K8s-DNS解析流程
DNS 解析流程
本文档描述 Kubernetes 集群中 CoreDNS 如何解析 Service 到 Pod IP 的完整流程。
概述
Kubernetes DNS 解析涉及以下核心组件:
- CoreDNS:集群 DNS 服务器
- kube-dns Service:指向 CoreDNS Pod 的 Service
- EndpointSlice:记录 CoreDNS Pod 的 IP 地址
- Pod /etc/resolv.conf:Pod 内的 DNS 配置
flowchart TD
subgraph Pod["Pod (应用容器)"]
A["应用发起 DNS 查询"]
B["读取 /etc/resolv.conf"]
end
subgraph CoreDNS["CoreDNS Pod"]
C["CoreDNS 服务"]
D["Watch API Server"]
E["Service/Endpoint 缓存"]
end
subgraph APIServer["API Server"]
F["Service 资源"]
G["EndpointSlice 资源"]
H["Pod 资源"]
end
A --> B
B -->|"nameserver 10.96.0.10"| I["kube-dns Service ClusterIP"]
I --> J["iptables/IPVS 规则"]
J -->|"DNAT"| C
D -->|Watch| F
D -->|Watch| G
D -->|Watch| H
C --> E
E -->|"返回解析结果"| A
style A fill:#e1f5fe
style C fill:#c8e6c9
style F fill:#fff3e0流程详解
1. Pod DNS 配置生成
Kubelet 为每个 Pod 生成 /etc/resolv.conf 文件,配置 DNS 服务器地址。
代码路径: pkg/kubelet/network/dns/dns.go
1 | // GetPodDNS 配置 Pod 的 DNS 策略 |
DNS 配置示例:
1 | nameserver 10.96.0.10 |
2. kube-dns Service
kube-dns Service 是集群 DNS 的入口点:
1 | apiVersion: v1 |
3. CoreDNS 工作原理
CoreDNS 通过 Watch API Server 获取 Service 和 EndpointSlice 信息:
sequenceDiagram
participant API as API Server
participant Coredns as CoreDNS
participant Cache as 本地缓存
participant Client as 客户端 Pod
API->>Coredns: Watch Service/EndpointSlice 事件
Coredns->>Cache: 更新本地缓存
Client->>Coredns: DNS 查询 my-svc.default.svc.cluster.local
Coredns->>Cache: 查找 Service 记录
Cache->>Coredns: 返回 ClusterIP 或 Endpoint IPs
Coredns->>Client: 返回 DNS 响应4. Service DNS 记录类型
4.1 ClusterIP Service
1 | # 服务名格式 |
4.2 Headless Service(无 ClusterIP)
Headless Service(clusterIP: None)直接返回后端 Pod IP:
1 | apiVersion: v1 |
DNS 解析返回所有 Ready Pod 的 IP:
1 | headless-svc.default.svc.cluster.local -> 10.244.1.5, 10.244.2.3 |
4.3 ExternalName Service
1 | apiVersion: v1 |
DNS 返回 CNAME 记录:
1 | external-svc.default.svc.cluster.local -> CNAME external.example.com |
5. Pod DNS 记录(Headless Service 场景)
当 Pod 配置了 hostname 和 subdomain:
1 | apiVersion: v1 |
DNS 记录格式:
1 | <pod-hostname>.<subdomain>.<namespace>.svc.cluster.local |
代码路径: staging/src/k8s.io/api/core/v1/types.go
1 | // Pod DNS 名称格式 |
6. CoreDNS 插件配置
CoreDNS 使用 Corefile 配置插件:
1 | .:53 { |
关键插件说明:
- kubernetes: 处理 Service/Pod DNS 记录
- forward: 转发外部域名到上游 DNS
- cache: 缓存 DNS 响应
- loadbalance: 负载均衡 DNS 响应
关键代码锚点
| 功能 | 文件路径 |
|---|---|
| Kubelet DNS 配置 | pkg/kubelet/network/dns/dns.go |
| HostNetwork 判断 | pkg/kubelet/container/helpers.go:IsHostNetworkPod |
| Service DNS 名称格式 | staging/src/k8s.io/api/core/v1/types.go |
| EndpointSlice 工具 | staging/src/k8s.io/endpointslice/util/controller_utils.go |
DNS 查询流程总结
- 应用发起 DNS 查询 → 读取
/etc/resolv.conf - 查询发送到 kube-dns ClusterIP → iptables/IPVS 转发
- CoreDNS 接收查询 → 查找本地缓存
- 返回结果:
- ClusterIP Service → 返回 Service ClusterIP
- Headless Service → 返回 Pod IP 列表
- ExternalName → 返回 CNAME
- 外部域名 → 转发到上游 DNS
常见问题
DNS 解析慢
- 检查 CoreDNS Pod 状态
- 检查
ndots配置(过多会导致多次查询) - 考虑使用 NodeLocal DNSCache
Service 无法解析
- 检查 Service 是否存在
- 检查 EndpointSlice 是否正常
- 检查 CoreDNS 日志
高频面试题
Q1: Kubernetes 中 Service 的 DNS 解析流程是怎样的?
