Sujet :

Networking : soucis dns bizarre avec des enregistrements cname externes

RÉSOLU

Liste des sujets Répondre Créer un sujet

Avatar de olivier61

olivier61

Membre depuis le 21/07/2024

yo la team j'ai un truc chelou sur notre infra le dns interne marche nickel mais on a des services qui doivent résoudre des cname externes vers des domaines de nos clients et là c'est la loterie des fois ça marche des fois ça renvoie un nxdomain ou une timeout on utilise coredns en k8s avec des forwarders vers les dns de notre vpc qui eux forwardent vers route53

Avatar de couturier-marcelle

couturier-marcelle

Membre depuis le 29/12/2024

hello t'as regardé les logs de coredns déjà voir si c'est lui qui galère ou si le problème est plus loin genre le forwarder de ton vpc qui a du mal à joindre route53 des fois c'est un problème de connectivité udp ou de ports bloqués

Avatar de fabre-paulette

fabre-paulette

Membre depuis le 27/11/2024

et si tes cname pointent vers des domaines qui sont hébergés chez des dns qui bloquent les requêtes récursives ça peut poser souci coredns va pas pouvoir suivre la chaîne de résolution externe. faut voir si les clients ont pas des politiques de sécurité restrictives

Avatar de marguerite43

marguerite43

Membre depuis le 24/04/2024

vérifie aussi la configuration de tes forwarders dans coredns est-ce qu'ils sont bien configurés pour faire de la résolution externe ou juste pour les domaines internes ? et le timeout de ton coredns est ptete trop court si les dns externes sont lents à répondre


# corefile exemple
.:53 {
    errors
    health
    ready
    kubernetes cluster.local in-addr.arpa ip6.arpa {
        pods insecure
        fallthrough in-addr.arpa ip6.arpa
    }
    forward . 8.8.8.8 8.8.4.4 { # exemple vers dns public
        force_tcp # pour éviter les soucis udp et gros paquets
    }
    cache 30
}

Avatar de ines68

ines68

Membre depuis le 02/09/2024

la force_tcp c'est une bonne idée pour certains dns qui aiment pas les réponses trop grosses en udp ça peut arriver avec des cname complexes ou des chaînes de résolution longues. ou alors t'as un firewall qui vire les fragments udp ce qui est courant

Avatar de olivier61

olivier61

Membre depuis le 21/07/2024

c'est ça les gars un mix de plusieurs trucs le timeout était un peu court et en plus j'avais pas force_tcp sur le forward après avoir activé ça et augmenté un peu le timeout dans coredns ça roule beaucoup mieux merci pour l'aide précieuse

Répondre

vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire