External-DNS安装与使用

最新推荐文章于 2024-04-11 09:55:53 发布
最新推荐文章于 2024-04-11 09:55:53 发布
阅读量1.5k 收藏
点赞数
分类专栏: Kubernetes 文章标签: External-DNS CoreDNS etcd kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010039418/article/details/123862409
版权

注:本文基于kubeadm安装的k8s集群编写

1 背景

k8s中的服务通过ingress暴露给外部后,我们就能访问该服务。但是此时我们只能基于ingress暴露的ip来访问,这肯定不是个好主意,此时我们就需要将域名绑定到IP上。一般来说这里都需要手动到DNS服务商配置,对于ip变化频繁的话,还是很繁琐的。这时我们就可以考虑使用external-dns服务。

external-dns将Kubernetes的Service/Ingress暴露的服务(的DNS记录)同步给外部的DNS Provider

2 安装external-dns

为了更方便演示效果,我们直接用coredns做为external-dns的提供商,但是这样解析的效果只能作用于集群内,大家可以根据实际情况与aws集成。

2.1 安装CoreDNS的Etcd插件

因为我们使用的是coredns,因此后端存储就用集群内的etcd实例,需要添加对应插件,其实就是添加响应的配置,

.:53 {
        ...
        etcd example.org {
          path /skydns
          endpoint https://192.168.0.180:2379
          tls /tls/server.crt /tls/server.key /tls/ca.crt
          fallthrough .
        }
    }

修改coredns的configmap,添加etcd section,其中,
example.org:指定应用的域名范围
path:指定数据存放路径
endpoint:指定etcd的地址,这里需要用节点ip,不能用127地址,不然其他节点就无法访问
tls:指定对应的证书,因为我们需要从其他节点访问,因此需要验证,后面还会对这个路径说明

上面用到的证书,其实就是目录/etc/kubernetes/pki/etcd/下的证书,由kubeadm生成,我们可以将他们导入集群,作为secret来引用,

kubectl create secret generic etcd-client-certs --from-file=ca.crt=/etc/kubernetes/pki/etcd/ca.crt --from-file=server.crt=/etc/kubernetes/pki/etcd/server.crt --from-file=server.key=/etc/kubernetes/pki/etcd/server.key -n kube-system

修改对应deployment,添加对应的volume和volumeMounts,

    spec:
      volumes:
        - name: etcd-client-certs
          secret:
            secretName: etcd-client-certs
            defaultMode: 400
        ...
      containers:
        - name: coredns
          ...
          volumeMounts:
            - name: etcd-client-certs
              readOnly: true
              mountPath: /tls/

这样,coredns部分就就绪了,下面就可以开始安装external-dns。

2.2 helm安装external-dns

我们直接使用helm来安装,先添加external-dns的repo,这里我们使用bitnami,

helm repo add bitnami https://charts.bitnami.com/bitnami

然后我们需要设置一些配置,

helm install external-dns bitnami/external-dns --namespace=external-dns \
--set sources="{ingress}" --set policy=sync --set logLevel=debug \
--set provider=coredns --set image.tag=0.10.0 \
--set coredns.etcdEndpoints=https://192.168.0.180:2379 \
--set coredns.etcdTLS.enabled=true \
--set coredns.etcdTLS.caFilename=ca.crt \
--set coredns.etcdTLS.certFilename=server.crt \
--set coredns.etcdTLS.keyFilename=server.key

其中,

  • namespace:指定namespace为external-dns
  • sources:指定导出的来源,这里将ingress导出到dns提供商中,当然也可以将service也一起导出
  • provider:指定coredns为dns provider,如果用aws的route53,这里就设置为aws
  • image.tag: 指定镜像tag
  • coredns.etcdEndpoints:指定etcd的地址,需要用node ip,和上面coredns里的设置类似
  • coredns.etcdTLS.caFilename:指定ca证书名称
  • coredns.etcdTLS.certFilename:指定客户端证书
  • coredns.etcdTLS.keyFilename:指定客户端私钥

另外,因为coredns provider默认使用etcd-client-certs这个secret,因此我们需要将对应的证书导入,和上面coredns里类似,只不过换个namespace,

kubectl create secret generic etcd-client-certs --from-file=ca.crt=/etc/kubernetes/pki/etcd/ca.crt --from-file=server.crt=/etc/kubernetes/pki/etcd/server.crt --from-file=server.key=/etc/kubernetes/pki/etcd/server.key -n external-dns

这样,external-dns也配置完毕,我们可以看下pod状态,

[root@master etcd]# kubectl get pod -n external-dns
NAME                            READY   STATUS    RESTARTS   AGE
external-dns-76cb6d74c6-c8vq5   1/1     Running   0          23h

3 测试效果

为了测试效果,我们需要新建一个ingress资源,假设集群里已经部署了一个webservice的服务,我们需要将其域名设置为web.example.org,

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: test1-ingress
  annotations:
    ingress.kubernetes.io/rewrite-target: /
  namespace: ingress-nginx
spec:
  ingressClassName: nginx
  rules:
  -  host: web.example.org
     http:
      paths:
      - path: /
        backend:
          service:
            name: webservice
            port:
              number: 10080
        pathType: Prefix

创建资源后,确认address已分配,

[root@master ingress]# kubectl get ingress -n ingress-nginx
NAME            CLASS   HOSTS                    ADDRESS         PORTS   AGE
test1-ingress   nginx   web.example.org          192.168.0.180   80      24h

此时,我们可以在集群中创建一个debug pod来测试这个域名,

[root@master ~]# kubectl run centos -it --image=centos:7 -- /bin/bash
If you don't see a command prompt, try pressing enter.
[root@centos /]# yum install -y bind-utils
[root@centos /]# nslookup web.example.org
Server:		10.96.0.10
Address:	10.96.0.10#53

Name:	web.example.org
Address: 192.168.0.180

可见此时域名已经在集群内生效了。

一般我们在生产环境中,会部署两套external-dns,一套对内,一套的对外,这样更方便管理。

参考文档:

