Настройка NodeLocal DNSCache

NodeLocal DNSCache — компонент Kubernetes, который запускает локальный кеш DNS на каждом узле кластера. Использование NodeLocal DNSCache улучшает производительность кластера и повышает надежность разрешения доменных имен.

После установки компонента на каждом узле кластера запускается DaemonSet node-localdns. Он принимает запросы на разрешение доменных имен на link-local IP-адресе 169.254.20.10.

Руководство актуально для кластеров Managed Kubernetes c компонентом kube-proxy, работающим в стандартном для версии Kubernetes 1.34 режиме IPVS. В этом режиме нет автоматического перенаправления DNS-запросов в локальный кеш. NodeLocal DNSCache будут использовать только те поды, для которых в блоке dnsPolicy явно указана настройка nameserver: 169.254.20.10. Глобальная активация NodeLocal DNSCache через настройку kubelet (--cluster-dns=169.254.20.10) в рамках этого руководства не выполняется, поскольку такая настройка требует изменения конфигурации и перезапуска kubelet на каждом узле кластера.

Чтобы развернуть и использовать NodeLocal DNSCache:

1. Подготовьте рабочее окружение.
2. Установите NodeLocal DNSCache с помощью Helm-чарта, размещенного в сервисе Artifact Registry.
3. Разверните тестовое приложение, с помощью которого вы сможете проверить работу NodeLocal DNSCache.
4. Проверьте работу NodeLocal DNSCache.

1. Создайте сервисный аккаунт с именем sa-puller и ролью registry.puller. Сервисный аккаунт нужен для работы группы узлов Managed Kubernetes и для установки Helm-чарта.
2. Для сервисного аккаунта создайте API-ключ и сохраните его в отдельном файле.
3. Создайте кластер Managed Kubernetes и группу узлов для него. При создании группы используйте сервисный аккаунт sa-puller.
4. Создайте виртуальную машину в той же сети, где развернут кластер Managed Kubernetes. Все последующие шаги руководства выполняйте на виртуальной машине.

1. Подключитесь к ВМ по SSH.

2. Установите утилиту MWS CLI.

3. Инициализируйте профиль MWS CLI.

4. Установите Helm.

5. Аутентифицируйтесь в Artifact Registry, используя API-ключ:

   1
   helm registry login -u apikey -p <API-ключ> registry.mwsapis.ru

   Значение параметра -u apikey предустановлено, изменять его не нужно. Укажите только значение для API-ключа.

6. Получите kubeconfig для кластера:

   1
   mws mk8s get-kubeconfig <имя кластера>

7. Убедитесь, что кластер доступен:

   1
   kubectl cluster-info

1. Узнайте адрес сервиса kube-dns и сохраните его в переменную окружения:

   1
   CLUSTERDNS=$(kubectl get svc kube-dns -n kube-system -o jsonpath='{.spec.clusterIP}') && echo $CLUSTERDNS

   Команда выведет на экран сохраненный в переменную окружения IP-адрес.

2. Установите Helm-чарт node-localdns, используя образ из Artifact Registry и переменную $CLUSTERDNS:

   1
   helm upgrade --install node-localdns oci://registry.mwsapis.ru/mws-mk8s-images/customer/charts/node-local-dns \
   2
        --version 2.4.0 \
   3
        --namespace kube-system \
   4
        --set config.clusterDns=$CLUSTERDNS

   Не изменяйте значение параметра namespace. Для корректной работы NodeLocal DNSCache должен быть установлен в пространство имен kube-system.

   Ожидаемый результат:

   1
   NAME: node-localdns
   2
   LAST DEPLOYED: Tue Apr  7 10:13:25 2026
   3
   NAMESPACE: kube-system
   4
   STATUS: deployed
   5
   REVISION: 1
   6
   TEST SUITE: None

Приложение будет использовать NodeLocal DNSCache, если в его манифесте:

• указаны настройки для параметров dnsPolicy и dnsConfig;
• указан параметр nameserver со значением 169.254.20.10.

В этом руководстве для проверки NodeLocal DNSCache будет создано тестовое приложение busybox:1.28. Манифест создания приложения уже содержит нужные настройки.

1. Сохраните в файл app.yaml манифест для тестового приложения:

   1
   apiVersion: apps/v1
   2
   kind: Deployment
   3
   metadata:
   4
     name: myapp
   5
     namespace: default
   6
   spec:
   7
     replicas: 1
   8
     selector:
   9
       matchLabels:
   10
         app: myapp
   11
     template:
   12
       metadata:
   13
         labels:
   14
           app: myapp
   15
       spec:
   16
         dnsPolicy: None
   17
         dnsConfig:
   18
           nameservers:
   19
             - 169.254.20.10
   20
           searches:
   21
             - default.svc.cluster.local
   22
             - svc.cluster.local
   23
             - cluster.local
   24
           options:
   25
             - name: ndots
   26
             value: "5"
   27
         containers:
   28
           - name: myapp
   29
             image: registry.mwsapis.ru/mws-mk8s-images/customer/busybox:1.28
   30
             command: ["sleep", "3600"]

2. Установите приложение:

   1
   kubectl apply -f app.yaml

3. Убедитесь, что под приложения запущен и работает:

   1
   kubectl get pods

   Ожидаемый результат:

   1
   NAME                     READY   STATUS    RESTARTS   AGE
   2
   myapp-64465c6f8f-vdd47   1/1     Running   0          7s

1. Убедитесь, что приложение myapp использует NodeLocal DNSCache:

   1
   kubectl exec -it deploy/myapp -n default -- cat /etc/resolv.conf

   Ожидаемый результат — используется link-local IP-адрес 169.254.20.10:

   1
   search default.svc.cluster.local svc.cluster.local cluster.local
   2
   nameserver 169.254.20.10
   3
   options ndots:5

2. Убедитесь, что NodeLocal DNSCache возвращает корректный адрес из диапазона сервисной подсети для kubernetes.default.svc.cluster.local:

   1
   kubectl exec -it deploy/myapp -n default -- nslookup kubernetes.default.svc.cluster.local

   Ожидаемый результат:

   1
   Server:    169.254.20.10
   2
   Address 1: 169.254.20.10
   3
   
   4
   Name:      kubernetes.default.svc.cluster.local
   5
   Address 1: 10.222.64.1 kubernetes.default.svc.cluster.local

   Чтобы узнать диапазон адресов сервисной подсети кластера и сравнить его с выводом nslookup, выполните команду mws mk8s cluster get <имя кластера> | grep servicesCidr.

Ресурсы, созданные в руководстве, тарифицируются. Если вы больше не планируете использовать их:

1. Удалите кластер Managed Kubernetes.
2. Удалите виртуальную машину.