如何升級CoreDNS - Container Service for Kubernetes

如果您在Container ServiceACK控制台的組件管理頁面CoreDNS組件上無法看到升級按鈕，且當前組件版本較低，說明您的叢集無法進行CoreDNS的自動升級。針對無法自動升級CoreDNS的情況，您可以手動升級CoreDNS。本文介紹CoreDNS手動升級的操作步驟。

前提條件

已通過kubectl工具串連叢集。具體操作，請參見擷取叢集KubeConfig並通過kubectl工具串連叢集。

升級前須知

如果您使用了IPVS作為kube-proxy負載平衡模式，在CoreDNS升級完成後，您可能會遇到五分鐘內全叢集範圍內的解析逾時或失敗的情況，通過以下任意方式可以降低IPVS缺陷的影響：
- 修改kube-proxy中IPVS UDP會話保持的逾時時間。具體操作，請參見下方的配置IPVS類型叢集的UDP逾時時間。
- 使用節點DNS緩衝NodeLocal DNSCache。具體操作，請參見使用節點DNS緩衝NodeLocal DNSCache。
升級過程約2分鐘，實際耗時可能和叢集中CoreDNS副本數相關。如果遇到新副本無法調度或啟動的情況，可提交工單諮詢。舊的副本不會被停止，不影響業務解析。

查看當前CoreDNS版本

使用控制台

登入Container Service管理主控台。
在控制台左側導覽列中，單擊叢集。
在叢集列表頁面中，單擊目的地組群名稱或者目的地組群右側操作列下的詳情。
在叢集管理頁面左側導覽列選擇工作負載 > 無狀態。
在無狀態頁面頂部設定命名空間為kube-system，然後查看CoreDNS的版本。

使用kubectl

您可執行以下命令查看當前CoreDNS版本：

kubectl get deployment coredns -n kube-system -o jsonpath="{.spec.template.spec.containers[0].image}"

預期輸出：

registry-vpc.cn-hangzhou.aliyuncs.com/acs/coredns:1.6.2 # 1.6.2為樣本中的版本

確認升級目標版本

在升級前，請您確認目標CoreDNS版本。CoreDNS與叢集版本的相容性如下，建議您使用相容叢集的最新CoreDNS版本。

Kubernetes版本	CoreDNS版本
[1.11, 1.16]	v1.6.2
1.14.8之後版本至1.22之前版本	v1.6.7、v1.7.0
1.20.4之後版本	v1.8.4、v1.9.3 重要 v1.8.4及v1.9.3有多個子版本，例如`v1.8.4.3-644f4735-aliyun`、`v1.9.3.1-5e7ba42d-aliyun`等。詳細資料請參見CoreDNS。

手動升級

使用控制台

（可選）使用forward欄位替換proxy欄位。
CoreDNS v1.6.2版本中廢棄了Proxy外掛程式。從v1.6.2之前的版本升級到v1.6.2及之後的版本時，您需要參照下方步驟，手動更改CoreDNS配置。
更改CoreDNS配置
1. 登入Container Service管理主控台。
2. 在控制台左側導覽列中，單擊叢集。
3. 在叢集列表頁面中，單擊目的地組群名稱或者目的地組群右側操作列下的詳情。
4. 在叢集管理頁面左側導覽列選擇組態管理 > 配置項。
5. 在配置項頁面頂部設定命名空間為kube-system，然後單擊coredns右側操作列下的YAML編輯。
6. 在查看YAML面板，將proxy修改為forward，然後單擊確定。
更新CoreDNS鏡像版本。
1. 登入Container Service管理主控台。
2. 在控制台左側導覽列中，單擊叢集。
3. 在叢集列表頁面中，單擊目的地組群名稱或者目的地組群右側操作列下的詳情。
4. 在叢集管理頁面左側導覽列選擇工作負載 > 無狀態。
5. 在無狀態頁面頂部設定命名空間為kube-system，找到coredns，然後在其右側選擇更多 > 查看Yaml。
6. 在編輯YAML頁面，更新image欄位中的版本。然後單擊更新。

確認升級成功

執行以下命令，查看當前CoreDNS版本。

kubectl get deployment coredns -n kube-system -o jsonpath="{.spec.template.spec.containers[0].image}"

預期輸出：

registry-cn-shanghai-vpc.ack.aliyuncs.com/acs/coredns:v1.9.3.10-5e7ba42d-aliyun

執行以下命令查看叢集內所有CoreDNS Pod是否都處於Running狀態。

kubectl get pods -n kube-system | grep coredns

預期輸出：

coredns-78d4b8****-6g62w                           1/1     Running   0          9d
coredns-78d4b8****-n6wjm                           1/1     Running   0          9d

使用kubectl

（可選）使用forward欄位替換proxy欄位。
CoreDNS v1.6.2版本中廢棄了Proxy外掛程式。從v1.6.2之前的版本升級到v1.6.2及之後的版本時，您需要參照下方步驟，手動更改CoreDNS配置。
更改CoreDNS配置
1. 執行以下命令編輯CoreDNS設定檔，將proxy修改為forward，然後儲存退出。
```
kubectl edit configmap/coredns -n kube-system
```
2. 執行以下命令，查看CoreDNS Pod的日誌，確認CoreDNS是否正常重新載入配置。
```
kubectl logs coredns-78d4b8bd88-n6wjm -n kube-system
```
  預期輸出如下。其中包含plugin/reload，則表明CoreDNS配置重新載入成功。
```
.:53
[INFO] plugin/reload: Running configuration MD5 = 71c5f1ff539d304c630521f315dc2ac2
CoreDNS-1.6.7
linux/amd64, go1.13.6, da7f65b
[INFO] 127.0.0.1:48329 - 42313 "HINFO IN 1108347002237365533.4506541768939609094. udp 57 false 512" NXDOMAIN qr,rd,ra 132 0.008874794s
```
執行以下命令，編輯CoreDNS配置，更新image欄位中的版本，然後儲存退出。
```
kubectl edit deployment/coredns -n kube-system
```

確認升級成功

執行以下命令，查看當前CoreDNS版本。

kubectl get deployment coredns -n kube-system -o jsonpath="{.spec.template.spec.containers[0].image}"

預期輸出：

registry-cn-shanghai-vpc.ack.aliyuncs.com/acs/coredns:v1.9.3.10-5e7ba42d-aliyun

執行以下命令查看叢集內所有CoreDNS Pod是否都處於Running狀態。

kubectl get pods -n kube-system | grep coredns

預期輸出：

coredns-78d4b8****-6g62w                           1/1     Running   0          9d
coredns-78d4b8****-n6wjm                           1/1     Running   0          9d

配置IPVS類型叢集的UDP逾時時間

如果您的ACK叢集使用了kube-proxy IPVS模式，IPVS的會話保持策略會導致整個叢集在升級完成後五分鐘內出現機率性解析失敗的問題。您可以按以下方式降低IPVS UDP類型的會話保持逾時時間至10秒，以減少解析失敗的次數。如果您ACK叢集中包含UDP類型的業務，需要您提前評估該操作是否有影響再執行該操作。如果您無法評估，您可以提交工單諮詢。

說明

如果您的叢集不是IPVS類型，請忽略配置IPVS類型叢集的UDP逾時時間的操作。關於如何查看kube-proxy代理模式，請參見查看叢集資訊。

K8s 1.18及以上版本叢集

控制台操作方式

登入Container Service管理主控台。
在控制台左側導覽列，單擊叢集。
在叢集列表頁面，單擊目的地組群名稱或者目的地組群右側操作列下的詳情。
在叢集管理頁左側導覽列，選擇組態管理 > 配置項。
在頂部選擇kube-system命名空間，然後單擊配置項kube-proxy-worker右側的YAML編輯。

在查看YAML面板中的ipvs欄位下，添加udpTimeout: 10s，然後單擊確定。

apiVersion: v1
data:
  config.conf: |
    apiVersion: kubeproxy.config.k8s.io/v1alpha1
    kind: KubeProxyConfiguration
    # 其它不相關欄位已省略。
    mode: ipvs
    # 如果ipvs鍵不存在，需要添加此鍵。
    ipvs:
      udpTimeout: 10s

重建所有名為kube-proxy-worker的容器。
1. 在叢集管理頁左側導覽列中，選擇工作負載 > 守護進程集。
2. 在守護進程集列表中，找到並單擊kube-proxy-worker。
3. 在kube-proxy-worker頁面中的容器組頁簽下對應容器組右側，選擇更多 > 刪除，然後單擊確定。
  重複操作刪除所有容器組。刪除容器組後，系統會自動重建所有容器。
驗證UDP逾時時間的配置是否成功。
1. 執行以下命令安裝ipvsadm。
  ipvsadm是IPVS模組的管理工具。更多資訊，請參見ipvsadm。
```
sudo yum install -y ipvsadm
```
2. 在叢集任意一台ECS節點中執行以下命令查看第三個數字。
```
sudo ipvsadm -L --timeout
```
  如果輸出結果中第三個數字是10，則說明IPVS類型叢集的UDP逾時時間變更成功。
  說明
  變更成功後，請觀察至少五分鐘後再進行下一步操作。

命令列操作方式

執行以下命令修改kube-proxy的設定檔kube-proxy-worker。
```
kubectl -n kube-system edit configmap kube-proxy-worker
```

在kube-proxy設定檔中的ipvs欄位下，添加udpTimeout: 10s並儲存退出。

apiVersion: v1
data:
  config.conf: |
    apiVersion: kubeproxy.config.k8s.io/v1alpha1
    kind: KubeProxyConfiguration
    # 其它不相關欄位已省略。
    mode: ipvs
    # 如果ipvs鍵不存在，需要添加此鍵。
    ipvs:
      udpTimeout: 10s

執行以下命令重建所有名為kube-proxy-worker的容器。
1. 執行以下命令查看存在的容器組資訊。
```
kubectl -n kube-system get pod -o wide | grep kube-proxy-worker
```
2. 執行以下命令刪除上步驟中查看所有容器，系統將會自動重建名為kube-proxy-worker容器。
```
kubectl -n kube-system delete pod <kube-proxy-worker-****>
```
  說明
  將<kube-proxy-worker-****>替換為上述列印的所有容器組名稱。
驗證UDP逾時時間的配置是否成功。
1. 執行以下命令安裝ipvsadm。
  ipvsadm是IPVS模組的管理工具。更多資訊，請參見ipvsadm。
```
sudo yum install -y ipvsadm
```
2. 在叢集任意一台ECS節點中執行以下命令查看第三個數字。
```
sudo ipvsadm -L --timeout
```
  如果輸出結果中第三個數字是10，則說明IPVS類型叢集的UDP逾時時間變更成功。
  說明
  變更成功後，請觀察至少五分鐘後再進行下一步操作。

K8s 1.16及以下版本叢集

此類版本叢集的kube-proxy不支援udpTimeout參數，推薦使用OOS服務批量在所有叢集機器上執行ipvsadm命令以調整UDP逾時時間配置。命令如下：

sudo yum install -y ipvsadm
sudo ipvsadm -L --timeout > /tmp/ipvsadm_timeout_old
sudo ipvsadm --set 900 120 10
sudo ipvsadm -L --timeout > /tmp/ipvsadm_timeout_new
diff /tmp/ipvsadm_timeout_old /tmp/ipvsadm_timeout_new

關於OOS的大量操作執行個體介紹，請參見大量操作執行個體。

後續步驟

升級完成後，您可以對CoreDNS進行最佳化，合理配置CoreDNS。具體操作，請參見合理配置CoreDNS。