この記事を4行で
- おうちKubernetesのIngressリソース数が増えてきた
- LAN内端末からIngress経由でアクセスする為にhostsファイルを書いて回るのが面倒になってきた
- Kubernetes上にnsdとunboundを立ててLAN内名前解決を任せる
- 成果物manifest: https://gitlab.chatagiriii.com/open/nsd-unbound-on-k8s
おうちKubernetes作ってから1年
chatagiriです。
おうちKubernetesの構成考えて、実際に運用を始めておおよそ1年が経ちました。
(書く、書くと言いながら未だに構築手順書いてないのはごめんなさい)
運用から1年も経つと有象無象のPod達が無造作に動きっぱなしになっており、2021/12/22現在で104Pod、54Service, 20Ingressが稼働中です。
$ kubectl get pods --all-namespaces | grep -v NAMESPACE | wc -l
104
$ kubectl get svc --all-namespaces | grep -v NAMESPACE | wc -l
54
$ k get ingress --all-namespaces | grep -v NAMESPACE | wc -l
20hostsファイル弄るの面倒...
動いているものが多いと嬉しい一方で問題が。増えたIngressの数だけ手元端末たちのhostsを編集する必要があるのです。。
自分の家には日常使いのPC2台、Androidスマホ1台、AndroidTV1台があり、Ingressを1個追加したときにはそれぞれのhostsを弄らないとLAN内名前解決が出来ないのです。
特にAndroidのhostsを弄る為には基本的にrootを取る必要があり、折角作った自宅ファイルサーバにLAN内Wi-Fi経由で入れない等の問題が出てきてしまいました。
これを機におうちDNS鯖を建て、新しくIngressリソースを入れた時には権威DNSの更新1本で全端末から名前解決できるようにする試みです。
nsdとunbound
NSDはdnsの権威DNSサーバ用のOSSで、unboundはキャッシュDNSサーバ用のOSSです。詳細はリンク先を追ってみてください。。
ここがこうなる
こう変わる、を図にしてみました。
- 前提:
- metallb導入済みKubernetes cluster
- nginx-ingress-controller導入済みKubnernetes cluster
- (「nginx-ingress-controller使ってるなら図のServiceのIP回りおかしくない?」と気づくと思いますが、例として分かりやすいように図中のIP回りは都度変更しています。)
- ご自身の環境に合わせて読み替え下さい
- びふぉー:
- 流れ
- webapp01のPod/Service(192.168.1.210)/Configmap/PVなどを作成
- webapp01.example.jp でingress リソースを作成して、外部に公開
- LAN内からもingressの名前でアクセスしたいので、各端末のhostsファイルを編集(webapp01.example.jp,192.168.1.210)
- メリットデメリット
- 新しくingressを追加したとき、各端末のhostsファイルを編集してまわる必要がある
- DNS回りが一元管理されていないので、漏れだったり、今どのレコードが有るか無いかをいちいち確認の必要がある場合がある
- 流れ
- あふたー
- 流れ
- webapp01のPod/Service(192.168.1.210)/Configmap/PVなどを作成
- webapp01.example.jp でingress リソースを作成して、外部に公開
- nsdのpodのconfigmapを編集して、 (webapp01.example.jp 192.168.1.210) のレコードを追加
- 各端末のDNSサーバの向け先をunboundに設定して、webapp01.exmaple.jpを問い合わせる
- unboundはnsdに対してwebapp01.example.jpを問い合わせ、192.168.1.210の応答を貰い、各端末に返す
- メリットデメリット
- 新しくingressを追加したとき、nsdのレコード設定を編集するだけでよい
- DNS回りが一元管理され、登録漏れや確認が楽になる
- 流れ
nsdとunboundのk8s manifestを書く
脳死でダーーッと書きます。意外とkubernetesでnsdとunboundして、manifestファイルまで公開してる人が居なかったため色々試してみましょう。
example.jpな部分を置き換えたり、DNSレコード回りはご自分の環境に合わせて変更してみてください。
また、ServiceのserviceTypeはLoadBalancerに設定していますが、ご家庭のKubernetesに乗っているものに合わせてご変更ください。
manifestファイルはこちらにも置いてあります。: https://gitlab.chatagiriii.com/open/nsd-unbound-on-k8s
---
apiVersion: v1
kind: Namespace
metadata:
name: nsd
---
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: nsd
name: nsd
namespace: nsd
spec:
replicas: 2
selector:
matchLabels:
app: nsd
template:
