Menggunakan Cloud DNS untuk GKE

Dokumen ini menjelaskan cara menyiapkan dan menggunakan Cloud DNS sebagai penyedia DNS untuk cluster Google Kubernetes Engine (GKE) Anda.

Cloud DNS secara otomatis mengelola data DNS untuk Layanan Kubernetes Anda. Secara default, data ini hanya dapat diakses dari dalam cluster Anda (cakupan cluster).

Jika Anda perlu me-resolve Service headless dari luar cluster, seperti dari VM Compute Engine, Anda harus mengaktifkan cakupan VPC atau cakupan VPC aditif.

Dokumen ini ditujukan untuk pengguna GKE, termasuk Developer, Admin, dan arsitek. Untuk mempelajari lebih lanjut peran umum dan contoh tugas di Google Cloud, lihat Peran dan tugas pengguna GKE Enterprise umum.

Untuk mendapatkan hasil maksimal dari dokumen ini, Anda harus memahami hal-hal berikut:

• Kubernetes Service.
• Layanan Multi-cluster.
• Tentang penemuan layanan.
• Tentang Cloud DNS.

Agar Service ClusterIP atau NodePort dapat dijangkau dari luar cluster, Anda harus mengekspos Service menggunakan LoadBalancer atau metode lain, dan mendaftarkan alamat IP eksternalnya di Cloud DNS.

Untuk mengetahui informasi selengkapnya tentang penggunaan kube-dns sebagai penyedia DNS, lihat Penemuan layanan dan DNS.

Untuk mempelajari cara menggunakan kube-dns versi kustom atau penyedia DNS kustom, lihat Menyiapkan Deployment kube-dns kustom.

Harga

Jika Cloud DNS adalah penyedia DNS untuk cluster GKE Standard, kueri DNS dari Pod yang berada di dalam cluster GKE akan ditagih sesuai dengan harga Cloud DNS.

Kueri ke zona DNS cakupan VPC yang dikelola oleh GKE ditagih menggunakan harga Cloud DNS standar.

Batas dan pembatasan

Batasan berikut berlaku:

• Cakupan VPC tidak didukung pada cluster Autopilot; hanya cakupan cluster yang didukung. Jika Anda perlu me-resolve nama Service headless yang berjalan di cluster GKE Autopilot, Anda harus menggunakan cakupan VPC aditif.
• Anda dapat mengaktifkan cluster GKE Autopilot dengan cakupan VPC aditif hanya saat pembuatan cluster. Mengaktifkan atau menonaktifkan cakupan VPC aditif di cluster Autopilot GKE yang ada tidak didukung.
• Pembuatan cluster cakupan VPC aditif di project layanan jaringan VPC bersama tidak didukung.
• Cloud DNS untuk GKE tidak tersedia untuk Assured Workload dengan rezim kepatuhan IL4. kube-dns dipaksakan di lingkungan yang diatur tersebut.
• Perubahan manual pada zona DNS pribadi terkelola tidak didukung dan akan ditimpa oleh pengontrol Cloud DNS. Modifikasi pada data DNS di zona tersebut tidak akan dipertahankan saat pengontrol dimulai ulang.
• Setelah Anda mengaktifkan Cloud DNS untuk GKE di dalam cluster, kube-dns akan terus berjalan di cluster tersebut. Anda dapat menonaktifkan kube-dns dengan menskalakan Deployment dan autoscaler kube-dns ke nol.
• Anda tidak dapat mengubah cakupan DNS dalam cluster setelah menetapkan cakupan dengan flag --cluster-dns-scope. Jika Anda perlu mengubah cakupan DNS, Anda harus membuat ulang cluster dengan cakupan DNS yang berbeda.
• Batasan resource CloudDNS berlaku. Secara khusus, paling banyak satu zona kebijakan respons dapat diikat ke jaringan VPC dalam satu waktu. Untuk cakupan VPC dan VPC aditif, pembuatan cluster akan gagal jika sudah ada zona kebijakan respons yang tidak mengikuti konvensi penamaan yang terikat ke jaringan VPC cluster.
• Domain stub kustom dan konfigurasi server DNS upstream berlaku untuk konfigurasi DNS Pod dan node. Pod yang menggunakan jaringan host atau proses yang berjalan langsung di host juga menggunakan konfigurasi server nama upstream dan domain stub. Perilaku ini hanya didukung di Standard.
• Domain stub kustom dan server nama upstream yang dikonfigurasi melalui kube-dns Configmap secara otomatis diterapkan ke Cloud DNS untuk DNS cakupan cluster. DNS cakupan VPC mengabaikan ConfigMap kube-dns dan Anda harus menerapkan konfigurasi ini secara langsung di Cloud DNS. Perilaku ini hanya didukung di Standard.
• Migrasi dari kube-dns ke cakupan VPC merupakan operasi yang mengganggu. Buat ulang cluster saat Anda beralih dari kube-dns ke cakupan VPC, atau saat Anda melakukan sebaliknya.
• Untuk cakupan VPC, rentang alamat IP sekunder untuk Layanan tidak boleh dibagikan dengan cluster lain di subnetwork tersebut.
• Untuk cakupan VPC, kebijakan respons yang terkait dengan data PTR dilampirkan ke jaringan VPC. Jika ada kebijakan respons lain yang terikat dengan jaringan cluster, resolusi data PTR untuk alamat IP Layanan Kubernetes akan gagal.
• Jika Anda mencoba membuat Service headless dengan jumlah Pod yang melebihi kuota yang diizinkan, Cloud DNS tidak akan membuat kumpulan atau kumpulan data untuk Service.
• Nama layanan dan port dibatasi hingga 62 karakter, meskipun label DNS memiliki batas maksimum 63 karakter. Perilaku ini terjadi karena GKE menambahkan awalan garis bawah ke data DNS.

Sebelum memulai

Sebelum memulai, pastikan Anda telah melakukan tugas berikut:

• Aktifkan Google Kubernetes Engine API.
Aktifkan Google Kubernetes Engine API
• Jika ingin menggunakan Google Cloud CLI untuk tugas ini, instal lalu lakukan inisialisasi gcloud CLI. Jika sebelumnya Anda telah menginstal gcloud CLI, dapatkan versi terbaru dengan menjalankan perintah gcloud components update. gcloud CLI versi sebelumnya mungkin tidak mendukung menjalankan perintah dalam dokumen ini.

• Aktifkan Cloud DNS API di project Anda:

  Mengaktifkan Cloud DNS API

• Untuk menggunakan Cloud DNS dalam cakupan cluster, Anda memerlukan salah satu versi berikut:

  • Untuk Standard: GKE versi 1.24.7-gke.800 atau 1.25.3-gke.700, atau yang lebih baru.
  • Untuk Autopilot: GKE versi 1.25.9-gke.400 atau 1.26.4-gke.500, atau yang lebih baru.
  • Google Cloud CLI versi 411.0.0 atau yang lebih baru.

• Untuk menggunakan Cloud DNS dalam cakupan VPC aditif, Anda memerlukan salah satu versi berikut:

  • GKE versi 1.28.3-gke.1430000 atau yang lebih baru.
  • Google Cloud CLI versi 503.0.0 atau yang lebih baru.

Mengaktifkan DNS cakupan cluster

Dalam DNS cakupan cluster, hanya node yang berjalan di cluster GKE yang dapat me-resolve nama layanan, dan nama layanan tidak bertentangan antar-cluster. Perilaku ini sama dengan kube-dns di cluster GKE, yang berarti Anda dapat memigrasikan cluster dari kube-dns ke cakupan cluster Cloud DNS tanpa periode nonaktif atau perubahan pada aplikasi Anda.

Diagram berikut menunjukkan cara Cloud DNS membuat zona DNS pribadi untuk cluster GKE. Hanya proses dan Pod yang berjalan di node dalam cluster yang dapat me-resolve data DNS cluster, karena hanya node yang berada dalam cakupan DNS.

Mengaktifkan cakupan cluster di cluster baru

Cluster Autopilot baru pada versi 1.25.9-gke.400, 1.26.4-gke.500, atau yang lebih baru akan ditetapkan secara default ke cakupan cluster Cloud DNS. Bagian berikut menunjukkan cara mengaktifkan cakupan cluster di cluster Standard baru.

Membuat cluster Standard dengan cakupan cluster diaktifkan

Anda dapat membuat cluster GKE Standard dengan cakupan cluster Cloud DNS yang diaktifkan menggunakan gcloud CLI atau konsol: Google Cloud

gcloud container clusters create CLUSTER_NAME \
    --cluster-dns=clouddns \
    --cluster-dns-scope=cluster \
    --location=COMPUTE_LOCATION

Mengaktifkan cakupan cluster di cluster yang ada

Memigrasikan cluster Autopilot yang ada dari kube-dns ke cakupan cluster Cloud DNS tidak didukung. Untuk mengaktifkan cakupan cluster Cloud DNS, buat ulang cluster Autopilot di GKE versi 1.25.9-gke.400, 1.26.4-gke.500, atau yang lebih baru.

Anda dapat memigrasikan cluster Standard yang sudah ada dari kube-dns ke cakupan cluster Cloud DNS menggunakan gcloud CLI atau konsolGoogle Cloud .

Saat memigrasikan cluster yang ada dari kube-dns ke Cloud DNS, Anda harus membuat ulang node agar perubahan diterapkan. Migrasikan cluster yang menjalankan aplikasi tanpa mengganggu komunikasi cluster dengan mengaktifkan Cloud DNS sebagai penyedia DNS di setiap kumpulan node secara terpisah. Sebagian node beroperasi setiap saat karena beberapa kumpulan node menggunakan kube-dns dan beberapa kumpulan node menggunakan Cloud DNS.

Mengaktifkan cakupan VPC aditif

Bagian ini menjelaskan langkah-langkah untuk mengaktifkan atau menonaktifkan cakupan VPC aditif, sebagai add-on untuk cakupan cluster Cloud DNS.

Mengaktifkan cakupan VPC aditif di cluster baru

Anda dapat mengaktifkan DNS cakupan VPC aditif di cluster GKE baru menggunakan gcloud CLI atau konsol Google Cloud .

Membuat cluster Autopilot dengan cakupan VPC aditif

gcloud container clusters create-auto CLUSTER_NAME \
    --additive-vpc-scope-dns-domain=UNIQUE_CLUSTER_DOMAIN

Ganti kode berikut:

• CLUSTER_NAME: nama cluster.
• UNIQUE_CLUSTER_DOMAIN: nama domain. Anda harus memastikan bahwa nama ini unik dalam VPC karena GKE tidak mengonfirmasi nilai ini. Anda tidak dapat mengubah nilai ini setelah Anda menetapkannya. Anda tidak boleh menggunakan domain yang berakhiran .local, atau Anda mungkin mengalami kegagalan resolusi DNS.

Membuat cluster Standard dengan cakupan VPC aditif

gcloud container clusters create CLUSTER_NAME \
    --cluster-dns=clouddns \
    --cluster-dns-scope=cluster \
    --additive-vpc-scope-dns-domain=UNIQUE_CLUSTER_DOMAIN

Flag --cluster-dns-scope=cluster bersifat opsional karena cluster adalah nilai defaultnya.

Ganti kode berikut:

• CLUSTER_NAME: nama cluster.
• UNIQUE_CLUSTER_DOMAIN: nama domain. Anda harus Memastikan bahwa nama ini unik dalam VPC karena GKE tidak mengonfirmasi nilai ini. Anda tidak dapat mengubah nilai ini setelah Anda menetapkannya. Anda tidak boleh menggunakan domain yang berakhiran .local, atau Anda mungkin mengalami kegagalan resolusi DNS.

Mengaktifkan cakupan VPC aditif di cluster Standard yang ada

Mengaktifkan cakupan VPC aditif di cluster Autopilot yang ada tidak didukung.

Untuk mengaktifkan cakupan VPC aditif di cluster Standard yang sudah ada, jalankan perintah berikut:

gcloud container clusters update CLUSTER_NAME \
    --additive-vpc-scope-dns-domain=UNIQUE_CLUSTER_DOMAIN \
    --location=COMPUTE_LOCATION

Ganti kode berikut:

• CLUSTER_NAME: nama cluster.
• UNIQUE_CLUSTER_DOMAIN: nama domain. Anda harus memastikan bahwa nama ini unik dalam VPC karena GKE tidak mengonfirmasi nilai ini. Anda tidak dapat mengubah nilai ini setelah Anda menyetelnya. Anda tidak boleh menggunakan domain yang berakhiran .local, atau Anda mungkin mengalami kegagalan resolusi DNS.
• COMPUTE_LOCATION: lokasi Compute Engine untuk cluster.

Mengaktifkan DNS cakupan VPC

Dalam DNS cakupan VPC, nama DNS cluster dapat diselesaikan dalam seluruh VPC. Setiap klien dalam VPC dapat me-resolve data DNS cluster.

DNS cakupan VPC memungkinkan kasus penggunaan berikut:

• Penemuan Layanan headless untuk klien non-GKE dalam VPC yang sama.
• Resolusi Service GKE dari klien cloud lokal atau pihak ketiga. Untuk mengetahui informasi selengkapnya, lihat Kebijakan server masuk.
• Resolusi layanan saat klien dapat menentukan cluster mana yang akan dikomunikasikan menggunakan domain DNS cluster kustom.

Dalam diagram berikut, dua cluster GKE menggunakan DNS cakupan VPC di VPC yang sama. Kedua cluster memiliki domain DNS kustom, .cluster1 dan .cluster2, bukan domain .cluster.local default. VM berkomunikasi dengan Service backend headless dengan me-resolve backend.default.svc.cluster1. Cloud DNS menyelesaikan Service headless ke setiap alamat IP Pod di Service, dan VM berkomunikasi langsung dengan alamat IP Pod.

Anda juga dapat menjalankan jenis resolusi ini dari jaringan lain saat terhubung ke VPC melalui Cloud Interconnect atau Cloud VPN. Kebijakan server DNS memungkinkan klien dari jaringan yang terhubung ke VPC untuk me-resolve nama di Cloud DNS, yang mencakup Service GKE jika cluster menggunakan DNS cakupan VPC.

Mengaktifkan cakupan VPC di cluster yang ada

Migrasi ke cakupan VPC hanya didukung di Standard, dan tidak didukung di Autopilot.

Anda dapat memigrasikan cluster Standard yang sudah ada dari kube-dns ke cakupan VPC Cloud DNS menggunakan gcloud CLI atau konsol Google Cloud .

Saat Anda bermigrasi ke cakupan VPC, Anda harus membuat ulang node agar perubahan diterapkan.

Memverifikasi Cloud DNS

Pastikan Cloud DNS untuk GKE berfungsi dengan benar untuk cluster Anda:

1. Pastikan node Anda menggunakan Cloud DNS dengan terhubung ke Pod pada sebuah node dan menjalankan perintah cat /etc/resolv.conf:

   kubectl exec -it POD_NAME -- cat /etc/resolv.conf | grep nameserver
   

   Ganti POD_NAME dengan nama Pod.

   Berdasarkan mode cluster, outputnya mirip dengan yang berikut ini:

   Cluster GKE Autopilot

   nameserver 169.254.20.10
   

   Karena NodeLocal DNSCache diaktifkan secara default di GKE Autopilot, Pod menggunakan NodeLocal DNSCache.

   Jika cache lokal tidak memiliki entri untuk nama yang dicari, NodeLocal DNSCache akan meneruskan permintaan ke Cloud DNS.

   Cluster GKE Standar

   nameserver 169.254.169.254
   

   Pod contoh ini menggunakan 169.254.169.254 sebagai nameserver, yang merupakan alamat IP server metadata tempat paket data Cloud DNS memproses permintaan di port 53. Node tidak lagi menggunakan alamat Service kube-dns untuk resolusi DNS, dan semua resolusi DNS terjadi di node lokal.

   Jika output-nya adalah alamat IP yang mirip dengan 10.x.y.10, Pod menggunakan kube-dns. Untuk memahami alasan pod Anda masih menggunakan kube-dns, lihat bagian Pemecahan masalah .

   Jika output-nya 169.254.20.10, Anda telah mengaktifkan NodeLocal DNSCache di cluster, dan Pod menggunakan NodeLocal DNSCache.

2. Deploy aplikasi sampel ke cluster Anda:

   kubectl run dns-test --image us-docker.pkg.dev/google-samples/containers/gke/hello-app:2.0
   

3. Ekspos aplikasi contoh dengan Service:

   kubectl expose pod dns-test --name dns-test-svc --port 8080
   

4. Pastikan bahwa Service berhasil di-deploy:

   kubectl get svc dns-test-svc
   

   Outputnya mirip dengan hal berikut ini:

   NAME           TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)    AGE
   dns-test-svc   ClusterIP   10.47.255.11    <none>        8080/TCP   6m10s
   

   Nilai kolom CLUSTER-IP adalah alamat IP virtual untuk cluster Anda. Dalam contoh ini, alamat IP virtual adalah 10.47.255.11.

