针对一些特殊业务需要通过pod名称或域名直接访问pod内部服务。本文主要提供一种暴露pod域名到公司内网的方案。

技术方案

1、使用coredns基于etcd的域名解析插件

2、单独部署一套server，该server负责接收agent发来的域名记录请求，并将数据写到etcd。

3、在每个k8s集群上启动一个agent，该agent负责watch集群的所有pod，并请求server外部接口将域名与ip记录到etcd中。

4、coredns读取etcd中的域名记录。

方案验证

验证测试coredns基于etcd的域名解析功能

环境要求：一台安装linux操作系统的机器并已安装docker，10.23.34.16

1、部署etcd，本次通过通过容器部署

docker network create app-tier --driver bridge

docker run -d --name etcd-server --network app-tier --publish  2379:2379 --publish  2380:2380 --env ALLOW_NONE_AUTHENTICATION=yes --env ETCD_ADVERTISE_CLIENT_URLS=http://etcd-server:2379 bitnami/etcd:latest

2、下载coredns二进制：
https://github.com/coredns/coredns/releases/tag/v1.10.1。并将coredns二进制copy到/usr/bin目录下

3、创建coredns配置文件

mkdir /etc/coredns
vi /etc/coredns/dns.conf ##内容如下
skydns.local {
    etcd {
        path /skydns
        endpoint http://localhost:2379
    }
    cache
}
k8sqihoo.net {
    etcd {
        path /k8sqihoo    # 跟第5步在etcd写入的key前缀一致
        endpoint http://localhost:2379
    }
    cache
}

. {
    forward . /etc/resolv.conf
    cache
}

4、启动coredns，执行指令：coredns -conf /etc/coredns/dns.conf &

5、从etcd中写入域名记录

docker exec -it 118d6cadf1b7 /bin/sh   #登录etcd容器
etcdctl put /k8sqihoo/net/k8sqihoo/test-bjyt/yctest/pod1 '{"host":"10.216.138.203","ttl":60}' #写入域名记录，域名为pod1.yctest.test-bjyt.k8sqihoo.net,对应的pod-ip为10.216.138.203，也可以使用podName+公司后缀为名。

6、（本地或者其他虚拟机）修改/etc/resolv.conf，增加如下内容

7、测试验证，如下图可以看到通过域名可以ping通ip

整体方案

如上暴露域名的方式已明确，现主要问题是如何将pod域名和ip写入到etcd中。

1、在dns侧需要一个sever服务，该服务对外提供增加删除更新dns记录的接口，

2、在k8s侧需要一个agent用于watch对集群外暴露域名的pod，将podname，namespace等进行拼接组成域名（根据自身需要进行拼接），并将域名与ip传给server服务，记录到etcd中。删除时进行同样请求操作。

使用总结

1、在部署时dns-node可以考虑使用高可用方案，使用vip即可。

2、考虑到资源浪费，dns-node中的etcd可以跟k8s共用一套。

3、考虑到集群pod增删频率过快，导致的dns-node压力过大，可以针对有需要暴露pod域名需求的业务使用，通过pod anntation识别。

4、为使用方便可作为子集域名服务加到公司dns服务中。