GKE - Resolução stubDomain Kube-DNS para a rede VPN não funciona

Navegue suas respostas
1

Novo no GCloud e no GKE e tendo um tempo frustrante com o DNS.

Temos uma VPN entre nosso escritório e o GCloud executando um VPC compartilhado. As regras de firewall existentes parecem funcionar bem. Podemos fazer o ping nos dois sentidos, podemos usar o ssh no Google com sucesso.

Então, agora, dentro do GKE, precisamos ser capazes de resolver nomes de host em toda a VPN usando o DNS. Deve ser simples.

Eu editei o mapa de configuração do kube-dns e adicionei nosso nome de domínio interno usando stubDomains apontando para nossos dois servidores DNS. Depois que os pods kube-dns forem reimplementados, verifiquei que, nos logs, eles estão recebendo a nova seção stubDomain. No entanto, ainda não consigo resolver nenhum host, mesmo dos próprios containers do kube-dns.

Enquanto estiver logado no container dnsmasq: 

/etc/k8s/dns/dnsmasq-nanny # cat stubDomains
{"internal.domain.com": ["10.85.128.5", "10.85.128.6"]}

/ # nslookup google.com
nslookup: can't resolve '(null)': Name does not resolve

Name:      google.com
Address 1: 108.177.9.138 ox-in-f138.1e100.net
Address 2: 108.177.9.101 ox-in-f101.1e100.net
Address 3: 108.177.9.139 ox-in-f139.1e100.net
Address 4: 108.177.9.100 ox-in-f100.1e100.net
Address 5: 108.177.9.102 ox-in-f102.1e100.net
Address 6: 108.177.9.113 ox-in-f113.1e100.net
Address 7: 2607:f8b0:4003:c13::71 ox-in-x71.1e100.net

/etc/k8s/dns/dnsmasq-nanny # cd /
/ # nslookup rancher.internal.domain.com
nslookup: can't resolve '(null)': Name does not resolve

nslookup: can't resolve 'rancher.internal.domain.com': Name does not resolve

nslookup: can't resolve 'rancher.internal.domain.com': Name does not resolve
/ # nslookup rancher.internal.domain.com 10.85.128.5
Server:    10.85.128.5
Address 1: 10.85.128.5

nslookup: can't resolve 'rancher.internal.domain.com': Name does not resolve

Eu posso ver nos logs de firewall VPC que as consultas estão sendo "permitidas" através do firewall VPC, mas nunca chegando em nossa VPN.

Eu posso fazer ping no servidor DNS a partir do contêiner do dnsmasq, e posso até mesmo enrolar páginas da web no lado da VPN da rede sem problemas.

Eu posso abrir um nó do Google Compute e acessar o servidor DNS da VPN sem problemas.

É apenas o DNS que não funciona e apenas a partir do GKE e dos seus contentores.

Alguma opinião?

    
por Max DiOrio 09.10.2018 / 22:49

0 respostas

Tags

como whitelist domínio no amavis? Você pode me ajudar com o meu problema de licenciamento de software?