DNS meklēšana Kubernetes

Piezīme. tulk.: DNS problēma Kubernetes, precīzāk, parametru iestatījumos ndots, ir pārsteidzoši populārs, un jau Ne pirmais gads. Citā piezīmē par šo tēmu tās autors, DevOps inženieris no liela brokeru uzņēmuma Indijā, ļoti vienkārši un kodolīgi stāsta par to, kas ir noderīgi zināt kolēģiem, kas darbojas Kubernetes.

Viena no galvenajām priekšrocībām, ko sniedz lietojumprogrammu izvietošana vietnē Kubernetes, ir nevainojama lietojumprogrammu atklāšana. Klastera iekšējā mijiedarbība ir ievērojami vienkāršota, pateicoties pakalpojuma koncepcijai (Serviss), kas ir virtuāls IP, kas atbalsta pod IP adrešu kopu. Piemēram, ja pakalpojums vanilla vēlas sazināties ar dienestu chocolate, tas var tieši piekļūt virtuālajam IP chocolate. Rodas jautājums: kurš šajā gadījumā atrisinās DNS pieprasījumu chocolate Un kā?

DNS nosaukuma izšķirtspēja ir konfigurēta Kubernetes klasterī, izmantojot CoreDNS. Kubelet failos reģistrē podiņu ar CoreDNS kā nosaukumu serveri /etc/resolv.conf visas pākstis. Ja paskatās uz saturu /etc/resolv.conf jebkurā podā, tas izskatīsies apmēram šādi:

search hello.svc.cluster.local svc.cluster.local cluster.local
nameserver 10.152.183.10
options ndots:5

Šo konfigurāciju DNS klienti izmanto, lai pārsūtītu pieprasījumus uz DNS serveri. Failā resolv.conf satur šādu informāciju:

• vārdu serveris: serveris, uz kuru tiks nosūtīti DNS pieprasījumi. Mūsu gadījumā šī ir CoreDNS pakalpojuma adrese;
• Meklēt: definē meklēšanas ceļu konkrētam domēnam. Tas ir interesanti google.com vai mrkaran.dev nav FQDN (pilnībā kvalificēti domēna vārdi). Saskaņā ar standarta konvenciju, ko ievēro lielākā daļa DNS risinātāju, tikai tie, kas beidzas ar punktu ".", kas apzīmē saknes zonu, tiek uzskatīti par pilnībā kvalificētiem (FDQN) domēniem. Daži atrisinātāji paši var pievienot punktu. Tādējādi mrkaran.dev. ir pilnībā kvalificēts domēna vārds (FQDN), un mrkaran.dev - Nē;
• ndots: Interesantākais parametrs (par to ir šis raksts). ndots norāda sliekšņa punktu skaitu pieprasījuma nosaukumā, pirms tas tiek uzskatīts par “pilnībā kvalificētu” domēna nosaukumu. Mēs par to vairāk runāsim vēlāk, kad analizēsim DNS uzmeklēšanas secību.

Redzēsim, kas notiek, kad jautāsim mrkaran.dev podā:

$ nslookup mrkaran.dev
Server: 10.152.183.10
Address: 10.152.183.10#53

Non-authoritative answer:
Name: mrkaran.dev
Address: 157.230.35.153
Name: mrkaran.dev
Address: 2400:6180:0:d1::519:6001

Šim eksperimentam es iestatīju CoreDNS reģistrēšanas līmeni uz all (kas padara to diezgan runīgu). Apskatīsim pāksts baļķus coredns:

[INFO] 10.1.28.1:35998 - 11131 "A IN mrkaran.dev.hello.svc.cluster.local. udp 53 false 512" NXDOMAIN qr,aa,rd 146 0.000263728s
[INFO] 10.1.28.1:34040 - 36853 "A IN mrkaran.dev.svc.cluster.local. udp 47 false 512" NXDOMAIN qr,aa,rd 140 0.000214201s
[INFO] 10.1.28.1:33468 - 29482 "A IN mrkaran.dev.cluster.local. udp 43 false 512" NXDOMAIN qr,aa,rd 136 0.000156107s
[INFO] 10.1.28.1:58471 - 45814 "A IN mrkaran.dev. udp 29 false 512" NOERROR qr,rd,ra 56 0.110263459s
[INFO] 10.1.28.1:54800 - 2463 "AAAA IN mrkaran.dev. udp 29 false 512" NOERROR qr,rd,ra 68 0.145091744s

Fū. Šeit jūsu uzmanību piesaista divas lietas:

• Pieprasījums iziet cauri visiem meklēšanas posmiem, līdz atbildē ir ietverts kods NOERROR (DNS klienti to saprot un rezultātā saglabā). NXDOMAIN nozīmē, ka dotajam domēna vārdam netika atrasts ieraksts. Tāpēc ka mrkaran.dev nav FQDN nosaukums (saskaņā ar ndots=5), atrisinātājs aplūko meklēšanas ceļu un nosaka pieprasījumu secību;
• Ieraksti А и АААА ierasties paralēli. Fakts ir tāds, ka tiek iesniegti vienreizēji pieprasījumi /etc/resolv.conf Pēc noklusējuma tie ir konfigurēti tā, lai paralēlā meklēšana tiktu veikta, izmantojot IPv4 un IPv6 protokolus. Varat atcelt šo darbību, pievienojot opciju single-request в resolv.conf.

Piezīme: glibc var konfigurēt, lai šos pieprasījumus nosūtītu secīgi, un musl - nē, tāpēc Alpu lietotājiem tas jāņem vērā.

Eksperimentēšana ar ndots

Eksperimentēsim nedaudz vairāk ar ndots un redzēsim, kā šis parametrs darbojas. Ideja ir vienkārša: ndots nosaka, vai DNS klients apstrādās domēnu kā absolūtu vai relatīvu. Piemēram, vienkārša Google DNS klienta gadījumā, kā tas zina, vai šis domēns ir absolūts? Ja iestatāt ndots vienāds ar 1, klients sacīs: "Ak, iekšā google nav viena punkta; Es domāju, ka es iziešu cauri visam meklēšanas sarakstam. Tomēr, ja jautā google.com, sufiksu saraksts tiks pilnībā ignorēts, jo pieprasītais nosaukums atbilst slieksnim ndots (ir vismaz viens punkts).

Pārliecināsimies par to:

$ cat /etc/resolv.conf
options ndots:1
$ nslookup mrkaran
Server: 10.152.183.10
Address: 10.152.183.10#53

** server can't find mrkaran: NXDOMAIN

CoreDNS žurnāli:

[INFO] 10.1.28.1:52495 - 2606 "A IN mrkaran.hello.svc.cluster.local. udp 49 false 512" NXDOMAIN qr,aa,rd 142 0.000524939s
[INFO] 10.1.28.1:59287 - 57522 "A IN mrkaran.svc.cluster.local. udp 43 false 512" NXDOMAIN qr,aa,rd 136 0.000368277s
[INFO] 10.1.28.1:53086 - 4863 "A IN mrkaran.cluster.local. udp 39 false 512" NXDOMAIN qr,aa,rd 132 0.000355344s
[INFO] 10.1.28.1:56863 - 41678 "A IN mrkaran. udp 25 false 512" NXDOMAIN qr,rd,ra 100 0.034629206s

Kopš mrkaran nav neviena punkta, meklēšana tika veikta visā sufiksu sarakstā.

Piezīme: praksē maksimālā vērtība ndots ierobežots līdz 15; pēc noklusējuma programmā Kubernetes tas ir 5.

Pielietojums ražošanā

Ja lietojumprogramma veic daudz ārēju tīkla zvanu, DNS var kļūt par sašaurinājumu aktīvas trafika gadījumā, jo vārda izšķirtspēja rada daudz nevajadzīgu vaicājumu (pirms sistēma sasniedz pareizo). Lietojumprogrammas parasti domēna nosaukumiem nepievieno saknes zonu, taču tas izklausās pēc uzlaušanas. Tas ir, tā vietā, lai jautātu api.twitter.com, jūs varat to "cietkodēt". api.twitter.com. (ar punktu) lietojumprogrammā, kas liks DNS klientiem veikt autoritatīvus meklējumus tieši absolūtajā domēnā.

Turklāt, sākot ar Kubernetes versiju 1.14, paplašinājumiem dnsConfig и dnsPolicy saņēma stabilu statusu. Tādējādi, izvietojot podziņu, varat samazināt vērtību ndots, teiksim, līdz 3 (un pat līdz 1!). Tādēļ katrā ziņojumā mezglā būs jāiekļauj pilns domēns. Šis ir viens no klasiskajiem kompromisiem, kad jāizvēlas starp veiktspēju un pārnesamību. Man šķiet, ka jums par to jāuztraucas tikai tad, ja jūsu lietojumprogrammai ir ļoti mazs latentums, jo DNS rezultāti tiek saglabāti arī iekšēji kešatmiņā.

atsauces

Es pirmo reizi uzzināju par šo funkciju K8s-meetup, kas notika 25. janvārī. Cita starpā notika diskusija par šo problēmu.

Šeit ir dažas saites tālākai izpētei:

• Paskaidrojums, kāpēc ndots=5 in Kubernetes;
• Lieliskas lietas kā ndots mainīšana ietekmē lietojumprogrammu veiktspēju;
• Neatbilstības starp musl un glibc atrisinātājiem.

Piezīme: es izvēlējos neizmantot dig šajā rakstā. dig automātiski pievieno punktu (saknes zonas identifikatoru), padarot domēnu par "pilnībā kvalificētu" (FQDN), nē vispirms izpildot to meklēšanas sarakstā. Par to rakstīja iekšā viena no iepriekšējām publikācijām. Tomēr diezgan pārsteidzoši, ka kopumā standarta uzvedībai ir jānorāda atsevišķs karogs.

Laimīgu DNS veidošanu! Tiksimies vēlāk!

PS no tulka

Lasi arī mūsu emuārā:

• «Calico tīkla izveidei Kubernetes: ievads un neliela pieredze";
• «CoreDNS — DNS serveris mākoņa vietējai pasaulei un pakalpojumu atklāšana Kubernetes";
• "Ilustrēts ceļvedis tīkla izveidei Kubernetes": 1. un 2. daļa (tīkla modelis, pārklājuma tīkli), 3. daļa (pakalpojumi un satiksmes apstrāde).

Avots: www.habr.com