5. Pastikan nama Service dibuat sebagai data di zona DNS pribadi untuk cluster Anda:

   gcloud dns record-sets list \
       --zone=PRIVATE_DNS_ZONE \
       --name=dns-test-svc.default.svc.DOMAIN_NAME.
   

   Ganti kode berikut:

   • PRIVATE_DNS_ZONE: nama zona DNS terkelola yang dibuat oleh GKE. Anda dapat menemukan nama zona di halaman Cloud DNS zones di konsol Google Cloud , atau dengan melihat konvensi penamaan.
   • DOMAIN_NAME: cluster.local jika Anda menggunakan Cakupan Cluster tanpa Cakupan VPC Aditif; atau domain kustom yang dikonfigurasi saat Anda mengaktifkan Cakupan VPC atau Cakupan VPC Aditif.

   Outputnya mirip dengan hal berikut ini:

   NAME: dns-test-svc.default.svc.cluster.local.
   TYPE: A
   TTL: 30
   DATA: 10.47.255.11
   

Menonaktifkan Cloud DNS di cluster Standard

Penonaktifan Cloud DNS tidak didukung di cluster Autopilot yang dibuat dengan Cloud DNS diaktifkan secara default.

Menonaktifkan cakupan VPC di Standard tidak didukung. Anda harus membuat ulang cluster dengan kube-dns sebagai penyedia DNS.

Anda dapat menonaktifkan cakupan cluster dan kembali ke kube-dns di cluster Standard menggunakan gcloud CLI atau konsol Google Cloud .

gcloud container clusters update CLUSTER_NAME \
    --cluster-dns=kube-dns \
    --location=COMPUTE_LOCATION

Setelah menonaktifkan Cloud DNS, Anda harus membuat ulang node pool sebelum node dapat menggunakan kube-dns untuk resolusi. Jika sebelumnya Anda menskalakan kube-dns ke nol node, Anda harus menskalakan kube-dns sebelum node dapat menggunakannya untuk resolusi DNS. Jika Anda tidak membuat ulang kumpulan node, Pod di node yang ada akan terus menggunakan Cloud DNS untuk resolusi DNS karena file /etc/resolv.conf-nya tidak diperbarui hingga node dibuat ulang.

Menonaktifkan cakupan VPC aditif

Saat Anda menonaktifkan cakupan VPC aditif untuk cluster, hanya data DNS di zona pribadi yang terhubung ke jaringan VPC yang akan dihapus. Data di zona DNS pribadi untuk cluster GKE akan tetap ada, dan akan dikelola oleh Cloud DNS untuk GKE, hingga Service headless dihapus dari cluster.

Untuk menonaktifkan cakupan VPC aditif, jalankan perintah berikut:

gcloud container clusters update CLUSTER_NAME \
    --disable-additive-vpc-scope

Ganti CLUSTER_NAME dengan nama cluster.

Setelan ini membuat cluster Anda tetap mengaktifkan cakupan cluster Cloud DNS, yang menyediakan resolusi DNS dari dalam cluster.

Pembersihan

Setelah Anda menyelesaikan latihan dalam dokumen ini, ikuti langkah-langkah berikut untuk menghapus resource dan mencegah timbulnya biaya yang tidak diinginkan pada akun Anda:

1. Hapus layanan:

   kubectl delete service dns-test-svc
   

2. Hapus Pod:

   kubectl delete Pod dns-test
   

3. Anda juga dapat menghapus cluster.

Pemecahan masalah

Untuk mengetahui informasi tentang pemecahan masalah Cloud DNS, lihat halaman berikut:

• Untuk mengetahui saran tentang Cloud DNS di GKE, lihat Memecahkan masalah Cloud DNS di GKE.
• Untuk mendapatkan saran khusus tentang Cloud DNS, lihat Memecahkan masalah Cloud DNS.
• Untuk mendapatkan saran umum tentang mendiagnosis masalah DNS Kubernetes, lihat Men-debug Resolusi DNS.

Langkah berikutnya

• Baca ringkasan tentang cara GKE menyediakan DNS terkelola.
• Baca DNS untuk layanan dan Pod untuk mengetahui ringkasan umum tentang cara penggunaan DNS di cluster Kubernetes.
• Pelajari cakupan dan hierarki di Cloud DNS.
• Pelajari cara mengaktifkan dan menonaktifkan logging untuk zona terkelola pribadi.