Résolution DNS interne capricieuse entre VPCs peering

RSS
tpasquier 26/07/2025
RÉSOLU
Retour Répondre
Avatar de tpasquier
tpasquier
Auteur Actif
Avatar de tpasquier
tpasquier
Auteur Actif

Salut la team j'ai un souci bizarre on a deux vpc peeringés sur aws vpc-prod et vpc-dev et depuis ce matin les instances de vpc-dev n'arrivent plus à résoudre les noms d'hôtes internes des instances de vpc-prod. l'inverse marche sans souci. j'ai checké les security groups les nacls tout est ouvert pour le port 53 udp/tcp entre les deux.

# Exemple de commande qui foire depuis vpc-dev
dig @10.0.0.2 example-service.prod.internal
;; connection timed out; no servers could be reached
26/07/2025 à 19:47

6 commentaires

Avatar de stephane-ramos
stephane-ramos
Membre Actif Secouriste
Avatar de stephane-ramos
stephane-ramos
Membre Actif Secouriste

yo ! t'as bien coché l'option "enable dns resolution" sur le peering connection dans les deux sens ? souvent on oublie un côté et ça donne des trucs asymétriques comme ça

27/07/2025 à 18:18
Avatar de tpasquier
tpasquier
Auteur Actif
Avatar de tpasquier
tpasquier
Auteur Actif

ouais j'ai bien checké les deux sens c'est activé partout. le truc c'est que ça marchait hier donc c'est pas une config initiale bancale

28/07/2025 à 16:49
Avatar de pasquier-benoit
pasquier-benoit
Membre Actif
Avatar de pasquier-benoit
pasquier-benoit
Membre Actif

hmm et si tu testes direct un dig sur l'adresse ip du resolver dns du vpc prod (type 10.0.0.2 ou 10.0.0.3 pour aws) depuis ton instance dev ? pour voir si c'est la connectivité pure au resolver ou le service dns lui-même

29/07/2025 à 11:15
Avatar de tpasquier
tpasquier
Auteur Actif
Avatar de tpasquier
tpasquier
Auteur Actif

bonne idée ! je viens de tester et ça timeout aussi sur l'ip du resolver. donc c'est bien la connectivité au dns du vpc prod depuis dev qui est morte. mais pourquoi alors que les sgs/nacls sont ok et le peering activé

30/07/2025 à 06:57
Avatar de stephane-ramos
stephane-ramos
Membre Actif Secouriste
Avatar de stephane-ramos
stephane-ramos
Membre Actif Secouriste

si la connectivité directe au resolver foir alors que le peering est up et les règles ok ça peut être une route manquante dans la table de routage du vpc-dev qui pointe vers le vpc-prod pour le préfixe 10.0.0.0/16 par exemple ou vice-versa si tu essaies de contacter le resolver du prod

31/07/2025 à 02:49
Avatar de tpasquier
tpasquier
Auteur Actif
Avatar de tpasquier
tpasquier
Auteur Actif

putain mais oui ! j'ai vérifié la table de routage du vpc-dev et la route vers le cidir de vpc-prod avait disparu. je sais pas comment elle a sauté mais je l'ai remise et ça marche. merci les gars j'étais aveugle

01/08/2025 à 00:06

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire