Azure Kubernetes Service LocalDNS 구성

LocalDNS는 클러스터에서 실행되는 워크로드에 대한 DNS(도메인 이름 시스템) 확인 성능 및 복원력을 향상시키기 위해 설계된 AKS(Azure Kubernetes Service) 기능입니다. 각 노드에 DNS 프록시를 배포할 때 LocalDNS는 DNS 쿼리 대기 시간을 줄이고, 네트워크 중단 중에 안정성을 향상시키며, DNS 캐싱 및 전달을 위한 고급 구성 옵션을 제공합니다. 이 문서에서는 LocalDNS의 작동 방식, 구성 옵션 및 AKS 클러스터에서 LocalDNS를 사용하도록 설정, 확인 및 문제를 해결하는 방법을 설명합니다.

LocalDNS가 무엇인지, 아키텍처 세부 정보 및 주요 기능을 포함하여 알아보려면 AKS(Azure Kubernetes Service)에서의 DNS 확인을 참조하세요.

LocalDNS 구성에 대한 모범 사례

AKS 클러스터에서 LocalDNS를 구현하는 경우 다음 모범 사례를 고려합니다.

최소 구성으로 시작: Preferred 모드를 사용하여 LocalDNS 구성 구문의 유효성을 검사하는 간단한 구성으로 시작한 후 Required 모드로 이동합니다. 이 모드는 Preferred LocalDNS를 사용하지 않고 구성의 유효성을 검사하므로 클러스터에 영향을 주지 않고 구성 오류를 조기에 catch할 수 있습니다.
적절한 캐싱 전략 구현: 워크로드 특성에 따라 캐시 설정을 구성합니다.
- 레코드를 자주 변경하는 경우 더 짧은 cacheDurationInSeconds 값을 사용합니다. 이렇게 할 때 cacheDurationInSeconds는 DNS 레코드 TTL의 한도 역할을 하지만 증가하지는 않는다는 점에 유의해야 합니다. 결과 TTL은 업스트림에서 반환되거나 캐시 플러그 인에 설정된 값 중 더 작습니다.
- 안정적인 레코드의 경우 더 긴 캐시 기간을 사용하여 DNS 쿼리를 줄입니다.
- 적절한 설정을 사용하여 serveStale DNS 중단 중에도 서비스를 유지할 수 있도록 설정하십시오.
- LocalDNS를 사용한 캐싱은 최상의 노력으로 작동하며 부실 응답을 보장하지 않습니다. 캐시는 256개의 분할된 데이터베이스로 나뉘며 기본 최대 항목은 10,000개이므로 각 분할된 데이터베이스는 약 39개의 항목을 보유할 수 있습니다. 분할된 데이터베이스가 가득 차서 새 항목을 추가해야 하는 경우 기존 항목 중 하나가 임의로 선택되어 제거됩니다. 이전 또는 만료 항목에 대한 기본 설정은 없습니다. 따라서 부실 레코드를 항상 사용할 수 있는 것은 아니며, 특히 높은 쿼리 볼륨에서 사용할 수 있는 것은 아닙니다.
DNS 성능 모니터링: LocalDNS를 사용하도록 설정한 후 다음을 사용하여 애플리케이션의 DNS 성능을 모니터링합니다.
- 애플리케이션 성능 메트릭.
- 감소된 네트워크 압력을 감지하는 노드 메트릭입니다.
- queryLogging을 Log로 설정할 때 로그 항목을 기록합니다.
최소 권한 원칙을 따릅니다. DNS 전달 규칙을 구성할 때 필요한 DNS 서버 및 도메인에 대한 액세스만 허용합니다.
프로덕션 배포 전 테스트: 프로덕션 클러스터에 배포하기 전에 항상 비프로덕션 환경에서 LocalDNS 구성을 테스트합니다.
IaC(Infrastructure as Code) 사용: localdnsconfig.json 파일을 인프라 리포지토리에 저장하고 AKS 배포 템플릿에 포함합니다.
TCP 전달을 위한 네트워크 구성: VnetDNS에 DNS 전달에 TCP를 사용하는 경우 NSG(네트워크 보안 그룹), 방화벽 또는 NVA(네트워크 가상 어플라이언스)가 CoreDNS/LocalDNS 및 VnetDNS 서버 간의 TCP 트래픽을 차단하지 않는지 확인합니다.
NodeLocal DNSCache와 LocalDNS를 모두 사용하도록 설정하지 마세요. 노드 풀에서 업스트림 Kubernetes NodeLocal DNSCache 및 LocalDNS를 모두 사용하도록 설정하는 것은 권장되지 않습니다. AKS가 이 구성을 차단하지는 않지만 모든 DNS 트래픽은 LocalDNS를 통해 라우팅되므로 NodeLocal DNSCache의 예기치 않은 동작 또는 감소된 이점이 발생할 수 있습니다.

필수 조건

LocalDNS를 사용하려면 Kubernetes 버전 1.31 이상이 있는 기존 AKS 클러스터가 있어야 합니다. AKS 클러스터가 필요한 경우 Azure CLI, Azure PowerShell 또는 Azure 포털 사용하여 만들 수 있습니다.
이 문서에는 Azure CLI 버전 2.80.0 이상이 필요합니다. Azure Cloud Shell 사용하는 경우 최신 버전이 이미 설치되어 있습니다.
LocalDNS는 Linux 또는 Ubuntu 22.04 이상에서 Azure 실행되는 노드 풀에서만 지원됩니다.
노드 풀에 사용되는 VM(Virtual Machine) SKU는 LocalDNS를 지원하려면 4개 이상의 vCPU(코어)가 있어야 합니다.
LocalDNS는 ACNS(Advanced Container Networking Services)의 적용된 FQDN(정규화된 도메인 이름) 필터 정책과 호환되지 않습니다.

AKS 클러스터에서 LocalDNS 관리

LocalDNS는 AKS의 노드 풀 수준에서 구성됩니다. 즉, 클러스터의 각 노드 풀에 대해 LocalDNS를 독립적으로 사용하거나 사용하지 않도록 설정할 수 있습니다. 이렇게 하면 다양한 워크로드 또는 환경의 특정 요구 사항에 따라 DNS 확인 동작이 조정됩니다. 노드 풀에서 LocalDNS를 사용하도록 설정하려면 해당 노드 풀에 대해 LocalDNS가 작동하는 방식을 정의하는 localdnsconfig.json 구성 파일을 제공해야 합니다.

비고

NAP(노드 자동 프로비저닝)를 사용하는 경우 NAP에서 LocalDNS 를 사용하도록 설정하는 방법에 대한 지침은 LocalDNS 구성을 참조하세요.

노드 풀을 만드는 동안 LocalDNS를 사용하도록 설정하려면 사용자 지정 구성 파일과 함께 다음 명령을 사용합니다.

az aks nodepool add --name mynodepool1 --cluster-name myAKSCluster --resource-group myResourceGroup --localdns-config ./localdnsconfig.json

기존 노드 풀에서 LocalDNS를 사용하도록 설정하려면 사용자 지정 구성 파일과 함께 다음 명령을 사용합니다.

az aks nodepool update --name mynodepool1 --cluster-name myAKSCluster --resource-group myResourceGroup --localdns-config ./localdnsconfig.json

중요합니다

노드 풀에서 LocalDNS를 사용하도록 설정하면 해당 풀 내의 모든 노드에서 이미지 다시 설치 작업이 시작됩니다. 이 프로세스로 인해 워크로드 실행이 일시적으로 중단될 수 있으며 제대로 관리되지 않는 경우 애플리케이션 가동 중지 시간이 발생할 수 있습니다. 이 설정을 사용하도록 설정하기 전에 잠재적인 서비스 중단을 계획하고 애플리케이션이 고가용성을 위해 구성되었거나 적절한 중단 예산이 있는지 확인해야 합니다.

비고

NAP(노드 자동 프로비저닝)를 사용하는 경우 NAP에서 LocalDNS 를 사용하지 않도록 설정하는 방법에 대한 지침은 LocalDNS 구성을 참조하세요.

노드 풀에 LocalDNS를 사용하지 않도록 설정하려면 localdnsconfig.json 파일을 업데이트하고 mode 속성을 Disabled로 설정해야 합니다. 이 변경으로 AKS는 지정된 풀의 모든 노드에서 로컬 DNS 프록시를 해제하고 DNS 확인을 기본 클러스터 동작으로 되돌립니다. 구성 파일을 업데이트한 후 Azure CLI 사용하여 노드 풀에 적용하여 변경 내용이 적용되도록 합니다.

az aks nodepool update --name mynodepool1 --cluster-name myAKSCluster --resource-group myResourceGroup --localdns-config ./localdnsconfig.json

LocalDNS를 사용하도록 설정하면 지정된 노드 풀의 Pod에서 DNS 쿼리를 실행하고 응답의 SERVER 필드를 검사하여 LocalDNS 주소가169.254.10.10 반환(또는 169.254.10.11)되는지 확인하여 해당 작업을 확인할 수 있습니다.

유효성 검사 단계를 실행하기 전에 다음 조건이 충족되는지 확인합니다.

kubectl AKS 클러스터에 액세스하도록 설치하고 구성했습니다.
사용자 계정에는 Pod를 만들고 실행하기 위한 충분한 권한이 있습니다.
LocalDNS의 유효성을 검사하려는 노드 풀이 준비 상태입니다.
클러스터 노드에서 BusyBox 이미지(busybox:1.28)에 액세스할 수 있습니다.

확인 방법의 예는 다음과 같습니다.

LocalDNS가 사용하도록 설정된 노드 풀에서 디버그 Pod를 만듭니다.
```
kubectl run dnstest --image=busybox:1.28 -- sleep 3600
```
Pod가 실행되면 DNS 설정 확인을 위해 다음 명령어를 실행하세요.
```
kubectl exec -it dnstest -- nslookup kubernetes.default
```
출력을 확인합니다. localDNS가 올바르게 작동하는 경우 서버 주소가 169.254.10.10 또는 169.254.10.11인 응답이 표시됩니다.
```
Server:    169.254.10.10
Address 1: 169.254.10.10

Name:      kubernetes.default
Address 1: 10.0.0.1 kubernetes.default.svc.cluster.local
```

비고

NAP(노드 자동 프로비저닝)를 사용하는 경우 NAP로 LocalDNS 를 구성하는 방법에 대한 지침은 LocalDNS 구성을 참조하세요.

LocalDNS는 JSON 기반 구성 파일 localdnsconfig.json 사용하여 각 노드 풀에 대한 DNS 확인 동작을 정의합니다. 이 파일을 사용하면 작동 모드, 다른 DNS 도메인에 대한 서버 블록 및 캐싱, 전달 및 로깅과 같은 플러그 인 설정을 지정할 수 있습니다.

기본 LocalDNS 구성

기본 LocalDNS 구성은 대부분의 AKS 워크로드에 대한 내부 및 외부 DNS 확인을 모두 최적화하는 균형 잡힌 설정을 제공합니다. 이 구성을 시작점으로 사용하고 클러스터의 특정 DNS 요구 사항에 더 잘 맞게 사용자 지정할 수 있습니다.

LocalDNS를 사용자 지정할 때 템플릿으로 다음 구성 형식을 사용합니다. 필요에 따라 추가 서버 블록을 정의할 수 있지만 지원되지 않거나 비표준 최상위 속성을 구성에 추가하면 유효성 검사 실패가 발생합니다.

{
  "mode": "Required",
  "vnetDNSOverrides": {
    ".": {
      "queryLogging": "Error",
      "protocol": "PreferUDP",
      "forwardDestination": "VnetDNS",
      "forwardPolicy": "Sequential",
      "maxConcurrent": 1000,
      "cacheDurationInSeconds": 3600,
      "serveStaleDurationInSeconds": 3600,
      "serveStale": "Immediate"
    },
    "cluster.local": {
      "queryLogging": "Error",
      "protocol": "ForceTCP",
      "forwardDestination": "ClusterCoreDNS",
      "forwardPolicy": "Sequential",
      "maxConcurrent": 1000,
      "cacheDurationInSeconds": 3600,
      "serveStaleDurationInSeconds": 3600,
      "serveStale": "Immediate"
    }
  },
  "kubeDNSOverrides": {
    ".": {
      "queryLogging": "Error",
      "protocol": "PreferUDP",
      "forwardDestination": "ClusterCoreDNS",
      "forwardPolicy": "Sequential",
      "maxConcurrent": 1000,
      "cacheDurationInSeconds": 3600,
      "serveStaleDurationInSeconds": 3600,
      "serveStale": "Immediate"
    },
    "cluster.local": {
      "queryLogging": "Error",
      "protocol": "ForceTCP",
      "forwardDestination": "ClusterCoreDNS",
      "forwardPolicy": "Sequential",
      "maxConcurrent": 1000,
      "cacheDurationInSeconds": 3600,
      "serveStaleDurationInSeconds": 3600,
      "serveStale": "Immediate"
    }
  }
}

`mode`를 LocalDNS용으로 구성

LocalDNS는 워크로드에 대한 LocalDNS 적용 범위를 정의하는 세 가지 가능한 모드로 사용하도록 설정할 수 있습니다.

Required: 이 모드에서는 모든 필수 구성 요소가 충족되는 경우 LocalDNS가 노드 풀에 적용됩니다. 요구 사항이 충족되지 않으면 배포가 실패합니다.
Disabled: 로컬 DNS 기능을 사용하지 않도록 설정합니다. 즉, DNS 쿼리가 노드에서 로컬로 확인되지 않습니다.
Preferred: 이 모드에서 AKS는 LocalDNS 구성이 구문적으로 올바르지만 노드에서 LocalDNS를 사용하도록 설정하지 않는지 확인합니다. 그러나 이 모드를 적용하면 노드 이미지 작업이 계속 트리거되므로 클러스터의 DNS 확인에 영향을 주지 않고도 오류에 대한 구성을 테스트할 수 있습니다.

다음 표에는 각 모드 및 Kubernetes 버전에 대한 LocalDNS 동작이 요약되어 있습니다.

Kubernetes 버전	선호	필수	사용 안 함
1.31 미만	지원되지 않음	지원되지 않음	지원되지 않음
1.31보다 큼	구성 유효성 검사됨, 설치되지 않음	설치 및 적용	구성 유효성 검사됨, 설치되지 않음

비고

이 모드는 Preferred 현재 유효성 검사 전용 모드로 사용됩니다. 이후 Kubernetes 버전에서 이 모드는 LocalDNS를 자동으로 사용하도록 설정으로 전환됩니다. 현재 프로덕션 배포에서는 Required 모드를 사용하여 LocalDNS를 활성화합니다.

LocalDNS에 대한 서버 블록 및 지원되는 플러그 인

기본 구성은 Pod가 dnsPolicy:default 아래에서 vnetDNSOverrides를 사용하고 dnsPolicy:ClusterFirst 아래에서 kubeDNSOverrides를 사용하는 경우의 쿼리에 적용됩니다. 각 블록 내에는 . 및 cluster.local의 두 개의 기본 서버 블록이 정의되어 있습니다.

. 는 공용 또는 비클러스터 도메인(예 microsoft.com: )을 확인하려는 Pod의 모든 외부 DNS 쿼리를 나타냅니다.
cluster.local 는 kubernetes 서비스 이름 또는 내부 클러스터 리소스를 확인하려는 Pod의 모든 내부 Kubernetes 서비스 검색 쿼리를 나타냅니다. 이러한 쿼리는 클러스터 내에서 확인을 위해 CoreDNS를 통해 라우팅됩니다.

지원되는 플러그 인

플러그 인	설명	기본값	허용되는 입력
`queryLogging`	DNS 쿼리에 대한 로깅 수준을 정의합니다.	`Error`	`Error` `Log`
`protocol`	DNS 쿼리에 사용되는 프로토콜을 설정합니다(UDP/TCP 기본 설정).	cluster.local의 경우 `ForceTCP`, 그렇지 않은 경우 `PreferUDP`	`PreferUDP` `ForceTCP`
`forwardDestination`	쿼리를 전달할 DNS 서버를 지정합니다.	`ClusterCoreDNS` cluster.local 및 kubeDNS 트래픽의 경우, 그렇지 않으면 `VnetDNS`	`VnetDNS` `ClusterCoreDNS`
`forwardPolicy`	업스트림 DNS 서버를 선택할 때 사용할 정책을 결정합니다.	`Sequential`	`Random` `RoundRobin` `Sequential`
`maxConcurrent`	LocalDNS에서 처리하는 최대 동시 DNS 쿼리 수입니다.	`1000`	정수
`cacheDurationInSeconds`	DNS 응답이 캐시되는 최대 TTL(Time To Live)(초)입니다.	`3600`	정수
`serveStaleDurationInSeconds`	업스트림을 사용할 수 없는 경우 부실 DNS 응답을 제공하는 기간(초)입니다.	`3600`	정수
`serveStale`	업스트림 실패 시 부실 DNS 응답을 제공하는 정책입니다.	`Immediate`	`Verify` `Immediate` `Disabled`

구성 유효성 검사 규칙

LocalDNS 구성을 만들 때 배포 오류를 방지하려면 다음 유효성 검사 규칙을 알고 있어야 합니다.

루트 영역(.) 제한 사항: vnetDNSOverrides 아래에서는 루트 영역에 대한 forwardDestination를 ClusterCoreDNS할 수 없습니다.
Cluster.local 영역 제한: vnetDNSOverrides 및 kubeDNSOverrides에서는, forwardDestination의 cluster.local를 VnetDNS할 수 없습니다.
프로토콜 및 serveStale 호환성: protocol가 ForceTCP로 설정되면, serveStale를 Verify로 설정할 수 없습니다. Immediate를 대신 사용하세요.

비고

이러한 유효성 검사 규칙은 구성 배포 중에 적용됩니다. 이를 위반하면 LocalDNS 구성이 유효성 검사에 실패합니다.

LocalDNS에서 사용자 지정 서버 블록 만들기

CoreDNS는 쿼리되는 도메인에 대한 정확한 일치를 기반으로 특정 서버 블록에 대한 쿼리를 일치시키고 부분 일치는 일치하지 않습니다. 사용자 지정 서버 블록이 필요한 경우 추가된 구성을 사용하여 localdnsconfig.json 파일을 만들어 LocalDNS 구성에 추가할 수 있습니다.

예를 들어 microsoft.com 액세스할 때 특정 DNS가 필요한 경우 다음 서버 블록을 사용할 수 있습니다.

"microsoft.com": {
  "queryLogging": "Error",
  "protocol": "ForceTCP",
  "forwardDestination": "ClusterCoreDNS",
  "forwardPolicy": "Sequential",
  "maxConcurrent": 1000,
  "cacheDurationInSeconds": 3600,
  "serveStaleDurationInSeconds": 3600,
  "serveStale": "Immediate"
}

LocalDNS 모니터링

LocalDNS는 모니터링 및 경고에 사용할 수 있는 Prometheus 메트릭을 노출합니다. 이러한 메트릭은 노드 IP의 포트 9253 에 노출되며 여기에서 스크래핑할 수 있습니다.

다음 YAML 예제는 애드온으로서 Azure Managed Prometheus를 DaemonSet으로 사용할 수 있는 스크랩 구성을 보여줍니다.

kind: ConfigMap
apiVersion: v1
metadata:
  name: ama-metrics-prometheus-config-node
  namespace: kube-system
data:
  prometheus-config: |-
    global:
      scrape_interval: 1m
    scrape_configs:
    - job_name: localdns-metrics
      scrape_interval: 1m
      scheme: http
      metrics_path: /metrics
      relabel_configs:
      - source_labels: [__metrics_path__]
        regex: (.*)
        target_label: metrics_path
      - source_labels: [__address__]
        replacement: '$NODE_NAME'
        target_label: instance
      static_configs:
      - targets: ['$NODE_IP:9253']

LocalDNS 문제 해결

특정 도메인에 대한 DNS 쿼리가 실패합니다.

LocalDNS를 사용하도록 설정한 후 특정 도메인에 대한 DNS 쿼리가 실패하는 경우:

localdnsconfig.json에 잘못 구성되었을 수 있는 도메인별 재정의가 있는지 확인합니다.
도메인별 재정의를 제거하고 기본 . 구성만 사용하여 일시적으로 시도합니다.
설정을 조정 protocol 하여 UDP(사용자 데이터그램 프로토콜) 및 TCP(Transmission Control Protocol) 모두에서 문제가 발생하는지 확인합니다.

LocalDNS용 Vnet DNS 서버 업데이트

Azure 포털 또는 CLI를 사용하여 Vnet 구성에서 직접 사용자 지정 DNS 서버를 업데이트하는 경우 이러한 변경 내용은 AKS 클러스터 노드에 자동으로 적용되지 않습니다. Vnet 수준에서 DNS 설정을 업데이트하면 NRP(네트워크 리소스 공급자)만 알릴 수 있지만 AKS 리소스 공급자에 알리지 않습니다. 따라서 AKS 노드는 추가 작업이 수행될 때까지 이전 DNS 서버 설정을 계속 사용합니다.

AKS 노드가 새 Vnet DNS 서버 설정을 선택하도록 하려면 다음을 수행합니다.

필요에 따라 Azure 포털 또는 API를 사용하여 Vnet DNS 구성을 업데이트합니다.
AKS 리소스 공급자를 사용하여 노드 풀을 이미지로 다시 설치하여 업데이트된 DNS 설정이 적용되고 유지되도록 합니다.
```
az aks nodepool upgrade --resource-group myResourceGroup --cluster-name myAKSCluster --name mynodepool --node-image-only
```

이 프로세스를 통해 AKS 리소스 공급자는 DNS 변경 내용을 인식하고 노드 풀의 모든 노드에 적용합니다.

LocalDNS를 사용하여 DNS 확인을 허용하도록 Cilium 네트워크 정책 업데이트

클러스터에 Cilium 네트워크 정책을 배포하는 경우 LocalDNS IP 주소에 대한 Pod 송신을 명시적으로 허용해야 합니다.

네트워크 정책은 지정되지 않은 대상에 대해 기본 거부 모델을 적용하므로 명시적으로 허용되지 않는 한 LocalDNS에 대한 DNS 트래픽이 차단됩니다.

Cilium <=v1.16에서 k8s <=1.31로 구동되는 Azure CNI에서 CIDR 기반 정책을 통해 수행할 수 있습니다.
Cilium >=v1.17 및 K8s >=1.32가 적용된 Azure CNI에서 호스트 엔터티로의 아웃바운드 트래픽이 허용되는 Cilium 네트워크 정책을 사용할 수 있습니다.

다음 Cilium 네트워크 정책을 사용하여 모든 버전에서 트래픽을 허용할 수 있습니다.

apiVersion: "cilium.io/v2"
kind: CiliumNetworkPolicy
metadata:
  name: "allow-azure-dns-egress"
  namespace: default
spec:
  endpointSelector:
    matchLabels: {} # This selects ALL pods in the namespace
  egress:
    - toCIDR:
        - 169.254.10.0/24
      toPorts:
        - ports:
            - port: "53"
              protocol: UDP
            - port: "53"
              protocol: TCP
    - toEntities:
        - host
      toPorts:
        - ports:
            - port: "53"
              protocol: UDP
            - port: "53"
              protocol: TCP

다음 단계

AKS의 LocalDNS에 대한 자세한 내용은 Azure Kubernetes Service(개념)에서의 LocalDNS를 참조하세요.

LocalDNS를 사용할 때 DNS 문제에 대한 포괄적인 문제 해결 지침은 AKS의 LocalDNS 문제 해결을 참조하세요.

AKS에서 CoreDNS를 사용자 지정하는 방법에 대한 자세한 내용은 CoreDNS 사용자 지정 가이드를 참조하세요.

CoreDNS 프로젝트에 대한 자세한 내용은 CoreDNS 업스트림 프로젝트 페이지를 참조하세요.

핵심 네트워크 개념에 대해 자세히 알아보려면 AKS의 애플리케이션에 대한 네트워크 개념을 참조하세요.

피드백

이 페이지가 도움이 되었나요?

Last updated on 2026-04-28

Azure Kubernetes Service LocalDNS 구성

LocalDNS 구성에 대한 모범 사례

필수 조건

AKS 클러스터에서 LocalDNS 관리

피드백

추가 리소스