dnssec validation qui foire sur mes pods k8s

Posté par joly-sebastien le 05/07/2025
RÉSOLU
Retour Répondre Créer

Avatar de joly-sebastien

joly-sebastien

Membre depuis le 26/06/2024

yo la team j'ai un souci bizarre on a activé dnssec sur notre domaine et maintenant nos pods k8s ont du mal à résoudre certains noms de domaine externes. ça marche pour google.com mais pas pour des trucs genre dnssec-failed.org ou d'autres domaines où dnssec est activé. j'ai l'impression que c'est lié à la validation. notre coredns est en mode par défaut

# partie de la config coredns (simplifié)
.:53 {
    errors
    health
    ready
    kubernetes cluster.local in-addr.arpa ip6.arpa {
        pods insecure
        fallthrough in-addr.arpa ip6.arpa
    }
    prometheus :9153
    forward . /etc/resolv.conf
    cache 30
    loop
    reload
    loadbalance
}

Commentaires

Avatar de fherve

fherve

Membre depuis le 16/10/2024

salut ! ouais ça sent la validation dnssec qui pète. coredns par défaut ne fait pas la validation. il forwarde juste. si ton resolv.conf pointe vers un resolver qui fait la validation ça devrait marcher. t'as quoi dans /etc/resolv.conf de coredns et de tes nœuds ?

Avatar de joly-sebastien

joly-sebastien

Membre depuis le 26/06/2024

le resolv.conf de coredns pointe vers nos ad internes et ensuite vers des resolvers publics genre 1.1.1.1. c'est ptete eux qui merdent sur la validation

Avatar de paul-perrot

paul-perrot

Membre depuis le 04/01/2025

regarde si t'as le plugin "dnssec" dans la config de ton coredns. sans ça, il valide rien. tu peux l'activer et pointer vers un trust-anchor si besoin. mais ça peut être gourmand en cpu

Avatar de joly-sebastien

joly-sebastien

Membre depuis le 26/06/2024

ok je vais voir pour le plugin dnssec. j'ai checké et il est pas activé. j'ai trouvé une doc qui parle de le rajouter avec un "trust-anchor ." pour qu'il prenne la root key. je tente ça

Avatar de fherve

fherve

Membre depuis le 16/10/2024

si tu l'actives gaffe à la charge cpu sur coredns ça peut monter si t'as beaucoup de requêtes. surveille tes métriques après

Avatar de joly-sebastien

joly-sebastien

Membre depuis le 26/06/2024

bon bah c'était bien le plugin dnssec. je l'ai ajouté et maintenant ça valide correctement les domaines. les pods résolvent tout nickel. thx les gars pour le coup de main ! je vais surveiller le cpu de coredns mais pour l'instant ça a l'air d'aller

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire