Skydns поиск: Как установить безопасный поиск SkyDNS в своем браузере по умолчанию

Содержание

5. Безопасный поиск и безопасный режим YouTube SkyDNS

5.1. Как убрать порно картинки и сайты из поиска
5.2. Принудительное включение безопасного поиска
5.3. Как включить безопасный поиск в агенте
5.4. Как принудительно включить безопасный режим поиска в Google
5.5. Как принудительно включить безопасный режим в YouTube

Вернуться к оглавлению

5.1. Как убрать порно картинки и сайты из поиска

Убрать порно картинки и сайты из поиска можно с помощью безопасного поиска SkyDNS. Перейти на страницу безопасного поиска можно с главной страницы сайта skydns.ru, нажав вверху (в верхнем меню) ссылку «Безопасный поиск» или набрав в адресной строке search.skydns.ru (poisk.skydns.ru). Для принудительного включения безопасного поиска необходимо зайти в личный кабинет, вкладка Фильтр (верхнее меню) и в разделе дополнительных настроек отметить чекбокс (поставить галочку) «Использовать безопасный поиск». После этого нажать кнопку Сохранить

.

5.2. Принудительное включение безопасного поиска

Для принудительного включения безопасного поиска необходимо зайти в Личный кабинет, вкладка Фильтр (верхнее меню) и в разделе дополнительных настроек отметить чекбокс (поставить галочку) «Использовать безопасный поиск». После этого нажать кнопку Сохранить.

5.3. Как включить безопасный поиск в агенте

Для включения безопасного поиска в агенте необходимо перейти на вкладку Настройки -> Дополнительные настройки, поставить галочку «Использовать безопасный поиск»
 

5.4. Как принудительно включить безопасный режим поиска в Google

Для принудительного включения безопасного режима поиска в Google необходимо зайти в

Личный кабинет, перейти на вкладку Домены (в верхнем меню), в разделе Алиасы добавить следующие записи: 

  • www.google.com — 216.239.38.120
  • www.google.ru — 216.239.38.120
  • www.google.com.ua — 216.239.38.120
  • www.google.by216.239.38.120

5.5. Как принудительно включить безопасный режим в YouTube

Безопасный режим Youtube — это режим работы YouTube при котором будут скрыты все видео с возрастными ограничениями и ролики, отмеченные пользователями как недопустимые. Для принудительного включения безопасного режима Youtube необходимо зайти в

Личный кабинет, перейти на вкладку Фильтр (в верхнем меню) и в разделе дополнительных настроек поставить галочку напротив надписи «Использовать безопасный режим Youtube». После этого нажать кнопку Сохранить.
 

Вернуться к оглавлению

Как установить безопасный поиск SkyDNS в своем браузере по умолчанию. :

Firefox

  1. Зайдите на страницу безопасного поиска https://search.skydns.ru
  2. Щелкните на маленький треугольник возле названия текущей выбранной поисковой системы.

  3. Выберите пункт «Добавить «Безопасный поиск».
  4. Еще раз нажмите на треугольник для вызова списка поисковых систем и выберите пункт «Управление поисковыми системами».

  5. Выберите все прочие поисковые системы и нажмите «Удалить», чтобы «Безопасный поиск» остался единственным элементом в списке.

Chrome

  1. Зайдите на страницу безопасного поиска https://search.skydns.ru
  2. Щелкните правой клавишей мыши по строке с именем сайта и выберите из списка «Изменить поисковые системы».

  3. Наведите мышь на строку «Безопасный поиск» и нажмите на «Использовать по умолчанию».
  4. Удалите все прочие поисковые системы. Крестик для удаления появляется справа при наведении мыши на строку с названием поисковой системы.

Microsoft Edge

  1. Зайдите на страницу безопасного поиска https://search.skydns.ru
  2. Нажмите на иконку с тремя точками в правом верхнем углу
  3. Перейти в раздел «Параметры», «Посмотреть доп. параметры»

  4. Нажмите «Изменить поисковую систему», выберите «Безопасный поиск poisk.skydns.ru» и нажмите «Использовать по-умолчанию».

  5. Выберите все прочие поисковые системы и нажмите «Удалить», чтобы «Безопасный поиск» остался единственным элементом в списке.

Internet Explorer

  1. Зайдите на страницу безопасного поиска https://search.skydns.ru
  2. Щелкните на треугольник рядом с кнопкой с лупой.
  3. Выберите пункт «Добавление постащика поиска» и далее «Безопасный поиск».

  4. В открывшемся диалоге поставьте галочку «Сделать поставщиком поиска по умолчанию» и нажмите «Добавить».

  5. Снова нажмите на треугольник рядом с кнопкой с лупой и выберите пункт «Управление поставщиками поиска».
  6. В открывшемся окне надстроек удалите все прочие поисковые системы.

Opera 12

Настройка в браузере Opera 12 производится в ручном режиме.

Выберите «Настройки», затем «Общие настройки» (Ctrl+F12), перейдите на вкладку «Поиск» и добавьте новую поисковую систему, как показано на скриншоте.

В поле «Адрес» скопируйте строку https://search.skydns.ru/search/?query=%s

Поисковую систему необходимо сделать работающей по умолчанию, включив обе галочки для «Использовать по умолчанию» и «Использовать в экспресс-панели».

После этого другие ненужные поисковые системы можно удалить.

Контент-фильтр SkyDNS SkyDNS

Контентная фильтрация

Стандартный DNS-фильтр 

Собственная база, включающая более 9 млн. доменов, распределенных на 58 категорий.

Фильтрация протоколов сайтов

HTTP и HTTPS

Наличие черного и белого списков

От 200 записей и более в зависимости от редакции.

Режим работы только по белому списку

да

Явная блокировка сайтов, запрещенных законодательством РФ (экстремизм и т.д.)

Фильтрация по спискам Министерства юстиции РФ, единому реестру запрещенных на территории РФ сайтов.

Безопасный поиск с защитой от экстремизма, порнографии, наркотиков и другой запрещенной законодательством РФ информации

Встроенный поиск с принудительным перенаправлением с других поисковых систем

Блокировка неизвестных контент-фильтру сайтов

да

Фильтрация графических баннеров, всплывающих окон и контекстной рекламы

да

Развертывание и управление

Защита компьютеров и устройств любого типа и с любыми операционными системами

да

Самостоятельное управление фильтром

WEB-интерфейс, программа-агент

WEB-интерфейс

Полное управление и конфигурирование через WEB-браузер (поддерживаются браузеры Google Chrome, Mozilla Firefox, Microsoft Internet Explorer и их мобильные версии).

Настройка страницы блокировки

да

Присвоение разных профилей фильтрации для разных компьютеров

да

Присвоение разных профилей фильтрации разным пользователям в рамках одного компьютера

да

Расписание работы разных профилей фильтрации

да

Система отчетов

Базовая система отчетов.

Настраиваемые детальные отчеты для администратора и руководителя по использованию интернет-сайтов сотрудниками и сервисами.

Журнал разрешений/блокирования DNS-запросов.

Расширенная поддержка в роутерах ZyXEL

да

Обеспечение безопасности

Блокировка анонимайзеров и прокси

да

Блокировка фишинговых и вирусных сайтов

да

Защита от ботнет сетей

да

Уведомомление администратора о зараженных компьютерах, попавших в ботнет

По электронной почте с блокировкой доступа зараженных компьютеров к управляющему серверу ботнета.

Ответы на частые вопросы о работе сервиса SkyDNS

  1. Следит ли SkyDNS за моим трафиком?
  2. Зачем нужна регистрация?
  3. Что делать, если сайты не блокируются?
  4. Как отказаться от использования сервиса?
  5. Можно ли удалить мой аккаунт из сервиса SkyDNS?
  6. Откуда вы взялись в моем компьютере, я к вам не подключался?
  7. Снимите запрет с сайта ВКонтакте, Одноклассники и т. п.
  8. У меня блокируются сайты и категории, другие чем настроены в личном кабинете
  9. Я хочу пожаловаться на плохой сайт или неправильную категорию блокируемого сайта
  10. Могу ли я настроить ваш сервис на роутере?
  11. Можно ли сделать разные настройки фильтрации для разных компьютеров в локальной сети?
  12. SkyDNS Agent выдает ошибку идентификации и пишет «токен не доступен»
  13. У меня не работает фильтрация, я пользуюсь услугами провайдера «Акадо»
  14. Фильтрация то работает, то не работает
  15. Добавляю Вконтакте, Youtube, Facebook, Instagram, skype.com или другой сайт в белый список, но сайт показывается неправильно или программа (например skype) не работает.
  16. Я внес/внесла изменения в настройки фильтрации, но ничего не изменилось.
  17. Я открыл/открыла доступ к сайту, но выдается сообщение вида «Доступ всё ещё закрыт!».
  18. После установки агента SkyDNS или при вводе в сетевых настройках адреса DNS сервера SkyDNS 193.58.251.251 пропадает интернет.
  19. Не работает фильтрация при установке агента и замене прописанного после установки DNS 127.0.0.1 на 193.58.251.251 или адрес другого сервера DNS.
  20. Не работает DNS сервер и агент SkyDNS на одном сервере.
  21. Работает ли фильтрация SkyDNS с прокси-сервером?
  22. Работает ли фильтрация SkyDNS с Active Directory?
  23. Как я могу использовать локальные ресурсы моего провайдера невидимые из интернет (например, music.local)?
  24. Почему в интерфейсе агента и на сайте в личном кабинете отображаются разные настройки фильтрации?
  25. Я включаю блокировку социальных сетей, но vk.com остается доступен.
  26. Я подключаюсь через провайдера Yota и включаю фильтрацию SkyDNS на роутере Zyxel Keenetic или использую агент SkyDNS, но фильтрация не работает.
  27. В нашей организации используется кэширующий DNS bind9, который разрешает домены через сервера SkyDNS. Некоторые домены оказываются заблокированными, хотя находятся в разрешенных категориях или в белом списке.
  28. Вместо персональной страницы блокировки отображается стандартная страница блокировки с сообщением вида «Доступ всё ещё закрыт!».
  29. При использовании фильтрации SkyDNS на роутере Zyxel Keenetic применяется не тот профиль фильтрации, который выбран для устройства в локальной сети.
  30. При блокировке доступа к, например, Youtube, доступ через браузер блокируется, а через приложение Youtube доступен.
  31. Как заблокировать Skype?
1. Следит ли SkyDNS за моим трафиком?

SkyDNS не является провайдером и не имеет доступа к вашему трафику. Мы не знаем, какие именно странички вы посещаете, так как по протоколу DNS передаются только названия доменов, а не полные ссылки.

Соответственно, мы не желаем и не имеем никакой технической возможности отслеживать такую информацию, как передаваемые на сайты логины и пароли, вашу электронную почту, сообщения ICQ и так далее.

О нашей политике защиты личных данных вы можете узнать из документа «Политика конфиденциальности».

2. Зачем нужна регистрация?

Зарегистрировавшись на нашем сайте, вы сможете выбирать категории ресурсов, которые желаете заблокировать, а также вести собственные белые и черные списки доменов.

Работать через SkyDNS можно и без регистрации, но в этом случае мы будем защищать вас только от наиболее опасных сайтов, распространяющих вирусы, а также от фишинговых ресурсов, которые открывают мошенники, чтобы воровать логины и пароли пользователей.

Кроме того, без регистрации могут обойтись те пользователи, которые пользуются нашим сервисом, как обычной DNS-службой. Это может быть актуально в случаях, когда DNS-серверы вашего провайдера или сотового оператора не справляются с нагрузкой, периодически падают или работают нестабильно.

Также в режиме без регистрации для повышения безопасности использования заблокирован доступ к фишинговым и вирусным сайтам.

3. Что делать, если сайты не блокируются?

Для нормальной работы SkyDNS необходимо выполнить два шага.

Во-первых, зарегистрируйтесь на сайте, перейдите на вкладку фильтр, и установите галочки напротив всех категорий, которые необходимо заблокировать.

Во-вторых, если вы пользуетесь операционной системой Windows, то скачайте из личного кабинета и установите программу SkyDNS Agent. Если вы используете другую систему или аппаратный роутер/файрвол, то настройте сетевое подключение вашего компьютера или роутера на работу со SkyDNS согласно указаниям руководства.

Если вы выполнили оба шага, но фильтрация не работает, обратитесь в нашу поддержку.

Для пользователей, находящихся за прозрачным прокси, фильтрация SkyDNS работать не будет, но мы постараемся устранить эту проблему в будущем.

4. Как отказаться от использования сервиса?

Для того, чтобы полностью исключить влияние SkyDNS на работу в Интернет, необходимо вернуть сетевые настройки вашего компьютере в исходное состояние. Смените адрес DNS-сервера, а также деинсталлируйте SkyDNS Agent, если вы им пользуетесь.

Для смены DNS-сервера откройте диалоговое окно настроек сети согласно инструкции, но вместо адреса наших серверов установите галочку «Получить адрес DNS-сервера автоматически» или впишите настройки предоставленные вам провайдером.

На сайте Microsoft вы можете ознакомиться с альтернативным описанием.

5. Можно ли удалить мой аккаунт из сервиса SkyDNS?

Мы не удаляем аккаунты пользователей. Если вы желаете отказаться от услуг сервиса, смените адрес наших DNS-серверов на адрес вашего провайдера, или другой публичной службы DNS (см. пункт 4).

6. Откуда вы взялись в моем компьютере, я к вам не подключался?

Если вы самостоятельно не регистрировались в нашем сервисе и увидели блокировку каких-либо сайтов нашим сервисом, обратитесь к вашему провайдеру, администратору компании или родителям за разъяснениями и для получения доступа.

Чтобы наш сервис интернет-фильтрации мог работать на вашем компьютере у вас должна быть установлена программа SkyDNS Agent или же сделаны изменения в настройках DNS (на вашем компьютере или Wi-Fi/ADSL роутере). Всё это могут сделать только лица, имеющие соответствующий доступ к этому оборудованию.

7. Снимите запрет с сайта ВКонтакте, Одноклассники и т. п.

Если вы пользуетесь нашей системой дома и являетесь зарегистрированным пользователем, то вы можете самостоятельно настроить правила фильтрации в личном кабинете.

В противном случае вам необходимо обратиться к тому, кто поставил блокировку (провайдер, работодатель, родители).

8. У меня блокируются сайты и категории, другие чем настроены в личном кабинете

Если у вас заблокировался сайт из какой-то другой категории (показывается на странице блокировки), то, скорее всего, вы сделали привязку своего IP адреса как статического в личном кабинете сервиса, но на самом деле ваш IP адрес динамический.

В этом случае вы можете при очередной смене динамического IP адреса, попасть под настройки другого пользователя вашего провайдера, также сделавшего привязку IP адреса как статического. Для исправления снимите привязку статического IP и установите SkyDNS Agent.

9. Я хочу пожаловаться на плохой сайт или неправильную категорию блокируемого сайта

Вы можете сделать это, воспользовавшись сервисом проверки.

10. Могу ли я настроить ваш сервис на роутере?

Да, наш сервис может быть настроен на аппаратном роутере. В большинстве случаев достаточно указать в настройках наш DNS-сервер и сделать привязку статического IP адреса роутера в личном кабинете на сайте.

11. Можно ли сделать разные настройки фильтрации для разных компьютеров в локальной сети?

Если ваши компьютеры работают под ОС Windows, то вы можете установить SkyDNS Agent и выбрать, какой профиль фильтрации использовать на конкретном компьютере. Для всех прочих компьютеров будет действовать профиль по умолчанию.

12. SkyDNS Agent выдает ошибку идентификации и пишет «токен не доступен»

Обновите агент до последней версии. Если вы используете агента до версии 2.2 и не имеете возможности его обновить, тогда сделайте следующее: войдите в агент → Настройки → Сменить пользователя (ссылка справа под списком подключений) и нажмите кнопку «Вход».

13. У меня не работает фильтрация, я пользуюсь услугами провайдера «Акадо»

Данный провайдер блокирует обращения к сторонним DNS-серверам при использовании внутренних IP-адресов. Более подробно можно посмотреть на сайте Акадо.

Чтобы воспользоваться нашими услугами вам нужно получить внешний IP у провайдера.

14. Фильтрация то работает, то не работает

Такая ситуация возможна в следующих случаях:

  • Вы оставили в настройках DNS вторичный DNS-сервер вашего провайдера. В этом случае часть запросов может обслуживаться DNS-сервером провайдера, который соответственно ничего не фильтрует. Для исправления — удалите все альтернативные DNS-серверы из настроек.
  • Ваш компьютер поддерживает IPv6 и настроен на автоматическое получение IPv6-адреса DNS-сервера. В этом случае часть запросов может обслуживаться DNS-сервером, который доступен по IPv6 (т.е. не нашим). Естественно, он ничего не фильтрует. Для исправления в настройках протокола IPv6 (если он включен) вместо «Получить адрес DNS-сервера автоматически» установите «Использовать следующие адреса DNS-серверов», а поля с адресами DNS-серверов оставьте пустыми.
  • Вы сделали привязку своего IP адреса как статического в личном кабинете сервиса, но на самом деле ваш IP адрес динамический. В этом случае вы можете при очередной смене динамического IP адреса, попасть под настройки другого пользователя вашего провайдера, также сделавшего привязку IP адреса как статического. Для исправления — снимите привязку статического IP и установите SkyDNS Agent.
15. Добавляю Вконтакте, Youtube, Facebook, skype.com или другой сайт в белый список, но сайт показывается неправильно или программа (например, skype) не работает.

Многие сайты в целях повышения производительности используют несколько разных адресов для загрузки своих данных. Например, Вконтакте использует адрес vk.com для загрузки страниц, а картинки и прочие элементы страницы грузятся с домена userapi.com.

Если вы заблокировали категорию, но хотите разблокировать отдельные такие сайты из этой категории, то необходимо внести в белый список все домены, которые используют эти сайты.

Чтобы найти блокируемые домены на странице выполните действия:

  1. Очистите историю (журнал) в браузере (Google Chrome или Firefox), перезапустите браузер.
  2. В Google Chrome нажмите клавишу F12, выберите Console, перезагрузите страницу и посмотрите в консоли строки с ошибкой 403 (FORBIDDEN). Аналогично в Firefox — «Веб-разработка»->»Веб-консоль».
  3. Добавьте нужные домены в белый список в личном кабинете на skydns.ru

Ниже приведены примеры для некоторых сайтов, которые используют несколько адресов. Разработчики таких сайтов могут в любое время изменить или добавить служебные адреса, используемые для работы сайтов.

 

Чтобы разблокировать ВКонтакте полностью, вам нужно добавить в белый список следующие записи:

  • vk.com (без www)
  • userapi.com
  • vkadre.ru
  • vk.me
  • vkuservideo.net
  • vkuseraudio.net
  • vkuserlive.com

Чтобы разблокировать YouTube полностью, вам нужно добавить в белый список следующие записи:

  • youtube.com (без www)
  • ytimg.com
  • googlevideo.com

Чтобы разблокировать Facebook полностью, вам нужно добавить в белый список следующие записи:

  • facebook.com (без www)
  • facebook.net
  • fbcdn.net

Чтобы разблокировать Skype полностью, вам нужно добавить в белый список следующие записи:

  • skype.com (без www)
  • trouter.io
  • skype.net
  • skypeassets.com
  • messenger.live.com

Чтобы разблокировать WhatsApp полностью, вам нужно добавить в белый список следующие записи:

  • whatsapp.com
  • whatsapp.net

Чтобы разблокировать Viber полностью, вам нужно добавить в белый список следующие записи:

Чтобы разблокировать Twitter полностью, вам нужно добавить в белый список следующие записи:

  • twitter.com (без www)
  • twimg.com
  • t.co

Чтобы разблокировать Instagram полностью, вам нужно добавить в белый список следующие записи:

  • instagram.com
  • cdninstagram.com

Чтобы разблокировать Google Drive полностью, вам нужно добавить в белый список следующие записи:

  • google.com
  • gstatic.com
  • googleusercontent.com
  • googleapis.com

Чтобы разблокировать Hamachi полностью, вам нужно добавить в белый список следующие записи:

  • hamachi.cc
  • logmein-gateway.com
  • logmein.com

Чтобы разблокировать Zoom полностью, вам нужно добавить в белый список следующие записи:

Чтобы разблокировать Microsoft teams добавьте домен teams.microsoft.com и предложенные домены в белый список.

16. Я внес/внесла изменения в настройки фильтрации, но ничего не изменилось.

Изменения в настройках распространяются по серверам SkyDNS в течение нескольких минут. Проверьте через 5 минут, что изменения вступили в силу.

Кроме того, если вы ранее заходили на сайты, относительно которых вы меняли настройки, то ответы DNS серверов скорее всего, находятся в кэше браузера, клиента DNS на локальном компьютере, кэширующем DNS (если запущен) на точке доступа/машрутизаторе/роутере (если используется для выхода в интернет).

Для скорейшего вступления в действие изменения настроек может понадобиться перезапустить браузер. В большинстве случаев этого достаточно.

Если после перезапуска браузера изменений нет, то выполните команду ipconfig /flushdns на локальном компьютере, которая очистит кэш клиента DNS Windows.

В еще более редких случаях может понадобиться очистить кэш DNS на точке доступа/машрутизаторе/роутере (если используется).

17. Я открыл/открыла доступ к сайту, но выдается сообщение вида «Доступ всё ещё закрыт!».

Сообщение вида «Доступ всё ещё закрыт!» может выдаваться в случае, если на нашем DNS сервере данный сайт для вас разблокирован, но ваш браузер на основании информации в его кэше или кэше какого-либо промежуточного сервера у вас по прежнему обращается к странице блокировки.

Для скорейшего вступления в действие изменения настроек может понадобиться перезапустить браузер. В большинстве случаев этого достаточно.

Если после перезапуска браузера изменений нет, то выполните команду ipconfig /flushdns на локальном компьютере, которая очистит кэш клиента DNS Windows.

В еще более редких случаях может понадобиться очистить кэш DNS на точке доступа/машрутизаторе/роутере (если используется).

У пользователей в организациях такое сообщение может выдаваться в случае, если запросы DNS приходят с одного IP адреса, а HTTP запросы с другого IP адреса, который не добавлен в профиле в личном кабинете. Убедитесь что оба IP адреса привязаны к вашему профилю.

18. После установки агента SkyDNS или при вводе в сетевых настройках адреса DNS сервера SkyDNS 193.58.251.251 пропадает интернет.

Наиболее вероятно, что ваш провайдер блокирует доступ к DNS серверам отличным от своих и адреса сайтов не могут быть разрешены в IP-адреса. В таком случае, при вводе в качестве адреса DNS сервера 8.8.8.8 (DNS сервер Google), скорее всего, будет наблюдаться та же картина.

Вы можете обратиться к вашему провайдеру с просьбой открыть доступ к DNS серверам в интернете или сменить провайдера.

19. Не работает фильтрация при установке агента и замене прописанного после установки DNS 127.0.0.1 на 193.58.251.251 или адрес другого сервера DNS.

При установленном агенте SkyDNS адрес DNS в настройках должен оставаться 127.0.0.1. Если вы изменили адрес на какой-то другой, то верните 127.0.0.1

20. Не работает DNS сервер и агент SkyDNS на одном сервере.

Агент SkyDNS привязывается к порту 53, который используется серверами DNS, на локальном адресе 127.0.0.1 и прописывает этот адрес в качестве адреса DNS сервера в сетевых настройках при установке. Поэтому работа на одном компьютере агента SkyDNS и сервера DNS невозможна. В вашей организации необходимо запускать сервер DNS и агент SkyDNS на разных физических серверах или виртуальных машинах.

21. Работает ли фильтрация SkyDNS с прокси-сервером?

Да, работает.

Для этого необходимо настроить прокси-сервер на использование DNS-сервера SkyDNS с IP адресом 193.58.251.251. Укажите в настройках прокси-сервера DNS-сервер 193.58.251.251. Если прокси-сервер использует системный клиент DNS операционной системы или получает список серверов DNS из настроек ОС, то в сетевых настройках ОС пропишите DNS-сервер SkyDNS с IP адресом 193.58.251.251.

Для SQUID используйте список DNS серверов из ОС или параметр dns_nameservers.

При использовании прокси-сервера запросы к серверам DNS осуществляет прокси-сервер. Для всех пользователей, использующих прокси-сервер, будут применяться единые настройки фильтрации, которые действуют для прокси-сервера.

На ОС Windows также возможно использование агента SkyDNS и прокси-сервера на одном хосте. Для такой конфигурации настройте прокси-сервер на использование DNS 127.0.0.1.

Внимание!!! При использовании такого решения не будет отображаться страница блокировки. Вместо страницы блокировки браузер будет показывать, что сайт недоступен.

Внимание!!! Невозможна работа на одном хосте агента SkyDNS и DNS сервера, который может идти в составе ПО совместно с прокси-сервером.

22. Работает ли фильтрация SkyDNS с Active Directory?

Да, работает.

Для этого настройте Службу DNS на пересылку запросов внешних DNS-имен на DNS-сервер SkyDNS с IP адресом 193.58.251.251.

23. Как я могу использовать локальные ресурсы моего провайдера невидимые из интернет (например, music.local)?

Если у вашего провайдера используются локальные ресурсы невидимые из интернет (например, music.local), то доступа к ним в настройке по умолчанию не будет.

Для решения этого вопроса у нас есть функция «Алиасов», когда вы сообщаете нашей системе о подобных ресурсах.

На странице Исключения в личном кабинете необходимо настроить Алиас для такого ресурса, указав имя локального ресурса (music.local) и его IP адрес.

Узнать IP адрес ресурса можно следующим образом:

  1. Временно отключите агент – кликните правой клавишей на иконке агента возле часов и выберите «Выключить фильтрацию до перезагрузки».
  2. Нажмите «Пуск» и выполните команду cmd.
  3. В открывшемся черном окне напишите nslookup music.local
  4. Запишите IP адрес из последней выданной строки с названием Address.
  5. В личном кабинете на странице Исключения в подразделе Алиасы укажите имя music.local и записанный IP адрес.
  6. Включите фильтрацию в агенте.

После этого локальный ресурс будет вам доступен.

24. Почему в интерфейсе агента и на сайте в личном кабинете отображаются разные настройки фильтрации?

Если настройки фильтрации были изменены на сайте SkyDNS в личном кабинете, то в интерфейсе агента могут отображаться не актуальные настройки. В течение часа в агенте SkyDNS станут отображаться те же настройки, что и в личном кабинете на сайте SkyDNS.

25. Я включаю блокировку социальных сетей, но vk.com остается доступен.

Это может быть вызвано теми же причинами, что и пункт 14.

26. Я подключаюсь через провайдера Yota и включаю фильтрацию SkyDNS на роутере Zyxel Keenetic или использую агент SkyDNS, но фильтрация не работает.

У нас имеется информация по данным обращений пользователей Yota, что Yota модифицирует запросы DNS и очищает дополнительную секцию в запросе DNS, в которой находится идентификационный токен. В результате наш сервер не имеет данных для того, чтобы применить ваши настройки фильтрации при ответе на запрос DNS. Вы можете использовать сервис SkyDNS с привязкой статического IP-адреса или имени хоста и использования одного из сервисов динамического DNS как описано в этом примере.

27. В нашей организации используется кэширующий DNS bind9, который разрешает домены через сервера SkyDNS. Некоторые домены оказываются заблокированными, хотя находятся в разрешенных категориях или в белом списке.

В используемой Вами схеме нужно учитывать следующие особенности:

  1. Ответы нашего сервера DNS кеширует ваш DNS. Для очистки кэша bind9 можно воспользоваться командой «rndc flush». После этого в логах bind9 должны появиться записи «received control channel command ‘flush'» и «flushing caches in all views succeeded».
  2. Когда bind9 (ваш DNS) в ответ на запрос получает запись CNAME (в ответе также содержаться IP-адреса, в которые разрешился домен), то он на IP-адреса в ответе не смотрит и пытается самостоятельно разрешить каноническое имя в IP-адреса. Если каноническое имя не находится в разрешенных, то оно разрешается в IP-адрес страницы блокировки.

Подробнее по второму пункту на примере.

Имеем запись

bar.example.com.        CNAME  foo.example.com.

Слева записан алиас. Справа — каноническое имя.

Клиент запрашивает «bar.example.com.», в ответ получает «foo.example.com.» и IP-адреса, в которые разрешается «foo.example.com.». Но bind9 в таком случае на IP-адреса не смотрит и пытается разрешить «foo.example.com.», делая еще один запрос. Если «bar.example.com.» находится в разрешенных сервере, а «foo.example.com.» находится в заблокированных, то bind9 получит от нашего сервера в ответ адрес страницы блокировки и вернет его конечному клиенту.

Хотя, если бы конечный клиент запрашивал «bar.example.com.» у нашего сервера напрямую, а не у кеширующего bind9, то получил бы в ответ действительный IP-адрес «bar.example.com.».

Учитывая, что домены принадлежащие Яндекс, Google, Microsoft и другим глобальным организациям часто разрешаются в CNAME, которые часто входят в CDN (content delivery network), то нужно добавлять в белый список не только алиасы, но и канонические имена.

28. Вместо персональной страницы блокировки отображается стандартная страница блокировки с сообщением вида «Доступ всё ещё закрыт!».

Это может быть вызвано теми же причинами, что и пункт 17.

29. При использовании фильтрации SkyDNS на роутере Zyxel Keenetic применяется не тот профиль фильтрации, который выбран для устройства в локальной сети.

Убедитесь, что на роутере Zyxel Keenetic уставновлена последняя версия прошивки.

Убедитесь, что устройство подключено к роутеру Zyxel Keenetic напрямую, а не через какой-либо маршрутизатор.

Убедитесь, что устройство использует только одно подключение к роутеру, а не подключено, например, через проводное подключение и через Wi-Fi к роутеру Zyxel Keenetic.

Убедитесь, что в вашей локальной сети не используется прокси-сервер, кэширующий DNS или Active Directory, т.к. в этом случае запросы DNS на роутер Zyxel Keenetic приходят с MAC-адреса используемого сервера и применяется профиль фильтрации, назначенный серверу.

30. При блокировке доступа к, например, Youtube, доступ через браузер блокируется, а через приложение Youtube доступен.

Для блокировки доступа необходимо очистить кэш DNS и перезапустить приложение, через которое осуществляется доступ. На планшетах, телефонах или в ОС Windows 8 приложения могут не закрываться, а сворачиваться и оставаться в памяти. Для очистки кэша DNS и закрытия приложения перезагрузите устройство.

31. Как заблокировать Skype?

Клиент Skype при первом удачном подключении скачивает список IP-адресов супернод и в дальнейшем подключается к ним даже если не может разрешить имя домена в IP.

Заблокируйте категорию «Чаты и мессенджеры». Попробуйте удалить каталог Skype в папке AppData/Roaming каждого профиля пользователя на каждом компьютере и очистить кэш DNS командой ipconfig /flushdns.

1. Что такое сервис SkyDNS, и для чего он предназначен SkyDNS

1. 1. Для чего необходим сервис SkyDNS

1.2. Чем может быть полезен сервис SkyDNS для образовательных учреждений / бизнеса / дома / публичных точек доступа Wi-Fi

1.3. Как работает сервис контент-фильтрации SkyDNS

1.4. На чем основана база сайтов SkyDNS

Вернуться к оглавлению

SkyDNS — облачный сервис контент-фильтрации, в основе которого лежит технология доменных имен — DNS, Domain Name System. DNS-протокол используется для сопоставления IP-адреса сайта и его доменного имени. Компьютер и сайт опознают друг друга при помощи IP-адресов. Но для людей удобнее другая система, нам проще запоминать названия сайтов — домены. Гораздо проще работать с поисковой системой, когда мы обращаемся к ней по имени yandex.ru, а не по адресу 87.250.250.3. 

1.1. Для чего необходим сервис SkyDNS

Облачный сервис SkyDNS дает массу возможностей для управления интернет-доступом и аналитики пользования веб-ресурсами. Применение контент-фильтрации будет полезно широкому кругу интернет-пользователей и организаций, предоставляющих доступ в интернет, — образовательным учреждениям (от детских садов до федеральных ВУЗов), библиотекам, коммерческим и государственным организациям, семьям, у которых есть несовершеннолетние дети, а также тем пользователям, кого волнует интернет-безопасность.

1.2. Чем может быть полезен сервис SkyDNS

Для образовательных учреждений и библиотек: 

  • Ограничение доступа к сайтам, которые могут нанести психологический или физический вред учащимся,
  • Блокировка экстремистских сайтов по российскому законодательству (Список Министерства юстиции, Федеральный закон 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию»),
  • 100% гарантия прохождения прокурорской проверки с использованием функции «Безопасный поиск SkyDNS».

Для бизнеса: 

  • Ограничение интернет-доступа на рабочем месте для повышения эффективности работников (например, блокировка пожирателей времени и социальных сетей),
  • Статистику интернет-активности сотрудников для анализа их продуктивности,
  • Защиту от кибер-угроз, использующих DNS-протокол,
  • Блокировку фишинговых сайтов и интернет-ресурсов, распространяющих вирусное ПО,
  • Защита от использования устройств в корпоративной сети в качестве частей ботнетов.

Для дома:

  • Создание безопасного и семейного интернета без 18+ контента у Вас дома,
  • Управление интернет-доступом с помощью расписания,
  • Защита от фишинга и вирусов,
  • Раздельные профили фильтрации для каждого члена семьи,
  • Блокировка рекламы во всех популярных браузерах и приложениях.

Для публичных точек доступа Wi-Fi:

  • Выполнение законодательства (ст. 6.17 КоАП) о защите публичных Wi-Fi-сетей,
  • Возможность использовать статистику использования интернета для более качественного таргетинга рекламы, 
  • Защита всех подключаемых устройств от вирусов и фишинга.

1.3. Как работает контент-фильтр SkyDNS

Все просто.Вы выбираете категории сайтов, которые должны блокироваться, в Личном кабинете на сайте skydns.ru. Спустя несколько минут настройки распространяются на наши DNS-сервера, и правила фильтрации, заданные Вами, начинают действовать.

После этого все DNS-запросы с Вашего компьютера идут на наш DNS-сервер, где каждый из них категорируется и сверяется с выбранными Вами заранее блокируемыми категориями. Если запрос не входит ни в одну из заблокированных категорий или в черный список, то возвращается IP-адрес сайта, и веб-страница открывается. Если же запрос относится к заблокированной категории, то возвращается IP-адрес станицы блокировки. При этом качество контент-фильтрации во-многом зависит от актуальности базы сайтов, разбитых на категории, а также от охвата интернета ею.

1.4. На чем основана база сайтов SkyDNS

База категорированных интернет-ресурсов SkyDNS – лучшая база на отечественном рынке. На сегодняшний день ее объем составляет более 90 млн. сайтов, что покрывает примерно 3/4 действительно существующих и работающих интернет-ресурсов. Отличительные особенности нашей базы — особое внимание к русскоязычному сегменту интернета и нормам российского законодательства в интернет-сфере.

База категорированных ресурсов основана на разнообразных источниках данных. Из чего составляется база сайтов SkyDNS: 

  • Автоматическая категоризация фермы краулеров SkyDNS;
  • Выявление распространяющих вирусы сайтов с помощью специального модуля обнаружения вредоносных ресурсов;
  • Ручная категоризация специалистов SkyDNS;
  • DNS-логи пользователей SkyDNS;
  • Пользовательская категоризация.

 

Вернуться к оглавлению

Информация о сайте search.skydns.ru

Здесь вы сможете провести полный анализ сайта, начиная с наличия его в каталогах и заканчивая подсчетом скорости загрузки. Наберитесь немного терпения, анализ требует некоторого времени. Введите в форму ниже адрес сайта, который хотите проанализировать и нажмите «Анализ».

Идёт обработка запроса, подождите секундочку

Чаще всего проверяют:

СайтПроверок
vk.com 91593
vkontakte.ru 43432
odnoklassniki.ru 34500
2ip.ru 16841
mail.ru 16744
yandex.ru 14107
pornolab.net 9967
youtube.com 9302
rutracker.org 9052
vstatuse.in 7121

Результаты анализа сайта «search.skydns.ru»

НаименованиеРезультат
Скрин сайта
Название Безопасный поиск SkyDNS
Описание
Ключевые слова
Alexa rank
Наличие в web.archive.org http://web.archive.org/web/*/search.skydns.ru
IP сайта 192.162.243.27
Страна Неизвестно
Информация о домене Владелец:
Creation Date: не определено
Expiration Date: не определено
Посетители из стран
🇷🇺 Russia(89.4)
🇰🇿 Kazakhstan(7.9)
🇺🇦 Ukraine(1.2)
Система управления сайтом  (CMS) узнать
Доступность сайта проверить
Расстояние до сайта узнать
Информация об IP адресе или домене получить
DNS данные домена узнать
Сайтов на сервере узнать
Наличие IP в спам базах проверить
Хостинг сайта узнать
Проверить на вирусы проверить
Веб-сервер nginx/1.10.3
Картинки1
Время загрузки0.25 сек.
Скорость загрузки22.66 кб/сек.
Объем страницы
html 5006 bytes(87.61%)
images 177 bytes(3.1%)
css 354 bytes(6.2%)
js 177 bytes(3.1%)
всего>5714 bytes 

Получить информер для форума

Если вы хотите показать результаты в каком либо форуме, просто скопируйте нижестоящий код и вставьте в ваше сообщение не изменяя.

[URL=https://2ip.ru/analizator/?url=search.skydns.ru][IMG]https://2ip.ru/analizator/bar/search.skydns.ru.gif[/IMG][/URL]

SkyDNS.Wi-Fi

Разработчик: SkyDNS

SkyDNS.Wi-Fi — специальное решение, позволяет владельцам Wi-Fi хотспотов в кафе, ресторанах, развлекательных центрах, общественных местах, на транспорте

SkyDNS.Wi-Fi — специальное решение, которое позволяет владельцам Wi-Fi хотспотов в кафе, ресторанах, развлекательных центрах, общественных местах, на транспорте быстро выполнить требования действующих законов и легко защитить пользователей от вредной информации, такой как экстремистские сайты, сайты с порнографией, пропагандой наркотиков и суицида.
Специально разработанный сервисный пакет позволяет менее чем за 5 минут подключить хотспот к системе фильтрации и получить сразу готовую защиту пользователей публичного точки доступа от вредной информации.

SkyDNS.Wi-Fi — специальное решение, которое позволяет владельцам Wi-Fi хотспотов в кафе, ресторанах, развлекательных центрах, общественных местах, на транспорте быстро выполнить требования действующих законов и легко защитить пользователей от вредной информации, такой как экстремистские сайты, сайты с порнографией, пропагандой наркотиков и суицида.
Специально разработанный сервисный пакет позволяет менее чем за 5 минут подключить хотспот к системе фильтрации и получить сразу готовую защиту пользователей публичного точки доступа от вредной информации.
Основные возможности SkyDNS.Wi-Fi:
  • Базовый функционал фильтра (фильтрация сайтов по категориям, защита от фишинговых и вирусных сайтов). База сервиса содержит более 8 млн. сайтов, разделенных на 57 категории и ежедневно обновляется и пополняется.
  • Защита компьютеров любого типа и с любыми операционными системами, имеющих выход в Интернет. В том числе защита компьютеров, принесенных учениками из дома, выходящих в интернет через Wi-Fi точки.
  • Настройка и вывод блокирующих страниц в фирменном стиле организации.
  • Доступ  к системе безопасного поиска SkyDNS.Поиск (контент-фильтрация поисковых запросов) с фильтрацией порнографии, экстремизма, нецензурных слов и принудительным перенаправлением с других поисковых систем.
  • Централизованное управление настройками фильтрации.
  • Статистика использования фильтра до 1 месяца.

изменений DNS в Red Hat OpenShift Container Platform 3.6

DNS в контейнерной платформе Red Hat OpenShift?

Что касается контейнерной платформы Red Hat OpenShift, необходимо учитывать два места разрешения DNS:

  • Корпоративный DNS (за пределами Red Hat OpenShift Container Platform) для главного внутреннего / внешнего имени хоста и подстановочного имени маршрутизатора.

  • OpenShift DNS для связи между внутренними службами.

В этом блоге я планирую рассказать о последнем DNS, который основан на skyDNS.

В демонстрационных целях будет использоваться простое приложение hello openshift. Это сценарий для его развертывания.

 # Создать демонстрационный проект DNS
$ oc новый проект dns-project

# Разверните модуль hello world
$ curl https://raw.githubusercontent.com/openshift/origin/release-3.6/examples/hello-openshift/hello-pod.json|oc create -f -

# Проверяем, нет ли svc
$ oc получить svc
Ресурсов не найдено.# Доступ к модулю с IP-адресом модуля (IP-адрес контейнера - 10.x.x.x)
$ oc get pod -o wide
ИМЯ ГОТОВ СОСТОЯНИЕ ВОССТАНОВЛЕНИЕ ВОЗРАСТНОГО IP-УЗЛА
hello-openshift 1/1 Работает 0 5 с 10.130.2.13 XXXX

$ curl 10.130.2.13:8080
Привет, OpenShift!

# Совет - используйте эту команду, чтобы использовать IP-адрес Pod из вашей среды.
$ curl $ (oc get pod hello-openshift --template '{{.status.podIP}}): 8080
Привет, OpenShift!

# Выставить сервис из пода
$ oc выставить pod hello-openshift
сервис "hello-openshift" выставлен

$ oc получить svc
НАЗВАНИЕ КЛАСТЕР-IP ВНЕШНИЙ IP-ПОРТ (-И) ВОЗРАСТ
Прикол 172.30.12.46 <нет> 8080 / TCP 5s 

Внутренний DNS: зачем он нам?

Чтобы ответить на этот вопрос, я собираюсь использовать простой пример. Когда дело доходит до связи между приложениями в мире виртуальных машин (например, Red Hat Virtualization, VMware), каждое приложение использует IP-адрес гостя, который обычно не меняется. Однако в мире, ориентированном на контейнеры, контейнер получает новый IP-адрес при каждом запуске.

Kubernetes, который управляет контейнерами, нуждается в статическом IP-адресе для контейнера.Помимо прочего, для этого был создан объект службы Kubernetes, который предоставляет IP-адрес службы. Сервисный объект имеет имя хоста и IP-адрес. Имя хоста не изменится, но IP-адрес изменится, если объект службы будет воссоздан. С этим именем хоста службы становится возможной стабильная внутренняя связь между модулями (службами).

Поскольку IP-адрес службы может измениться, мы не хотим указывать статический IP-адрес в приложении или среде DeploymentConfig.Что, если объект службы будет воссоздан без уведомления команды разработчиков? Службе будет назначен новый IP-адрес службы, и приложения, использующие IP-адрес службы, выйдут из строя.

По этим причинам мы обычно используем имя хоста службы, чтобы избежать использования жестко заданного IP-адреса в приложении. Внутренний DNS в Red Hat OpenShift Container Platform предоставляет эту функцию. Он использует динамический DNS, поэтому всякий раз, когда объект службы воссоздается, DNS будет обновляться новыми записями.Благодаря этой функции каждое имя хоста объекта службы (имеющее определенный формат — см. DNS Red Hat OpenShift Container Platform) имеет уникальный и динамический IP-адрес службы. В результате мы рекомендуем использовать имя хоста для связи между внутренними службами.

Проверить IP-адрес модуля и IP-адрес службы / имя хоста:

 # Проверить IP-адрес службы
  $ oc получить svc
  НАЗВАНИЕ ПОРТА (-ОВ) ВНЕШНЕГО IP-КЛАСТЕРА
hello-openshift 172.30.12.46 <нет> 8080 / TCP 7s

  $ копай привет-openshift.dns-project.svc.cluster.local 

;; РАЗДЕЛ ВОПРОСА:
; привет-openshift.dns-project.svc.cluster.local. В

;; ОТВЕТНАЯ ЧАСТЬ:
привет-openshift.dns-project.svc.cluster.local. 30 ИН А 172.30.12.46

;; Время запроса: 1 мсек.
;; СЕРВЕР: 10.10.181.97 # 53 (10.10.181.97)
;; КОГДА: Пн, 30 октября, 15:56:58 EDT 2017
;; РАЗМЕР MSG rcvd: 79

# Получите доступ к модулю с служебным IP.
# Привет, приложение openshift может быть доступно через служебный ip из другого приложения, как показано ниже.
  $ завиток 172.30.12.46:8080
  Привет, OpenShift!


# Доступ к модулю с помощью имени хоста службы

# Также вы можете получить тот же результат, используя имя хоста службы.$ curl hello-openshift.dns-project.svc.cluster.local: 8080

Привет, OpenShift! 

Внутренний DNS: где это?

Внутренне DNS использует SkyDNS, который использует etcd. С момента выпуска Red Hat OpenShift 3 внутренний DNS менялся дважды: в Red Hat OpenShift Container Platform 3.2 и 3.6. До версии 3.6 SkyDNS всегда выполнялся на главных узлах («мастерах»), поэтому модули в узлах инфраструктуры / приложений («узлы») должны были обращаться к одному из мастеров, чтобы разрешить имена хостов служб.

Основные изменения в 3.2

  • Dnsmasq по умолчанию установлен на мастерах и узлах

  • NetworkManager требуется на мастерах и узлах

  • SkyDNS слушает порт 8053 на мастерах

  • Все узлы подключаются к мастерам по TCP / 8053

  • Dnsmasq направляет запросы для cluster.local на IP-адрес службы Kubernetes (172.30.0.1:53)

Примечание: OpenShift 3.2 — 3.5 имеет структуру DNS ниже

Рисунок 1. Структура DNS для OpenShift 3.2 — 3.5

Основные изменения в Red Hat OpenShift Container Platform 3.6

  • Dnsmasq был необязательным, но теперь является обязательным.

  • SkyDNS работает на мастерах и узлах

    • На мастерах SkyDNS прослушивает порт 8053, чтобы избежать конфликта портов

    • На узлах SkyDNS прослушивает порт 53

  • Dnsmasq направляет запросы для кластера.local и in-addr.arpa на 127.0.0.1:53

Примечание: OpenShift 3.6 имеет структуру DNS ниже

Рисунок 2. Структура DNS для OpenShift 3.6 (мастер без узла)

Рисунок 3. Структура DNS для OpenShift 3.6 (мастер с узлом)

Глубокое погружение

Демоны и сопоставление портов:

Как показано на приведенной выше диаграмме (рисунок 3), на мастерах есть три демона DNS.Давайте проверим, какой процесс использует каждый порт DNS. Следующий вывод показывает подробную информацию.

 # Показать демонов, которые слушают * 53
# netstat -tunlp | grep 53
tcp 0 0 0.0.0.0:8053 0.0.0.0:* СЛУШАТЬ 47645 / openshift
tcp 0 0 127.0.0.1:53 0.0.0.0:* СЛУШАТЬ 47678 / openshift
tcp 0 0 10.10.181.97:53 0.0.0.0:* СЛУШАТЬ 47644 / dnsmasq
….

# Показать имена процессов, использующих * 53 порта
# ps -ef | grep openshift
корень 47645 1 2 13:15? 00:02:08 / usr / bin / openshift запустить  master api... 
корень 47678 1 4 13:15? 00:03:17 / usr / bin / openshift start  node ..  

Диспетчерский сервер имен от Dnsmasq

Dnsmasq по-прежнему отвечает за отправку запросов внутри модулей на нужный сервер имен. До OpenShift 3.5, если он запрашивал `cluster.local`, Dnsmasq отправлял его в SkyDNS на главных узлах, но теперь он переходит к 127.0.01: 53, потому что skyDNS находится на всех узлах в Red Hat OpenShift Container Platform 3.6. Кроме того, если он запрашивает in-addr, arpa, он также возвращает имя хоста службы.Из файлов конфигурации dnsmasq мы видим, что он перенаправляет запросы, содержащие `cluster.local` и` in-addr, arpa`, на 127.0.0.1:53.

 # # Показать всю конфигурацию о dnsmasq
# grep. /etc/dnsmasq.d/*
/etc/dnsmasq.d/node-dnsmasq.conf:server=/in-addr.arpa/127.0.0.1
/etc/dnsmasq.d/node-dnsmasq.conf:server=/cluster.local/127.0.0.1
/etc/dnsmasq.d/origin-dns.conf:no-resolv
/etc/dnsmasq.d/origin-dns.conf:domain-needed
/etc/dnsmasq.d/origin-dns.conf:no-negcache
/etc/dnsmasq.d/origin-dns.conf: max-cache-ttl = 1
/etc/dnsmasq.d/origin-dns.conf:enable-dbus
/etc/dnsmasq.d/origin-dns.conf:bind-interfaces
/etc/dnsmasq.d/origin-dns.conf:listen-address=10.10.181.97 # IP-адрес интерфейса маршрута по умолчанию
/etc/dnsmasq.d/origin-upstream-dns.conf:server=10.10.182.21 # исходный IP-адрес сервера имен

# # Проверить, можно ли разрешить * .cluster.local
# копать hello-openshift.dns-project.svc.cluster.local

;; РАЗДЕЛ ВОПРОСА:
; привет-openshift.dns-project.svc.cluster.local. В

;; ОТВЕТНАЯ ЧАСТЬ:
привет-openshift.dns-project.svc.cluster.local. 30 ИН А 172.30.12.46

;; Время запроса: 1 мсек.
;; СЕРВЕР: 10.10.181.97 # 53 (10.10.181.97)

# # Проверить, можно ли разрешить * .in-addr.arpa
# dig -x 172.30.12.46

;; РАЗДЕЛ ВОПРОСА:
; 46.12.30.172.in-addr.arpa. В PTR

;; ОТВЕТНАЯ ЧАСТЬ:
46.12.30.172.in-addr.arpa. 30 В PTR hello-openshift.dns-project.svc.cluster.local.

;; Время запроса: 1 мсек.
;; СЕРВЕР: 10.10.181.97 # 53 (10.10.181.97) 

NetworkManager с Dnsmasq

Диспетчер NetworkManager 99-origin-dns.sh реплицирует функциональность dns = dnsmasq в NetworkManager. С помощью этого сценария он заставляет IP-адрес по умолчанию для Dnsmasq прослушивать IP-адрес. Контейнер использует этот IP-адрес в качестве сервера имен по умолчанию.

журналы 99-origin-dns.sh в журнал на устройстве NetworkManager-dispatcher

Этот сценарий отправки:

  • создает файлы конфигурации dnsmasq:

    • узел-dnsmasq.conf

    • origin-dns.conf

    • исходный-восходящий-DNS.conf

  • запускает демон Dnsmasq по умолчанию при запуске NetworkManager.

  • устанавливает IP-адрес маршрута хоста по умолчанию на IP-адрес прослушивания Dnsmasq.

  • обновляет /etc/resolv.conf, используя IP-адрес маршрута по умолчанию.

  • создает /etc/origin/node/resolv.conf

Условие потока запросов DNS в OpenShift 3.6

Рисунок 4. DNS-поток OpenShift 3.6

Поток запросов DNS в OpenShift 3.6

Рисунок 5. Поток DNS-запросов OpenShift 3.6

Примечание: Нет необходимости связываться с мастером с узла для получения данных SVC DNS

Отладка потока DNS с помощью tcpdump

Тестовая среда:

  • Главный узел

  • Узел приложения

  • SkyDNS

  • Сервер имен восходящего направления

Выполнение команды tcpdump для

 # на узле приложения
$ tcpdump -xx -vvvv -s 0 -l -n -i любой порт 53 -w test.pcap
 
Сценарий 1. Разрешить имя главного хоста из одного из узлов приложения

Node query будет обращаться к Dnsmasq и перенаправлять его в восходящий DNS.

 # Команда
$ dig dhcp181-97.gsslab.example.com

# Результат
1 10.10.181.196 10.10.181.196 DNS… dhcp181-97.gsslab.example.com OPT
2 10.10.181.196 10.10.182.21 DNS ... dhcp181-97.gsslab.example.com OPT
3 10.10.182.21 10.10.181.196 DNS ... dhcp181-97.gsslab.example.com A 10.10.181.97 NS ns01.xxx.redhat.com NS ns02.xxx.redhat.com A x.x.x.x A x.x.x.x OPT
4 10.10.181.196 10.10.181.196 DNS dhcp181-97.gsslab.example.com A 10.10.181.97 NS ns01.xxx.redhat.com NS ns02.xxx.redhat.com A x.x.x.x A x.x.x.x OPT 
Сценарий 2. Разрешение имени хоста службы из одного из узлов приложения
Запрос узла

получит доступ к Dnsmasq и направит его в SkyDNS.

 # Команда
$ dig hello-openshift.dns-project.svc.cluster.local

#Результат

1 10.10.181.196 10.10.181.196DNS привет-openshift.dns-project.svc.cluster.local OPT
2 127.0.0.1 127.0.0.1 DNS hello-openshift.dns-project.svc.cluster.local OPT
3 127.0.0.1 127.0.0.1 DNS hello-openshift.dns-project.svc.cluster.local A 172.30.12.46
4 10.10.181.196 10.10.181.196DNS hello-openshift.dns-project.svc.cluster.local A 172.30.12.46 
Сценарий 3. Разрешение имени хоста службы внутри контейнера докеров из одного из узлов приложения
Запрос Pod

получит доступ к Dnsmasq и направит его в SkyDNS.

 # Команда внутри контейнера
sh-4.2 # ip a
   ….
   inet 10.131.2.17/23 глобальная область действия eth0
  ...

sh-4.2 # копать hello-openshift.dns-project.svc.cluster.local

# Результат
1 10.131.2.17 10.10.181.196 Стандартный запрос DNS A hello-openshift.dns-project.svc.cluster.local OPT
2 10.131.2.17 10.10.181.196 Стандартный запрос DNS A hello-openshift.dns-project.svc.cluster.local OPT
3 127.0.0.1 127.0.0.1 Стандартный запрос DNS A hello-openshift.dns-project.svc.cluster.local OPT
4 127.0.0.1 127.0.0.1 Стандартный ответ на запрос DNS A hello-openshift.dns-project.svc.cluster.local A 172.30.12.46
5 10.10.181.196 10.131.2.17 Стандартный ответ на запрос DNS A hello-openshift.dns-project.svc.cluster.local A 172.30.12.46
6 10.10.181.196 10.131.2.17 Стандартный ответ на запрос DNS A hello-openshift.dns-project.svc.cluster.local A 172.30.12.46
 

Артикул:

Хотите узнать больше о Red Hat OpenShift Container Platform? Присоединяйтесь к нам на Red Hat OpenShift Roadshow Event в Лондоне в январе.18, 2018. Узнайте больше и зарегистрируйтесь здесь.

Джухо Ли (Jooho Lee) — старший менеджер по работе с клиентами OpenShift (TAM) в Торонто, поддерживающий продукты промежуточного слоя (EAP / DataGrid / Web Server) и облачные продукты (Docker / Kubernetes / OpenShift / Ansible). Он является активным членом JBoss User Group Korea и Openshift / Ansible Group. Найдите другие сообщения от Jooho на https://www.redhat.com/en/blog/authors/jooho-lee . Технический менеджер по работе с клиентами Red Hat (TAM) — это специализированный эксперт по продуктам, который совместно с ИТ-организациями работает над стратегическим планированием успешного развертывания и помогает добиться оптимальной производительности и роста.TAM является частью первоклассной организации Red Hat по работе с клиентами и взаимодействию с клиентами и предоставляет упреждающие советы и рекомендации, которые помогут вам выявлять и решать потенциальные проблемы до того, как они возникнут. В случае возникновения проблемы, ваш TAM будет решать проблему и задействовать лучшие ресурсы для ее решения как можно быстрее с минимальными нарушениями вашего бизнеса.

Свяжитесь с TAM на ближайшем к вам мероприятии Red Hat Convergence! Red Hat Convergence — это бесплатное мероприятие только по приглашениям, предлагающее техническим пользователям возможность углубить свои знания о продуктах Red Hat и открыть для себя новые способы применения технологий с открытым исходным кодом для достижения своих бизнес-целей.Эти мероприятия проводятся в городах по всему миру, чтобы предоставить вам удобную однодневную возможность узнать и пообщаться с экспертами Red Hat и коллегами из отрасли.

Понимание того, как работают DNS-сервисы Kubernetes

Kubernetes позволяет создавать группы контейнеров и определять службы поверх них. Kubernetes назначает каждой службе виртуальный статический IP-адрес, маршрутизируемый в кластере, поэтому любое соединение, которое достигает этого IP-адреса, будет автоматически перенаправлено на один из контейнеров в группе.

Преимущество использования служб заключается в том, что вы можете получить доступ к функциям, предоставляемым контейнерами, не зная их личности. По сути, это легко обнаруживаемый балансировщик нагрузки. И чтобы упростить задачу, Kubernetes также генерирует внутреннюю запись DNS, которая разрешает этот IP-адрес.

Когда все на месте, это немного похоже на волшебство. Но, заглянув под капот, легко понять, что делает Kubernetes. Немного поработав и углубившись в системные вызовы, мы сможем увидеть, как Kubernetes с этим справляется.Давайте начнем с того, что, а затем перейдем к тому, как.

Развертывание простой службы

Мы собираемся развернуть простую службу под названием backend (вы можете скачать ее отсюда) в рамках критического приложения пространства имен. Серверная служба — это точка входа в 3 модуля Nginx, сгруппированных в то, что Kubernetes называет развертыванием.

  $ kubectl создать критическое-приложение пространства имен
пространство имен «критическое приложение» создано
$ kubectl create -f backend.yaml
служба "backend" создана
развертывание "backend" создано
  

Теперь мы можем использовать команду описать, чтобы показать IP-адрес, назначенный службе:

  $ kubectl описать серверную часть службы --namespace critical-app
Имя: backend
Пространство имен: критическое приложение
Ярлыки: app = critical-app
            роль = серверная часть
Селектор: приложение = критическое-приложение, роль = серверная часть
Тип: ClusterIP
IP: 10.3.0.116
Порт:  80 / TCP
Конечные точки: 172.17.0.4:80,172.17.0.5:80,172.17.0.6:80
Сходство сеанса: Нет
  

Здесь мы также можем идентифицировать 3 базовых IP-адреса модуля как конечные точки.

Поскольку мы хотели увидеть магию службы Kubernetes в действии, давайте создадим интерактивный контейнер с установленным curl для проверки связи с внутренней точкой входа:

  $ kubectl run -it --image = tutum / curl client --namespace critical-app --restart = Никогда
  

Это бросит меня в интерактивную оболочку.Что, если я попытаюсь получить доступ к своему бэкэнду через его имя?

  [адрес электронной почты защищен]: / # curl backend



 Добро пожаловать в nginx! 
[...]

  

Я автоматически получаю ответ от одного из базовых контейнеров Nginx. Мне не нужно было знать личность, Kubernetes DNS сделал все за меня.

Как работают сервисы Kubernetes?

Чтобы лучше понять, что происходит за кулисами, давайте взглянем на лежащие в основе механизмы, создающие этот магический эффект.

Для этого мы будем использовать Sysdig, инструмент устранения неполадок контейнера с открытым исходным кодом, чтобы увидеть Kubernetes в действии с точки зрения основных системных вызовов.

Sysdig позволяет нам более эффективно устранять неполадки процессов, сопоставляя системные события, связанные с контейнерами, с обширными метаданными, поступающими с сервера API Kubernetes (модули, службы, развертывания и т. Д.). Подумайте обо всех ваших любимых инструментах устранения неполадок в системе: strace, htop, lsof, netstat, vmstat, iostat, tcpdump… все они работают вместе и понимают ваши контейнеры.

Установить Sysdig очень просто. Sysdig может запускаться либо с хоста, либо вы можете использовать образ Sysdig Docker, работающий как привилегированный контейнер. Если вы никогда раньше не использовали sysdig с Kubernetes, вероятно, было бы неплохо сначала пройти через «Копание в Kubernetes с Sysdig».

Предполагая, что вы уже знаете основы, давайте запустим sysdig на нашем хосте Kubernetes:

  $ sudo sysdig -k http: // localhost: 8080 -pk -s8192 -NA
"fd.type в (ipv4, ipv6) и (k8s.ns.name = critical-app или proc.name = skydns) "
  

Я объясню здесь каждый параметр: -k http: // localhost: 8080 подключается к Kubernetes API -pk печатает поля Kubernetes в stdout -s8192 увеличивает буферы ввода-вывода, так как нам нужно отображать полный контент, иначе по умолчанию отключается -NA показывает вывод ASCII и фильтр между двойными кавычками. Sysdig может понимать семантику Kubernetes, поэтому мы можем отфильтровывать трафик на сокетах IPv4 или IPv6, поступающий из любого контейнера в критическом приложении пространства имен или из любого процесса с именем skydns.Мы включили proc.name = skydns, потому что это внутренний DNS-преобразователь Kubernetes, работающий вне нашего пространства имен как часть инфраструктуры Kubernetes.

Теперь давайте снова запустим curl с параллельной работой sysdig, и мы увидим интересную информацию о выводе sysdig.

  30447 11: 45: 26.135742024 0 клиент (341cbd92c83b) curl (29549: 14) )
30448 11: 45: 26.135744012 0 клиент (341cbd92c83b) curl (29549: 14)> закрыть fd = 3 (<6>)
30449 11:45:26.135746067 0 клиент (341cbd92c83b) curl (29549: 14) <закрыть res = 0
30615 11: 45: 26.136987377 1 клиент (341cbd92c83b) curl (29550: 15) )
30616 11: 45: 26.136994479 1 клиент (341cbd92c83b) curl (29550: 15)> подключить fd = 3 (<4>)
30617 11: 45: 26.137006538 1 клиент (341cbd92c83b) curl (29550: 15)  10.0.2.15:53
30628 11: 45: 26.137187035 1  (659d266db640) skydns (12139: 1)> recvmsg fd = 6 (<3t> ::: 53)
30636 11: 45: 26.137227118 1  (659d266db640) skydns (12139: 1)  ::: 53
  

В этих выходных данных мы можем определить, как процесс curl в клиенте контейнера генерирует DNS-запрос, который принимается процессом с именем skydns, DNS-сервером, прослушивающим порт 53. Глядя на полезную нагрузку, мы видим, что DNS-запрос был для бэкэнда. критически-app.svc.cluster.local. curl понял, что имя серверной части не является полностью определенным, и добавил .critical-app.svc.cluster.local, чтобы Kubernetes мог его разрешить.

  30640 11:45:26.137499776 1  (659d266db640) skydns (12139: 1)> написать fd = 3 (<4t> 10.0.2.15:40764->10.0.2.15:4001) size = 190
30641 11: 45: 26.137543936 1  (659d266db640) skydns (12139: 1)  (659d266db640) skydns (12139: 1)> recvmsg fd = 6 (<3t> ::: 53)
30685 11:45:26.138173278 1  (659d266db640) skydns (12154: 8)> читать fd = 3 (<4t> 10.0.2.15:40764->10.0.2.15:4001) size = 4096
30686 11: 45: 26.138179138 1  (659d266db640) skydns (12154: 8) <читать res = 553 data =
HTTP / 1.1 200 ОК
Тип содержимого: приложение / json
X-Etcd-Cluster-Id: 7e27652122e8b2ae
X-Etcd-Индекс: 15081
X-Raft-Index: 42991
X-Raft-Term: 2
Дата: пт, 2 декабря 2016 г., 11:45:26 GMT
Длина содержимого: 349

{"action": "get", "node": {"key": "/ skydns / local / cluster / svc / critical-app / backend", "dir": true, "nodes": [{"key" : "/ skydns / local / cluster / svc / critical-app / backend / 5c82f78b", "value": "{" host ":" 10.3.0.116 "," priority ": 10," weight ": 10," ttl ": 30," targetstrip ": 0}", "modifiedIndex": 14027, "createdIndex": 14027}], "modifiedIndex": 14027 , "createdIndex": 14027}}
[...]
  

Мяч был в суде SkyDNS, потому что он должен был разрешить этот DNS-запрос на IP-адрес. Как оно это делает? В Kubernetes источник истины хранится в etcd, распределенном хранилище данных типа "ключ-значение", которое содержит все настройки.

Мы видим, как SkyDNS начинает соединение с etcd (порт 4001). Мы не можем пойти дальше, потому что это выходит за рамки нашей фильтрации (помните, что мы включаем только наше пространство имен, а из внешнего мира только процессы с именем skydns).Но мы можем видеть, как он делает HTTP-запрос к API etcd, запрашивая ключ в / local / cluster / svc / critical-app / backend. etcd отвечает JSON, который включает IP-адрес серверной службы. Затем SkyDNS отправляет DNS-ответ с IP-адресом и возвращает его в контейнер клиента curl.

  30733 11:45: 26.140184272 0 клиент (341cbd92c83b) curl (29549: 14)> подключить fd = 3 (<4>)
30738 11: 45: 26.140535260 0 backend-1440326531-o05qw (4f498dee9e9c) nginx (20647: 7)  172.17.0.7: 46306-> 172.17.0.6:80) tuple = 172.17.0.7: 46306-> 172.17.0.6:80 queuepct = 0 queuelen = 0 queuemax = 128
30743 11: 45: 26.140586592 0 клиент (341cbd92c83b) curl (29549: 14)  10.3.0.116:80
30752 11: 45: 26.140626292 0 клиент (341cbd92c83b) curl (29549: 14)> sendto fd = 3 (<4t> 172.17.0.7:46306->10.3.0.116:80) size = 71 кортеж = NULL
30753 11: 45: 26.140674832 0 клиент (341cbd92c83b) curl (29549: 14)  

Наконец, curl подключается к разрешенному IP-адресу, и HTTP-запрос проходит. Если вы хотите увидеть полную трассировку, она доступна здесь.

Здесь интересно то, что мы видим, как nginx в одном из моих базовых контейнеров принимает HTTP-запрос. Но если вы обратите более пристальное внимание, вы заметите, как отличаются IP-адреса: curl открыл соединение с 10.3.0.116:80, но IP-адрес nginx - 172.17.0.6:80. Kubernetes перехватил соединение, реализовав балансировку нагрузки с помощью iptables. Если мы проверим таблицу NAT:

  $ sudo iptables -n -t нат -L
ПЕРЕДАЧА ЦЕПИ (ПОЛИТИКА ПРИНЯТЬ)
target prot opt ​​источник назначения
KUBE-SERVICES все - 0.0.0.0/0 0.0.0.0/0 / * сервисные порталы kubernetes * /
DOCKER all - 0.0.0.0/0 0.0.0.0/0 ADDRTYPE соответствует dst-type LOCAL

[...]

Сеть КУБЕ-СЕРВИСЫ (2 ссылки)
target prot opt ​​источник назначения
[...]
KUBE-SVC-QIAMZM7CZ7DGYY4U tcp - * * 0.0.0.0/0 10.3.0.116 / * критическое-приложение / бэкэнд: IP-адрес кластера * / tcp dpt: 80

[...]

Цепь KUBE-SVC-QIAMZM7CZ7DGYY4U (1 ссылка)
target prot opt ​​источник назначения
KUBE-SEP-3EH5NW6TCZ37SLM7 все - 0.0.0.0/0 0.0.0.0/0 / * критическое-приложение / бэкэнд: * / статистический режим случайная вероятность 0,33332999982
KUBE-SEP-TM67DFGZSWKXXTT4 all - 0.0.0.0/0 0.0.0.0/0 / * critical-app / backend: * / статистический режим случайная вероятность 0.50000000000
KUBE-SEP-4M5CAF23423KHRN7 все - 0.0.0.0/0 0.0.0.0/0 / * critical-app / backend: * /

[...]

Цепь KUBE-SEP-3EH5NW6TCZ37SLM7 (1 ссылка)
target prot opt ​​источник назначения
KUBE-MARK-MASQ все - 172.17.0.4 0.0.0.0/0 / * критическое-приложение / бэкэнд: * /
DNAT tcp - 0.0.0.0/0 0.0.0.0/0 / * критическое приложение / backend: * / tcp to: 172.17.0.4: 80

[...]

Цепь KUBE-SEP-4M5CAF23423KHRN7 (1 ссылка)
target prot opt ​​источник назначения
KUBE-MARK-MASQ всего - 172.17.0.6 0.0.0.0/0 / * критическое приложение / бэкэнд: * /
DNAT tcp - 0.0.0.0/0 0.0.0.0/0 / * критическое приложение / backend: * / tcp to: 172.17.0.6: 80

Цепь KUBE-SEP-TM67DFGZSWKXXTT4 (1 ссылка)
target prot opt ​​источник назначения
KUBE-MARK-MASQ все - 172.17.0.5 0.0.0.0/0 / * критическое-приложение / бэкэнд: * /
DNAT tcp - 0.0.0.0/0 0.0.0.0/0 / * критическое приложение / backend: * / tcp to: 172.17.0.5: 80
  

Мы можем видеть, как трафик на IP-адрес службы перенаправляется в цепочку, которая с помощью вероятностного модуля iptables перезаписывает трафик на IP-адреса трех модулей.Мы только что узнали, как Kubernetes реализует балансировку нагрузки без сохранения состояния :).

Далее следует просто ответ, Nginx записывает в сокет, а curl получит ответ HTTP.

Заключение

Мы узнали, как SkyDNS разрешает DNS-запросы, запрашивающие HTTP API etcd, и как Kubernetes реализует балансировку нагрузки без сохранения состояния с помощью iptables. В более широком смысле, мы научились отслеживать трафик не только в сетевых сокетах, но и с учетом контейнеров.

Фактически, во второй части мы будем использовать эту возможность для фактического устранения проблемы с разрешением Kubernetes DNS. Подпишитесь на наш блог, чтобы быть в курсе, когда появится следующий пост.

Сообщение навигации

DNS для служб и модулей

Kubernetes создает записи DNS для сервисов и подов. Вы можете связаться службы с согласованными именами DNS вместо IP-адресов.

Введение

Kubernetes DNS планирует DNS-модуль и службу в кластере и настраивает кублеты, чтобы указать отдельным контейнерам использовать IP-адрес службы DNS для разрешить DNS-имена.

Каждая служба, определенная в кластере (включая сам DNS-сервер), назначил DNS-имя. По умолчанию список поиска DNS клиентского модуля включает Собственное пространство имен Pod и домен кластера по умолчанию.

Пространства имен служб

DNS-запрос может возвращать разные результаты в зависимости от пространства имен пода. Это. Запросы DNS, которые не определяют пространство имен, ограничиваются пространство имен. Получите доступ к службам в других пространствах имен, указав это в запросе DNS.

Например, рассмотрим модуль в пространстве имен test . Служба данных находится в пространство имен prod .

Запрос данных не возвращает результатов, потому что он использует пространство имен пода test .

Запрос для data.prod возвращает предполагаемый результат, потому что он указывает пространство имен.

DNS-запросы могут быть расширены с помощью файла pod /etc/resolv.conf . Кубелет устанавливает этот файл для каждого модуля.Например, запрос только для данных может быть расширен до data.test.cluster.local . Значения параметра поиск используются для раскрытия запросов. Чтобы узнать больше о DNS-запросах, см. справочную страницу resolv.conf .

  сервер имен 10.32.0.10
поиск <пространство имен> .svc.cluster.local svc.cluster.local cluster.local
варианты ndots: 5
  

Таким образом, модуль в пространстве имен test может успешно разрешить либо данных.prod или data.prod.svc.cluster.local .

DNS-записи

Какие объекты получают записи DNS?

  1. Услуги
  2. капсулы

В следующих разделах подробно описаны поддерживаемые типы записей DNS и макет, который поддерживается. Любой другой макет, имена или запросы, которые окажутся работоспособными, являются рассмотрены детали реализации и могут быть изменены без предупреждения. Для получения более свежих спецификаций см. Обнаружение службы Kubernetes на основе DNS.

Услуги

Записи A / AAAA

«Обычным» (не безголовым) службам назначается запись DNS A или AAAA, в зависимости от семейства IP-адресов службы, для имени в форме мой-svc.my-namespace.svc.cluster-domain.example . Это разрешает IP-адрес кластера службы.

«Безголовый» (без IP-адреса кластера) Службам также назначается запись DNS A или AAAA, в зависимости от семейства IP-адресов службы, для имени в форме my-svc.my-пространство имен.svc.cluster-domain.example . В отличие от нормального Службы, это разрешается набором IP-адресов модулей, выбранных Службой. Ожидается, что клиенты будут использовать набор или использовать стандартный циклический перебор. выбор из набора.

SRV записи

Записи

SRV создаются для именованных портов, которые являются частью обычного или безголового Услуги. Для каждого именованного порта запись SRV будет иметь вид _my-порт-имя._my-порт-протокол.my-svc.my-namespace.svc.cluster-domain.example .Для обычной службы это разрешается в номер порта и имя домена: мой-svc.my-namespace.svc.cluster-domain.example . Для безголовой службы это разрешает несколько ответов, по одному для каждого модуля. который поддерживает службу и содержит номер порта и доменное имя модуля. формы автоматически сгенерированное-имя.my-svc.my-namespace.svc.cluster-domain.example .

капсулы

Записи A / AAAA

Обычно модуль имеет следующее разрешение DNS:

pod-ip-адрес.мой-namespace.pod.cluster-domain.example .

Например, если модуль в пространстве имен по умолчанию имеет IP-адрес 172.17.0.3, а доменное имя для вашего кластера - cluster.local , тогда у Pod есть DNS-имя:

172-17-0-3.default.pod.cluster.local .

Любые модули, созданные с помощью развертывания или DaemonSet, предоставляемого службой, имеют доступно следующее разрешение DNS:

pod-ip-address.deployment-name.my-namespace.svc.cluster-domain.example .

Поля имени хоста и поддомена Pod

В настоящее время, когда под создается, его имя хоста - это значение метаданных пода .

В спецификации Pod есть необязательное поле hostname , которое можно использовать для указания Имя хоста пода. Если указано, оно имеет приоритет перед именем Pod, чтобы быть имя хоста модуля. Например, для Pod с именем хоста установлено значение « my-host », имя хоста Pod будет установлено на « my-host ».

В спецификации Pod также есть необязательное поле поддомена , которое можно использовать для указания его поддомен. Например, Pod с именем хоста , установленным на « foo », и поддоменом установлен на « bar », в пространстве имен « my-namespace », будет иметь полное доменное имя (FQDN) « foo.bar.my-namespace.svc.cluster-domain.example ».

Пример:

API
  Версия: v1
вид: Сервис
метаданные:
  имя: субдомен по умолчанию
спецификация:
  селектор:
    имя: busybox
  clusterIP: Нет
  порты:
  - name: foo # На самом деле порт не нужен.порт: 1234
    targetPort: 1234
---
apiVersion: v1
вид: Стручок
метаданные:
  имя: busybox1
  ярлыки:
    имя: busybox
спецификация:
  имя хоста: busybox-1
  субдомен: субдомен по умолчанию
  контейнеры:
  - изображение: busybox: 1.28
    команда:
      - спать
      - «3600»
    имя: busybox
---
apiVersion: v1
вид: Стручок
метаданные:
  имя: busybox2
  ярлыки:
    имя: busybox
спецификация:
  имя хоста: busybox-2
  субдомен: субдомен по умолчанию
  контейнеры:
  - изображение: busybox: 1.28
    команда:
      - спать
      - «3600»
    имя: busybox
  

Если существует автономная служба в том же пространстве имен, что и под, и с то же имя, что и поддомен, DNS-сервер кластера также возвращает A или AAAA запись для полного имени хоста Pod.Например, для модуля Pod с именем хоста, установленным на " busybox-1 ", и для субдомена, установленного на « default-subdomain » и автономная служба с именем « default-subdomain » в то же пространство имен, модуль будет видеть свое полное доменное имя как « busybox-1.default-subdomain.my-namespace.svc.cluster-domain.example ». DNS обслуживает Запись A или AAAA с этим именем, указывающая на IP-адрес модуля. Оба модуля " busybox1 " и « busybox2 » может иметь свои отдельные записи A или AAAA.

Объект Endpoints может указывать имя хоста для любых адресов конечных точек, вместе со своим IP.

Примечание: Поскольку записи A или AAAA не создаются для имен Pod, имя хоста требуется для A или AAAA Pod запись, которую нужно создать. Pod без имени хоста , но с поддоменом создаст только Запись A или AAAA для автономной службы ( default-subdomain.my-namespace.svc.cluster-domain.example ), указывая на IP-адрес модуля.Кроме того, Pod должен быть готов, чтобы иметь запись, если для Службы не установлено значение publishNotReadyAddresses = True .

Поле setHostnameAsFQDN пода

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.22 [стабильный]

Когда Pod настроен на использование полного доменного имени (FQDN), его имя хоста является коротким именем хоста. Например, если у вас есть Pod с полным доменным именем busybox-1.default-subdomain.my-namespace.svc.cluster-domain.example , то по умолчанию команда hostname внутри этого Pod возвращает busybox-1 , а команда hostname --fqdn возвращает полное доменное имя.

Когда вы устанавливаете setHostnameAsFQDN: true в спецификации Pod, kubelet записывает полное доменное имя Pod в имя хоста для этого пространства имен Pod. В этом случае и hostname , и hostname --fqdn возвращают полное доменное имя Pod.

Примечание:

В Linux поле имени хоста ядра (поле nodename в структуре struct utsname ) ограничено 64 символами.

Если модуль включает эту функцию и его полное доменное имя превышает 64 символа, он не запустится. Pod останется в статусе Pending ( ContainerCreating , как видно из kubectl ), генерируя события ошибок, такие как Failed to build FQDN from pod hostname and cluster domain, FQDN long-FQDN is too long (64 символа - не более 70 требуемых символов). Один из способов улучшить взаимодействие с пользователем для этого сценария - создать контроллер доступа к веб-перехватчику для управления размером FQDN, когда пользователи создают объекты верхнего уровня, например Deployment.

Политика DNS пода

Политики DNS

могут быть установлены для каждого модуля. В настоящее время Kubernetes поддерживает следуя политикам DNS, зависящим от модуля. Эти политики указаны в dnsPolicy поле спецификации пода.

  • " по умолчанию ": Pod наследует конфигурацию разрешения имен от узла. что стручки работают. См. Обсуждение по теме Больше подробностей.
  • « ClusterFirst »: любой DNS-запрос, не соответствующий настроенному кластеру. суффикс домена, например " www.kubernetes.io ", перенаправляется в вышестоящий сервер имен, унаследованный от узла. У администраторов кластера могут быть дополнительные Настроены тупиковый домен и вышестоящие DNS-серверы. См. Обсуждение по теме для получения подробной информации о том, как обрабатываются DNS-запросы в таких случаях.
  • " ClusterFirstWithHostNet ": для модулей, работающих с hostNetwork, следует явно установите свою политику DNS « ClusterFirstWithHostNet ».
  • « Нет »: позволяет Pod игнорировать настройки DNS из Kubernetes. окружающая обстановка.Все настройки DNS должны быть предоставлены с помощью dnsConfig поле в спецификации модуля. См. Подраздел конфигурации DNS Pod ниже.

Примечание. «По умолчанию» не является политикой DNS по умолчанию. Если dnsPolicy не является явно указано, то используется "ClusterFirst".

В приведенном ниже примере показан модуль с политикой DNS, установленной на « ClusterFirstWithHostNet », потому что для hostNetwork установлено значение true .

API
  Версия: v1
вид: Стручок
метаданные:
  имя: busybox
  пространство имен: по умолчанию
спецификация:
  контейнеры:
  - изображение: busybox: 1.28
    команда:
      - спать
      - «3600»
    imagePullPolicy: IfNotPresent
    имя: busybox
  restartPolicy: Всегда
  hostNetwork: true
  dnsPolicy: ClusterFirstWithHostNet
  

Конфигурация DNS пода

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes v1.14 [стабильный]

Конфигурация DNS

Pod позволяет пользователям больше контролировать настройки DNS для Pod.

Поле dnsConfig является необязательным и может работать с любыми настройками dnsPolicy . Однако, когда для параметра dnsPolicy Pod установлено значение « None », в поле dnsConfig подлежит уточнению.

Ниже приведены свойства, которые пользователь может указать в поле dnsConfig :

  • серверов имен : список IP-адресов, которые будут использоваться в качестве DNS-серверов для Под. Можно указать не более 3 IP-адресов.Когда пода dnsPolicy установлен на " Нет ", список должен содержать хотя бы один IP-адрес, в противном случае это свойство не является обязательным. Перечисленные серверы будут объединены с базовыми серверами имен, созданными из указанная политика DNS с удалением повторяющихся адресов.
  • ищет : список доменов поиска DNS для поиска имени хоста в Pod. Это свойство не является обязательным. Если указано, предоставленный список будет объединен в базовые поисковые доменные имена, созданные на основе выбранной политики DNS.Удаляются повторяющиеся доменные имена. Kubernetes позволяет использовать не более 6 поисковых доменов.
  • параметры : необязательный список объектов, где каждый объект может иметь имя свойство (обязательно) и значение свойство (необязательно). Содержание в этом будет объединено с параметрами, созданными на основе указанной политики DNS. Повторяющиеся записи удаляются.

Ниже приведен пример модуля с пользовательскими настройками DNS:

API
  Версия: v1
вид: Стручок
метаданные:
  пространство имен: по умолчанию
  имя: dns-example
спецификация:
  контейнеры:
    - название: тест
      изображение: nginx
  dnsPolicy: «Нет»
  dnsConfig:
    серверы имен:
      - 1.2.3.4
    поиски:
      - ns1.svc.cluster-domain.example
      - my.dns.search.suffix
    опции:
      - имя: ndots
        значение: «2»
      - имя: edns0
  

Когда Pod выше создан, контейнер test получает следующее содержимое в файле /etc/resolv.conf :

  сервер имен 1.2.3.4
поиск ns1.svc.cluster-domain.example my.dns.search.suffix
варианты ndots: 2 edns0
  

Для настройки IPv6 путь поиска и сервер имен должны быть настроены следующим образом:

  kubectl exec -it dns-example - cat / etc / resolv.conf
  

Вывод похож на этот:

  сервер имен fd00: 79: 30 :: a
поиск default.svc.cluster-domain.example svc.cluster-domain.example cluster-domain.example
варианты ndots: 5
  
Расширенная конфигурация DNS

СОСТОЯНИЕ ФУНКЦИИ: Kubernetes 1.22 [альфа]

По умолчанию для DNS Config Pod Kubernetes разрешает не более 6 поисковых доменов и список поисковых доменов до 256 символов.

Если функция Gate ExpandedDNSConfig включена для kube-apiserver и кубелет, Kubernetes может иметь не более 32 поисковых доменов и список поисковых доменов до 2048 символов.

Наличие функции

Доступность конфигурации Pod DNS и политики DNS « None » показана ниже.

версия k8s Поддержка функций
1,14 Конюшня
1,10 Бета (по умолчанию)
1,9 Альфа

Что дальше

Для получения инструкций по администрированию конфигураций DNS см. Настроить службу DNS

Последнее изменение 26 мая 2021 г., 19:17 по тихоокеанскому стандартному времени : Доступность функции обновления для dns-pod-service (97a453a50) Сеть

- Дополнительные концепции | Архитектура

Если у вас несколько услуги, такие как интерфейсные и серверные службы для использования с несколькими модулями, чтобы модули интерфейса для связи с серверными службами, переменные среды создаются для имен пользователей, IP-адреса службы и т. д.Если сервис удален и воссоздан новый IP-адрес, который может быть назначен службе, и для этого требуется модули интерфейса, которые необходимо воссоздать, чтобы получить обновленные значения для переменная среды IP-адреса службы. Кроме того, серверная служба должна быть создается перед любыми модулями интерфейса, чтобы гарантировать, что IP-адрес службы сгенерирован правильно и может быть предоставлен модулям внешнего интерфейса в качестве переменная окружения.

По этой причине OpenShift имеет встроенный DNS, так что службы могут быть достигаются службой DNS, а также IP / портом службы.OpenShift поддерживает разделить DNS, запустив SkyDNS на главном сервере, который отвечает на запросы DNS для Сервисы. Мастер прослушивает порт 53 по умолчанию.

Когда узел запускается, следующее сообщение указывает, что Kubelet работает правильно. разрешено мастеру:

 0308 19: 51: 03.118430 4484 node.go: 197] Запущен Kubelet для узла
openshiftdev.local, сервер в 0.0.0.0:10250
I0308 19: 51: 03.118459 4484 node.go: 199] Kubelet устанавливает 10.0.2.15 как
DNS-сервер для домена "local" 

Если второе сообщение не появляется, возможно, служба Kubernetes недоступна.

На узле хоста каждый сервер имен Docker-контейнера имеет главное имя, добавленное в front, а домен поиска по умолчанию для контейнера будет . <пространство_под_пода> .cluster.local . Затем контейнер направит любой сервер имен запросы к мастеру перед любыми другими серверами имен на узле, который является поведение Docker по умолчанию. Мастер ответит на запросы в домене .cluster.local которые имеют следующий вид:

Таблица 1.Примеры имен DNS
Тип объекта Пример

По умолчанию

<пространство_имя_пода> .cluster.local

Услуги

<служба>. <Пространство_под_пода> .svc.cluster.local

Конечные точки

<имя>. <Пространство имен> .endpoints.cluster.local

Это предотвращает перезапуск модулей внешнего интерфейса для получения новых услуг, который создает новый IP-адрес для службы.Это также устраняет необходимость использования переменные окружения, поскольку поды могут использовать службу DNS. Кроме того, поскольку DNS не изменяется, вы можете ссылаться на службы баз данных как db.local в файлах конфигурации. Подстановочные знаки также поддерживаются, как и любые поисковые запросы. разрешить IP-адрес службы и устраняет необходимость в создании серверной службы перед любым из модулей внешнего интерфейса, поскольку имя службы (и, следовательно, DNS) установлен заранее.

Эта структура DNS также охватывает безголовые службы, для которых IP-адрес портала не назначен сервису, а kube-proxy не балансирует нагрузку и не предоставляет маршрутизация для его конечных точек.Служба DNS по-прежнему может использоваться и отвечает несколько записей A, по одной для каждого модуля службы, что позволяет клиенту циклический перебор между каждым модулем.

Решения для фильтрации контента по всей стране и сетевой безопасности SkyDNS

SkyDNS предоставляет операторам связи, поставщиков программного обеспечения для кибербезопасности и сетевого оборудования, реселлеров с добавленной стоимостью, компаний, предоставляющих услуги в Интернете, продукты для фильтрации веб-контента и кибербезопасности, а также услуги по анализу угроз.SkyDNS - быстрорастущая компания, которая в России, Казахстане и Украине уже стала ведущим разработчиком облачных решений для фильтрации контента и успешно продает свои решения за пределами СНГ. Во всем мире наша технология уже используется в> 45 странах.

Благодаря нашей работе в сфере информационной безопасности мы приобрели огромный объем знаний и опыта в отношении того, как работает и используется Интернет, какие угрозы возникают и как от них защититься.Обладая этими знаниями и опытом, мы создаем инновационную технологию, основанную на разрешении DNS-запросов, чтобы предоставлять клиентам и партнерам эффективные и надежные продукты и услуги для защиты от веб-угроз и увеличения доходов партнеров.


Технологическая основа всего, что делает SkyDNS, - это наша собственная база данных веб-категорий, SkyDNS DB из более чем 105 M сайтов, разделенных на 60 категорий контента.Для этого SkyDNS обрабатывает и анализирует терабайты данных - журналы DNS, данные, собранные из Интернета через нашу собственную ферму веб-сканеров и из других источников. Наша исследовательская группа работает с данными о ставках, используя такие методы, как непрерывное машинное обучение, искусственный интеллект и анализ поведения пользователей, чтобы обогатить базу данных SkyDNS и обеспечить высокое качество категоризации в Интернете.

Особое внимание мы уделяем обнаружению опасных ресурсов и веб-угроз. Поэтому компания запустила высокоточную систему обнаружения вредоносных сайтов.Это значительно повысило безопасность наших пользователей в Интернете и добавило категории БД SkyDNS, наиболее важные для безопасности в Интернете. Вооружившись такой сложной технологией, SkyDNS предлагает ряд решений для партнеров и клиентов.

SkyDNS для связи

Для фильтрации Интернета на любом уровне - даже общенациональные сетевые операторы могут выбрать любое решение SkyDNS из целого ряда бесплатных продуктов и услуг, предназначенных для операторов.Независимо от того, какое решение SkyDNS выберет телекоммуникационный оператор для развертывания, наша технология фильтрации гарантирует, что конечные пользователи получат доступ только к разрешенным веб-сайтам.

Просмотрите эту брошюру, чтобы узнать больше о , как SkyDNS предоставляет контент по всей стране. , фильтрация и сетевая безопасность на национальном уровне.

Возможности SkyDNS

Чтобы ввести эффективный родительский контроль, поставщики услуг Интернета и мобильной связи могут отфильтровывать порнографию, социальные сети, наркотики, алкоголь, экстремистские, ненавистные, расистские, связанные с оружием и другие нежелательные веб-сайты.Чтобы точно настроить фильтрацию в соответствии с индивидуальными потребностями, клиенты SkyDNS выбирают, какие группы онлайн-ресурсов блокировать или разрешать среди категорий 60 , содержащих самые популярные интернет-ресурсы и почти все самые опасные. Таким образом блокируется доступ к неприемлемому контенту и контенту с возрастным ограничением в веб-браузерах и мобильных приложениях.

Определенные сайты легко занести в белый или черный список. Интернет также можно фильтровать в режиме белого списка.Чтобы предотвратить обход SkyDNS, вы можете легко заблокировать прокси и анонимайзеры. Вместе с настраиваемой фильтрацией абоненты телекоммуникационных компаний получают такие полезные возможности SkyDNS, как включение ограниченного режима YouTube и режима безопасного поиска для Google и Bing, чтобы отфильтровать наиболее откровенный контент в результатах поиска и на YouTube.

Функция блокировки рекламы особенно популярна среди наших клиентов, поскольку она ускоряет загрузку веб-страниц из-за отсутствия раздражающей и отвлекающей рекламы любого типа - видео, аудио, контекста, баннера и всплывающих окон.Блокировщик рекламы также защищает от вредоносных программ, замаскированных под безобидную рекламу, и гарантирует, что дети не увидят неприемлемые рекламные изображения в веб-браузерах и мобильных приложениях.

Используя наши решения, поставщики услуг Интернета и мобильной связи получают подробные отчеты и статистику по запрошенным, заблокированным или разрешенным доменам, наиболее популярным категориям контента и т. Д.

SkyDNS поддерживает фильтрацию HTTP и HTTPS.Технология фильтрации компании поддерживает любой тип веб-соединения - мобильное (GSM / CDMA / LTE), беспроводное (WiFi), широкополосное. Веб-трафик фильтруется одинаково хорошо, независимо от того, какие подключенные к Интернету устройства, новые или старые, используются для серфинга (маршрутизаторы WiFi или DSL, настольные компьютеры, ноутбуки, планшеты, смартфоны и т. Д.).

Решения для фильтрации SkyDNS поддерживают самые популярные ОС (Windows, Linux, Mac, iOS и Android).

SkyDNS можно использовать для защиты отдельных подключенных к Интернету устройств, целых сетей любого размера и общедоступных точек доступа Wi-Fi.Его также можно использовать в качестве опции для специальных интернет-тарифных планов для детей.

Решения для фильтрации SkyDNS обладают высокой масштабируемостью и имеют возможность резервирования. Чтобы узнать больше о преимуществах продуктов и услуг SkyDNS для телекоммуникационных компаний, загрузите нашу брошюру.

Интернет-провайдер Облако

Необходимо за час улучшить защиту всей сети от ботнетов, вредоносных и фишинговых ресурсов и внедрить удобные для детей интернет-планы? Разверните службу облачной фильтрации SkyDNS! Вы просто перенаправляете запросы DNS пользователей на наши серверы фильтрации и определяете, какие категории ресурсов должны быть доступны вашим подписчикам.Для интеграции централизованной системы управления сетевым оборудованием с нашим облачным сервисом мы предоставляем API подписки операторов связи.

Имея время безотказной работы 100 % за последние 9 лет, наша распределенная сеть серверов, расположенных в Европе, Юго-Восточной Азии, Южной Африке, Австралии и обеих Америках, обеспечивает быстрый отклик по всему миру без задержек. Ежедневно серверы обрабатывают более 1 B DNS-запросов, блокируя доступ к 9 M-запросам к вредоносным программам и ботнетам.


ISP Go

ISP Go - это сложная платформа родительского контроля, разработанная для телекоммуникационных компаний с целью внедрения услуги с соответствующим названием, которую можно легко монетизировать. Решение позволяет как провайдеру интернет-услуг, так и его подписчикам управлять службой родительского контроля.SkyDNS ISP Go - это автономное решение, устанавливаемое внутри сети оператора на выделенный физический или виртуальный сервер.

Платформа разработана с учетом открытой архитектуры. ISP Go полностью бесплатен. После интеграции через API с системами оператора, такими как OSS / BSS и порталом самообслуживания, платформа предоставляет услугу родительского контроля под собственным брендом оператора. Программная платформа предназначена для преодоления ограничений доступа к Интернету через NAT, поскольку она развернута внутри сетей операторов с доступом к внутренним IP-адресам.

ISP Go использует ту же технологию и базу данных, что и облачный сервис SkyDNS. Это гарантирует клиентам SkyDNS высокую производительность, стабильность и качество фильтрации.

Фильтр ISP

Это система блокировки доменов и URL-адресов, позволяющая операторам сети соблюдать правила, отфильтровывая контент, запрещенный властями (из списков антипиратства, списков веб-страниц и ресурсов с детской порнографией и другим незаконным контентом).Благодаря автоматическому обновлению обязательных списков сайтов, подлежащих блокировке, SkyDNS ISP Filter гарантирует, что операторы всегда будут на правильной стороне закона.

Если операторам необходимо создать свои собственные списки доменов и веб-страниц, чтобы всегда блокировать или разрешать, они могут легко добавить их в черные или белые списки.

С технологией SkyDNS несколько средних и крупных операторов связи EMEA - в Великобритании, Ливии,

Ливан и Палестина - успешно обеспечивает безопасность широкополосных и мобильных сетей.Во всем мире более 100 сетевых операторов защищают миллионы абонентов с помощью решений для фильтрации SkyDNS и веб-безопасности.

SkyDNS для поставщиков программного и аппаратного обеспечения

Чтобы повысить ценность своих продуктов, поставщики программного обеспечения для обеспечения безопасности и производители сетевого оборудования могут получить доступ к нашей обширной базе данных, содержащей> 110 M категорированных интернет-ресурсов. С сокровищницей данных от SkyDNS поставщики БД могут расширить функциональность, улучшить качество своих продуктов и получить много полезных данных о своем профиле конечного пользователя.Последний пригодится для лучшего и более точного таргетинга рекламы.

Клиенты могут адаптировать БД SkyDNS к своим потребностям, добавив категории личного контента и выбрав наиболее удобный способ доступа к базе данных - либо через REST Categoryization API, либо через SDK категоризации.

Чтобы получить дополнительную информацию о решениях SkyDNS для поставщиков оборудования и программного обеспечения, ознакомьтесь с нашей брошюрой.


SkyDNS для производителей сетевого оборудования

С помощью технологии SkyDNStechnology производители сетевого оборудования добавляют к своему оборудованию ряд полезных функций и опций для веб-фильтрации, мониторинга использования Интернета и управления доступом в Интернет.Усовершенствованное оборудование SkyDNS предоставляет пользователям еще один уровень защиты от киберугроз из Интернета и зараженных пользовательских устройств.

Для демонстрации этих функций SkyDNS создал модуль фильтрации контента для беспроводных маршрутизаторов на основе OpenWRT. Производители могут протестировать маршрутизаторы с модулем SkyDNS, чтобы убедиться во всех потрясающих возможностях, которые он предоставляет:

  • Управление доступом в Интернет путем применения индивидуальной политики фильтрации для каждого устройства в сети, даже для устройств за NAT - непревзойденная функция, доступная только для SkyDNS
  • обеспечивают соблюдение интернет-политик , выбирая из 60 категорий контента, которые нужно заблокировать или разрешить
  • делают Интернет более безопасным за счет фильтрации ботнетов, вредоносных и фишинговых сайтов
  • блокируют большую часть отвлекающей, раздражающей онлайн-рекламы , которая иногда содержит неприемлемые изображения и может распространять вредоносное ПО
  • избегайте порнографии и содержания только для взрослых на самом популярном видеохостинге и в поисковых системах, включив ограниченный режим YouTube и режим безопасного поиска для Google и Bing
  • с по знают, кто какие сайты просматривает из сети.Пользователи сетевого оборудования с поддержкой SkyDNS получают подробную статистику использования интернет-трафика - посещенные и заблокированные сайты, самые популярные сайты и категории контента, по которым эти сайты классифицируются, и многое другое.

Интегрируя наш модуль фильтрации в свое сетевое оборудование, производители получают дополнительный периодический доход - процент от годовой абонентской платы, уплачиваемой пользователями по плану SkyDNS.

D-link , один из крупнейших производителей оборудования для WiFi, интегрировал модуль фильтрации SkyDNS в 3 модели маршрутизаторов D-Link, продаваемых в СНГ. ZYXEL (Тайвань) и Fältcom (Швеция) первыми внедрили готовые к интеграции решения SkyDNS. В странах Европы, Ближнего Востока и Африки эти производители успешно продают маршрутизаторы с расширенными функциями SkyDNS, повышая безопасность конечных пользователей в Интернете и увеличивая прибыль. Dovado, другой шведский поставщик маршрутизаторов WiFi предлагает покупателям улучшенные беспроводные маршрутизаторы SkyDNS.

SkyDNS для экспертов и аналитиков в области кибербезопасности

Недавно наша новая система анализа данных SkyDNS Data для SOC, экспертов по кибербезопасности, специалистов по реагированию на инциденты и исследователей была запущена в режиме бета-тестирования.Система уже привлекла потенциальных тестеров, которым нужны ее данные для борьбы с киберпреступностью и ее растущими ценами.

Система аналитики данных консолидирует и представляет в удобной форме набор данных, накопленных SkyDNS:

Данные, сгенерированные с помощью нашей системы фильтрации облачного контента ( 13 узлов по всему миру, 1 млрд запросов в день)

Данные пассивной системы DNS, которые собираются в нашем облаке ( 1.2 B записей)

Данные системы веб-категоризации SkyDNS OctoDB, основанной на машинном обучении для обнаружения вредоносных узлов и категоризации интернет-ресурсов, 180 M доменов в нашей индексной базе данных)

Такие данные необходимы для борьбы с киберпреступниками, которые используют инфраструктуру Интернета для проведения атак и сокрытия их путем изменения IP-адресов, доменов и серверов имен.Данные системы аналитики помогут пользователям повысить свой потенциал интернет-безопасности в среде, где IT-преступность растет день ото дня.

SkyDNS для клиентов

Наша облачная служба фильтрации веб-контента основана на базе данных SkyDNS и нашей распределенной сети серверов, расположенных по всему миру. Облачный сервис SkyDNS пользуется спросом у родителей и для защиты несовершеннолетних детей от неприемлемых и вредоносных сайтов, расточителей времени в Интернете и веб-рекламы.

Образовательные учреждения любого уровня - от детских садов до школ, колледжей и университетов и т. Д. Используют службу SkyDNS для защиты учащихся и сотрудников от вредоносных программ, фишинга, ботнетов и нежелательных интернет-ресурсов.

Для обеспечения соблюдения корпоративных политик использования Интернета для любого количества пользователей, предотвращения траты рабочего времени сотрудников на несоответствующий веб-серфинг и введения дополнительного уровня защиты от опасных ресурсов. предприятия используют несколько функций нашей службы облачной фильтрации.

С помощью службы SkyDNS общедоступный Wi-Fi владельцы соблюдают нормативные требования, обязывающие их фильтровать контент, вредный для детей, в бесплатном доступе к Wi-Fi в общественных местах. Провайдеры Wi-Fi также привлекают больше посетителей, предлагая по-настоящему семейный Интернет в своих сетях.

Торговые посредники с добавленной стоимостью и Дистрибьюторы программного обеспечения SkyDNS предоставляет партнерские программы, позволяющие торговым посредникам увеличивать доходы, предлагая клиентам новые услуги на основе фильтрации веб-контента.

Подключиться к SkyDNS

Мы гордимся всеми нашими продуктами для фильтрации контента, кибербезопасности, анализа данных, обнаружения угроз и категоризации в Интернете - они не уступают лидерам рынка. И мы используем любую возможность, чтобы регулярно демонстрировать эти продукты на крупнейших отраслевых мероприятиях.

Отправьте свои контактные данные и сообщите нам, какие решения SkyDNS вас интересуют, чтобы мы могли отправить вам дополнительную информацию о необходимых решениях.

Обнаружение службы

- Служба Kubernetes DNS

Обнаружение служб - одна из основных функций любой контейнерной среды. После того, как вы упаковали свое приложение и запустили его с использованием контейнеров, следующим шагом станет его обнаружение для других контейнеров приложений в вашей среде или во внешнем мире.

В этой статье мы рассмотрим поддержку обнаружения сервисов, предоставляемую Rancher 2.0 и посмотрите, как набор функций Rancher 1.6 соответствует последней версии.

Обнаружение услуг в ранчо 1.6

Rancher 1.6 обеспечивает обнаружение сервисов в среде Cattle. Собственный микросервис DNS Rancher обеспечивал внутренние функции DNS.

Внутренний DNS

Rancher обеспечивает следующие ключевые функции:

  • Обнаружение сервисов в стеке и по стеку

    Все службы в стеке разрешаются с помощью , и . в стопках.

  • Обнаружение контейнера

    Все контейнеры разрешаются глобально по их имени.

  • Создание псевдонима службы

    Добавление псевдонима к службам и связывание с другими службами с использованием псевдонимов.

  • Обнаружение внешних сервисов

    Указывает на службы, развернутые за пределами Rancher, с использованием внешнего IP-адреса ИЛИ доменного имени.

Обнаружение услуг на ранчо 2.0

Rancher 2.0 использует встроенную поддержку Kubernetes DNS, чтобы обеспечить обнаружение эквивалентных сервисов для рабочих нагрузок и модулей Kubernetes. Пользователь Cattle сможет воспроизвести все функции обнаружения сервисов в Rancher 2.0 без потери какой-либо функциональности.

