DNS [operator.openshift.io/v1]

cache

对象

cache 描述了应用于 Corefile 中列出的所有服务器块的缓存配置。此字段允许集群管理员可选地配置：* positiveTTL，这是应缓存肯定响应的持续时间。* negativeTTL，这是应缓存否定响应的持续时间。如果未配置此项，OpenShift 将使用默认值配置肯定和否定缓存，该默认值可能会更改。在撰写本文时，默认 positiveTTL 为 900 秒，默认 negativeTTL 为 30 秒，或者如您 OpenShift 版本的相应 Corefile 中所述。

logLevel

字符串

logLevel 描述了 CoreDNS 期望的日志记录详细程度。可以指定以下任何值：* Normal 记录来自上游解析器的错误。* Debug 记录错误、NXDOMAIN 响应和 NODATA 响应。* Trace 记录错误和所有响应。将 logLevel 设置为 Trace 将生成极其冗长的日志。有效值为：“Normal”、“Debug”、“Trace”。默认为“Normal”。

managementState

字符串

managementState 指示 DNS 运算符是否应管理集群 DNS。

nodePlacement

对象

nodePlacement 提供对 DNS pod 调度的显式控制。通常，在每个节点上运行一个 DNS pod 很有用，这样 DNS 查询始终由本地 DNS pod 处理，而不是通过网络转到另一个节点上的 DNS pod。但是，安全策略可能要求将 DNS pod 的放置限制在特定节点上。例如，如果安全策略禁止任意节点上的 pod 与 API 通信，则可以指定节点选择器以将 DNS pod 限制在允许与 API 通信的节点上。相反，如果希望在具有特定污点的节点上运行 DNS pod，则可以为该污点指定容忍度。如果未设置，则使用默认值。有关更多详细信息，请参见 nodePlacement。

operatorLogLevel

字符串

operatorLogLevel 控制 DNS 运算符的日志记录级别。有效值为：“Normal”、“Debug”、“Trace”。默认为“Normal”。将 operatorLogLevel 设置为 Trace 将生成极其冗长的日志。

servers

数组

servers 是 DNS 解析器的列表，这些解析器为集群域范围之外的一个或多个子域提供名称查询委托。如果 servers 包含多个 Server，则将使用最长后缀匹配来确定 Server。例如，如果有两个 Server，一个用于“foo.com”，另一个用于“a.foo.com”，并且名称查询是针对“www.a.foo.com”，它将被路由到 Zone 为“a.foo.com”的 Server。如果此字段为空，则不会创建任何服务器。

servers[]

对象

Server 定义了每个 CoreDNS 实例运行的服务器的模式。

upstreamResolvers

对象

upstreamResolvers 定义了一个模式，用于配置 CoreDNS 将 DNS 消息代理到上游解析器，以应对默认（“.”）服务器的情况。如果未指定此字段，则使用的上游将默认为 /etc/resolv.conf，策略为“sequential”。

negativeTTL

字符串

negativeTTL 是可选的，它指定应缓存否定响应的时间量。如果已配置，它必须是 1s（1 秒）或更大的值，理论最大值可达数年。此字段需要一个无符号持续时间字符串，由十进制数字组成，每个数字都有可选的小数部分和单位后缀，例如“100s”、“1m30s”、“12h30m10s”。小于一秒的值将向下舍入到最接近的秒。如果配置的值小于 1s，则将使用默认值。如果未配置，则该值为 0s，OpenShift 将使用 30 秒的默认值，除非您 OpenShift 版本的相应 Corefile 中另有说明。30 秒的默认值可能会更改。

positiveTTL

字符串

positiveTTL 是可选的，它指定应缓存肯定响应的时间量。如果已配置，它必须是 1s（1 秒）或更大的值，理论最大值可达数年。此字段需要一个无符号持续时间字符串，由十进制数字组成，每个数字都有可选的小数部分和单位后缀，例如“100s”、“1m30s”、“12h30m10s”。小于一秒的值将向下舍入到最接近的秒。如果配置的值小于 1s，则将使用默认值。如果未配置，则该值为 0s，OpenShift 将使用 900 秒的默认值，除非您 OpenShift 版本的相应 Corefile 中另有说明。900 秒的默认值可能会更改。

nodeSelector

对象（字符串）

nodeSelector 是应用于 DNS pod 的节点选择器。如果为空，则使用默认值，当前为：kubernetes.io/os: linux 此默认值可能会更改。如果已设置，则使用指定的选择器并替换默认值。

tolerations

数组

tolerations 是应用于 DNS pod 的容忍度列表。如果为空，DNS 运算符将为“node-role.kubernetes.io/master”污点设置容忍度。此默认值可能会更改。在不包含对“node-role.kubernetes.io/master”污点的容忍度的前提下指定容忍度可能存在风险，因为如果所有工作节点都不可用，这可能会导致中断。请注意，守护程序控制器也会添加一些容忍度。请参见 https://kubernetes.ac.cn/docs/concepts/scheduling-eviction/taint-and-toleration/

tolerations[]

对象

此容忍度附加到的 pod 容忍任何与三元组<key,value,effect>匹配的污点，使用匹配运算符<operator>。

effect

字符串

Effect 指示要匹配的污点效果。空表示匹配所有污点效果。如果已指定，则允许的值为 NoSchedule、PreferNoSchedule 和 NoExecute。

key

字符串

Key 是容忍度适用的污点键。空表示匹配所有污点键。如果键为空，则运算符必须为 Exists；此组合表示匹配所有值和所有键。

operator

字符串

Operator 表示键与值的关系。有效运算符为 Exists 和 Equal。默认为 Equal。Exists 等效于值的通配符，因此 pod 可以容忍特定类别的所有污点。

tolerationSeconds

整数

TolerationSeconds 表示容忍度（必须为 NoExecute 效果，否则忽略此字段）容忍污点的持续时间。默认情况下，它未设置，这意味着永远容忍污点（不驱逐）。系统将把零和负值视为 0（立即驱逐）。

value

字符串

Value 是容忍度匹配的污点值。如果运算符为 Exists，则值应为空，否则只是一个常规字符串。

forwardPlugin

对象

forwardPlugin 定义了一个模式，用于配置 CoreDNS 将 DNS 消息代理到上游解析器。

name

字符串

name 是必需的，它指定服务器的唯一名称。Name 必须符合 rfc6335 的服务名称语法。

区域 (zones)

数组 (字符串) (array (string))

zones 字段是必需的，用于指定服务器具有权威性的子域名。区域必须符合 RFC1123 对子域名的定义。指定集群域名（例如，“cluster.local”）是无效的。

策略 (policy)

字符串

policy 用于确定选择上游服务器进行查询的顺序。可以指定以下任何一个值：* "Random" 为每个查询随机选择一个上游服务器。* "RoundRobin" 以轮询方式选择上游服务器，每次新查询都移到下一个服务器。* "Sequential" 按顺序尝试查询上游服务器，直到有一个服务器响应，每次新查询都从第一个服务器开始。默认值为 "Random"。

协议策略 (protocolStrategy)

字符串

protocolStrategy 指定用于上游 DNS 请求的协议。protocolStrategy 的有效值为 "TCP" 和省略。省略表示没有明确指定，平台将自行选择合理的默认值，该默认值可能会随着时间推移而更改。当前默认值是使用原始客户端请求的协议。"TCP" 指定平台应为所有上游 DNS 请求使用 TCP，即使客户端请求使用 UDP 也是如此。"TCP" 对于 UDP 特定的问题（例如由不符合标准的上游解析器创建的问题）非常有用，但可能会消耗更多带宽或增加 DNS 响应时间。请注意，protocolStrategy 仅影响 CoreDNS 向上游解析器发出 DNS 请求的协议。它不影响客户端和 CoreDNS 之间 DNS 请求的协议。

传输配置 (transportConfig)

对象

transportConfig 用于配置传输类型、服务器名称以及转发 DNS 请求到上游解析器时使用的可选自定义 CA 或 CA 捆绑包。默认值为 ""（空），这会导致在将 DNS 请求转发到上游解析器时使用标准明文连接。

上游服务器 (upstreams)

数组 (字符串) (array (string))

upstreams 是一个解析器列表，用于转发 Zones 子域的名称查询。每个 CoreDNS 实例都会执行上游服务器的健康检查。当健康的服务器在上游交换过程中返回错误时，将尝试 Upstreams 中的另一个解析器。根据 Policy 中指定的顺序选择 Upstreams。每个上游服务器由一个 IP 地址表示，如果上游服务器监听的端口不是 53，则表示为 IP:port。每个 ForwardPlugin 最多允许 15 个上游服务器。

TLS 配置 (tls)

对象

当 Transport 设置为 "TLS" 时，tls 包含要使用的其他配置选项。

传输方式 (transport)

字符串

transport 允许集群管理员选择在集群 DNS 和上游解析器之间使用 DNS-over-TLS 连接。在此级别将 TLS 配置为传输方式而没有配置 CABundle 将导致使用系统证书来验证上游解析器的服务证书。可能的值：""（空）- 这表示没有做出明确的选择，平台选择默认值，该默认值可能会随着时间推移而更改。当前默认值为 "Cleartext"。"Cleartext" - 集群管理员指定的明文选项。这与空值具有相同的功能，但在集群管理员想要更明确地指定传输方式，或想要明确地从 "TLS" 切换到 "Cleartext" 时可能很有用。"TLS" - 这表示应通过 TLS 连接发送 DNS 查询。如果 Transport 设置为 TLS，则还必须设置 ServerName。如果上游 IP 没有包含端口，则默认情况下将尝试端口 853（根据 RFC 7858 第 3.1 节）；https://datatracker.ietf.org/doc/html/rfc7858#section-3.1.

CA 捆绑包 (caBundle)

对象

caBundle 引用一个 ConfigMap，该 ConfigMap 必须包含单个 CA 证书或 CA 捆绑包。这允许集群管理员提供自己的 CA 或 CA 捆绑包来验证上游解析器的证书。1. ConfigMap 必须包含一个 `ca-bundle.crt` 密钥。2. 值必须是 PEM 编码的 CA 证书或 CA 捆绑包。3. 管理员必须在 openshift-config 命名空间中创建此 ConfigMap。4. 上游服务器证书必须包含与 ServerName 匹配的主题替代名称 (SAN)。

服务器名称 (serverName)

字符串

serverName 是转发 DNS 查询时要连接到的上游服务器。当 Transport 设置为 "TLS" 时，这是必需的。serverName 将根据 RFC 1123 中的 DNS 命名约定进行验证，并且应与安装在上游解析器中的 TLS 证书匹配。

name

字符串

名称是引用的 ConfigMap 的 metadata.name

策略 (policy)

字符串

Policy 用于确定选择上游服务器进行查询的顺序。可以指定以下任何一个值：* "Random" 为每个查询随机选择一个上游服务器。* "RoundRobin" 以轮询方式选择上游服务器，每次新查询都移到下一个服务器。* "Sequential" 按顺序尝试查询上游服务器，直到有一个服务器响应，每次新查询都从第一个服务器开始。默认值为 "Sequential"。

协议策略 (protocolStrategy)

字符串

protocolStrategy 指定用于上游 DNS 请求的协议。protocolStrategy 的有效值为 "TCP" 和省略。省略表示没有明确指定，平台将自行选择合理的默认值，该默认值可能会随着时间推移而更改。当前默认值是使用原始客户端请求的协议。"TCP" 指定平台应为所有上游 DNS 请求使用 TCP，即使客户端请求使用 UDP 也是如此。"TCP" 对于 UDP 特定的问题（例如由不符合标准的上游解析器创建的问题）非常有用，但可能会消耗更多带宽或增加 DNS 响应时间。请注意，protocolStrategy 仅影响 CoreDNS 向上游解析器发出 DNS 请求的协议。它不影响客户端和 CoreDNS 之间 DNS 请求的协议。

传输配置 (transportConfig)

对象

transportConfig 用于配置传输类型、服务器名称以及转发 DNS 请求到上游解析器时使用的可选自定义 CA 或 CA 捆绑包。默认值为 ""（空），这会导致在将 DNS 请求转发到上游解析器时使用标准明文连接。

上游服务器 (upstreams)

数组

Upstreams 是一个解析器列表，用于转发 "." 域的名称查询。每个 CoreDNS 实例都会执行上游服务器的健康检查。当健康的服务器在上游交换过程中返回错误时，将尝试 Upstreams 中的另一个解析器。根据 Policy 中指定的顺序选择 Upstreams。每个 ForwardPlugin 最多允许 15 个上游服务器。如果没有指定 Upstreams，则默认使用 /etc/resolv.conf

upstreams[]

对象

Upstream 可以是 SystemResolvConf 类型或 Network 类型。- 对于 SystemResolvConf 类型的 Upstream，不需要其他字段：上游将配置为使用 /etc/resolv.conf。- 对于 Network 类型的 Upstream，需要定义一个 NetworkResolver 字段，其中包含 IP 地址或 IP:port（如果上游监听的端口不是 53）。

TLS 配置 (tls)

对象

当 Transport 设置为 "TLS" 时，tls 包含要使用的其他配置选项。

传输方式 (transport)

字符串

transport 允许集群管理员选择在集群 DNS 和上游解析器之间使用 DNS-over-TLS 连接。在此级别将 TLS 配置为传输方式而没有配置 CABundle 将导致使用系统证书来验证上游解析器的服务证书。可能的值：""（空）- 这表示没有做出明确的选择，平台选择默认值，该默认值可能会随着时间推移而更改。当前默认值为 "Cleartext"。"Cleartext" - 集群管理员指定的明文选项。这与空值具有相同的功能，但在集群管理员想要更明确地指定传输方式，或想要明确地从 "TLS" 切换到 "Cleartext" 时可能很有用。"TLS" - 这表示应通过 TLS 连接发送 DNS 查询。如果 Transport 设置为 TLS，则还必须设置 ServerName。如果上游 IP 没有包含端口，则默认情况下将尝试端口 853（根据 RFC 7858 第 3.1 节）；https://datatracker.ietf.org/doc/html/rfc7858#section-3.1.

CA 捆绑包 (caBundle)

对象

caBundle 引用一个 ConfigMap，该 ConfigMap 必须包含单个 CA 证书或 CA 捆绑包。这允许集群管理员提供自己的 CA 或 CA 捆绑包来验证上游解析器的证书。1. ConfigMap 必须包含一个 `ca-bundle.crt` 密钥。2. 值必须是 PEM 编码的 CA 证书或 CA 捆绑包。3. 管理员必须在 openshift-config 命名空间中创建此 ConfigMap。4. 上游服务器证书必须包含与 ServerName 匹配的主题替代名称 (SAN)。

服务器名称 (serverName)

字符串

serverName 是转发 DNS 查询时要连接到的上游服务器。当 Transport 设置为 "TLS" 时，这是必需的。serverName 将根据 RFC 1123 中的 DNS 命名约定进行验证，并且应与安装在上游解析器中的 TLS 证书匹配。

name

字符串

名称是引用的 ConfigMap 的 metadata.name

地址 (address)

字符串

当 Type 设置为 Network 时，必须定义 Address。否则将被忽略。它必须是一个有效的 ipv4 或 ipv6 地址。

端口 (port)

整数

当 Type 设置为 Network 时，可以定义 Port。否则将被忽略。Port 必须在 0 到 65535 之间。

类型 (type)

