External-DNS 同步模式下DNS记录管理问题解析

问题背景

在使用External-DNS管理Kubernetes集群的DNS记录时，发现了一个关键问题：当Kubernetes中的Service或Ingress资源被删除或更新时，对应的DNS记录未能被同步删除或更新。具体表现为：

1. 删除Kubernetes资源后，DNS记录仍然保留
2. 更新Kubernetes资源时，会创建新的DNS记录而非更新现有记录
3. 手动删除DNS记录后，External-DNS会重新创建它们

环境配置

External-DNS配置如下：

• 版本：v0.14.0（测试过v0.13.6、v0.12.0和v0.10.0均有相同问题）
• 运行模式：sync（同步模式）
• 数据源：ingress和service
• 注解过滤：只管理带有"managed.by=external-dns"注解的资源
• DNS提供商：PowerDNS
• 协议：RFC2136

问题分析

从日志分析发现，External-DNS只执行创建操作（Create），而没有执行更新（Update）或删除（Delete）操作。这表明External-DNS无法正确识别需要删除或更新的记录。

深入排查后发现，问题的根本原因在于AXFR（区域传输）功能未正确配置。RFC2136协议要求TSIG密钥必须同时具备DYNUPDATE和AXFR权限才能完整支持DNS记录的增删改查操作。

解决方案

1. 修改TSIG密钥配置：

   • 为TSIG密钥添加AXFR权限
   • 确保密钥同时具备DYNUPDATE和AXFR功能

2. 调整External-DNS配置：

   • 添加--rfc2136-tsig-axfr=true参数
   • 确保External-DNS能够执行完整的区域传输操作

技术原理

AXFR（全区域传输）是DNS协议中用于传输整个DNS区域数据的机制。在External-DNS中，AXFR功能对于以下操作至关重要：

• 记录比对：通过获取完整的区域数据，External-DNS能够准确识别哪些记录需要更新或删除
• 状态同步：确保Kubernetes资源状态与DNS记录保持严格一致
• 冲突解决：避免重复创建记录或遗漏删除操作

最佳实践

1. 权限配置：

   • 确保TSIG密钥同时具备DYNUPDATE和AXFR权限
   • 遵循最小权限原则，只授予必要的DNS操作权限

2. 监控与验证：

   • 定期检查External-DNS日志，确认所有操作类型（创建、更新、删除）都能正常执行
   • 验证DNS记录的TTL、所有权标记等元数据是否正确设置

3. 测试策略：

   • 在非生产环境充分测试各种场景（创建、更新、删除）
   • 验证跨版本兼容性，特别是升级External-DNS时

总结

External-DNS的完整功能依赖于DNS提供商的全功能支持。当遇到记录管理异常时，管理员应首先检查：

1. DNS提供商的权限配置是否完整
2. External-DNS的相关功能开关是否启用
3. 日志中是否包含所有预期的操作类型

通过正确配置AXFR功能，可以确保External-DNS在Kubernetes环境中实现DNS记录的完全生命周期管理，保持基础设施状态的一致性。