Подобно микросервису DNS Rancher 1.6, Kubernetes планирует модуль и службу DNS в кластере и настраивает кублеты для маршрутизации всех запросов DNS к этой службе DNS. Кластер Kubernetes Rancher 2.0 развертывает skyDNS в качестве службы Kubernetes DNS, которая является разновидностью реализации Kube-DNS по умолчанию.

Разрешение службы

Как отмечалось в этой предыдущей статье, сервис Rancher 1.6 соответствует рабочей нагрузке Kubernetes определенного типа. Краткое описание популярных типов рабочих нагрузок можно найти здесь.

Рабочие нагрузки Kubernetes - это объекты, которые определяют правила развертывания модулей, запускаемых для рабочей нагрузки. Сами по себе объекты рабочей нагрузки не могут быть разрешены через DNS для других объектов в кластере Kubernetes. Для поиска и доступа к рабочей нагрузке необходимо создать Kubernetes Service для этой рабочей нагрузки.Вот некоторые подробности о сервисе Kubernetes.

Любой сервис, созданный в Kubernetes, получает DNS-имя. Запись DNS A, созданная для службы, имеет вид <имя_службы>. <Имя_пространства> .svc.cluster.local . DNS-имя службы преобразуется в IP-адрес кластера службы. IP-адрес кластера - это внутренний IP-адрес, назначенный службе, которая разрешается в кластере.

В пространстве имен Kubernetes сервис разрешается напрямую с помощью , а за пределами пространства имен - с помощью .<имя_пространства> . Это соглашение аналогично обнаружению сервисов внутри стека и между стеком для Rancher 1.6.

Таким образом, для поиска и доступа к рабочей нагрузке вашего приложения необходимо создать службу, которой будет назначена запись DNS.

Rancher упрощает этот процесс, автоматически создавая службу вместе с рабочей нагрузкой, используя порт службы и тип службы, которые вы выбираете в пользовательском интерфейсе, при развертывании рабочей нагрузки и имя службы, идентичное имени рабочей нагрузки.Если нет открытого порта, используется порт 42 . Эта практика позволяет обнаруживать рабочую нагрузку в пространствах имен и между ними по ее имени.

Например, как показано ниже, я развертываю несколько рабочих нагрузок типа Deployment в двух пространствах имен с использованием пользовательского интерфейса Rancher 2.0.

Я вижу соответствующие записи DNS, автоматически созданные Rancher для рабочих нагрузок в Cluster> Project> Service Discovery tab .

Рабочие нагрузки становятся доступными для любых других рабочих нагрузок в пространствах имен и между ними, как показано ниже.

Pod Разрешение

Отдельным модулям, работающим в кластере Kubernetes, также назначается запись DNS, которая имеет вид . .pod.cluster.local . Например, модуль с IP-адресом 10.42.2.7 в пространстве имен по умолчанию с DNS-именем cluster.local будет иметь запись 10-42-2-7.default.pod.cluster.local .

Модули

также могут быть разрешены с использованием полей имени хоста и поддомена , если они установлены в спецификации модуля.Подробности об этом разрешении описаны в документации Kubernetes здесь.

Создание псевдонимов для рабочих нагрузок и внешних служб

Так же, как вы можете создать псевдоним для служб Rancher 1.6, вы можете сделать то же самое для рабочих нагрузок Kubernetes с помощью Rancher 2.0. Точно так же вы также можете создавать записи DNS, указывающие на запущенные извне службы, используя их имя хоста или IP-адрес в Rancher 2.0. Эти записи DNS являются объектами службы Kubernetes.

Используя пользовательский интерфейс 2.0, перейдите к представлению Cluster> Project и выберите вкладку Service Discovery .Здесь все существующие записи DNS, созданные для ваших рабочих нагрузок, будут перечислены под каждым пространством имен.

Нажмите Добавить запись , чтобы создать новые записи DNS и просмотреть различные варианты, поддерживаемые для связи с внешними службами или для создания псевдонимов для другой рабочей нагрузки / записи DNS / набора модулей.

Следует отметить, что из этих параметров для создания записей DNS следующие параметры изначально поддерживаются Kubernetes:

  • Укажите на внешнее имя хоста
  • Укажите на набор модулей, которые соответствуют селектору

Остальные варианты реализуются Rancher с использованием Kubernetes:

  • Укажите на внешний IP-адрес
  • Создать псевдоним для другой записи DNS
  • Укажите на другую рабочую нагрузку

Docker Compose в Kubernetes YAML

Теперь посмотрим, что нам нужно, если мы хотим перенести приложение с 1.С 6 по 2.0 с использованием файлов Compose вместо развертывания через пользовательский интерфейс 2.0.

Как отмечалось выше, когда мы развертываем рабочие нагрузки с использованием пользовательского интерфейса Rancher 2.0, Rancher внутренне заботится о создании необходимой службы Kubernetes ClusterIP для обнаружения служб. Однако, если вы развертываете рабочую нагрузку через интерфейс командной строки Rancher или клиент Kubectl, что вы должны делать, чтобы обеспечить такое же поведение при обнаружении служб?

Обнаружение службы в пространствах имен и между ними с помощью Compose

Начнем со следующего файла docker-compose.yml, который показывает две службы ( foo и bar ) внутри стека. В стеке Cattle эти две службы могут связываться друг с другом, используя свои имена служб.

 версия: '2'
Сервисы:
  бар:
    изображение: пользователь / testnewhostrouting
    stdin_open: правда
    tty: правда
    ярлыки:
      io.rancher.container.pull_image: всегда
  foo:
    изображение: пользователь / testnewhostrouting
    stdin_open: правда
    tty: правда
    ярлыки:
      io.rancher.container.pull_image: всегда 

Что произойдет с обнаружением служб, если мы перенесем эти две службы в пространство имен в Rancher 2.0?

Мы можем преобразовать этот файл docker-compose.yml из Rancher 1.6 в Kubernetes YAML с помощью инструмента Kompose, а затем развернуть приложение в кластере Kubernetes с помощью Rancher CLI.

Теперь это преобразование генерирует файлы * -deployment.yaml , и их развертывание с помощью Rancher CLI создает соответствующие рабочие нагрузки в пространстве имен.

Могут ли эти рабочие нагрузки взаимодействовать друг с другом в пространстве имен? Мы можем выполнить в оболочке рабочей нагрузки foo , используя Rancher 2.0 и посмотрите, работает ли пинг для другой рабочей нагрузки бар .

Нет! Причина в том, что мы создали только объекты рабочей нагрузки типа Deployment . Чтобы сделать эти рабочие нагрузки доступными для обнаружения, каждой из них нужна указывающая на них служба типа ClusterIP , которой будет назначена запись DNS. YAML Kubernetes для такого сервиса должен выглядеть, как на примере ниже.

Обратите внимание, что портов является обязательным полем. Следовательно, нам необходимо предоставить его с использованием некоторого номера порта, например, 42 , как показано здесь.

API
 Версия: v1
вид: Сервис
метаданные:
  аннотации:
    io.rancher.container.pull_image: всегда
  creationTimestamp: нуль
  ярлыки:
    io.kompose.service: бар
  имя: бар
спецификация:
  clusterIP: Нет
  порты:
  - имя: по умолчанию
    порт: 42
    протокол: TCP
    targetPort: 42
  селектор:
    io.kompose.service: бар 

После развертывания этой службы через интерфейс командной строки, служба foo может успешно проверить связь со службой bar !

Таким образом, если вы выберете маршрут Compose-to-Kubernetes-YAML для миграции вашего файла 1.6 для Rancher 2.0, убедитесь, что вы также развернули соответствующие службы ClusterIP для рабочих нагрузок. То же решение применимо и к ссылкам рабочих нагрузок между пространствами имен.

ссылок / External_Links через Compose

Если вы являетесь пользователем Cattle, вы знаете, что в Rancher 1.6 вы можете создать ссылку / псевдоним службы, указывающую на другую службу, и использовать это имя псевдонима в своем приложении, чтобы обнаружить эту связанную целевую службу.

Например, рассмотрим приложение ниже, где служба web ссылается на службу базы данных , используя псевдоним mongo .

Используя Kompose, преобразование этого файла Compose в Kubernetes YAML сгенерировало соответствующие спецификации развертывания и обслуживания YAML. Если ваши службы в docker-compose.yml открывают порты, Kompose по умолчанию генерирует YAML-спецификацию службы Kubernetes ClusterIP .

Развертывание их с помощью Rancher CLI создало необходимые рабочие нагрузки.

Однако служебная ссылка mongo отсутствует, поскольку преобразование Kompose не поддерживает ссылки в файле docker-compose.yml файл. В результате рабочая нагрузка web обнаруживает ошибку, и ее поды продолжают перезапускаться, не имея возможности разрешить ссылку mongo на службу базы данных .

Как исправить неработающую ссылку DNS? Решение состоит в том, чтобы создать еще одну спецификацию службы ClusterIP и установить для ее имени псевдоним ссылки в docker-compose.

При развертывании этой службы создается необходимая запись DNS, и создается ссылка mongo , что делает доступной рабочую нагрузку web !

На следующем изображении показано, что модули, запущенные для рабочей нагрузки web , перешли в состояние Выполняется, .

Переход от SkyDNS к CoreDNS в будущем

Начиная с версии 2.0.7, Rancher развертывает skyDNS в соответствии с поддержкой Kubernetes версии 1.10.x. В Kubernetes версии 1.11 и новее CoreDNS можно установить в качестве поставщика DNS. Мы также оцениваем CoreDNS, и он будет представлен в качестве альтернативы skyDNS в будущих версиях Rancher.

Заключение

В этой статье было рассмотрено, как обнаружение эквивалентных сервисов может поддерживаться в Rancher 2.0 через Kubernetes DNS. В следующей статье я планирую рассмотреть варианты балансировки нагрузки, поддерживаемые Rancher 2.0, и любые ограничения по сравнению с Rancher 1.6.

Как я могу вызвать сбои поиска DNS в (локальном) экземпляре Kubernetes (где sky-dns исправен)

Похоже, что local-up-cluster в kubernetes, на ubuntu, не может разрешать запросы DNS, полагаясь на DNS кластера.

настройка

Я запускаю ящик ubuntu с переменными окружения для DNS, установленными в локальном кластере:

  # env | grep KUBE
KUBE_ENABLE_CLUSTER_DNS = верно
KUBE_DNS_SERVER_IP = 172.17.0.1
  

рабочая информация

sky-dns кажется счастливым:

I0615 00: 04: 13.563037 1 server.go: 198] Показатели Skydns включены (/ metrics: 10055) I0615 00: 04: 13.563051 1 dns.go: 147] Начальный endpointsController I0615 00: 04: 13.563054 1 dns.go: 150] Запуск serviceController I0615 00: 04: 13.563125 1 logs.go: 41] skydns: готов для запросов на cluster.local. для tcp: //0.0.0.0: 10053 [rcache 0] I0615 00: 04: 13.563141 1 логи.go: 41] skydns: готов к запросам на cluster.local. для UDP: //0.0.0.0: 10053 [rcache 0] I0615 00: 04: 13.589840 1 dns.go: 264] Новая услуга: kubernetes I0615 00: 04: 13.589971 1 dns.go: 462] Добавлена ​​запись SRV и {Хост: kubernetes.default.svc.cluster.local. Порт: 443 Приоритет: 10 Вес: 10 Текст: Почта: false Ttl: 30 TargetStrip: 0 Группа: Ключ:} I0615 00: 04: 14.063246 1 dns.go: 171] Инициализированные службы и конечные точки из apiserver I0615 00: 04: 14.063267 1 server.go: 129] Настройка Healthz Handler (/ готовность) I0615 00:04:14.063274 1 server.go: 134] Настройка обработчика кеша (/ cache) I0615 00: 04: 14.063288 1 server.go: 120] Статус HTTP-порт 8081

kube-proxy кажется счастливым:

I0615 00: 03: 53.448369 5706 proxier.go: 864] Установка конечных точек для «default / kubernetes: https» на [172.31.44.133:6443] I0615 00: 03: 53.545124 5706 controller_utils.go: 1001] Кеши синхронизируются для контроллера конфигурации службы I0615 00: 03: 53.545146 5706 config.go: 210] Вызов обработчика.OnServiceSynced () I0615 00:03:53.545208 5706 proxier.go: 979] Не синхронизируется iptables до тех пор, пока службы и конечные точки не будут получены от главного устройства. I0615 00: 03: 53.545125 5706 controller_utils.go: 1001] Кеши синхронизируются для контроллера конфигурации конечных точек I0615 00: 03: 53.545224 5706 config.go: 110] Вызов обработчика.OnEndpointsSynced () I0615 00: 03: 53.545274 5706 proxier.go: 309] Добавление нового служебного порта "default / kubernetes: https" в 10.0.0.1:443/TCP I0615 00: 03: 53.545329 5706 proxier.go: 991] Синхронизация правил iptables I0615 00: 03: 53.993514 5706 прокси.go: 991] Синхронизация правил iptables I0615 00: 03: 54.008738 5706 bounded_frequency_runner.go: 221] sync-runner: выполняется, следующий возможен через 0 секунд, периодический через 30 секунд I0615 00: 04: 24.008904 5706 proxier.go: 991] Синхронизация правил iptables I0615 00: 04: 24.023057 5706 bounded_frequency_runner.go: 221] sync-runner: выполняется, следующий возможный через 0 секунд, периодический через 30 секунд

результат

Однако я, похоже, не могу разрешить что-либо внутри кластера, тот же результат с docker exec или kube exec:

  ➜ kubernetes git: (master) kc exec --namespace = kube-system kube-dns-2673147055-4j6wm - nslookup kubernetes.default.svc.cluster.local
Имя контейнера по умолчанию - kubedns.
Используйте "kubectl describe pod / kube-dns-2673147055-4j6wm", чтобы увидеть все
контейнеры в этом контейнере.
nslookup: не удается разрешить '(null)': имя не разрешается
nslookup: не удается разрешить 'kubernetes.default.svc.cluster.local': имя не разрешается
  

вопрос

Какой самый простой способ дальнейшей отладки системы, созданной с использованием локального кластера, в котором работают модули DNS, но kubernetes.default.svc.cluster.local не разрешен? Обратите внимание, что все остальные аспекты этого кластера работают отлично.

Информация о системе: Linux ip-172-31-44-133 4.4.0-1018-aws # 27-Ubuntu SMP Пт 19 мая 17:20:58 UTC 2017 x86_64 x86_64 x86_64 GNU / Linux.

Пример resolv.conf, который помещается в мои контейнеры ...

  / etc / cfssl # cat /etc/resolv.conf
сервер имен 172.17.0.1
поиск default.svc.cluster.local svc.cluster.local cluster.local dc1.lan
варианты ndots: 5
  
.

Leave a comment