NXDOMAIN sporadiques sur CoreDNS K8s pour services internes

RSS
gabriel-guyon 19/09/2025
RÉSOLU
Retour Répondre
Avatar de gabriel-guyon
gabriel-guyon
Auteur Actif
Avatar de gabriel-guyon
gabriel-guyon
Auteur Actif

Salut à tous ! On a un souci bien relou avec CoreDNS dans notre cluster K8s. On a des erreurs NXDOMAIN aléatoires pour des résolutions de noms de services internes (genre my-service.my-namespace.svc.cluster.local). Ça arrive pas tout le temps, mais de manière imprévisible, et ça pète des requêtes inter-services. Nos pods ont bien le resolv.conf qui pointe vers le service CoreDNS. Les logs de CoreDNS montrent rien d'anormal en général. Des idées de pistes à explorer ?

19/09/2025 à 02:59

6 commentaires

Avatar de xbreton
xbreton
Membre Actif
Avatar de xbreton
xbreton
Membre Actif

hello. première chose à checker le cpu/mémoire de tes pods coredns. s'ils sont throttled ils peuvent rater des requêtes. et regarde aussi si t'as pas des soucis de conntrack sur tes nodes linux, des fois ça sature et ça bloque le traffic udp dns

19/09/2025 à 21:27
Avatar de xmillet
xmillet
Membre Actif
Avatar de xmillet
xmillet
Membre Actif

regarde aussi les logs de kube-proxy sur les nodes où tes pods client tournent. si y'a des soucis de configuration iptables pour le service coredns ça peut générer des drops. et vérifie le ttl des entrées dns dans coredns

20/09/2025 à 20:15
Avatar de gabriel-guyon
gabriel-guyon
Auteur Actif
Avatar de gabriel-guyon
gabriel-guyon
Auteur Actif

les ressources coredns sont ok pas de throttling. par contre conntrack sur les nodes c une bonne piste. on a pas mal de trafic et ça fait longtemps qu'on a pas optimisé ça. comment je check ça rapidement ?

21/09/2025 à 16:56
Avatar de xbreton
xbreton
Membre Actif
Avatar de xbreton
xbreton
Membre Actif

conntrack -S sur tes nodes. tu verras entries et searched_entries. si entries est proche de max c'est que t'es full. tu peux augmenter la limite avec sysctl net.netfilter.nf_conntrack_max=xxxx mais faut reboot ou appliquer pour que ce soit persistant

22/09/2025 à 14:23
Avatar de gabriel-guyon
gabriel-guyon
Auteur Actif
Avatar de gabriel-guyon
gabriel-guyon
Auteur Actif

ok je viens de checker c'était ça ! nf_conntrack_max était à 65536 et on était quasi à 60000. j'ai monté la limite à 262144 et les NXDOMAIN ont disparu. énorme merci !

23/09/2025 à 13:25
Avatar de xbreton
xbreton
Membre Actif
Avatar de xbreton
xbreton
Membre Actif

de rien ! content que ça aide. les limites kernel ça surprend toujours

24/09/2025 à 07:40

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire