dns résolution lente pour services k8s depuis on-prem

Posté par gabrielle-leblanc le 02/11/2025
RÉSOLU
Retour Répondre Créer

Avatar de gabrielle-leblanc

gabrielle-leblanc

Membre depuis le 11/07/2024

yo la team j'ai un souci avec nos services k8s hébergés dans le cloud. la résolution dns depuis nos serveurs on-prem vers les services k8s est super lente parfois ça prend plusieurs secondes. alors que la résolution vers des sites externes est nickel. on utilise un cluster k8s EKS et nos serveurs on-prem utilisent les forwarders vers des résolveurs r53. des idées de pourquoi c'est lent ?

Commentaires

Avatar de antoine-gay

antoine-gay

Membre depuis le 31/03/2024

salut. t'as vérifié que tes forwarders on-prem pointent bien vers les adresses IP correctes des résolveurs r53 pour ta vpc ? des fois ça change après une maintenance AWS. et check aussi la latence entre ton on-prem et ces IP là, un simple ping devrait te donner une idée

Avatar de esauvage

esauvage

Membre depuis le 21/07/2024

c'est ptete un souci de conditionnal forwarder si vous utilisez bind ou dnsmasq. si le domaine k8s (.svc.cluster.local etc) est pas bien forwardé vers les résolveurs k8s (kube-dns/coredns), ça peut faire des timeouts avant de fallback

Avatar de gabrielle-leblanc

gabrielle-leblanc

Membre depuis le 11/07/2024

@user_key_2 j'ai checké les ips et elles sont bonnes. latence ping est genre 20ms c'est ok. @user_key_3 on utilise bien des conditionnal forwarders pour le domaine du vpc. voici un dig depuis on-prem vers un service k8s

dig @10.100.0.20 my-service.my-namespace.svc.cluster.local

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-26.P2.amzn2.2 <<>> @10.100.0.20 my-service.my-namespace.svc.cluster.local
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 4567
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;my-service.my-namespace.svc.cluster.local. IN A

;; Query time: 5003 msec
;; SERVER: 10.100.0.20#53(10.100.0.20)
;; WHEN: Thu Oct 26 10:30:00 UTC 2023
;; MSG SIZE  rcvd: 79

Avatar de antoine-gay

antoine-gay

Membre depuis le 31/03/2024

servfail avec 5s de timeout c'est pas bon du tout. ça sent le firewall qui bloque le port 53 udp entre ton on-prem et les résolveurs r53 de la vpc. vérifie tes security groups et acls réseau côté aws et le firewall on-prem

Avatar de gabrielle-leblanc

gabrielle-leblanc

Membre depuis le 11/07/2024

bon sang c'était ça ! un vieux rule dans un sg qui bloquait le trafic udp 53 sortant vers le CIDR de la vpc. je l'ai viré et boom la résolution est instantanée. merci les gars !

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire