Utilizzo di Cloud DNS per GKE

Questa pagina spiega come utilizzare Cloud DNS come provider DNS Kubernetes per Google Kubernetes Engine (GKE).

L'utilizzo di Cloud DNS come provider DNS non consente ai client esterni a un cluster di risolvere e raggiungere direttamente i servizi Kubernetes. Devi ancora esporre I servizi sono esterni utilizzando un bilanciatore del carico e registrano il cluster esterno gli indirizzi IP dell'infrastruttura DNS.

Per ulteriori informazioni sull'utilizzo di kube-dns come provider DNS, consulta Service Discovery e DNS.

Per scoprire come utilizzare una versione personalizzata di kube-dns o un provider DNS personalizzato, vedi Configurazione di un deployment kube-dns personalizzato.

Come funziona Cloud DNS per GKE

Cloud DNS può essere utilizzato come provider DNS per GKE, fornendo una risoluzione DNS di pod e servizi con DNS gestito che non richiede un provider DNS ospitato su cluster. record DNS per pod Il provisioning dei servizi viene eseguito automaticamente in Cloud DNS per l'indirizzo IP del cluster, headless ed esterni.

Cloud DNS supporta la specifica DNS di Kubernetes completa e fornisce la risoluzione per i record A, AAAA, SRV e PTR per i servizi all'interno di un cluster GKE. I record PTR vengono implementati utilizzando il criterio di risposta .

L'utilizzo di Cloud DNS come provider DNS per GKE offre molti vantaggi rispetto al DNS ospitato nel cluster:

• Rimuove il sovraccarico della gestione del server DNS ospitato nel cluster. Cloud DNS non richiede scalabilità, monitoraggio o gestione delle istanze DNS perché un servizio completamente gestito ospitato nell'infrastruttura di Google a scalabilità elevata.
• Risoluzione locale delle query DNS su ciascun nodo GKE. Come NodeLocal DNSCache, Cloud DNS memorizza nella cache le risposte DNS localmente, fornendo una risoluzione DNS a bassa latenza e ad alta scalabilità.

• Integrazione con Google Cloud Observability per il monitoraggio e il monitoraggio del DNS log. Per ulteriori informazioni, consulta Attivare e disattivare la registrazione per le zone gestite private.

Architettura

Quando Cloud DNS è il provider DNS per GKE, un controller viene eseguito come pod gestito da GKE. Questo pod viene eseguito sui nodi del piano di controllo del cluster e sincronizza i record DNS del cluster in un DNS privato gestito zona di destinazione.

Il seguente diagramma mostra come il piano di controllo e il piano di dati di Cloud DNS risolvono i nomi dei cluster:

Nel diagramma, il servizio backend seleziona i pod backend in esecuzione. clouddns-controller crea un record DNS per il servizio backend.

Il pod frontend invia una richiesta DNS per risolvere l'indirizzo IP del servizio backend al server di metadati locale di Compute Engine all'indirizzo 169.254.169.254. Il server dei metadati viene eseguito localmente sul nodo e invia le mancate corrispondenze della cache a Cloud DNS.

Il piano dati di Cloud DNS viene eseguito localmente in ogni nodo GKE o istanza di macchina virtuale (VM) Compute Engine. In base al tipo di servizio Kubernetes, Cloud DNS risolve il nome del servizio nella sua istanza l'indirizzo IP, per i servizi IP cluster, o l'elenco di indirizzi IP degli endpoint, per i servizi headless.

Dopo che il pod frontend ha risolto l'indirizzo IP, può inviare traffico al servizio backend e a tutti i pod da cui dipende il servizio.

Ambiti DNS

Cloud DNS include i seguenti ambiti DNS. Un cluster non può funzionare in più modalità contemporaneamente.

• Ambito cluster GKE: i record DNS sono risolvibile solo all'interno del cluster, che è lo stesso comportamento di kube-dns. Solo i nodi in esecuzione nel cluster GKE possono risolvere i nomi dei servizi. Per impostazione predefinita, i cluster hanno nomi DNS che terminano con *.cluster.local. Questi nomi DNS sono visibili solo all'interno del cluster e non si sovrappongono o sono in conflitto con i nomi DNS *.cluster.local di altri cluster GKE nello stesso progetto. Questa è la modalità predefinita.

  • VPC additivo di Cloud DNS ambito:

    L'ambito VPC additivo di Cloud DNS è una funzionalità facoltativa che estende Ambito del cluster GKE per rendere i servizi headless risolvibili da altri di risorse nel VPC, ad esempio VM di Compute Engine o risorse on-premise e client connessi tramite Cloud VPN o Cloud Interconnect. Additivo L'ambito VPC è una modalità aggiuntiva che è abilitata insieme nell'ambito del cluster, che puoi abilitare o disabilita nel cluster senza influire sul DNS. l'uptime o la capacità (ambito cluster).

• Ambito VPC: i record DNS sono risolvibili all'interno dell'intero VPC. alle VM di Compute Engine i client on-premise possono connettersi tramite Cloud Interconnect o Cloud VPN direttamente i nomi dei servizi GKE. Devi impostare un valore un dominio personalizzato unico per ogni cluster, il che significa che tutti i record DNS di servizi e pod sono univoci del VPC. Questa modalità riduce le difficoltà di comunicazione tra le risorse GKE e non GKE.

La tabella seguente elenca le differenze tra gli ambiti DNS:

Risorse Cloud DNS

Quando utilizzi Cloud DNS come provider DNS per il tuo cluster GKE, il controller Cloud DNS crea risorse in Cloud DNS per il tuo progetto. Le risorse create da GKE dipendono dall'ambito di Cloud DNS.

La convenzione di denominazione utilizzata per queste risorse Cloud DNS è la seguente:

Oltre alle zone menzionate nella tabella precedente, crea le seguenti zone nel progetto, a seconda delle configurazione:

Per ulteriori informazioni su come creare domini stub personalizzati o upstream personalizzati server dei nomi, vedi Aggiunta di resolver personalizzati per i domini stub.

Zone gestite e zone di forwarding

Per gestire il traffico DNS interno, il controller Cloud DNS crea una zona DNS gestita in ogni zona Compute Engine della regione a cui appartiene il cluster.

Ad esempio, se esegui il deployment di un cluster nella zona us-central1-c, il controller Cloud DNS crea una zona gestita in us-central1-a, us-central1-b, us-central1-c e us-central1-f.

Per ogni stubDomain DNS, il controller Cloud DNS ne crea uno zona di inoltro.

Cloud DNS elabora ogni upstream DNS utilizzando una zona gestita con il nome DNS ..

Prezzi

Se Cloud DNS è il provider DNS per i cluster GKE Standard, le query DNS vengono I pod all'interno del cluster GKE vengono fatturati in base Prezzi di Cloud DNS.

Le query a una zona DNS basata su VPC gestita da GKE vengono fatturate utilizzando i prezzi standard di Cloud DNS.

Requisiti

L'API Cloud DNS deve essere abilitata nel tuo progetto.

Cloud DNS per GKE ha i seguenti requisiti per l'ambito del cluster:

• Per Standard, GKE versione 1.24.7-gke.800, 1.25.3-gke.700 o successive.

• Per Autopilot, GKE versione 1.25.9-gke.400, 1.26.4-gke.500 o versioni successive.
• Google Cloud CLI versione 411.0.0 o successive.

Cloud DNS per GKE prevede i seguenti requisiti per gli additive Ambito VPC:

• GKE versione 1.28 o successive.
• Google Cloud CLI versione 471.0.0.
• Il cluster GKE deve utilizzare un cluster Cloud DNS come provider DNS predefinito.

Cloud DNS per GKE prevede i seguenti requisiti per Ambito VPC:

• Per Standard, GKE 1.19 o versioni successive.
• Google Cloud CLI versione 364.0.0 o successive.
• L'API Cloud DNS deve essere abilitata nel progetto.

Restrizioni e limitazioni

Si applicano le seguenti limitazioni:

• L'ambito VPC non è supportato sui cluster Autopilot, è supportato solo l'ambito del cluster. Se devi risolvere i nomi dei servizi headless in esecuzione nei cluster GKE Autopilot, devi utilizzare l'ambito VPC additivo.

• Cloud DNS non è conforme a un regime di conformità di livello di impatto 4 (IL4). Cloud DNS per GKE non può essere utilizzato in un carico di lavoro garantito con un regime di conformità IL4. Devi utilizzare kube-dns in questo tipo di ambiente regolamentato. Per i cluster GKE Autopilot, la selezione di kube-dns o Cloud DNS viene eseguita automaticamente in base al tuo regime di conformità.
• Le modifiche manuali alle zone DNS private gestite non sono supportate e vengono sostituite dal controller Cloud DNS. Modifiche ai record DNS in quelle zone non rimangono persistenti al riavvio del controller.

• Dopo aver abilitato Cloud DNS per GKE in un cluster, kube-dns continua a essere eseguita nel cluster. Puoi disabilitare kube-dns scalare a zero il deployment kube-dns e il gestore della scalabilità automatica.

• Non puoi modificare l'ambito DNS in un cluster dopo averlo impostato l'ambito con il flag --cluster-dns-scope. Se devi modificare l'ambito DNS, ricrea il cluster con un ambito DNS diverso.

• Domini stub personalizzati e configurazioni di server DNS upstream alle configurazioni DNS di pod e nodi. Pod che utilizzano il networking host o processi che vengono eseguiti direttamente sull'host, anch'essi utilizzano il dominio stub configurazioni dei server dei nomi upstream. Questa opzione è supportata solo nella versione standard.
• I domini stub personalizzati e i server dei nomi upstream configurati tramite il ConfigMap kube-dns vengono applicati automaticamente a Cloud DNS per il DNS a livello di cluster. Il DNS nell'ambito VPC ignora il ConfigMap kube-dns e devi applicare queste configurazioni direttamente su Cloud DNS. Questa opzione è supportata solo in Standard.

• Non esiste un percorso di migrazione da kube-dns all'ambito VPC, l'operazione è interattiva. Ricrea il cluster quando si passa da kube-dns a VPC o viceversa.
• Per l'ambito VPC, l'intervallo di indirizzi IP secondario per i servizi non deve essere condiviso con altri cluster nella subnet.
• Per l'ambito VPC, il criterio di risposta associato a un record PTR è associato alla rete VPC. Se sono presenti altri criteri di risposta associati alla rete del cluster, la risoluzione dei record PTR non va a buon fine per gli indirizzi IP dei servizi Kubernetes.

• Se provi a creare un servizio headless con un numero di pod che supera consentita, Cloud DNS non crea set di record o record il Servizio.

Quote

Cloud DNS utilizza le quote per limitare il numero di risorse che GKE può creare per le voci DNS. Le quote e i limiti di Cloud DNS potrebbero essere diversi dalle limitazioni di kube-dns per il tuo progetto.

Quando utilizzi Cloud DNS per GKE, a ogni zona gestita del progetto vengono applicate le seguenti quote predefinite:

Limiti delle risorse

Le risorse Kubernetes create per cluster contribuiscono ai limiti delle risorse Cloud DNS, come descritto nella seguente tabella:

Per saperne di più su come vengono creati i record DNS per Kubernetes, consulta Scoperta dei servizi basati su DNS Kubernetes.

Prima di iniziare

Prima di iniziare, assicurati di aver eseguito le seguenti attività:

• Attiva l'API Google Kubernetes Engine.
Abilita l'API Google Kubernetes Engine
• Se vuoi utilizzare Google Cloud CLI per questa attività, install e poi inizializzare con gcloud CLI. Se hai già installato gcloud CLI, ottieni la versione più recente eseguendo gcloud components update.

• Abilita l'API Cloud DNS nel tuo progetto:

  Abilita l'API Cloud DNS

Abilita il DNS nell'ambito del cluster

Nel DNS dell'ambito del cluster, solo i nodi in esecuzione nel cluster GKE possono risolvere nomi dei servizi e i nomi dei servizi non sono in conflitto tra i cluster. Questo comportamento è uguale a kube-dns nei cluster GKE, di poter eseguire la migrazione di cluster da kube-dns all'ambito dei cluster Cloud DNS senza tempi di inattività o modifiche alle applicazioni.

Il seguente diagramma mostra in che modo Cloud DNS crea una zona DNS privata per un cluster GKE. Solo processi e pod in esecuzione sui nodi il cluster può risolvere i record DNS del cluster, perché solo i nodi sono nell'ambito DNS.

Attivare il DNS a livello di cluster in un nuovo cluster

Cluster GKE Autopilot

Per i nuovi cluster Autopilot nella versione 1.25.9-gke.400, 1.26.4-gke.500 o successive, per impostazione predefinita viene utilizzato l'ambito del cluster Cloud DNS.

Cluster GKE Standard

Puoi creare un cluster GKE Standard con Cloud DNS ambito del cluster abilitato utilizzando gcloud CLI o la console Google Cloud:

gcloud container clusters create CLUSTER_NAME \
    --cluster-dns=clouddns \
    --cluster-dns-scope=cluster \
    --location=COMPUTE_LOCATION

Abilita il DNS nell'ambito del cluster in un cluster esistente

Cluster GKE Autopilot

Non puoi eseguire la migrazione di un cluster GKE Autopilot esistente da kube-dns all'ambito del cluster Cloud DNS. Per attivare l'ambito del cluster Cloud DNS, ricrea i cluster Autopilot nella versione 1.25.9-gke.400, 1.26.4-gke.500 o successive.

Cluster GKE Standard

Puoi eseguire la migrazione di un cluster GKE Standard esistente da kube-dns all'ambito del cluster Cloud DNS utilizzando gcloud CLI o la console Google Cloud in un cluster GKE Standard.

Quando esegui la migrazione di un cluster esistente, i nodi al suo interno non utilizzano Cloud DNS come provider DNS finché non ricrei i nodi.

Dopo aver attivato Cloud DNS per un cluster, le impostazioni vengono applicate solo se esegui l'upgrade dei pool di nodi esistenti o se aggiungi nuovi pool di nodi al cluster. Quando esegui l'upgrade di un pool di nodi, i nodi vengono ricreati.

Puoi anche eseguire la migrazione di cluster in cui sono eseguite applicazioni interrompendo la comunicazione tra i cluster abilitando Cloud DNS come provider DNS ogni pool di nodi separatamente. Un sottoinsieme di nodi è sempre operativo poiché alcuni pool di nodi utilizzano kube-dns, mentre altri pool di nodi utilizzano Cloud DNS.

Nei passaggi successivi, abiliterai Cloud DNS per un cluster ed eseguirete l'upgrade dei pool di nodi. L'upgrade dei pool di nodi ricrea i nodi. I nodi useranno quindi Cloud DNS per la risoluzione DNS anziché kube-dns.

Attivare l'ambito VPC additivo di Cloud DNS

Questa sezione descrive i passaggi per attivare o disattivare l'ambito VPC additivo di Cloud DNS, come componente aggiuntivo dell'ambito cluster di Cloud DNS.

Attivare l'ambito VPC additivo di Cloud DNS in un nuovo cluster

Puoi abilitare il DNS con ambito VPC in un nuovo cluster GKE utilizzando gcloud CLI o la console Google Cloud.

Per Autopilot

gcloud container clusters create-auto CLUSTER_NAME \
    --additive-vpc-scope-dns-domain=UNIQUE_CLUSTER_DOMAIN

Sostituisci quanto segue:

• CLUSTER_NAME: il nome del cluster.
• UNIQUE_CLUSTER_DOMAIN: il nome di un dominio. Devi assicurarti che questo nome sia univoco all'interno della VPC perché GKE non conferma questo valore. Una volta impostato, questo valore non può essere modificato. Non devi utilizzare un dominio che termina con ".local", altrimenti potresti riscontrare DNS gli errori di risoluzione.

Per standard

gcloud container clusters create CLUSTER_NAME \
    --cluster-dns-scope=cluster \
    --additive-vpc-scope-dns-domain=UNIQUE_CLUSTER_DOMAIN

Sostituisci quanto segue:

• CLUSTER_NAME: il nome del cluster.
• UNIQUE_CLUSTER_DOMAIN: il nome di un dominio. Devi Assicurati che questo nome sia univoco all'interno del VPC perché GKE non conferma questo valore. Non puoi modificare questo valore dopo averlo impostato. Non devi utilizzare un dominio che termina con ".local", altrimenti potresti riscontrare DNS gli errori di risoluzione.

Abilita l'ambito VPC additivo di Cloud DNS in un cluster esistente

Per attivare l'ambito VPC additivo di Cloud DNS in un cluster esistente, devi prima attivare Cloud DNS per un cluster e poi eseguire l'upgrade dei pool di nodi. L'upgrade dei pool di nodi ricrea i nodi. I nodi utilizzano quindi Risoluzione DNS di Cloud DNS anziché kube-dns.

Per abilitare l'ambito VPC aggiuntivo di Cloud DNS in un cluster esistente:

gcloud container clusters update CLUSTER_NAME \
    --enable-additive-vpc-scope \
    --additive-vpc-scope-dns-domain=UNIQUE_CLUSTER_DOMAIN

Sostituisci quanto segue:

• CLUSTER_NAME: il nome del cluster.
• UNIQUE_CLUSTER_DOMAIN: il nome di un dominio. Devi assicurati che questo nome sia univoco all'interno del VPC GKE non conferma questo valore. Non puoi modificare questa impostazione dopo l'impostazione. Non devi utilizzare un dominio che termina con ".local", o potrebbero verificarsi errori di risoluzione DNS.

Abilita DNS in ambito VPC

Nel DNS con ambito VPC, i nomi DNS di un cluster sono risolvibili all'interno dell'intero VPC. Qualsiasi client nella VPC può risolvere i record DNS del cluster.

Il DNS in ambito VPC consente i seguenti casi d'uso:

• Rilevamento dei servizi headless per i client non GKE all'interno della stessa VPC.
• Risoluzione del servizio GKE da cloud on-premise o di terze parti clienti. Per ulteriori informazioni, vedi Criterio del server in entrata.
• Risoluzione dei servizi in cui un client può decidere con quale cluster comunicare utilizzando il dominio DNS del cluster personalizzato.

Nel diagramma seguente, due cluster GKE utilizzano VPC con il DNS di ambito nello stesso VPC. Entrambi i cluster hanno un dominio DNS personalizzato, .cluster1 e .cluster2, anziché il dominio .cluster.local predefinito. R La VM comunica con il servizio di backend headless risolvendo backend.default.svc.cluster1. Cloud DNS risolve il servizio headless in i singoli IP dei pod nel servizio e la VM comunica direttamente IP dei pod.

Puoi eseguire questo tipo di risoluzione anche da altre reti quando sei connesso al VPC tramite Cloud Interconnect o Cloud VPN. I criteri dei server DNS consentono ai client delle reti connesse alla VPC di risolvere i nomi in Cloud DNS, inclusi i servizi GKE se il cluster utilizza il DNS a livello di VPC.

Abilita il DNS in ambito VPC in un cluster esistente

La migrazione è supportata solo in GKE Standard e non su GKE Autopilot.

Cluster GKE Autopilot

Non puoi eseguire la migrazione di un cluster GKE Autopilot da kube-dns all'ambito VPC Cloud DNS.

Cluster GKE Standard

Puoi eseguire la migrazione di un cluster GKE esistente da kube-dns all'ambito VPC di Cloud DNS utilizzando gcloud CLI o la console Google Cloud.

Dopo aver abilitato Cloud DNS per un cluster, le impostazioni si applicano solo se eseguire l'upgrade dei pool di nodi esistenti o aggiungere nuovi pool di nodi in un cluster Kubernetes. Quando esegui l'upgrade di un pool di nodi, i nodi vengono ricreati.

Nei passaggi successivi, abiliterai Cloud DNS per un cluster ed eseguirete l'upgrade dei pool di nodi. L'upgrade dei pool di nodi ricrea i nodi. I nodi useranno quindi Cloud DNS per la risoluzione DNS anziché kube-dns.

Verifica Cloud DNS

Verifica che Cloud DNS per GKE funzioni correttamente per il tuo cluster:

1. Verifica che i tuoi nodi utilizzino Cloud DNS connettendoti a un pod su un nodo ed eseguendo il comando cat /etc/resolv.conf:

   kubectl exec -it POD_NAME -- cat /etc/resolv.conf | grep nameserver
   

   Sostituisci POD_NAME con il nome del pod.

   In base alla modalità cluster, l'output è simile al seguente:

   Cluster GKE Autopilot

   nameserver 169.254.20.10
   

   Poiché NodeLocal DNSCache è abilitata per impostazione predefinita in GKE Autopilot, NodeLocal DNSCache.

   Solo quando la cache locale non contiene una voce per il nome cercato, NodeLocal DNSCache inoltra la richiesta a Cloud DNS.

   Cluster GKE Standard

   nameserver 169.254.169.254
   

   Il pod utilizza 169.254.169.254 come nameserver, che è l'indirizzo IP del server di metadati dove il piano dati di Cloud DNS rimane in ascolto delle richieste sulla porta 53. I nodi non utilizzano più l'indirizzo del servizio kube-dns per il DNS e tutta la risoluzione DNS si verifica sul nodo locale.

   Se l'output è un indirizzo IP simile a 10.x.y.10, il pod usa kube-dns. Consulta le Risoluzione dei problemi per capire perché il tuo pod utilizza ancora kube-dns.

   Se l'output è 169.254.20.10, significa che hai abilitato NodeLocal DNSCache nel tuo cluster e che il pod utilizza NodeLocal DNSCache.

2. Esegui il deployment di un'applicazione di esempio nel tuo cluster:

   kubectl run dns-test --image us-docker.pkg.dev/google-samples/containers/gke/hello-app:2.0
   

3. Esponi l'applicazione di esempio con un servizio:

   kubectl expose pod dns-test --name dns-test-svc --port 8080
   

4. Verifica che il deployment del servizio sia andato a buon fine:

   kubectl get svc dns-test-svc
   

   L'output è simile al seguente:

   NAME           TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)    AGE
   dns-test-svc   ClusterIP   10.47.255.11    <none>        8080/TCP   6m10s
   

   Il valore di CLUSTER-IP è l'indirizzo IP virtuale del cluster. In questo Ad esempio, l'indirizzo IP virtuale è 10.47.255.11.

5. Verifica che il nome del tuo servizio sia stato creato come record nel dominio privato Zona DNS per il cluster:

   gcloud dns record-sets list \
       --zone=PRIVATE_DNS_ZONE \
       --name=dns-test-svc.default.svc.cluster.local.
   

   Sostituisci PRIVATE_DNS_ZONE con il nome della zona DNS gestita.

   L'output è simile al seguente:

   NAME: dns-test-svc.default.svc.cluster.local.
   TYPE: A
   TTL: 30
   DATA: 10.47.255.11
   

Disattivare Cloud DNS per GKE

Cluster GKE Autopilot

Non puoi disabilitare Cloud DNS in un GKE Autopilot creato con Cloud DNS per impostazione predefinita. Consulta le requisiti per saperne di più sui cluster GKE Autopilot utilizzando Cloud DNS per impostazione predefinita.

Cluster GKE Standard

Puoi disabilitare l'ambito del cluster Cloud DNS utilizzando gcloud CLI nella console Google Cloud in un cluster GKE Standard.

gcloud container clusters update CLUSTER_NAME \
    --cluster-dns=default

Disattivare l'ambito VPC additivo di Cloud DNS

Quando disabiliti l'ambito VPC additivo di Cloud DNS per il tuo , solo i record DNS nelle zone private collegate al cluster La rete VPC verrà eliminata. I record nelle zone DNS private per il cluster GKE rimarranno gestiti da Cloud DNS GKE, fino a quando il servizio headless non viene eliminato dal cluster.

Per disabilitare l'ambito VPC additivo di Cloud DNS, esegui questo comando:

gcloud container clusters update CLUSTER_NAME \
    --disable-additive-vpc-scope

Sostituisci CLUSTER_NAME con il nome del cluster.

In questo modo, il cluster con ambito cluster Cloud DNS rimarrà abilitato per fornire la risoluzione DNS dall'interno del cluster.

Esegui la pulizia

Dopo aver completato gli esercizi in questa pagina, segui questa procedura per rimuovere ed evitare addebiti indesiderati sul tuo account:

1. Elimina il servizio:

   kubectl delete service dns-test-svc
   

2. Elimina il pod:

   kubectl delete Pod dns-test
   

3. Puoi anche elimina il cluster.

Utilizza Cloud DNS con un VPC condiviso

Cloud DNS per GKE supporta VPC condiviso sia per l'ambito VPC sia per l'ambito cluster.

Il controller GKE crea una zona privata gestita progetto come cluster GKE.

L'account di servizio GKE per il cluster GKE non richiede Identity and Access Management (IAM) per il DNS al di fuori del proprio progetto perché la zona gestita e il cluster GKE si trovano nello stesso progetto.

Più di un cluster per progetto di servizio

A partire dalle versioni GKE 1.22.3-gke.700 e 1.21.6-gke.1500, puoi creare cluster in più progetti di servizio che fanno riferimento a una VPC nello stesso progetto host.

Se hai già cluster che utilizzano VPC condiviso e ambito VPC Cloud DNS, devi eseguirne la migrazione manualmente seguendo i passaggi riportati di seguito:

• Esegui l'upgrade dei cluster esistenti in cui è abilitato VPC condiviso alla versione GKE 1.22.3-gke.700 o successiva o 1.21.6-gke.1500 o successiva.
• Esegui la migrazione del criterio di risposta dal progetto di servizio al progetto host. Devi eseguire questa migrazione solo una volta per rete VPC condivisa.

Puoi eseguire la migrazione del criterio di risposta utilizzando la console Google Cloud.

Esegui i seguenti passaggi nel progetto di servizio:

1. Vai alla pagina Zone Cloud DNS.

   Vai alle zone Cloud DNS

2. Fai clic sulla scheda Zone del criterio di risposta.

3. Fai clic sul criterio di risposta per la tua rete VPC. Puoi identificare il criterio di risposta dalla descrizione, simile a "Criterio di risposta per i cluster GKE sulla rete NETWORK_NAME".

4. Fai clic sulla scheda In uso da.

5. Accanto al nome del progetto host, fai clic su delete per rimuovere il vincolo di rete.

6. Fai clic sulla scheda Regole criterio di risposta.

7. Seleziona tutte le voci della tabella.

8. Fai clic su Rimuovi le regole del criterio di risposta.

9. Fai clic su delete Elimina criterio di risposta.

Dopo aver eliminato il criterio di risposta, il controller DNS lo crea automaticamente nel progetto host. Cluster di altri progetti di servizio condividi questo criterio di risposta.

Supporta domini stub personalizzati e server dei nomi upstream

Cloud DNS per GKE supporta domini stub personalizzati e server dei nomi upstream configurati utilizzando il ConfigMap kube-dns. Questo supporto è disponibile solo per i cluster GKE Standard.

Cloud DNS converte i valori stubDomains e upstreamNameservers nelle zone di forwarding di Cloud DNS.

Problemi noti

Terraform prevede di ricreare il cluster Autopilot a causa della modifica di dns_config

Se utilizzi terraform-provider-google o terraform-provider-google-beta, potresti riscontrare un problema in cui Terraform tenta di ricreare un cluster Autopilot. Questo errore si verifica perché i cluster Autopilot appena creati che eseguono la versione 1.25.9-gke.400, 1.26.4-gke.500, 1.27.1-gke.400 o successive utilizzano Cloud DNS come provider DNS anziché kube-dns.

Il problema è risolta nella versione 4.80.0 del provider Terraform di Google Cloud.

Se non riesci ad aggiornare la versione di terraform-provider-google o terraform-provider-google-beta, puoi aggiungere lifecycle.ignore_changes a la risorsa per garantire che google_container_cluster ignori le modifiche apportate dns_config:

  lifecycle {
    ignore_changes = [
      dns_config,
    ]
  }

Risoluzione dei problemi

Per scoprire come abilitare il logging DNS, consulta Attivazione e disattivazione del logging per zone gestite private.

Per ulteriori informazioni sulla risoluzione dei problemi DNS, consulta Risolvere i problemi DNS in GKE.

Impossibile aggiornare il cluster esistente o crearne uno con Cloud DNS abilitato

Assicurati di utilizzare la versione corretta. Cloud DNS per GKE richiede GKE versione 1.19 o successiva per i cluster che utilizzano l'ambito VPC, oppure GKE versione 1.24.7-gke.800, 1.25.3-gke.700 o successive per i cluster utilizzando l'ambito del cluster.

I pod utilizzano kube-dns anche dopo l'abilitazione di Cloud DNS su un cluster esistente

Assicurati di aver eseguito l'upgrade o la ricreazione dei pool di nodi dopo aver attivato Cloud DNS sul cluster. Finché questo passaggio non viene completato, i pod continuano a utilizzare kube-dns.

Il pod non è in grado di risolvere le ricerche DNS

1. Verifica che il pod utilizzi Cloud DNS connettendoti a un pod ed eseguendo il comando cat /etc/resolv.conf:

   kubectl exec -it POD_NAME -- cat /etc/resolv.conf | grep nameserver
   

   Sostituisci POD_NAME con il nome del pod.

   L'output è simile al seguente:

   nameserver 169.254.169.254
   

   Se l'output è un indirizzo IP simile a 10.x.y.10 o 34.118.224.10 (solo nei cluster GKE Autopilot con le versioni 1.27 e successive), il pod utilizza kube-dns. Se l'output è 169.254.20.10, il pod utilizza NodeLocal DNSCache.

2. Verifica che la zona gestita esista e contenga la voce DNS necessaria:

   gcloud dns managed-zones list --format list
   

   L'output è simile al seguente:

    - creationTime: 2021-02-12T19:24:37.045Z
      description: Private zone for GKE cluster "cluster1" with cluster suffix "cluster.local" in project "project-243723"
      dnsName: cluster.local.
      id: 5887499284756055830
      kind: dns#managedZone
      name: gke-cluster1-aa94c1f9-dns
      nameServers: ['ns-gcp-private.googledomains.com.']
      privateVisibilityConfig: {'kind': 'dns#managedZonePrivateVisibilityConfig'}
      visibility: private
   

   Il valore name nella risposta indica che Google Cloud ha creato una zona privata denominata gke-cluster1-aa94c1f9-dns.

3. Verifica che Cloud DNS contenga voci per il tuo cluster:

   gcloud dns record-sets list --zone ZONE_NAME | grep SERVICE_NAME
   

   Sostituisci quanto segue:

   • ZONE_NAME: il nome della zona privata.
   • SERVICE_NAME: il nome del servizio.

   L'output mostra che Cloud DNS contiene un record A per il dominio dns-test.default.svc.cluster.local. e l'indirizzo IP del tuo cluster, 10.47.255.11:

   dns-test.default.svc.cluster.local.                A     30     10.47.255.11
   

4. Abilita il logging di Cloud DNS per monitorare le query. Ogni voce del log contiene informazioni sulla query, inclusa la latenza DNS.

Le ricerche DNS sui nodi non riescono dopo aver attivato Cloud DNS su un cluster

Se attivi Cloud DNS a livello di cluster in un cluster GKE con domini stub personalizzati o server dei nomi upstream, la configurazione personalizzata si applica sia ai nodi sia ai pod del cluster perché Cloud DNS non è in grado di distinguere tra le richieste DNS dei pod e dei nodi. Le ricerche DNS sui nodi potrebbero non riuscire se un server upstream personalizzato non è in grado di risolvere le query.

Impossibile aggiornare il cluster esistente o crearne uno con l'ambito VPC additivo di Cloud DNS abilitato

Assicurati di utilizzare la versione corretta. L'ambito VPC additivo Cloud DNS richiede GKE versione 1.28 o successiva.

Il pod non è in grado di risolvere le ricerche DNS

1. Verifica che il pod utilizzi Cloud DNS connettendoti a un pod ed eseguendo il comando cat /etc/resolv.conf:

   kubectl exec -it POD_NAME -- cat /etc/resolv.conf | grep nameserver
   

   Sostituisci POD_NAME con il nome del pod.

   L'output è simile al seguente:

   nameserver 169.254.169.254
   

   Se l'output è un indirizzo IP simile a 10.x.y.10 o 34.118.224.10 (solo nei cluster GKE Autopilot con le versioni 1.27 e successive), il pod utilizza kube-dns. Se l'output è 169.254.20.10, il pod utilizza NodeLocal DNSCache.

2. Verifica che la zona gestita esista e contenga la voce DNS necessaria:

   gcloud dns managed-zones list --format list
   

   L'output è simile al seguente:

   gke-cluster-1-cbdc0678-dns  cluster.local.   Private zone for GKE cluster "cluster-1" with cluster suffix "cluster.local." in project "PROJECT_NAME" with scope "CLUSTER_SCOPE"  private
   gke-cluster-1-cbdc-dns-vpc  CLUSTER_DOMAIN.  Private zone for GKE cluster "cluster-1" with cluster suffix "CLUSTER_DOMAIN." in project "PROJECT_NAME" with scope "VPC_SCOPE"     private
   

   Il valore name nella risposta indica che Google Cloud ha creato una zona privata denominata gke-cluster1-aa94c1f9-dns.

3. Verifica che Cloud DNS contenga voci per il tuo cluster in entrambe le zone ManagedZone:

   gcloud dns record-sets list --zone ZONE_NAME | grep SERVICE_NAME
   

   Sostituisci quanto segue:

   • ZONE_NAME: il nome della zona privata.
   • SERVICE_NAME: il nome del servizio.

   L'output è simile al seguente:

   my-service.default.svc.cluster.local.                A     30     10.47.255.11
   

   Il valore name nella risposta indica che Google Cloud ha creato una zona privata denominata gke-cluster1-aa94c1f9-dns.

4. Per le ricerche DNS inverse, verifica che Cloud DNS contenga voci per il tuo cluster in ResponsePolicies:

   gcloud dns response-policies list --format="table(responsePolicyName, description)"
   

   L'output è simile al seguente:

     gke-NETWORK_HASH-rp        Response Policy for GKE clusters on network "VPC_NAME".
     gke-cluster-1-52c8f518-rp  Response Policy for GKE cluster "cluster-1" with cluster suffix "cluster.local." in project "khamed-gke-dev" with scope "CLUSTER_SCOPE".
   

   Il valore name nella risposta indica che Google Cloud ha creato una zona privata denominata gke-cluster1-aa94c1f9-rp.

5. Per le ricerche DNS inverse, verifica che Cloud DNS contenga voci per il tuo cluster in ResponsePolicies:

     gcloud dns response-policies rules list ZONE_NAME --format="table(localData.localDatas[0].name, localData.localDatas[0].rrdatas[0])"
   

   Sostituisci ZONE_NAME con il nome della zona privata.

   L'output è simile al seguente:

     1.240.27.10.in-addr.arpa.    kubernetes.default.svc.cluster.local.
     52.252.27.10.in-addr.arpa.   default-http-backend.kube-system.svc.cluster.local.
     10.240.27.10.in-addr.arpa.   kube-dns.kube-system.svc.cluster.local.
     146.250.27.10.in-addr.arpa.  metrics-server.kube-system.svc.cluster.local.
   

Passaggi successivi

• Leggi una panoramica di come GKE fornisce DNS gestiti.
• Leggi DNS per servizi e pod per una panoramica generale dell'utilizzo del DNS nei cluster Kubernetes.
• Scopri di più su ambiti e gerarchie in Cloud DNS.
• Informazioni su Attivazione e disattivazione del logging per zone gestite private.