参考答案:
- Pod 内应用发起 DNS 查询,读取
/etc/resolv.conf获取 DNS 服务器地址 - 查询发送到
kube-dnsService 的 ClusterIP(通常是 10.96.0.10) - iptables/IPVS 将请求 DNAT 到后端 CoreDNS Pod
- CoreDNS 查找本地缓存(通过 Watch API Server 获取 Service/EndpointSlice 信息)
- 返回解析结果:
- ClusterIP Service → 返回 Service 的 ClusterIP
- Headless Service → 返回所有 Ready Pod 的 IP 列表
- ExternalName Service → 返回 CNAME 记录
Q2: Headless Service 和普通 Service 的 DNS 解析有什么区别?
参考答案:
| 特性 | 普通 ClusterIP Service | Headless Service |
|---|---|---|
| DNS 返回 | 返回 Service 的 ClusterIP | 返回所有后端 Pod IP 列表 |
| 负载均衡 | 由 kube-proxy/iptables 完成 | 由客户端 DNS 轮询或应用层处理 |
| 适用场景 | 普通服务访问 | StatefulSet、直接 Pod 寻址 |
| 配置 | clusterIP: 10.96.x.x |
clusterIP: None |
Q3: Pod 的 DNSPolicy 有哪几种?分别是什么作用?
参考答案:
1 | # 1. ClusterFirst(默认) |
Q4: CoreDNS 是如何获取 Service 和 Pod 信息的?
参考答案:
- CoreDNS 通过 ServiceAccount 获得 RBAC 权限,可以 list/watch Service、Pod、EndpointSlice、Namespace 资源
- 使用 client-go 的 Informer 机制 Watch API Server
- 当资源变化时,Informer 触发回调,更新 CoreDNS 本地缓存
- kubernetes 插件根据缓存数据生成 DNS 记录
Q5: 如何排查 Pod DNS 解析失败的问题?
参考答案:
1 | # 1. 检查 Pod 的 DNS 配置 |
延伸阅读
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Joohwan!
alipay
相关推荐
2026-03-22
K8s-CSI卷挂载流程
CSI 存储卷挂载通信流程目标这篇文档只回答一个核心问题:kubelet 如何通过 CSI (Container Storage Interface) 完成 Pod 存储卷的挂载? 重点放在 VolumeManager 与 CSI driver 的交互,以及 attach/mount 的完整流程。 一句话摘要kubelet 的 VolumeManager 通过 CSINode 和 CSIDriver 对象发现 CSI driver,然后通过 gRPC 调用 CSI driver 的 NodeStageVolume/NodePublishVolume 完成卷的挂载。 1. 流程总览从通信视角看,这条链路可以拆成 3 个阶段: 卷准备阶段:CSI controller 完成 attach (对于块存储)。 节点挂载阶段:kubelet 通过 CSI driver 完成 stage 和 publish。 容器挂载阶段:kubelet 将卷 bind mount 到容器内。 架构总览图flowchart TB subgraph 控制面["控制面...
