6 commentaires
salut ! ouais ça sent la validation dnssec qui pète. coredns par défaut ne fait pas la validation. il forwarde juste. si ton resolv.conf pointe vers un resolver qui fait la validation ça devrait marcher. t'as quoi dans /etc/resolv.conf de coredns et de tes nœuds ?
le resolv.conf de coredns pointe vers nos ad internes et ensuite vers des resolvers publics genre 1.1.1.1. c'est ptete eux qui merdent sur la validation
regarde si t'as le plugin "dnssec" dans la config de ton coredns. sans ça, il valide rien. tu peux l'activer et pointer vers un trust-anchor si besoin. mais ça peut être gourmand en cpu
ok je vais voir pour le plugin dnssec. j'ai checké et il est pas activé. j'ai trouvé une doc qui parle de le rajouter avec un "trust-anchor ." pour qu'il prenne la root key. je tente ça
bon bah c'était bien le plugin dnssec. je l'ai ajouté et maintenant ça valide correctement les domaines. les pods résolvent tout nickel. thx les gars pour le coup de main ! je vais surveiller le cpu de coredns mais pour l'instant ça a l'air d'aller
Laisser une réponse
Vous devez être connecté pour poster un message !
yo la team j'ai un souci bizarre on a activé dnssec sur notre domaine et maintenant nos pods k8s ont du mal à résoudre certains noms de domaine externes. ça marche pour google.com mais pas pour des trucs genre dnssec-failed.org ou d'autres domaines où dnssec est activé. j'ai l'impression que c'est lié à la validation. notre coredns est en mode par défaut