Sujet :
Résolution DNS interne HS après migration k8s vers un nouveau cluster
RÉSOLU
Liste des sujets Répondre Créer un sujet
Membre depuis le 13/08/2024
salut la team ! on a migré nos services k8s vers un nouveau cluster dans un vpc différent (toujours aws) et depuis, nos pods n'arrivent plus à résoudre les noms dns de nos services legacy qui sont dans un autre vpc connecté via transit gateway. les résolutions publiques ça marche nickel. c'est juste nos noms internes style rds.production.local ou s3-gateway.vpc.local qui failent.
# exemple de pod qui essaye de résoudre
kubectl exec -it mon-pod-qui-fail -- dig rds.production.local
; <<>> DiG 9.11.5-P4-5.1+deb10u5-Debian <<>> rds.production.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 36723
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;rds.production.local. IN A
;; Query time: 0 msec
;; SERVER: 10.100.0.10#53(10.100.0.10)
;; WHEN: Ven Juil 26 10:30:00 UTC 2024
;; MSG SIZE rcvd: 49
Répondre
vous devez être connecté pour poster un message !
Rejoindre la communauté
Recevoir les derniers articles gratuitement en créant un compte !
S'inscrire
laurent01
Membre depuis le 05/08/2024
yo t'as vérifié la config dns du vpc cible ? si c'est un nouveau vpc il faut ptete activer le dns support et le dns hostnames pour qu'il puisse forwarder les requêtes vers le resolveur transit gateway et les autres vpcs attachés. sans ça il voit que son propre domaine local.
fabre-olivie
Membre depuis le 27/04/2024
en plus de ça regarde tes security groups et network acls. un nouveau vpc ça veut dire de nouvelles règles. t'as bien autorisé le trafic udp 53 du cluster vers le resolveur du transit gateway ? et le retour évidemment.
laurent01
Membre depuis le 05/08/2024
ouais et le domain search path dans resolv.conf de tes pods. si t'as pas les bons domaines pour la recherche auto ça peut foutre le boxon. meme si NXDOMAIN c'est plus un souci de résolution pure.
guyon-denis
Membre depuis le 13/08/2024
ah les mecs vous êtes des génies ! c'était bien le DNS support et DNS hostnames pas activé sur le nouveau VPC et aussi une règle de SG manquante pour le trafic UDP 53. une fois ça en place, paf ! tout est rentré dans l'ordre. merci beaucoup !