Назад | Перейти на главную страницу

GKE - разрешение тупикового домена Kube-DNS в сеть VPN не работает

Новичок в GCloud и GKE и разочарование в DNS.

У нас есть VPN между нашим офисом и GCloud с общим VPC. Существующие правила брандмауэра работают нормально. Мы можем пинговать оба пути, мы можем успешно подключиться к Google по ssh.

Итак, теперь из GKE нам нужно иметь возможность разрешать имена хостов в VPN с помощью DNS. Должно быть просто.

Я отредактировал карту конфигурации kube-dns и добавил наше внутреннее доменное имя, используя stubDomains, указывающие на наши два DNS-сервера. После повторного развертывания модулей kube-dns я подтвердил, что в журналах они получают новый раздел stubDomain. Однако я все еще не могу разрешить какие-либо хосты, даже из самих контейнеров kube-dns.

При входе в контейнер dnsmasq:

/etc/k8s/dns/dnsmasq-nanny # cat stubDomains
{"internal.domain.com": ["10.85.128.5", "10.85.128.6"]}

/ # nslookup google.com
nslookup: can't resolve '(null)': Name does not resolve

Name:      google.com
Address 1: 108.177.9.138 ox-in-f138.1e100.net
Address 2: 108.177.9.101 ox-in-f101.1e100.net
Address 3: 108.177.9.139 ox-in-f139.1e100.net
Address 4: 108.177.9.100 ox-in-f100.1e100.net
Address 5: 108.177.9.102 ox-in-f102.1e100.net
Address 6: 108.177.9.113 ox-in-f113.1e100.net
Address 7: 2607:f8b0:4003:c13::71 ox-in-x71.1e100.net

/etc/k8s/dns/dnsmasq-nanny # cd /
/ # nslookup rancher.internal.domain.com
nslookup: can't resolve '(null)': Name does not resolve

nslookup: can't resolve 'rancher.internal.domain.com': Name does not resolve

nslookup: can't resolve 'rancher.internal.domain.com': Name does not resolve
/ # nslookup rancher.internal.domain.com 10.85.128.5
Server:    10.85.128.5
Address 1: 10.85.128.5

nslookup: can't resolve 'rancher.internal.domain.com': Name does not resolve

В журналах брандмауэра VPC я вижу, что запросы «разрешены» через брандмауэр VPC, но никогда не поступают в нашу VPN.

Я могу проверить связь с DNS-сервером из контейнера dnsmasq и даже без проблем скручивать веб-страницы на стороне VPN.

Я могу вызвать вычислительный узел Google и без проблем получить доступ к DNS-серверу VPN.

Не работает только DNS и только от GKE и его контейнеров.

Есть предположения?