2026-03-22
K8s-Deployment滚动更新流程
Deployment 滚动更新流程本文档描述 Kubernetes Deployment 如何通过 ReplicaSet Controller 管理滚动更新的完整流程。 概述Deployment 滚动更新涉及以下核心组件: Deployment Controller:管理 Deployment 生命周期 ReplicaSet Controller:管理 Pod 副本数 API Server:存储和分发资源状态 flowchart TD subgraph User["用户操作"] A["kubectl apply -f deployment.yaml"] end subgraph APIServer["API Server"] B["Deployment 资源"] C["ReplicaSet 资源"] D["Pod 资源"] end subgraph D...
2026-03-22
K8s-EndpointSlice控制器流程
EndpointSlice 控制器流程本文档描述 Kubernetes EndpointSlice 控制器如何让 Service 感知后端 Pod 变化的完整流程。 概述EndpointSlice 控制器负责: 监听 Service 和 Pod 变化 生成和管理 EndpointSlice 资源 记录 Service 后端 Pod 的 IP 地址和端口 flowchart TD subgraph APIServer["API Server"] A["Service 资源"] B["Pod 资源"] C["EndpointSlice 资源"] D["Node 资源"] end subgraph EndpointSliceController["EndpointSlice Controller"] E["Watch Service"] ...
2026-03-22
K8s-PVC供应与绑定流程
PVC 供应与绑定流程本文档描述 Kubernetes 中 PVC(PersistentVolumeClaim)、PV(PersistentVolume)和 StorageClass 的完整交互流程。 概述PVC 供应与绑定涉及以下核心组件: PV Controller:管理 PV 和 PVC 的绑定 StorageClass:定义动态供应参数 Provisioner:实际创建存储卷(in-tree 或 CSI) Scheduler:处理 WaitForFirstConsumer 模式 flowchart TD subgraph User["用户操作"] A["创建 PVC"] end subgraph APIServer["API Server"] B["PVC 资源"] C["PV 资源"] D["StorageClass"] end subgra...
2026-03-22
K8s-Pod在节点落地流程
Pod 在节点落地通信流程目标这篇文档只回答一个核心问题:kubelet 如何把“期望运行”的 Pod 变成“真实运行”的容器? 重点放在 kubelet 内部各组件之间的协作与 CRI 通信边界,而不是每一个 gRPC 字段的含义。 一句话摘要kubelet 收到 Pod 更新后,把期望态交给 podWorkers;podWorkers 驱动单 Pod 生命周期状态机,再由 kubeGenericRuntimeManager 通过 CRI 调用容器运行时完成 sandbox、镜像与容器操作。 1. 流程总览从通信视角看,这条链路可以拆成 3 个阶段: 更新接入阶段:kubelet 从 Pod source 收到属于本节点的 Pod 更新,并交给内部子系统。 状态机驱动阶段:podWorkers 根据当前状态决定执行同步、终止还是清理。 运行时执行阶段:runtime manager 通过 CRI 把操作翻译给容器运行时,完成 sandbox 和容器的创建/销毁。 Mermaid:总览图flowchart LR A[Pod update from sour...
2026-03-22
K8s-Pod调度与绑定流程
Pod 调度与绑定通信流程目标这篇文档只回答一个核心问题:一个 Pod 是怎么从“等待调度”变成“被某个节点上的 kubelet 感知到”的? 重点放在组件之间的通信与职责边界,而不是调度器内部打分算法细节。 一句话摘要kube-scheduler 负责为 Pod 选节点,kube-apiserver 负责持久化绑定结果,kubelet 通过监听 API Server 中属于本节点的 Pod 更新来感知这次分配。 1. 流程总览从通信视角看,这条链路可以拆成 3 个阶段: 调度决策阶段:scheduler 为 Pod 选择目标节点。 绑定落盘阶段:scheduler 通过 API Server 把绑定结果写回集群状态。 节点感知阶段:目标节点上的 kubelet 观察到这个 Pod 已经分配给自己,开始进入节点侧处理。 Mermaid:总览图flowchart LR A[Pending Pod] --> B[kube-scheduler] B --> C[select target node] C --> D[kube-apiser...
评论