Résolution DNS interne cheloue avec CoreDNS et services externes

Posté par ines-laroche le 28/10/2025
RÉSOLU
Retour Répondre Créer

Avatar de ines-laroche

ines-laroche

Membre depuis le 16/07/2024

Salut à tous j'ai un souci bizarre avec CoreDNS sur notre cluster K8s. Les services internes ça marche nickel mais quand mes pods essaient de résoudre des noms de domaine externes genre api.stripe.com ou google.com ça met une plombe genre 5-10 secondes parfois ça timeout carrément

# ma config coredns actuelle (simplifiée)
.:53 {
    errors
    health {
       lameduck 5s
    }
    ready
    kubernetes cluster.local in-addr.arpa ip6.arpa {
       pods insecure
       fallthrough in-addr.arpa ip6.arpa
    }
    prometheus :9153
    forward . 8.8.8.8 8.8.4.4
    cache 30
    loop
    reload
    loadbalance
}

les pods ont bien accès à internet les pings sortent nickel mais pas les dns

Commentaires

Avatar de laurent36

laurent36

Membre depuis le 30/01/2025

hello. le forward . 8.8.8.8 8.8.4.4 c'est bien mais t'es sûr que t'as pas de firewall ou de policy réseau sur tes nodes qui bloquent l'accès UDP/TCP sur le port 53 vers ces IPs publiques ? des fois les egress policies sont trop restrictives

Avatar de ines-laroche

ines-laroche

Membre depuis le 16/07/2024

j'ai checké les policies c'est ok pour le port 53 et les ips google. par contre j'ai vu des messages dans les logs de coredns genre servfail ou refused de temps en temps

Avatar de laurent36

laurent36

Membre depuis le 30/01/2025

SERVFAIL ou REFUSED ça sent le souci en amont. est-ce que tes nodes eux-mêmes ont des DNS configurés ? si coredns forwarde à 8.8.8.8 mais que le réseau du node a des problèmes pour atteindre 8.8.8.8 ça peut expliquer. essaie de te connecter à un node et de faire un dig api.stripe.com @8.8.8.8 pour voir

Avatar de lebrun-brigitte

lebrun-brigitte

Membre depuis le 21/07/2024

en plus de ça le cache 30 secondes c'est un peu léger si tu as bcp de requêtes externes. essaie d'augmenter la durée du cache ou d'implémenter un DNS resolver en amont de coredns genre un bind ou un unbound sur une vm dédiée dans ton vpc

Avatar de ines-laroche

ines-laroche

Membre depuis le 16/07/2024

ok je viens de faire le dig depuis un node et ça sort nickel vers 8.8.8.8. mais quand je fais un dig depuis un pod vers le service coredns du cluster (genre dig @10.x.x.x api.stripe.com) là c'est lent

Avatar de laurent36

laurent36

Membre depuis le 30/01/2025

si le node résout nickel mais pas le pod via coredns c que coredns a du mal. vérifie les ressources CPU/RAM de tes pods coredns ils sont ptete sous-provisionnés et peinent sous la charge. regarde leurs métriques prometheus

Avatar de ines-laroche

ines-laroche

Membre depuis le 16/07/2024

vous aviez raison c'était les ressources des pods coredns ils étaient en request/limit trop bas. je les ai doublées et la résolution est redevenue instantanée. merci les gars pour l'aide précieuse

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire