Debuguer les latences DNS dans un cluster EKS

RSS
ymaillard 11/05/2026
RÉSOLU
Retour Répondre
Avatar de ymaillard
ymaillard
Auteur
Avatar de ymaillard
ymaillard
Auteur

J'ai des timeouts intermittents sur les résolutions DNS dans mon cluster Kubernetes. Ça arrive surtout lors des montées en charge. J'utilise CoreDNS par défaut.

Les logs montrent des NXDOMAIN aléatoires ou des requêtes qui tombent en timeout après 5 secondes. Quelqu'un a une méthode robuste pour isoler si c'est CoreDNS ou le node-local-dns ?

11/05/2026 à 19:00

10 commentaires

Avatar de nath-gauthier
nath-gauthier
Membre
Avatar de nath-gauthier
nath-gauthier
Membre

C'est un classique. Souvent, c'est le conntrack du kernel qui sature. Vérifie le nombre de connexions ouvertes avec sysctl net.netfilter.nf_conntrack_count.

12/05/2026 à 11:49
Avatar de ymaillard
ymaillard
Auteur
Avatar de ymaillard
ymaillard
Auteur

J'ai checké, on est à 80% de la limite. C'est peut-être ça. Comment augmenter la limite sans risquer de crash le node ?

13/05/2026 à 06:45
Avatar de jdupuis
jdupuis
Membre Rédacteur
Avatar de jdupuis
jdupuis
Membre Rédacteur

Tu peux ajuster net.netfilter.nf_conntrack_max, mais c'est temporaire. As-tu activé le ndots:5 dans /etc/resolv.conf ? C'est souvent la cause des requêtes inutiles.

14/05/2026 à 03:14
Avatar de marcelle-loiseau
marcelle-loiseau
Membre
Avatar de marcelle-loiseau
marcelle-loiseau
Membre

Utilise dnstop ou tcpdump sur l'interface veth du pod pour voir si les paquets sortent vraiment.

tcpdump -i eth0 udp port 53
15/05/2026 à 02:22
Avatar de ymaillard
ymaillard
Auteur
Avatar de ymaillard
ymaillard
Auteur

Je vais installer dnstop dans un container sidecar pour capturer le trafic en direct.

15/05/2026 à 18:59
Avatar de nath-gauthier
nath-gauthier
Membre
Avatar de nath-gauthier
nath-gauthier
Membre

Aussi, vérifie la config CoreDNS. Si tu as beaucoup de services, le cache peut être saturé. Augmente la taille du cache dans la ConfigMap.

16/05/2026 à 09:36
Avatar de ymaillard
ymaillard
Auteur
Avatar de ymaillard
ymaillard
Auteur

J'ai augmenté le cache à 10000 entrées, on va voir si ça stabilise les requêtes récurrentes.

17/05/2026 à 02:43
Avatar de jdupuis
jdupuis
Membre Rédacteur
Avatar de jdupuis
jdupuis
Membre Rédacteur

Si ça ne suffit pas, passe sur une résolution nodelocaldns avec un cache local par node, ça limite les sauts réseau.

18/05/2026 à 02:29
Avatar de ymaillard
ymaillard
Auteur
Avatar de ymaillard
ymaillard
Auteur

C'est déjà en place, mais je vais vérifier si la configuration de kube-dns ne force pas un bypass du cache local.

18/05/2026 à 20:55
Avatar de ymaillard
ymaillard
Auteur
Avatar de ymaillard
ymaillard
Auteur

Problème identifié : c'était bien le conntrack qui dropait les paquets UDP. Augmentation effectuée, plus de timeouts depuis 2h.

19/05/2026 à 10:00

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire