dnssec validation qui foire sur mes pods k8s
Commentaires
salut ! ouais ça sent la validation dnssec qui pète. coredns par défaut ne fait pas la validation. il forwarde juste. si ton resolv.conf pointe vers un resolver qui fait la validation ça devrait marcher. t'as quoi dans /etc/resolv.conf de coredns et de tes nœuds ?
le resolv.conf de coredns pointe vers nos ad internes et ensuite vers des resolvers publics genre 1.1.1.1. c'est ptete eux qui merdent sur la validation
regarde si t'as le plugin "dnssec" dans la config de ton coredns. sans ça, il valide rien. tu peux l'activer et pointer vers un trust-anchor si besoin. mais ça peut être gourmand en cpu
ok je vais voir pour le plugin dnssec. j'ai checké et il est pas activé. j'ai trouvé une doc qui parle de le rajouter avec un "trust-anchor ." pour qu'il prenne la root key. je tente ça
si tu l'actives gaffe à la charge cpu sur coredns ça peut monter si t'as beaucoup de requêtes. surveille tes métriques après
bon bah c'était bien le plugin dnssec. je l'ai ajouté et maintenant ça valide correctement les domaines. les pods résolvent tout nickel. thx les gars pour le coup de main ! je vais surveiller le cpu de coredns mais pour l'instant ça a l'air d'aller
Laisser une réponse
Vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
joly-sebastien
Membre depuis le 26/06/2024actif
yo la team j'ai un souci bizarre on a activé dnssec sur notre domaine et maintenant nos pods k8s ont du mal à résoudre certains noms de domaine externes. ça marche pour google.com mais pas pour des trucs genre dnssec-failed.org ou d'autres domaines où dnssec est activé. j'ai l'impression que c'est lié à la validation. notre coredns est en mode par défaut