- effect: "NoExecute"
			  operator: "Exists"
			- effect: "NoSchedule"
			  operator: "Exists"
		containers:
		- name: node-cache
		  image: k8s.gcr.io/k8s-dns-node-cache: 1.15.13 
			resources:
				requests:
				cpu: 25m
				memory: 5Mi
				args: ["-localip","169.254.20.10","-conf","/etc/Corefile","-upstreamsvc","kube-dns-upstream"]
			securityContext:
				privileged: true
			ports:
			- containerPort: 53
			  name: dns
		      protocol: UDP
		    - containerPort: 53
		      name: dns-tcp
		      protocol: TCP
		    - containerPort: 9253
		      name: metrics
		      protocol: TCP
		    livenessProbe:
				httpGet:
					host: 169.254.20.10
					path: /health
					port: 8081
				initialDelaySeconds: 60 
				timeoutSeconds: 5
			volumeMounts:
			- mountPath: /run/xtables.lock 
			  name: xtables-lock
		      readonly: false
		    - name: config-volume 
			  mountPath: /etc/coredns 
			- name: kube-dns-config 
			  mountPath: /etc/kube-dns
		volumes:
		- name: xtables-lock
			hostPath:
				path: /run/xtables.lock 
				type: FileorCreate 
		- name: kube-dns-config 
		  configMap:
			name: coredns
			optional: true
		- name: config-volume
			configMap:
				name: node-local-dns
				items:
					- key: Corefile
					  path: Corefile.base

Daemonset node-local-dns的主要配置参数如下:

  • args: [“-localip” , “169.254.20.10” , “-conf” , “/etc/Corefile” , “upstreamsvc” , “kube-dns-upstream”]:将-localip参数设置为node-local-dns绑定的本地IP地址,对其他参数无须修改;
  • livenessProber中的健康检查端口号与ConfigMap中的一致;

另外,如果kube-proxy代理模式(-proxy-mode)使用的是ipvs模式,则还需要修改kubelet的启动参数-cluster-dns为node-local-dns绑定的本地IP地169.254.20.10。

2.2.2 部署

通过kubectl create命令创建node-local-dns服务:

kubectl create -f nodelocaldns.yaml 
serviceaccount/node-local-dns created 
service/kube-dns-upstream created 
configmap/node-local-dns created 
daemonset.apps/node-local-dns created

确认在每个Node上都运行了一个node-local-dns Pod:
在这里插入图片描述
在客户端Pod内对服务名的解析没有变化,仍然可以直接通过服务名访问其他服务,例如:
在这里插入图片描述

03 文末

本文主要讲解Node本地DNS缓存相关的概念,希望能帮助到大家,谢谢大家的阅读,本文完!

杨林伟
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
coredns-nodecache:NodeLocal DNS实施为CoreDNS插件
05-08
Coredns节点缓存 Kubernetes附加组件建议在Kubernetes集群的所有节点上运行DNS缓存服务器。 建议的缓存服务器是 ,它是CoreDNS的瘦包装器,用于处理虚拟网络接口和关联的IPTables规则的设置和拆除。 Coredns-nodecache尝试将节点缓存实现为CoreDNS插件,而不是包装器。 这样做的动机是: 该实现仅依赖CoreDNS插件API,该API在各个版本之间应向后兼容。 这应该使使用最新版本的CoreDNS更容易(请参阅 ) nodecache的配置将在CoreDNS配置文件中完成,而不是在Corefile和命令行参数之间进行拆分。 此外,coredns-nodecache可以为本地节点提供高可用性设置。 插件配置 镜像可在DockerHub上找到: ://hub.docker.com/r/contentful/coredns-node
K8s服务发现组件之CoreDNS/NodeLocalDNS /kubeDNS
sre救赎之路
02-18 1619
service发现是k8s中的一个重要机制,其基本功能为:在集群内通过服务名对服务进行访问,即需要完成从服务名到ClusterIP的解析。k8s主要有两种service发现机制:环境变量和DNS。没有DNS服务的时候,k8s会采用环境变量的形式,但一旦有多个service,环境变量会变复杂,为解决该问题,我们使用DNS服务。DNS服务在kubernetes
NodeLocal DNS介绍及部署应用
sre救赎之路
02-18 1065
NodeLocal DNSCache 通过在集群节点上运行一个 DaemonSet 来提高 clusterDNS 性能和可靠性。处于 ClusterFirst 的 DNS 模式下的 Pod 可以连接到 kube-dnsserviceIP 进行 DNS 查询。通过 kube-proxy 组件添加的 iptables 规则将其转换为 CoreDNS 端点。
kubernetes 【网络组件】【3】Coredns+Nodelocaldns cache解决Coredns域名解析延迟
爱死亡机器人
07-19 2940
文章目录1. 背景2. 服务是如何工作的?3. Linux内核中的DNAT4. 问题5. 意见建议6. 内核修复7. 方案(一):使用 TCP 协议发送 DNS 请求8. 方案(二):避免相同五元组 DNS 请求的并发9. 方案(三) Kubernetes 集群中使用 NodeLocal DNSCache9.1 优势9.2 架构图9.3 环境检查9.4 部署9.5 两种种方案测试nodelocaldns实效性9.6 测试coredns+nodelocaldns的效果 1. 背景 【摘要】 目前18.6版
k8s集群配置NodeLocal DNSCache
qq_44397993的博客
01-11 1456
在当今的体系结构中,运行在 ‘ClusterFirst’ DNS 模式下的 Pod 可以连接到 kube-dns serviceIP 进行 DNS 查询。node-local-dns 接口不能绑定 kube-dns 的集群 IP 地址,因为 IPVS 负载均衡使用的接口已经占用了该地址。:集群内的服务基本都是通过域名进行访问,coredns在解析压力大时会存在慢或者丢包的情况,导致服务之间解析异常。1、 使用当前的 DNS 体系结构,如果没有本地 kube-dns/CoreDNS 实例,则具有最高。
Kubernetes 集群中使用 NodeLocal DNSCache
小楼一夜听春雨,深巷明朝卖杏花
02-17 1601
之前在解决 CoreDNS 的5秒超时问题的时候,除了通过dnsConfig去强制使用 tcp 方式解析之外,我们提到过使用NodeLocal DNSCache来解决这个问题。NodeLocal DNSCache通过在集群节点上运行一个 DaemonSet 来提高 clusterDNS 性能和可靠性。处于ClusterFirst的 DNS 模式下的 Pod 可以连接到kube-dnsserviceIP 进行 DNS 查询。通过kube-proxy组件添加的iptables规则将...
node-local-dns
05-18
节点本地DNS 与RESTful接口配对的小型DNS服务器,用于注册新的A记录。 专为没有本地名称解析服务的虚拟网络环境而设计(例如:在运行的Docker容器)。 npm install -g opadron/node-local-dns local-dns --help 例子 local-dns \ --http 0.0.0.0 \ # These are the defaults, but you should bind to the --dns 0.0.0.0 \ # target network in production. --http-port 8080 \ --dns-port 5353 \ --db dns.db \ # save A records to disk (default
cilium系列之三:NodeLocal DNSCache在cilium中的实现
李炜伦的博客
12-27 1322
kubernetes官网关于nodelocal dns缓存的介绍 引言 NodeLocal DNSCache 通过在集群节点上作为 DaemonSet 运行 dns 缓存代理来提高集群 DNS 性能。 在当今的体系结构中,处于 ClusterFirst DNS 模式的 Pod 可以连接到 kube-dns serviceIP 进行 DNS 查询。 通过 kube-proxy 添加的 iptables 规则将其转换为 kube-dns/CoreDNS 端点。 借助这种新架构,Pods 将可以访问在同一节点上运
实战:NodeLocal DNSCache安装-2023.2.23(测试成功)
weixin_39246554的博客
02-24 1041
k8s
实战:k8sLocalDNS-2021.12.29
weixin_39246554的博客
12-29 1324
实战:k8sLocalDNS-2021.12.29 目录 文章目录实战:k8sLocalDNS-2021.12.29目录实验环境实验软件1、DNS2、超时原因2.1 内核中的 DNAT2.2 问题3、解决方法4、性能测试5、NodeLocal DNSCache老师做的操作(了解下即可)修改地方1:image修改地方2:注意这几个参数注意???? 注意1:go环境的安装及程序编译???? 注意2:关于镜像转存???? 注意3:老师这个镜像仓库地址是做了域名转换的吗,怎么这么短的呢?关于我最后 实验
k8s-coredns-1.8.6镜像包和安装文件
12-01
k8s的coredns-1.8.6镜像包和安装文件
k8sServiceIngress,service-nodeport.yaml
最新发布
03-03
k8sServiceIngress,service-nodeport.yaml
k8s-dns-sidecar-amd64
09-26
k8s-dns-sidecar-amd64-1.14.8镜像,镜像使用方法: docker load -i k8s-dns-sidecar-amd64-1.14.8.tar.gz
k8s-dns-kube-dns-amd64-1.14.8
09-26
k8s-dns-kube-dns-amd64镜像,镜像使用方法: docker load -i k8s-dns-kube-dns-amd64-1.14.8.tar.gz
K8S二进制安装--node节点部件kubelete和kube-proxy.txt
07-27
K8S二进制安装--node节点部件kubelete和kube-proxy.txt
nodelocaldns 造成 coredns hosts 插件失效
xin053
04-09 3864
问题 因本地测试需要做些假域名映射到本地 ip, 查看 coredns 文档, 发现可以用如下方式来设置域名到 ip 的映射 .:53 { errors health ready kubernetes cluster.local in-addr.arpa ip6.arpa { pods insecure ...
k8snodelocaldns与CoreDNS组件
johnhuster的专栏
02-22 679
k8snodelocaldns与CoreDNS组件
iphone如何查看dns延迟_使用 NodeLocal DNSCache 提升 DNS 性能和可靠性
weixin_39902184的博客
11-28 304
之前在解决 CoreDNS 的5秒超时问题的时候,除了通过 dnsConfig 去强制使用 tcp 方式解析之外,我们提到过使用 NodeLocalDNSCache 来解决这个问题。NodeLocalDNSCache 通过在集群节点上运行一个 DaemonSet 来提高 clusterDNS 性能和可靠性。处于 ClusterFirst 的 DNS 模式下的 Pod 可以连接到 kube...
----node-name k8s
08-20
Kubernetes中,使用node name方式可以实现将Pod分配到特定节点上。这种方式是通过在Pod的spec中指定node name来实现的。节点名称是根据集群中节点的主机名或其他唯一标识符来指定的。当Pod的node name与某个节点的名称匹配时,该Pod将被分配到该节点上。这种方式提供了更精确的控制,可以确保Pod只会被调度到指定的节点上。但需要注意的是,使用node name方式需要确保节点名称的唯一性,并且需要手动指定节点名称,不同于node selector和affinity方式由Kubernetes自动进行调度。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Node Selector - K8S](https://blog.csdn.net/weixin_39730801/article/details/112946556)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值