🥇/etc/resolv.conf עבור Kubernetes pods, אפשרות ndots:5, כיצד זה יכול להשפיע לרעה על ביצועי האפליקציה

לאחרונה השקנו את Kubernetes 1.9 ב-AWS באמצעות Kops. אתמול, תוך פרסום חלק של תעבורה חדשה לאשכולות Kubernetes הגדולים ביותר שלנו, התחלתי להבחין בשגיאות חריגות של פתרון שמות DNS שנרשמו על ידי האפליקציה שלנו.

יש די הרבה על זה ב-GitHub דיבר, אז החלטתי להבין גם את זה. בסופו של דבר, הבנתי שבמקרה שלנו זה נגרם מהעומס המוגבר על kube-dns и dnsmasq. הדבר המעניין והחדש ביותר עבורי היה עצם הסיבה לעלייה המשמעותית בתעבורת בקשות DNS. הפוסט שלי עוסק בזה ומה לעשות בנידון.

רזולוציית DNS בתוך הקונטיינר - כמו בכל מערכת לינוקס - נקבעת על פי קובץ התצורה /etc/resolv.conf. ברירת מחדל Kubernetes dnsPolicy זה ClusterFirst, כלומר כל בקשת DNS תועבר אל dnsmasq, רץ בתרמיל kube-dns בתוך האשכול, אשר בתורו יעביר את הבקשה לבקשה kube-dns, אם השם מסתיים בסיומת אשכול, או, אחרת, לשרת DNS ברמה גבוהה יותר.

קובץ /etc/resolv.conf בתוך כל מיכל ברירת המחדל תיראה כך:

nameserver 100.64.0.10
search namespace.svc.cluster.local svc.cluster.local cluster.local 
eu-west-1.compute.internal
options ndots:5

כפי שאתה יכול לראות, ישנן שלוש הנחיות:

שרת השמות הוא ה-IP של השירות kube-dns
צוינו 4 דומיינים לחיפוש מקומי search
יש אפשרות ndots:5

החלק המעניין בתצורה זו הוא כיצד תחום החיפוש המקומי וההגדרות ndots:5 להסתדר ביחד. כדי להבין זאת, עליך להבין כיצד פועלת פתרון DNS עבור שמות לא מתאימים.

מה זה שם מלא?

שם מלא הוא שם שלא יבוצע עבורו חיפוש מקומי והשם ייחשב מוחלט במהלך החלטת השם. לפי המוסכמה, תוכנת DNS מחשיבה שם כשיר מלא אם הוא מסתיים בנקודה (.), ולא כשיר באופן מלא אחרת. זה google.com. מוגדר במלואו ו google.com - לא.

איך מטפלים בשם לא מתאים?

כאשר יישום מתחבר למארח המרוחק שצוין בשם, פתרון שם DNS נעשה בדרך כלל באמצעות קריאת מערכת, למשל. getaddrinfo(). אבל אם השם לא מוסמך (לא מסתיים ב.), מעניין אם קריאת המערכת תנסה לפתור את השם כשם מוחלט קודם, או לעבור קודם על תחומי החיפוש המקומי? זה תלוי באופציה ndots.

מתוך המדריך resolv.conf:

ndots:n

устанавливает порог для количества точек, которые должны появиться в имени, прежде чем будет сделан начальный абсолютный запрос. Значение по умолчанию для n равно 1, что означает, что если в имени есть какие-либо точки, имя будет сначала опробовано как абсолютное имя, прежде чем к нему будут добавлены какие-либо элементы списка поиска.

זה אומר שאם בשביל ndots בהינתן ערך של 5 והשם מכיל פחות מ-5 נקודות, קריאת המערכת תנסה לפתור זאת ברצף, תחילה חוצה את כל תחומי החיפוש המקומיים, ואם לא מצליחה, בסופו של דבר תפתור אותו כשם מוחלט.

למה כן `ndots:5` האם זה יכול להשפיע לרעה על ביצועי האפליקציה?

כפי שאתה יכול לדמיין, אם האפליקציה שלך משתמשת בתעבורה חיצונית רבה, עבור כל חיבור TCP שנוצר (או ליתר דיוק, עבור כל שם שנפתר), הוא יוציא 5 שאילתות DNS לפני שהשם ייפתר בצורה נכונה, מכיוון שהוא יעבור תחילה 4 דומיין חיפוש מקומי, ובסוף יוציא בקשה לפתרון שם מוחלט.

התרשים הבא מציג את התעבורה הכוללת ב-3 מודולי kube-dns שלנו לפני ואחרי שהחלפנו את שמות המארחים המעטים שהוגדרו באפליקציה שלנו לשמות מתאימים לחלוטין.

התרשים הבא מציג את זמן האחזור של האפליקציה לפני ואחרי שהחלפנו מספר שמות מארחים שהוגדרו באפליקציה שלנו לשמות מלאים (הקו הכחול האנכי הוא הפריסה):

פתרון מס' 1 - השתמש בשמות מתאימים לחלוטין

אם יש לך מעט שמות חיצוניים סטטיים (כלומר מוגדרים בתצורת האפליקציה) אליהם אתה יוצר מספר רב של חיבורים, אולי הפתרון הפשוט ביותר הוא להעביר אותם לשמות מתאימים לחלוטין על ידי צירופם. בסופו של דבר.

זה לא פתרון סופי, אבל הוא עוזר לשפר את המצב במהירות, אם כי לא בצורה נקייה. הפעלנו את התיקון הזה כדי לפתור את הבעיה שלנו, שתוצאותיו הוצגו בצילומי המסך למעלה.

פתרון מס' 2 - התאמה אישית `ndots` в `dnsConfig`

ב-Kubernetes 1.9 הופיעה פונקציונליות במצב אלפא (גרסת בטא v1.10), המאפשרת לך לשלוט טוב יותר בפרמטרי DNS דרך מאפיין הפוד ב- dnsConfig. בין היתר הוא מאפשר להגדיר את הערך ndots עבור תרמיל ספציפי, כלומר.

apiVersion: v1
kind: Pod
metadata:
  namespace: default
  name: dns-example
spec:
  containers:
    - name: test
      image: nginx
  dnsConfig:
    options:
      - name: ndots
        value: "1"

מקורות

קרא גם מאמרים אחרים בבלוג שלנו:

מקור: www.habr.com

/etc/resolv.conf עבור Kubernetes pods, אפשרות ndots:5, כיצד זה יכול להשפיע לרעה על ביצועי היישום

מה זה שם מלא?

איך מטפלים בשם לא מתאים?

למה כן `ndots:5` האם זה יכול להשפיע לרעה על ביצועי האפליקציה?

פתרון מס' 1 - השתמש בשמות מתאימים לחלוטין

פתרון מס' 2 - התאמה אישית `ndots` в `dnsConfig`

מקורות

קרא גם מאמרים אחרים בבלוג שלנו:

הוספת תגובה ביטול תגובה

/etc/resolv.conf עבור Kubernetes pods, אפשרות ndots:5, כיצד זה יכול להשפיע לרעה על ביצועי היישום

מה זה שם מלא?

איך מטפלים בשם לא מתאים?

למה כן ndots:5 האם זה יכול להשפיע לרעה על ביצועי האפליקציה?

פתרון מס' 1 - השתמש בשמות מתאימים לחלוטין

פתרון מס' 2 - התאמה אישית ndots в dnsConfig

מקורות

קרא גם מאמרים אחרים בבלוג שלנו:

הוספת תגובה ביטול תגובה

למה כן `ndots:5` האם זה יכול להשפיע לרעה על ביצועי האפליקציה?

פתרון מס' 2 - התאמה אישית `ndots` в `dnsConfig`