  1. https://artifacthub.io/packages/helm/bitnami/external-dns
  2. https://kubernetes.io/docs/concepts/configuration/secret/
Blue summer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
探索云原生DNS管理利器:ExternalDNS
gitblog_00022的博客
05-11 341
探索云原生DNS管理利器:ExternalDNS 项目地址:https://gitcode.com/kubernetes-sigs/external-dns 在这个数字化时代,DNS(Domain Name System)是连接互联网应用与域名的关键桥梁。在Kubernetes集群中,将服务暴露给外部世界时,有效管理和更新DNS记录至关重要。【ExternalDNS】项目正是为此而生,它是一个强大...
[Kubernetes]External-dns +CoreDns 安装
dingpwen的博客
06-10 1461
我们知道Ingress可以对集群中的服务进行DNS解析,意即我们可以通过类似http://nginx.demo.com/api 的方式访问集群中的服务,当然前提是,要在/etc/hosts中添加如下内容:external-dns 就是为了进一步简化这个问题,external-dns每隔一段时间会去查询Ingress,获得Ingress中的数据,然后push到其provider中,这里演示的是coredns。必须说明一下,这里使用coredns演示,而coredns只能用于集群内部使用。.........
如何使用ExternalDNS从DigitalOcean Kubernetes自动管理DNS记录
08-12 286
The author selected the Free and Open Source Fund to receive a donation as part of the Write for DOnations program. 作者选择了免费开放源基金来接受捐款,这是Write for DOnations计划的一部分。 介绍 (Introduction) When deploying ...
【K8S】通过 CoreDNS + ETCD + ExternalDNS 打通内网环境 Ingress 的域名访问
十二翼堕落天使
08-15 2203
对于 HTTP 类型的服务,我们可以通过 Ingress 资源以“虚拟主机”的形式将服务暴露出来,但是在内网环境下,这些域名通常都无法直接访问,于是有了配置 `hosts` 文件进行本地域名解析的方式,但是当集群稍微复杂一些,就会遇到以下几个问题: - 如何在各个节点以及客户端同步域名解析配置? - 如何进行泛解析? - 如何在集群内也能进行域名解析? - 如何在 Ingress 资源变动时自动更新域名解析配置?......
探索 Kubernetes 的外部 DNS 管理利器:`external-dns`
最新发布
gitblog_00024的博客
04-11 390
探索 Kubernetes 的外部 DNS 管理利器:external-dns 项目地址:https://gitcode.com/kubernetes-incubator/external-dnsKubernetes 生态系统中,自动化和高效的服务发现是关键的一环。external-dns 是一个开源项目,它将 Kubernetes 中的服务或 ingress 资源映射到 DNS 记录,从而...
阿里云使用 ExternalDNS 集成外部DNS服务
李炜伦的博客
09-05 667
【代码】阿里云使用 ExternalDNS 集成外部DNS服务。
k8s-ddns:为CoreDNS部署Kubernetes ExternalDNS
05-09
此外,还需要选择一个公共DNS服务商,并配置相应的API凭证,因为ExternalDNS需要使用这些凭证来更新DNS记录。 2. **创建服务账户和角色**:为了安全地与Kubernetes API交互,我们需要创建一个服务账户,并为其分配...
bitnami-docker-external-dns:用于外部DNS的Bitnami Docker映像
04-09
ExternalDNS是一个Kubernetes插件,它使用有关公开的Kubernetes服务的信息配置公共DNS服务器,以使其可被发现。 TL; DR 在您的上部署ExternalDNS。 $ docker run --name external-dns bitnami/external-dns:...
external-dns:为Kubernetes入口和服务配置外部DNS服务器(AWS Route53,Google CloudDNS等)
01-30
ExternalDNS可以将暴露的Kubernetes服务和Ingress与DNS提供程序进行同步。 它能做什么 受群集内部DNS服务器启发,ExternalDNS使Kubernetes资源可通过公共DNS服务器发现。 与KubeDNS一样,它从检索资源(服务,入口...
external-dns-aws-migrator:该实用程序采用AWS route53条目(记录集),以便外部DNS可以基于Kubernetes入口来跟踪和更新它们
05-11
外部dns-aws迁移器该实用程序可帮助将旧的(不受托管的)route53资源记录集从托管区域迁移到由...用法external-dns-aws-migrator从stdin(每行一个)读取主机,并尝试采用这些条目,以便external-dns开始管理条目。
devops-lab:这是我测试和使用DevOps工具和流程的主要仓库
03-30
DevOps实验室 这是我用来测试Kubernetes / DevOps应用程序,产品和流程的主要仓库。 从本质上讲,这是我在Azure中的游乐场。 我最初使用Kubernetes集群,Nexus Repository OSS和Velero进行备份,但是现在正在使用更多负载。 内容 入门 请按照以下各节准备和配置您的环境,以准备运行您的第一个版本: 先决条件 DNS区域和TLS证书通常是在带外创建的(在主构建自动化之外),因此我们将仅创建它们一次,并且它们将在多个构建中存在。 配置DNS区域 使用“来创建和配置DNS区域,因为我们将在kubernetes群集中使用ExternalDNS来动态更新DNS记录。 配置密钥库/ LetsEncrypt TLS证书 使用为您的域部署AcmeBot并配置通配符证书。 配置Azure身份验证 在运行 GitHub Action工作流之前,需要为Az
Python库 | cdk8s-external-dns-route53-0.1.2.tar.gz
05-13
资源分类:Python库 所属语言:Python 资源全名:cdk8s-external-dns-route53-0.1.2.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
使用ExternalDNS自动化DNS配置
Rancher
07-18 1880
Kubernetes社区的生态繁荣和该领域技术的快速茁壮发展,已经是众所周知。Kubernetes领域有太多强大的、创新的技术产品,而最近引起我注意的项目是ExternalDNS。这是在近期的POC期间客户主动咨询起来的,我承诺客户会尝试一下ExternalDNS子项目,且使用后发现它真的令人印象深刻。   ExternalDNS子项目   ExternalDNS子项目(孵化器流程已被弃用...
Keycloak切换外部数据库
半斤米粉闯天下的博客
08-03 5034
Keycloak默认使用嵌入式关系数据库H2,真实生产环境肯定是不符合要求的,在其官方文档中有这么一段话 We highly recommend that you replace it with a more production ready external database. The H2 database is not very viable in high concurrency ...
多集群管理kubefed
wenwenxiong的专栏
05-11 2272
多集群管理kubefed kubefed概念 1、Federate: 一系列k8s集群组成的联邦,可以部署应用到所有的k8s集群中。 2、KubeFed: 可以跨k8s集群实现服务发现,服务部署,高可用。 3、Host Cluster: 运行kubefed控制面板的k8s集群,并且暴露kubefed api服务。 4、Cluster Registration: k8s集群通过kubefedctl工具加入Host Cluster。 5、Member Cluster: 注册到kubefed的k8s集群,Host
基于External-DNS的多集群Ingress DNS实践
weixin_34413065的博客
06-06 250
2019独角兽企业重金招聘Python工程师标准>>> ...
为K8S集群Pod资源配置外部的DNS服务器
江晓龙的博客
06-14 1091
[root@k8s-master ~/k8s_1.19_yaml]# vim pod-base.yaml apiVersion: v1 kind: Pod metadata:
k8s集群添加集群外部dns
qq_25934401的博客
08-12 1926
场景: 测试环境k8s内部pod程序需要访问k8s集群外部的域名服务,之前是在pod写死hosts,域名多的情况下这种方式太难以维护。 实现使用外部dns也很简单,修改coredns.yaml文件即可 略... --- apiVersion: v1 kind: ConfigMap metadata: name: coredns namespace: kube-system labels: addonmanager.kubernetes.io/mode: EnsureExists da
docker-compose安装gitlab ssl
07-12
要在Docker Compose中安装GitLab并启用SSL,您可以按照以下步骤操作: 1. 首先,创建一个名为`docker-compose.yml`的文件,并添加以下内容: ```yaml version: '3' services: gitlab: image: 'gitlab/gitlab-ce:latest' restart: always hostname: 'your-domain.com' environment: GITLAB_OMNIBUS_CONFIG: | external_url 'https://your-domain.com' letsencrypt['enable'] = true ports: - '80:80' - '443:443' volumes: - '/srv/gitlab/config:/etc/gitlab' - '/srv/gitlab/logs:/var/log/gitlab' - '/srv/gitlab/data:/var/opt/gitlab' ``` 确保将`your-domain.com`替换为您的域名。 2. 创建一个名为`docker-compose.override.yml`的文件,并添加以下内容: ```yaml version: '3' services: gitlab: ports: - '22:22' volumes: - '/srv/gitlab/ssl:/etc/gitlab/ssl' ``` 这将使GitLab容器的SSH端口可访问,并将SSL证书存储在`/srv/gitlab/ssl`目录中。 3. 创建一个名为`docker-compose.env`的文件,并添加以下内容: ``` GITLAB_OMNIBUS_CONFIG=letsencrypt['contact_emails'] = ['your-email@example.com'] ``` 确保将`your-email@example.com`替换为您的电子邮件地址。 4. 创建必要的目录结构: ```bash mkdir -p /srv/gitlab/config mkdir -p /srv/gitlab/logs mkdir -p /srv/gitlab/data mkdir -p /srv/gitlab/ssl ``` 5. 运行以下命令启动GitLab容器: ```bash docker-compose up -d ``` 现在,GitLab将在您的服务器上运行,并通过SSL保护。 请注意,这只是一个基本的配置示例,您可能需要根据您的特定需求进行调整。确保正确配置DNS和SSL证书以匹配您的域名,并根据需要进行其他更改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值