headless svc的一般用法就是将一个域名映射到一个pod,但是前提是这个域名解析没有问题,
由于更新k8s控制面的时候,可能会更换密钥,重启k8s api , kubelet,etcd, 可能coredns也受到了影响,
进而出现解析鉴权失败的问题。
在普通的k8s的方案中,如果不部署localdns,这种问题应该是很难规避的,主要原因是 如果coredns pod出于非running状态,
那么kube-dns cluster ip的后端就存在这个ip,我们现在用的是ipvs,但是并没有什么健康检查机制,那么roundrobin机制就会调度该有问题的后端。
所以ovn的lb最好必须用上ovn的健康检测机制。
但在kube-ovn的方案中,这个应该可以规避,只要有类似localdns的方案。
- 只要vpc dns中的coredns 缓存了这些dns记录,即使发生控制节点替换,证书轮换,由于直接基于swtich lb访问的是vpc内的coredns,只要vpc内的coredns(即使证书失效)不清理这些记录,那么就可以正常解析这些已有的dns记录。
网友评论