metadata:
labels:
app: nsd
spec:
containers:
- image: ghcr.io/the-kube-way/nsd:latest
name: nsd
ports:
- name: udp
containerPort: 53
volumeMounts:
- name: nsd-zones
mountPath: /zones
- name: nsd-conf
mountPath: /etc/nsd/nsd.conf
subPath: nsd.conf
volumes:
- name: nsd-zones
configMap:
name: nsd-zones
items:
- key: db.example.jp
path: example.jp.zone
mode: 0644
- name: nsd-conf
configMap:
name: nsd-conf
items:
- key: nsd.conf
path: nsd.conf
mode: 0644
---
apiVersion: v1
kind: Service
metadata:
name: nsd
namespace: nsd
labels:
app: nsd
spec:
ports:
- name: dns
port: 53
protocol: UDP
selector:
app: nsd
type: LoadBalancer
---
apiVersion: v1
kind: ConfigMap
metadata:
name: nsd-zones
namespace: nsd
data:
db.example.jp: |
$ORIGIN example.jp.
$TTL 800
; SOA
@ IN SOA ns1.example.jp. example.jp. (
1 ; Serial
3200 ; Refresh
1800 ; Retry
96000 ; Expire
86400 ) ; Minimum
; NAMESERVERS
@ IN NS ns.example.jp.
; A RECORDS
@ IN A 192.168.1.XX
k8s-master00 IN A 192.168.1.10
k8s-worker00 IN A 192.168.1.20
k8s-worker00 IN A 192.168.1.21
k8s-worker00 IN A 192.168.1.22
webapp00 IN A 192.168.1.200
webapp01 IN A 192.168.1.210---
apiVersion: v1
kind: Namespace
metadata:
name: unbound
---
apiVersion: apps/v1
kind: Deployment
metadata:
labels:
app: unbound
name: unbound
namespace: unbound
spec:
replicas: 2
selector:
matchLabels:
app: unbound
template:
metadata:
labels:
app: unbound
spec:
containers:
- image: mvance/unbound
name: unbound
ports:
- name: udp
containerPort: 53
volumeMounts:
- name: unbound-conf
mountPath: /opt/unbound/etc/unbound/unbound.conf
subPath: unbound.conf
volumes:
- name: unbound-conf
configMap:
name: unbound-conf
items:
- key: unbound.conf
path: unbound.conf
mode: 0644
---
apiVersion: v1
kind: Service
metadata:
name: unbound
namespace: unbound
labels:
app: unbound
spec:
ports:
- name: dns
port: 53
protocol: UDP
selector:
app: unbound
type: LoadBalancer
---
apiVersion: v1
kind: ConfigMap
metadata:
name: unbound-conf
namespace: unbound
data:
unbound.conf: |
server:
interface: 0.0.0.0
access-control: 192.168.1.0/24 allow
# pod network
access-control: 10.244.1.0/24 allow
access-control: 10.244.2.0/24 allow
access-control: 10.244.3.0/24 allow
do-not-query-localhost: no
cache-max-ttl: 10
stub-zone:
name: example.jp
stub-addr: 192.168.1.100@53
# example.jp 以外のドメインについてはgoogleに聞く
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4
k8sでもdns回りを構築できました
出来るかなー?ぐらいで調べていったdns on k8sですが、案外すんなり動きました。
意外とkubernetesでnsdとunboundして、manifestファイルまで公開してる人が居なかったため、誰かのお役に立てれば嬉しいですね...