字符串

Type 定义此上游服务器包含 IP/IP:port 解析器还是本地的 /etc/resolv.conf。Type 接受 2 个可能的值：SystemResolvConf 或 Network。* 当使用 SystemResolvConf 时，Upstream 结构不需要定义任何其他字段：将使用 /etc/resolv.conf * 当使用 Network 时，Upstream 结构必须至少包含一个 Address

集群域名 (clusterDomain)

字符串

clusterDomain 是 DNS 服务的本地集群 DNS 域名后缀。这将是一个子域名，如 RFC 1034 第 3.5 节中所定义：https://tools.ietf.org/html/rfc1034#section-3.5 例如：“cluster.local” 更多信息：https://kubernetes.ac.cn/docs/concepts/services-networking/dns-pod-service

集群 IP (clusterIP)

字符串

clusterIP 是提供此 DNS 服务的 Service IP。对于默认 DNS，这将是一个众所周知的 IP，用作使用默认 ClusterFirst DNS 策略的 Pod 的默认 Nameserver。通常，此 IP 可以在 Pod 的 spec.dnsConfig.nameservers 列表中指定，或者在从集群内执行名称解析时显式使用。例如：dig foo.com @<service IP> 更多信息：https://kubernetes.ac.cn/docs/concepts/services-networking/service/#virtual-ips-and-service-proxies

状态 (conditions)

数组

状态提供有关集群中 DNS 状态的信息。以下是受支持的 DNS 状态：* 可用 (Available) - 如果满足以下条件，则为 True：* DNS 控制器 DaemonSet 可用。- 如果任何这些条件不满足，则为 False。

conditions[]

对象

OperatorCondition 只是标准的状态字段。

最后一次状态转换时间 (lastTransitionTime)

字符串

消息 (message)

字符串

原因 (reason)

字符串

status

字符串

类型 (type)

字符串

200 - OK

Status 模式

401 - 未授权

空

200 - OK

DNSList 模式

401 - 未授权

空

dryRun

字符串

如果存在，则表示不应持久化修改。无效或无法识别的 dryRun 指令将导致错误响应，并且不会进一步处理请求。有效值为：- All：将处理所有 dry run 阶段

fieldValidation

字符串

fieldValidation 指示服务器如何处理请求 (POST/PUT/PATCH) 中包含未知或重复字段的对象。有效值为：- Ignore：这将忽略从对象中静默删除的任何未知字段，并将忽略解码器遇到的最后一个重复字段以外的所有重复字段。这是 v1.23 之前的默认行为。- Warn：对于从对象中删除的每个未知字段以及遇到的每个重复字段，这将通过标准警告响应标头发送警告。如果没有任何其他错误，请求仍然会成功，并且只会持久化任何重复字段中的最后一个。这是 v1.23+ 的默认值 - Strict：如果从对象中删除任何未知字段，或者存在任何重复字段，这将使请求失败并返回 BadRequest 错误。服务器返回的错误将包含遇到的所有未知和重复字段。

body

DNS 模式

200 - OK

DNS 模式

201 - 已创建

DNS 模式

202 - 已接受

DNS 模式

401 - 未授权

空

name

字符串

DNS 名称

dryRun

字符串

如果存在，则表示不应持久化修改。无效或无法识别的 dryRun 指令将导致错误响应，并且不会进一步处理请求。有效值为：- All：将处理所有 dry run 阶段

200 - OK

Status 模式

202 - 已接受

Status 模式

401 - 未授权

空

200 - OK

DNS 模式

401 - 未授权

空

dryRun

字符串

如果存在，则表示不应持久化修改。无效或无法识别的 dryRun 指令将导致错误响应，并且不会进一步处理请求。有效值为：- All：将处理所有 dry run 阶段

fieldValidation

字符串

fieldValidation 指示服务器如何处理请求 (POST/PUT/PATCH) 中包含未知或重复字段的对象。有效值为：- Ignore：这将忽略从对象中静默删除的任何未知字段，并将忽略解码器遇到的最后一个重复字段以外的所有重复字段。这是 v1.23 之前的默认行为。- Warn：对于从对象中删除的每个未知字段以及遇到的每个重复字段，这将通过标准警告响应标头发送警告。如果没有任何其他错误，请求仍然会成功，并且只会持久化任何重复字段中的最后一个。这是 v1.23+ 的默认值 - Strict：如果从对象中删除任何未知字段，或者存在任何重复字段，这将使请求失败并返回 BadRequest 错误。服务器返回的错误将包含遇到的所有未知和重复字段。

200 - OK

DNS 模式

401 - 未授权

空

dryRun

字符串

如果存在，则表示不应持久化修改。无效或无法识别的 dryRun 指令将导致错误响应，并且不会进一步处理请求。有效值为：- All：将处理所有 dry run 阶段

fieldValidation

字符串

fieldValidation 指示服务器如何处理请求 (POST/PUT/PATCH) 中包含未知或重复字段的对象。有效值为：- Ignore：这将忽略从对象中静默删除的任何未知字段，并将忽略解码器遇到的最后一个重复字段以外的所有重复字段。这是 v1.23 之前的默认行为。- Warn：对于从对象中删除的每个未知字段以及遇到的每个重复字段，这将通过标准警告响应标头发送警告。如果没有任何其他错误，请求仍然会成功，并且只会持久化任何重复字段中的最后一个。这是 v1.23+ 的默认值 - Strict：如果从对象中删除任何未知字段，或者存在任何重复字段，这将使请求失败并返回 BadRequest 错误。服务器返回的错误将包含遇到的所有未知和重复字段。

body

DNS 模式

200 - OK

DNS 模式

201 - 已创建

DNS 模式

401 - 未授权

空

name

字符串

DNS 名称

200 - OK

DNS 模式

401 - 未授权

空

dryRun

字符串

如果存在，则表示不应持久化修改。无效或无法识别的 dryRun 指令将导致错误响应，并且不会进一步处理请求。有效值为：- All：将处理所有 dry run 阶段

fieldValidation

字符串

fieldValidation 指示服务器如何处理请求 (POST/PUT/PATCH) 中包含未知或重复字段的对象。有效值为：- Ignore：这将忽略从对象中静默删除的任何未知字段，并将忽略解码器遇到的最后一个重复字段以外的所有重复字段。这是 v1.23 之前的默认行为。- Warn：对于从对象中删除的每个未知字段以及遇到的每个重复字段，这将通过标准警告响应标头发送警告。如果没有任何其他错误，请求仍然会成功，并且只会持久化任何重复字段中的最后一个。这是 v1.23+ 的默认值 - Strict：如果从对象中删除任何未知字段，或者存在任何重复字段，这将使请求失败并返回 BadRequest 错误。服务器返回的错误将包含遇到的所有未知和重复字段。

200 - OK

DNS 模式

401 - 未授权

空

dryRun

字符串

如果存在，则表示不应持久化修改。无效或无法识别的 dryRun 指令将导致错误响应，并且不会进一步处理请求。有效值为：- All：将处理所有 dry run 阶段

fieldValidation

字符串

fieldValidation 指示服务器如何处理请求 (POST/PUT/PATCH) 中包含未知或重复字段的对象。有效值为：- Ignore：这将忽略从对象中静默删除的任何未知字段，并将忽略解码器遇到的最后一个重复字段以外的所有重复字段。这是 v1.23 之前的默认行为。- Warn：对于从对象中删除的每个未知字段以及遇到的每个重复字段，这将通过标准警告响应标头发送警告。如果没有任何其他错误，请求仍然会成功，并且只会持久化任何重复字段中的最后一个。这是 v1.23+ 的默认值 - Strict：如果从对象中删除任何未知字段，或者存在任何重复字段，这将使请求失败并返回 BadRequest 错误。服务器返回的错误将包含遇到的所有未知和重复字段。

body

DNS 模式

200 - OK

DNS 模式

201 - 已创建

DNS 模式

401 - 未授权

空