GKE용 Cloud DNS 사용

이 페이지에서는 Cloud DNS를 Google Kubernetes Engine(GKE)용 Kubernetes DNS 공급업체로 사용하는 방법을 설명합니다.

Cloud DNS를 DNS 공급업체로 사용하면 클러스터 외부의 클라이언트가 Kubernetes 서비스를 직접 확인하고 연결할 수 없습니다. 그래도 부하 분산기를 사용하여 서비스를 외부에 노출하고 DNS 인프라에 클러스터 외부 IP 주소를 등록해야 합니다.

kube-dns를 DNS 제공업체로 사용하는 방법에 대한 자세한 내용은 서비스 검색 및 DNS를 참조하세요.

GKE용 Cloud DNS 작동 방식

Cloud DNS를 GKE의 DNS 제공업체로 사용하여, 포드 및 서비스 DNS 변환에 클러스터 호스팅되는 DNS 제공업체가 필요 없는 관리형 DNS를 제공할 수 있습니다. 포드 및 서비스의 DNS 레코드는 클러스터 IP 주소, 헤드리스, 외부 이름 서비스에 대해 Cloud DNS에서 자동으로 프로비저닝됩니다.

Cloud DNS는 전체 Kubernetes DNS 사양을 지원하고 GKE 클러스터 내 서비스에 A, AAAA, SRV, PTR 레코드 확인을 제공합니다. PTR 레코드는 응답 정책 규칙을 통해 구현됩니다.

Cloud DNS를 GKE의 DNS 제공업체로 사용하면 다음과 같이 클러스터 호스팅되는 DNS보다 다양한 이점이 있습니다.

• 클러스터 호스팅 DNS 서버 관리 오버헤드를 제거합니다. Cloud DNS는 확장성이 뛰어난 Google 인프라에서 호스팅되는 완전 관리형 서비스이므로 DNS 인스턴스를 확장, 모니터링 또는 관리할 필요가 없습니다.
• 각 GKE 노드에서 DNS 쿼리의 로컬 변환. NodeLocal DNSCache와 마찬가지로 Cloud DNS는 DNS 응답을 로컬로 캐시하므로 지연 시간이 짧고 확장성이 높은 DNS 변환을 제공합니다.

아키텍처

Cloud DNS가 GKE의 DNS 제공업체일 때 컨트롤러는 GKE 관리형 포드로 실행됩니다. 이 포드는 클러스터의 제어 영역 노드에서 실행되며 클러스터 DNS 레코드를 관리형 비공개 DNS 영역에 동기화합니다.

다음 다이어그램은 Cloud DNS 제어 영역과 데이터 영역이 클러스터 이름을 변환하는 방법을 보여줍니다.

다이어그램에서 서비스 backend는 실행 중인 backend 포드를 선택합니다. clouddns-controller는 서비스 backend의 DNS 레코드를 만듭니다.

포드 frontend는 backend라는 서비스의 IP 주소를 변환하기 위한 DNS 요청을 169.254.169.254의 Compute Engine 로컬 메타데이터 서버로 전송합니다. 메타데이터 서버는 노드에서 로컬로 실행되어 캐시 부적중을 Cloud DNS로 전송합니다.

Cloud DNS 데이터 영역은 각 GKE 노드 또는 Compute Engine 가상 머신(VM) 인스턴스 내에서 로컬로 실행됩니다. Kubernetes 서비스 유형에 따라 Cloud DNS는 서비스 이름을 클러스터 IP 서비스의 경우 가상 IP 주소로, 헤드리스 서비스의 경우 엔드포인트 IP 주소 목록으로 변환합니다.

포드 frontend가 IP 주소를 변환하면 포드는 서비스 backend 및 서비스 뒤에 있는 포드로 트래픽을 전송할 수 있습니다.

DNS 범위

GKE 클러스터 범위에서 DNS 레코드는 클러스터 내에서만 확인할 수 있으며 kube-dns와 동일하게 동작합니다. GKE 클러스터에서 실행되는 노드만 서비스 이름을 확인할 수 있습니다. 기본적으로 클러스터에는 *.cluster.local로 끝나는 DNS 이름이 있습니다. 이러한 DNS 이름은 클러스터 내에서만 표시되며 같은 프로젝트에 있는 다른 GKE 클러스터의 *.cluster.local DNS 이름과 겹치거나 충돌하지 않습니다.

Cloud DNS 리소스

Cloud DNS를 GKE 클러스터의 DNS 제공업체로 사용하면 Cloud DNS 컨트롤러가 프로젝트의 Cloud DNS에 리소스를 만듭니다. GKE가 만드는 리소스는 Cloud DNS 범위에 따라 다릅니다.

범위	정방향 조회 영역	역방향 조회 영역
클러스터 범위	(리전의) Compute Engine 영역별 클러스터당 비공개 영역 1개	(리전의) Compute Engine 영역별 클러스터당 응답 정책 영역 1개

이러한 Cloud DNS 리소스에 사용되는 이름 지정 규칙은 다음과 같습니다.

범위	정방향 조회 영역	역방향 조회 영역
클러스터 범위	gke-CLUSTER_NAME-CLUSTER_HASH-dns	gke-CLUSTER_NAME-CLUSTER_HASH-rp

이전 표에 나온 영역 외에도 Cloud DNS 컨트롤러가 구성에 따라 프로젝트에 다음 영역을 만듭니다.

커스텀 DNS 구성	영역 유형	영역 이름 지정 규칙
스텁 도메인	전달(전역 영역)	gke-CLUSTER_NAME-CLUSTER_HASH-DOMAIN_NAME_HASH
커스텀 업스트림 네임서버	전달(전역 영역)	gke-CLUSTER_NAME-CLUSTER_HASH-upstream

관리형 영역 및 전달 영역

내부 DNS 트래픽을 서빙하기 위해 Cloud DNS 컨트롤러는 클러스터가 속한 리전의 각 Compute Engine 영역에 관리형 DNS 영역을 만듭니다.

Cloud DNS 컨트롤러는 DNS stubDomain마다 전달 영역을 하나씩 만듭니다.

Cloud DNS는 . DNS 이름을 사용하는 관리형 영역 한 개를 사용하여 각 DNS 업스트림을 처리합니다.

요구사항

프로젝트에 Cloud DNS API가 사용 설정되어 있어야 함

GKE용 Cloud DNS의 클러스터 범위 요구사항은 다음과 같습니다.

• Autopilot의 경우 GKE 버전 1.25.9-gke.400, 1.26.4-gke.500 이상
• Google Cloud CLI 버전 411.0.0 이상

제한 및 한도

다음과 같은 제한사항이 적용됩니다.

• Cloud DNS는 영향 수준 4(IL4) 규정 준수 체계를 준수하지 않습니다. IL4 규정 준수 체계가 있는 Assured Workload에서는 GKE용 Cloud DNS를 사용할 수 없습니다. 이렇게 규제된 환경에서 kube-dns를 사용해야 합니다. GKE Autopilot 클러스터의 경우 규정 준수 체계에 따라 kube-dns 또는 Cloud DNS가 자동으로 선택됩니다.
• 관리형 비공개 DNS 영역에 대한 수동 변경은 지원되지 않으며 Cloud DNS 컨트롤러에서 덮어씁니다. 이러한 영역의 DNS 레코드 수정사항은 컨트롤러가 다시 시작될 때 유지되지 않습니다.

• --cluster-dns-scope 플래그로 범위를 설정하면 클러스터에서 DNS 범위를 변경할 수 없습니다. DNS 범위를 변경해야 하는 경우 다른 DNS 범위로 클러스터를 다시 만듭니다.

• 포드 수가 허용된 할당량을 초과하는 헤드리스 서비스를 만들려고 하면 Cloud DNS에서 서비스의 레코드 세트 또는 레코드를 만들지 않습니다.

할당량

Cloud DNS는 할당량을 사용해서 GKE가 DNS 항목에 대해 만들 수 있는 리소스 수를 제한합니다. Cloud DNS의 할당량 및 한도는 프로젝트의 kube-dns 제한사항과 다를 수 있습니다.

GKE용 Cloud DNS를 사용할 때는 프로젝트의 각 관리형 영역에 다음 기본 할당량이 적용됩니다.

Kubernetes DNS 리소스	해당 Cloud DNS 리소스	할당량
DNS 레코드 수	관리형 영역당 최대 바이트	2,000,000개(관리형 영역의 최대 50MB)
헤드리스 서비스당 포드 수(IPv4/IPv6)	리소스 레코드 세트당 레코드 수	GKE 1.24~1.25: 1,000(IPv4/IPv6) GKE 1.26 이상: 3,500/2,000(IPv4/IPv6)
프로젝트당 GKE 클러스터 수	프로젝트당 응답 정책 수	100
클러스터당 PTR 레코드 수	응답 정책당 규칙 수	100,000

리소스 한도

클러스터별로 만드는 Kubernetes 리소스는 다음 표에 설명된 대로 Cloud DNS 리소스 한도에 반영됩니다.

한도	한도에 반영
관리형 영역당 리소스 레코드 세트	서비스 수 및 클러스터당 유효한 호스트 이름이 있는 헤드리스 서비스 엔드포인트 수
리소스 레코드 세트당 레코드	헤드리스 서비스당 엔드포인트 수. 다른 서비스 유형에는 영향을 미치지 않습니다.
응답 정책당 규칙 수	클러스터 범위의 경우 서비스 수와 클러스터당 유효한 호스트 이름이 있는 헤드리스 서비스 엔드포인트 수의 합

Kubernetes에서 DNS 레코드가 생성되는 방법에 대한 자세한 내용은 Kubernetes DNS 기반 서비스 검색을 참조하세요.

시작하기 전에

시작하기 전에 다음 태스크를 수행했는지 확인합니다.

• Google Kubernetes Engine API를 사용 설정합니다.
Google Kubernetes Engine API 사용 설정
• 이 태스크에 Google Cloud CLI를 사용하려면 gcloud CLI를 설치한 후 초기화합니다. 이전에 gcloud CLI를 설치한 경우 gcloud components update를 실행하여 최신 버전을 가져옵니다.

• 프로젝트에서 Cloud DNS API를 사용 설정합니다.

  Cloud DNS API 사용 설정

클러스터 범위 DNS 사용 설정

클러스터 범위 DNS에서는 GKE 클러스터에서 실행 중인 노드만 서비스 이름을 확인할 수 있으며 서비스 이름은 클러스터 간에 충돌하지 않습니다. 이 동작은 GKE 클러스터의 kube-dns와 동일합니다. 즉, 애플리케이션이 다운타임 또는 변경되지 않고 클러스터를 kube-dns에서 Cloud DNS 클러스터 범위로 마이그레이션할 수 있습니다.

다음 다이어그램에서는 Cloud DNS가 GKE 클러스터의 비공개 DNS 영역을 만드는 방법을 보여줍니다. DNS 범위에는 노드만 있으므로 클러스터의 노드에서 실행 중인 프로세스와 포드만 클러스터의 DNS 레코드를 확인할 수 있습니다.

새 클러스터에서 클러스터 범위 DNS 사용 설정

GKE Autopilot 클러스터

버전 1.25.9-gke.400, 1.26.4-gke.500 이상의 새 Autopilot 클러스터는 기본적으로 Cloud DNS 클러스터 범위로 설정됩니다.

기존 클러스터에서 클러스터 범위 DNS 사용 설정

GKE Autopilot 클러스터

기존 GKE Autopilot 클러스터를 kube-dns에서 Cloud DNS 클러스터 범위로 마이그레이션할 수 없습니다. Cloud DNS 클러스터 범위를 사용 설정하려면 버전 1.25.9-gke.400, 1.26.4-gke.500 이상에서 Autopilot 클러스터를 다시 만드세요.

