CoreDNS：Kubernetes內部域名解析原理、弊端及優化方式

Kubernetes 中的 DNS

本篇主要儘可能詳盡的說明 Kubernetes 的DNS解析原理，以及 Kubernetes 集羣中 DNS 解析目前存在的弊端和優化方式。

在 Kubernetes 中，服務發現有幾種方式：
①：基於環境變量的方式
②：基於內部域名的方式

基本上，使用環境變量的方式很少，主要還是使用內部域名這種服務發現的方式。

其中，基於內部域名的方式，涉及到 Kubernetes 內部域名的解析，而 kubedns，是 Kubernetes 官方的 DNS 解析組件。從 1.11 版本開始，kubeadm 已經使用第三方的 CoreDNS 替換官方的 kubedns 作爲 Kubernetes 集羣的內部域名解析組件，我們的重點，是 CoreDNS，但是在開始 CoreDNS 之前，需要先了解下 kubedns，後續，會對這2個 DNS 組件做對比，分析它們的優劣勢。

Kubernetes 中的域名是如何解析的

在 Kubernetes 中，比如服務 a 訪問服務 b，對於同一個 Namespace下，可以直接在 pod 中，通過 curl b 來訪問。對於跨 Namespace 的情況，服務名後邊對應 Namespace即可。比如 curl b.default。那麼，使用者這裏邊會有幾個問題：

①：服務名是什麼？
②：爲什麼同一個 Namespace 下，直接訪問服務名即可？不同 Namespace 下，需要帶上 Namespace 纔行？
③：爲什麼內部的域名可以做解析，原理是什麼？

DNS 如何解析，依賴容器內 resolv 文件的配置

複製

1 2 3 4

cat /etc/resolv.conf nameserver 10.233.0.3 search default.svc.cluster.local svc.cluster.local cluster.local

 

這個文件中，配置的 DNS Server，一般就是 K8S 中，kubedns 的 Service 的 ClusterIP，這個IP是虛擬IP，無法ping，但可以訪問。

複製

1 2 3 4

[root@node4 user1]# kubectl get svc -n kube-system NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE kube-dns ClusterIP 10.233.0.3 <none> 53/UDP,53/TCP 270d kubernetes-dashboard ClusterIP 10.233.22.223 <none> 443/TCP 124d

 

所以，所有域名的解析，其實都要經過 kubedns 的虛擬IP 10.233.0.3 進行解析，不論是 Kubernetes 內部域名還是外部的域名。

Kubernetes 中，域名的全稱，必須是 service-name.namespace.svc.cluster.local 這種模式，服務名，就是Kubernetes中 Service 的名稱，所以，當我們執行下面的命令時：

複製

1

curl b

 

必須得有一個 Service 名稱爲 b，這是前提。
在容器內，會根據 /etc/resolve.conf 進行解析流程。選擇 nameserver 10.233.0.3 進行解析，然後，用字符串 “b”，依次帶入 /etc/resolve.conf 中的 search 域，進行DNS查找，分別是：

複製

1 2	// search 內容類似如下（不同的pod，第一個域會有所不同） search default.svc.cluster.local svc.cluster.local cluster.local

 

b.default.svc.cluster.local -> b.svc.cluster.local -> b.cluster.local ，直到找到爲止。
所以，我們執行 curl b，或者執行 curl b.default，都可以完成DNS請求，這2個不同的操作，會分別進行不同的DNS查找步驟：

複製

1 2 3 4 5 6 7

// curl b，可以一次性找到（b +default.svc.cluster.local） b.default.svc.cluster.local // curl b.default，第一次找不到（ b.default + default.svc.cluster.local） b.default.default.svc.cluster.local // 第二次查找（ b.default + svc.cluster.local），可以找到 b.default.svc.cluster.local

 

So Questions

curl b，要比 curl b.default 效率高？

答案是肯定的，因爲 curl b.default，多經過了一次 DNS 查詢。
當執行 curl b.default，也就使用了帶有命名空間的內部域名時，容器的第一個 DNS 請求是

複製

1 2	// b.default + default.svc.cluster.local b.default.default.svc.cluster.local

 

當請求不到 DNS 結果時，使用

複製

1 2	// b.default + svc.cluster.local b.default.svc.cluster.local

 

進行請求，此時纔可以得到正確的DNS解析。

訪問外部域名走 search 域嗎

這個答案，不能說肯定也不能說否定，看情況，可以說，大部分情況要走 search 域。

我們以請求 youku.com 爲例，通過抓包的方式，看一看在某個容器中訪問 youku.com，進行的DNS查找的過程，都產生了什麼樣的數據包。注意：我們要抓DNS容器的包，就得先進入到DNS容器的網絡中（而不是發起DNS請求的那個容器）。

由於DNS容器往往不具備bash，所以無法通過 docker exec 的方式進入容器內抓包，我們採用其他的方式：

複製

1 2 3 4 5 6

// 1、找到容器ID，並打印它的NS ID docker inspect --format "{{.State.Pid}}" 16938de418ac // 2、進入此容器的網絡Namespace nsenter -n -t 54438 // 3、抓DNS包 tcpdump -i eth0 udp dst port 53|grep youku.com

 

在其他的容器中，進行 youku.com 域名查找

複製

1	nslookup youku.com 172.22.121.65

 

注意：nslookup命令的最後指定DNS服務容器的IP，是因爲，如果不指定，且DNS服務的容器存在多個的話，那麼DNS請求，可能會均分到所有DNS服務的容器上，我們如果只抓某單個DNS服務容器抓到的包，可能就不全了，指定IP後，DNS的請求，就必然只會打到單個的DNS容器。抓包的數據才完整。

可以看到類似如下結果：

複製

1 2 3 4 5

17:01:28.732260 IP 172.20.92.100.36326 > nodexxxx.domain: 4394+ A? youku.com.default.svc.cluster.local. (50) 17:01:28.733158 IP 172.20.92.100.49846 > nodexxxx.domain: 60286+ A? youku.com.svc.cluster.local. (45) 17:01:28.733888 IP 172.20.92.100.51933 > nodexxxx.domain: 63077+ A? youku.com.cluster.local. (41) 17:01:28.734588 IP 172.20.92.100.33401 > nodexxxx.domain: 27896+ A? youku.com. (27) 17:01:28.734758 IP nodexxxx.34138 > 192.168.x.x.domain: 27896+ A? youku.com. (27)

 

我們可以看到，在真正解析 youku.com 之前，經歷了 youku.com.default.svc.cluster.local. -> youku.com.svc.cluster.local. -> youku.com.cluster.local. -> youku.com.

這也就意味着有3次DNS請求，是浪費的無意義的請求。

爲何會出現DNS請求浪費的情況

這是因爲，在 Kubernetes 中，其實 /etc/resolv.conf 這個文件，並不止包含 nameserver 和 search 域，還包含了非常重要的一項：ndots。我們之前沒有提及這個項，也是希望再次能引起讀者重視。

複製

1 2 3 4

[root@xxxx-67f54c6dff-h4zxq /]# cat /etc/resolv.conf nameserver 10.233.0.3 search cicd.svc.cluster.local svc.cluster.local cluster.local options ndots:5

 

ndots:5，表示：如果查詢的域名包含的點“.”，不到5個，那麼進行DNS查找，將使用非完全限定名稱（或者叫絕對域名），如果你查詢的域名包含點數大於等於5，那麼DNS查詢，默認會使用絕對域名進行查詢。舉例來說：

如果我們請求的域名是，a.b.c.d.e，這個域名中有4個點，那麼容器中進行DNS請求時，會使用非絕對域名進行查找，使用非絕對域名，會按照 /etc/resolv.conf 中的 search 域，走一遍追加匹配：

複製

1 2 3

a.b.c.d.e.cicd.svc.cluster.local. -> a.b.c.d.e.svc.cluster.local. -> a.b.c.d.e.cluster.local.

 

直到找到爲止。如果走完了search域還找不到，則使用 a.b.c.d.e. ，作爲絕對域名進行DNS查找。

我們通過抓包分析一個具體案例：
域名中點數少於5個的情況：

複製

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

// 對域名 a.b.c.d.ccccc 進行DNS解析請求 [root@xxxxx-67f54c6dff-h4zxq /]# nslookup a.b.c.d.ccccc 172.22.121.65 Server: 172.22.121.65 Address: 172.22.121.65#53 ** server can't find a.b.c.d.ccccc: NXDOMAIN // 抓包數據如下： 18:08:11.013497 IP 172.20.92.100.33387 > node011094.domain: 28844+ A? a.b.c.d.ccccc.cicd.svc.cluster.local. (54) 18:08:11.014337 IP 172.20.92.100.33952 > node011094.domain: 57782+ A? a.b.c.d.ccccc.svc.cluster.local. (49) 18:08:11.015079 IP 172.20.92.100.45984 > node011094.domain: 55144+ A? a.b.c.d.ccccc.cluster.local. (45) 18:08:11.015747 IP 172.20.92.100.54589 > node011094.domain: 22860+ A? a.b.c.d.ccccc. (31) 18:08:11.015970 IP node011094.36383 > 192.168.x.x.domain: 22860+ A? a.b.c.d.ccccc. (31) // 結論： // 點數少於5個，先走search域，最後將其視爲絕對域名進行查詢

 

域名中點數>=5個的情況：

複製

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

// 對域名 a.b.c.d.e.ccccc 進行DNS解析請求 [root@xxxxx-67f54c6dff-h4zxq /]# nslookup a.b.c.d.e.ccccc 172.22.121.65 Server: 172.22.121.65 Address: 172.22.121.65#53 ** server can't find a.b.c.d.e.ccccc: NXDOMAIN // 抓包數據如下： 18:10:14.514595 IP 172.20.92.100.34423 > node011094.domain: 61170+ A? a.b.c.d.e.ccccc. (33) 18:10:14.514856 IP node011094.58522 > 192.168.x.x.domain: 61170+ A? a.b.c.d.e.ccccc. (33) 18:10:14.515880 IP 172.20.92.100.49328 > node011094.domain: 267+ A? a.b.c.d.e.ccccc.cicd.svc.cluster.local. (56) 18:10:14.516678 IP 172.20.92.100.35651 > node011094.domain: 54181+ A? a.b.c.d.e.ccccc.svc.cluster.local. (51) 18:10:14.517356 IP 172.20.92.100.33259 > node011094.domain: 53022+ A? a.b.c.d.e.ccccc.cluster.local. (47) // 結論： // 點數>=5個，直接視爲絕對域名進行查找，只有當查詢不到的時候，才繼續走 search 域。

 

如何優化 DNS 請求浪費的情況

優化方式1：使用全限定域名

其實最直接，最有效的優化方式，就是使用 “fully qualified name”，簡單來說，使用“完全限定域名”（也叫絕對域名），你訪問的域名，必須要以 “.” 爲後綴，這樣就會避免走 search 域進行匹配，我們抓包再試一次：

複製

1 2	// 注意：youku.com 後邊有一個點 . nslookup youku.com. 172.22.121.65

 

在DNS服務容器上抓到的包如下：

複製

1 2	16:57:07.628112 IP 172.20.92.100.36772 > nodexxxx.domain: 46851+ [1au] A? youku.com. (38) 16:57:07.628339 IP nodexxxx.47350 > 192.168.x.x.domain: 46851+ [1au] A? youku.com. (38)

 

並沒有多餘的DNS請求。

優化方式2：具體應用配置特定的 ndots

其實，往往我們還真不太好用這種絕對域名的方式，有誰請求youku.com的時候，還寫成 youku.com. 呢？

在 Kubernetes 中，默認設置了 ndots 值爲5，是因爲，Kubernetes 認爲，內部域名，最長爲5，要保證內部域名的請求，優先走集羣內部的DNS，而不是將內部域名的DNS解析請求，有打到外網的機會，Kubernetes 設置 ndots 爲5是一個比較合理的行爲。

如果你需要定製這個長度，最好是爲自己的業務，單獨配置 ndots 即可（Pod爲例，其實配置deployment最好）。

複製

1 2 3 4 5 6 7 8 9 10 11 12 13

apiVersion: v1 kind: Pod metadata: namespace: default name: dns-example spec: containers: - name: test image: nginx dnsConfig: options: - name: ndots value: "1"

 

Kubernetes DNS 策略

在Kubernetes 中，有4種 DNS 策略，從 Kubernetes 源碼中看：

複製

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

const ( // DNSClusterFirstWithHostNet indicates that the pod should use cluster DNS // first, if it is available, then fall back on the default // (as determined by kubelet) DNS settings. DNSClusterFirstWithHostNet DNSPolicy = "ClusterFirstWithHostNet" // DNSClusterFirst indicates that the pod should use cluster DNS // first unless hostNetwork is true, if it is available, then // fall back on the default (as determined by kubelet) DNS settings. DNSClusterFirst DNSPolicy = "ClusterFirst" // DNSDefault indicates that the pod should use the default (as // determined by kubelet) DNS settings. DNSDefault DNSPolicy = "Default" // DNSNone indicates that the pod should use empty DNS settings. DNS // parameters such as nameservers and search paths should be defined via // DNSConfig. DNSNone DNSPolicy = "None" )

 

這幾種DNS策略，需要在Pod，或者Deployment、RC等資源中，設置 dnsPolicy 即可，以 Pod 爲例：

複製

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

apiVersion: v1 kind: Pod metadata: labels: name: cadvisor-nodexxxx hostip: 192.168.x.x name: cadvisor-nodexxxx namespace: monitoring spec: containers: - args: - --profiling - --housekeeping_interval=10s - --storage_duration=1m0s image: google/cadvisor:latest name: cadvisor-nodexxxx ports: - containerPort: 8080 name: http protocol: TCP resources: {} securityContext: privileged: true terminationMessagePath: /dev/termination-log terminationMessagePolicy: File dnsPolicy: ClusterFirst nodeName: nodexxxx

 

具體來說：

None

表示空的DNS設置
這種方式一般用於想要自定義 DNS 配置的場景，而且，往往需要和 dnsConfig 配合一起使用達到自定義 DNS 的目的。

Default

有人說 Default 的方式，是使用宿主機的方式，這種說法並不準確。
這種方式，其實是，讓 kubelet 來決定使用何種 DNS 策略。而 kubelet 默認的方式，就是使用宿主機的 /etc/resolv.conf（可能這就是有人說使用宿主機的DNS策略的方式吧），但是，kubelet 是可以靈活來配置使用什麼文件來進行DNS策略的，我們完全可以使用 kubelet 的參數：–resolv-conf=/etc/resolv.conf 來決定你的DNS解析文件地址。

ClusterFirst

這種方式，表示 POD 內的 DNS 使用集羣中配置的 DNS 服務，簡單來說，就是使用 Kubernetes 中 kubedns 或 coredns 服務進行域名解析。如果解析不成功，纔會使用宿主機的 DNS 配置進行解析。

ClusterFirstWithHostNet

在某些場景下，我們的 POD 是用 HOST 模式啓動的（HOST模式，是共享宿主機網絡的），一旦用 HOST 模式，表示這個 POD 中的所有容器，都要使用宿主機的 /etc/resolv.conf 配置進行DNS查詢，但如果你想使用了 HOST 模式，還繼續使用 Kubernetes 的DNS服務，那就將 dnsPolicy 設置爲 ClusterFirstWithHostNet。