k8s的域名解析总是需要coredns吗?
by 伊布
我们知道k8s的域名解析是通过coredns来完成的,但是,总是需要coredns吗?或者换个问法,所有dns请求都经过coredns吗?
答案:并不是,API Server就不是。
API Server通常是host network方式部署的,其nameserver来源自节点的/etc/resolv.conf,并不是coredns的 .10 地址。那么API Server是怎么解析cluster ip类型的域名呢?
在 Kubernetes 中,kube-apiserver 设计了一个 loopback resolver 是为了支持高可靠性和一致性的内部组件通信,特别是在需要通过自己的 API 与自己通信时。这种设计背后的核心思想包括以下几点:
- 支持可靠的自引用 kube-apiserver 本身需要处理一些会调用自身 API 的功能(例如 webhook、Admission Controller 或 API Aggregation)。通过 loopback resolver,kube-apiserver 可以在集群网络不可用或存在部分网络分区的情况下依然高效地与自己通信。
问题:如果 kube-apiserver 通过普通的 Service IP 访问自己,可能依赖 DNS 解析、kube-proxy 或网络插件,这些组件可能未完全运行或存在网络延迟/异常。 解决:Loopback 直接将请求回路短路到本地,从而绕过外部网络依赖。
-
提升可靠性和性能 Loopback resolver 不需要经过集群的 Service 解析、负载均衡及 kube-proxy 开销,而是直接在本地完成请求,这大幅降低了延迟并减少了网络层次的开销。
-
支持集群初始化阶段 在 Kubernetes 的启动过程中,kube-apiserver 是服务启动的核心。其他组件(例如 kube-proxy、coredns)可能尚未完全可用,这种情况下,kube-apiserver 不能依赖外部网络资源。通过 loopback resolver,可以确保即使在集群组件未完全就绪时,自身功能仍然可用。
-
避免复杂的网络配置问题 Loopback resolver 可以避免额外引入不必要的配置复杂性,例如确保 kube-proxy 和网络插件的双向可靠通信。
相关的代码实现可以参见 staging/src/k8s.io/kube-aggregator/pkg/apiserver/resolvers.go:
func (r *loopbackResolver) ResolveEndpoint(namespace, name string, port int32) (*url.URL, error) {
if namespace == "default" && name == "kubernetes" && port == 443 {
return r.host, nil
}
return r.delegate.ResolveEndpoint(namespace, name, port)
}
Subscribe via RSS