Cloud DNS 확인

GKE용 Cloud DNS가 클러스터에 대해 올바르게 작동하는지 확인하세요.

1. 노드에서 포드에 연결하고 cat /etc/resolv.conf 명령어를 실행하여 노드가 Cloud DNS를 사용하고 있는지 확인합니다.

   kubectl exec -it POD_NAME -- cat /etc/resolv.conf | grep nameserver
   

   POD_NAME을 포드의 이름으로 바꿉니다.

   클러스터 모드에 따라 출력은 다음과 비슷합니다.

   GKE Autopilot 클러스터

   nameserver 169.254.20.10
   

   NodeLocal DNSCache는 GKE Autopilot에 기본적으로 사용 설정되므로 포드에 NodeLocal DNSCache가 사용됩니다.

   로컬 캐시에 조회 중인 이름에 대한 항목이 없는 경우에만 NodeLocal DNSCache가 요청을 Cloud DNS로 전달합니다.

2. 클러스터에 샘플 애플리케이션을 배포합니다.

   kubectl run dns-test --image us-docker.pkg.dev/google-samples/containers/gke/hello-app:2.0
   

3. 샘플 애플리케이션을 서비스와 함께 노출합니다.

   kubectl expose pod dns-test --name dns-test-svc --port 8080
   

4. 서비스가 성공적으로 배포되었는지 확인합니다.

   kubectl get svc dns-test-svc
   

   출력은 다음과 비슷합니다.

   NAME           TYPE        CLUSTER-IP      EXTERNAL-IP   PORT(S)    AGE
   dns-test-svc   ClusterIP   10.47.255.11    <none>        8080/TCP   6m10s
   

   CLUSTER-IP 값은 클러스터의 가상 IP 주소입니다. 이 예시에서 가상 IP 주소는 10.47.255.11입니다.

5. 서비스 이름이 클러스터의 비공개 DNS 영역에 레코드로 생성되었는지 확인합니다.

   gcloud dns record-sets list \
       --zone=PRIVATE_DNS_ZONE \
       --name=dns-test-svc.default.svc.cluster.local.
   

   PRIVATE_DNS_ZONE을 관리형 DNS 영역의 이름으로 바꿉니다.

   출력은 다음과 비슷합니다.

   NAME: dns-test-svc.default.svc.cluster.local.
   TYPE: A
   TTL: 30
   DATA: 10.47.255.11
   

GKE용 Cloud DNS 사용 중지

GKE Autopilot 클러스터

기본적으로 Cloud DNS를 사용하여 생성된 GKE Autopilot 클러스터에서는 Cloud DNS를 사용 중지할 수 없습니다. 기본적으로 Cloud DNS를 사용하는 GKE Autopilot 클러스터에 대한 자세한 내용은 요구사항을 참조하세요.

삭제

이 페이지의 연습을 완료한 후에는 다음 단계에 따라 자신의 계정에 원치 않는 비용이 발생하지 않도록 리소스를 삭제합니다.

1. 서비스를 삭제합니다.

   kubectl delete service dns-test-svc
   

2. 포드를 삭제합니다.

   kubectl delete Pod dns-test
   

3. 또한 클러스터를 삭제할 수도 있습니다.

공유 VPC에서 Cloud DNS 사용

GKE 컨트롤러는 GKE 클러스터와 동일한 프로젝트에 관리형 비공개 영역을 만듭니다.

관리형 영역과 GKE 클러스터가 동일한 프로젝트에 있으므로 GKE 클러스터의 GKE 서비스 계정에는 자체 프로젝트 외부의 DNS에 Identity and Access Management(IAM)가 필요하지 않습니다.

서비스 프로젝트당 두 개 이상의 클러스터

GKE 버전 1.22.3-gke.700, 1.21.6-gke.1500부터는 동일한 호스트 프로젝트에서 VPC를 참조하는 여러 서비스 프로젝트에 클러스터를 만들 수 있습니다.

Google Cloud Console을 사용하여 응답 정책을 마이그레이션할 수 있습니다.

서비스 프로젝트에서 다음 단계를 수행합니다.

1. Cloud DNS 영역 페이지로 이동합니다.

   Cloud DNS 영역으로 이동

2. 응답 정책 영역 탭을 클릭합니다.

3. VPC 네트워크의 응답 정책을 클릭합니다. 응답 정책은 'NETWORK_NAME 네트워크의 GKE 클러스터에 대한 응답 정책'과 비슷한 설명으로 식별할 수 있습니다.

4. 다음에서 사용 중 탭을 클릭합니다.

5. 호스트 프로젝트 이름 옆에 있는 delete를 클릭하여 네트워크 바인딩을 삭제합니다.

6. 응답 정책 규칙 탭을 클릭합니다.

7. 테이블의 모든 항목을 선택합니다.

8. 응답 정책 규칙 삭제를 클릭합니다.

9. delete 응답 정책 삭제를 클릭합니다.

응답 정책을 삭제하면 DNS 컨트롤러가 호스트 프로젝트에 자동으로 응답 정책을 만듭니다. 다른 서비스 프로젝트의 클러스터가 이 응답 정책을 공유합니다.

알려진 문제

Terraform에서는 dns_config 변경으로 인해 Autopilot 클러스터를 다시 만들 계획입니다.

terraform-provider-google 또는 terraform-provider-google-beta를 사용할 경우 Terraform에서 Autopilot 클러스터를 다시 만들려고 하는 문제가 발생할 수 있습니다. 이 오류는 버전 1.25.9-gke.400, 1.26.4-gke.500, 1.27.1-gke.400 이상을 실행하는 새로 생성된 Autopilot 클러스터가 kube-dns 대신 DNS 제공업체로 Cloud DNS를 사용하기 때문에 발생합니다.

이 오류는 Google Cloud의 Terraform 제공업체 버전 4.80.0에서 해결되었습니다.

terraform-provider-google 또는 terraform-provider-google-beta 버전을 업데이트할 수 없는 경우 리소스에 lifecycle.ignore_changes를 추가하여 google_container_cluster가 dns_config에 대한 변경사항을 무시하도록 할 수 있습니다.

  lifecycle {
    ignore_changes = [
      dns_config,
    ]
  }

문제 해결

DNS 로깅 사용 설정 방법은 비공개 관리 영역의 로깅 사용 설정 및 사용 중지를 참조하세요.

DNS 문제 해결에 대한 자세한 내용은 GKE에서 DNS 문제 해결을 참조하세요.

기존 클러스터에서 Cloud DNS를 사용 설정한 후에도 포드가 kube-dns를 사용함

클러스터에서 Cloud DNS를 사용 설정한 후 노드 풀을 업그레이드하거나 다시 만들었는지 확인합니다. 이 단계가 완료될 때까지 포드는 kube-dns를 계속 사용합니다.

클러스터에서 Cloud DNS를 사용 설정한 후 노드에서 DNS 조회 실패

커스텀 스텁 도메인 또는 업스트림 네임서버가 있는 GKE 클러스터에서 클러스터 범위 Cloud DNS를 사용 설정하면 Cloud DNS가 포드와 노드 DNS 요청을 구분하지 못하므로 클러스터의 노드 및 포드에 둘 다 커스텀 구성이 적용됩니다. 커스텀 업스트림 서버가 쿼리를 변환할 수 없는 경우 노드에서 DNS 조회가 실패할 수 있습니다.

다음 단계

• GKE가 관리형 DNS를 제공하는 방법에 대한 개요 읽기
• 서비스 및 포드의 DNS를 참조하여 Kubernetes 클러스터에서 DNS가 사용되는 방식에 대한 일반적인 개요 알아보기
• Cloud DNS의 범위 및 계층 구조 알아보기
• 비공개 관리 영역의 로깅 사용 설정 및 사용 중지 알아보기