При использовании AWS VPC DNS периодически сталкиваемся с ошибками вида “php_network_getaddresses: getaddrinfo failed: Temporary failure in name resolution“.
Единственный совет от тех. поддержки AWS заключался в установке dnsmasq в роли кеширующего сервиса, но он уже давно установлен – а проблема раз в несколько месяцев проявляется снова.
Хотя пост не о том, но из возможных причин пока представляются реальными две:
- локальный
dnsmasqпадает, все запросы начинают обрабатываться AWS VPC DNS, у которого есть хард-лимит на 1024 запросов/сек – он исчерпывается, и получаем ошибку разрешения имён - превышение кол-ва пакетов на интерфейсе AWS EC2, см. Packets-per-second limits in EC2 и EC2 Packets per Second: Guaranteed Throughput vs Best Effort
Второй вариант маловероятен, а для того, что бы попробовать отловить проблемы с самим dnsmasq – рассмотрим его полезные опции для логирования и посмотрим, как проверить есть ли проблемы с размером кеша.
Содержание
Prometheus и метрики dnsmasq
Первое, что мы сделали после того, как согласились с предположением, что dnsmasq падает – это добавили его под мониторинг Prometheus с помощью dnsmasq_exporter.
Експортер собирает такие метрики:
...
Question: []dns.Question{
question("cachesize.bind."),
question("insertions.bind."),
question("evictions.bind."),
question("misses.bind."),
question("hits.bind."),
question("auth.bind."),
question("servers.bind."),
},
...
Их же можно получить запросов типа Chaos (см. DNS classes) с помощью dig.
Например – список upstream-DNS серверов, на которые пересылает запрос dnsmasq, если не находит запись о домене в своём кеше:
[simterm]
root@bttrm-production-console:/home/admin# dig @localhost +short chaos txt servers.bind "10.0.3.2#53 9301 0" "1.1.1.1#53 402 0"
[/simterm]
Посмотрим resolv.conf:
[simterm]
root@bttrm-production-console:/home/admin# cat /etc/resolv.conf domain us-east-2.compute.internal search us-east-2.compute.internal nameserver 127.0.0.1 nameserver 10.0.3.2 nameserver 1.1.1.1
[/simterm]
Собственно их dnsmasq и возвращает: 10.0.3.2 – это VPC DNS, 1.1.1.1 – CloudFlare DNS для fallback, если VPC DNS не отвечает (впрочем – не сильно помогает, как видим).
Что они нам дают?
cachesize.bind: размер кеша (кол-во доменов, которые хранятся в кеше)insertions.bind: кол-во добавлений записей в кешevictions.bind: кол-во удаления записей из кеша (по истечении TTL домена или при достижении лимита кеша)misses.bind: кол-во запросов, которые не были найдены в кеше и были перенаправлены апстрим-серверамhits.bind: кол-во запросов, на которыеdnsmasqдал ответ из своего кешаauth.bind: кол-во запросов к authority-зонам (dnsmasqможет играть роль authority-сервера для доменов)servers.bind: рассмотрели выше – список апстрим-серверов для форвардинга запросов
Используя их – можем построить графики, например – посмотреть соотношение запросов всего – и запросов, на которые dnsmasq ответил из своего кеша:
sum(increase(dnsmasq_hits[1m])) / (sum(increase(dnsmasq_hits[1m])) + sum(increase(dnsmasq_misses[1m])))
Или с выборкой по конкретному хосту:
sum(increase(dnsmasq_hits{host="bttrm-production-console"}[1m])) / (sum(increase(dnsmasq_hits{host="bttrm-production-console"}[1m])) + sum(increase(dnsmasq_misses{host="bttrm-production-console"}[1m])))
Значит – 98 из 100 запросов отданы из кеша – очень неплохо.
