追蹤 Kubernetes 中的 DNS 查詢
在過去的文章中,我們曾 追蹤過 Kubernetes 中的網絡數據包[1],這篇文章將追蹤 Kubernetes 中的 DNS 查詢。
讓我們以在 Pod 中解析 Service 完全限定域名(FQDN) foo.bar.svc.cluster.local 為例。
在開始之前,先回顧下 DNS 的解析流程。
DNS 的解析流程
圖片
簡化版的 DNS 處理流程:
- DNS 客戶端(如瀏覽器、應用程序或者設備)發送域名 example.com 的查詢請求。
- DNS 解析器收到請求,查詢本地緩存,如果本地有記錄且未過期會返回本地的記錄。
- 如果本地緩存未命中,DNS 解析器將從 DNS 根服務器開始向下查詢,首先是頂級域名(Top Level Domain, TLD) DNS 服務器(這里是 .com),一直向下直到可以解析 example.com 的服務器。
- 能夠解析 example.com 的服務器成為權威 DNS 名稱服務器(Authoritative DNS name server),解析器訪問該服務器并收到 IP 地址等相關信息,然后返回給給客戶端。解析完成。
從流程來看非常重要的一項配置就是上游 DNS 服務器,該配置位于 Pod 中。這里 Kubernetes 的集群 DNS 服務器正是扮演上游 DNS 服務器的角色,比如 kube-dns[2]、CoreDNS[3],二者均實現了 Kubernetes 的基于 DNS 的服務發現規范[4]。對 CoreDNS 感興趣的,可以參考上一篇文章 淺析 CoreDNS 的工作機制[5]。
圖片
Pod DNS 配置
在 解析 kubelet 源碼[6] 一文中,我們曾分析了 kubelet 創建 pod 的流程。kubelet 創建 pod sandbox 配置時[7] ,其中重要的一項配置就是準備 pod 的 DNS 配置[8](Pod 的 DNS 配置由 pod 的 dnsPolicy 和 dnsConfig 字段進行操作,這里不展開,下面的部分按照 dnsPolicy=ClusterFirst 情況進行說明)。
配置的內容包括如下三個部分:
- DNS 服務器 nameserver:來自 kubelet 配置(通常位于 /var/lib/kubelet/config.yaml)的 clusterDNS 字段
- 搜索域 search:包含四種域:命名空間域、服務域、集群域,以及節點 /etc/resolv.conf 中定義的搜索域。集群域來自 kubelet 配置的 clusterDomain 字段,默認為 cluster.local;命名空間域 NS.svc.cluster.local;服務域 svc.cluster.local
- 選項 options:默認為 ndots:5
然后 kubelet 調用 CRI 接口創建容器,由 CRI 的實現將 DNS 配置寫入到容器文件(默認地址 /etc/resolv.conf)中,如 Containerd[9] 的 pkg/cri/server/sandbox_run_linux.go#L272[10]。
我們查看命名空間 default 下某個 pod 的 DNS 配置:
cat /etc/resolv.conf
search default.svc.cluster.local svc.cluster.local cluster.local
nameserver 10.96.0.10
options ndots:5這里的 nameserver 正是 Service kube-dns 的 cluster IP 地址,也就是集群的 DNS 服務器,即 dnsPolicy=ClusterFirst 的結果。
search 與 ndots
search 用于指定默認的搜索域。當你在使用不完全限定域名(例如,只提供主機名而沒有域名)進行域名解析時,系統會嘗試在搜索域中找到匹配的完全限定域名。搜索域按照出現的順序進行搜索,直到找到匹配的域名或搜索完所有的域名。
ndots 用于指定在進行域名解析時,系統自動添加域名的點號個數閾值。當提供的域名中點號的個數達到或超過這個閾值時,系統會將其視為完全限定域名,而不再使用搜索域進行搜索。默認為 1,這里將其設置為 5。
注:ndots 的值大小會影響 DNS 解析的性能,為了獲得較好的性能,建議使用 FQDN 進行服務訪問,以及將 ndots 改為更小的值。
Pod DNS 解析
當在 Pod 中執行 DNS 解析時,查詢請求被發到本地(pod 中)的 DNS 解析器。這個解析器先在緩存中查詢,如果未命中,則會根據 /etc/resolv.conf 中的配置,將請求發到上游的 DNS 服務器,即集群 DNS 服務器 10.96.0.10 完成域名解析。
根據前面的介紹,假如我們要解析的域名是 foo.bar,會依次進行如下的查詢:
- foo.bar.default.svc.cluster.local
- foo.bar.svc.cluster.local(匹配到結果)
當我們使用 foo.bar、foo.bar.svc 都可以完成解析,但 foo.bar.svc.cluster 不行,因為追加了搜索域后無法匹配到結果。假如請求方與目標服務在同一個命名空間下,只用 foo 也是可以的。
參考資料
[1] 追蹤過 Kubernetes 中的網絡數據包: https://atbug.com/tracing-network-packets-in-kubernetes/
[2] kube-dns: https://github.com/kubernetes/dns
[3] CoreDNS: https://coredns.io
[4] Kubernetes 的基于 DNS 的服務發現規范: https://github.com/kubernetes/dns/blob/master/docs/specification.md
[5] 淺析 CoreDNS 的工作機制: https://atbug.com/analysis-of-the-working-mechanism-of-coredns/
[6] 解析 kubelet 源碼: https://atbug.com/how-kubelete-container-runtime-work-with-cni/#創建-pod
[7] 創建 pod sandbox 配置時: https://github.com/kubernetes/kubernetes/blob/release-1.24/pkg/kubelet/kuberuntime/kuberuntime_manager.go#L861
[8] pod 的 DNS 配置: https://github.com/kubernetes/kubernetes/blob/release-1.24/pkg/kubelet/kuberuntime/kuberuntime_sandbox.go#L93
[9] Containerd: https://github.com/containerd/containerd
[10] pkg/cri/server/sandbox_run_linux.go#L272: https://github.com/containerd/containerd/blob/a05d175400b1145e5e6a735a6710579d181e7fb0/pkg/cri/server/sandbox_run_linux.go#L272