dnsmasq debugging
Сам dnsmasq для дебага можно запустить с опциями -d (–no-daemon) и -q (–log-queries):
[simterm]
$ sudo dnsmasq -q -d dnsmasq: started, version 2.80 cachesize 150 dnsmasq: compile time options: IPv6 GNU-getopt DBus i18n IDN2 DHCP DHCPv6 no-Lua TFTP conntrack ipset auth DNSSEC loop-detect inotify dumpfile dnsmasq: reading /etc/resolv.conf dnsmasq: using nameserver 188.190.254.254#53 dnsmasq: using nameserver 31.43.120.254#53 dnsmasq: using nameserver 1.1.1.1#53 dnsmasq: read /etc/hosts - 2 addresses
[/simterm]
Обращаемся к нему:
[simterm]
$ dig @localhost ya.ru +short 87.250.250.242
[/simterm]
Смотрим output:
[simterm]
... dnsmasq: query[A] ya.ru from ::1 dnsmasq: forwarded ya.ru to 188.190.254.254 dnsmasq: forwarded ya.ru to 31.43.120.254 dnsmasq: forwarded ya.ru to 1.1.1.1 dnsmasq: reply ya.ru is 87.250.250.242 ...
[/simterm]
Повторяем запрос – и ещё раз STDOUT:
[simterm]
... dnsmasq: query[A] ya.ru from ::1 dnsmasq: cached ya.ru is 87.250.250.242 ...
[/simterm]
При первом запросе запись в кеше не найдена – и dnsmasq переслал запрос к апстрим-серверам.
При втором запросе – вернул уже cached значение.
Можно добавить extra, что бы добавлять серийный номер к каждой записи, относящейся к конкретному запросу – проще отслеживать запросы, если записей в аутпуте много:
[simterm]
$ sudo dnsmasq --log-queries=extra -d dnsmasq: started, version 2.80 cachesize 150 dnsmasq: compile time options: IPv6 GNU-getopt DBus i18n IDN2 DHCP DHCPv6 no-Lua TFTP conntrack ipset auth DNSSEC loop-detect inotify dumpfile dnsmasq: reading /etc/resolv.conf dnsmasq: using nameserver 188.190.254.254#53 dnsmasq: using nameserver 31.43.120.254#53 dnsmasq: using nameserver 1.1.1.1#53 dnsmasq: read /etc/hosts - 2 addresses dnsmasq: 1 ::1/49217 query[A] ya.ru from ::1 dnsmasq: 1 ::1/49217 forwarded ya.ru to 188.190.254.254 dnsmasq: 1 ::1/49217 forwarded ya.ru to 31.43.120.254 dnsmasq: 1 ::1/49217 forwarded ya.ru to 1.1.1.1 dnsmasq: 1 ::1/49217 reply ya.ru is 87.250.250.242 dnsmasq: 2 ::1/42356 query[A] ya.ru from ::1 dnsmasq: 2 ::1/42356 cached ya.ru is 87.250.250.242
[/simterm]
dnsmasq logging
Кроме мониторинга за самим сервисом – мы добавили сбор его логов в Loki (см. Grafana Labs: Loki — сбор и просмотр логов).
За логгирование отвечает опция log-facility, которой можно задать канал доставки в syslog – по умолчанию это DAEMON, и LOCAL0 при запуске с -d (–no-daemon), см. syslog facility.
Кроме логгирования через syslog – можно просто указать файл лога:
log-facility="/var/log/dnsmasq.log"
И при необходимости там же добавляем log-queries для логгирования ответов на запросы.
Также может пригодится опция log-async, которая включает асинхронную запись – полезно при ключенной log-queries, когда запросов к dnsmasq и записей в лог много.
resolv.conf и resolv.dnsmasq
Имеет смысл вынести апстрим-сервера из resolv.conf и в нём оставить только сам dnsmasq, что бы быть уверенным в том, что все DNS-запросы из системы будут переданы ему, плюс это позволяет иметь динамически обновляемый resolv.conf (например, если он генерируется NetworkManager).
Обновляем resolv.conf:
[simterm]
root@bttrm-production-console:/home/admin# cat /etc/resolv.conf domain us-east-2.compute.internal search us-east-2.compute.internal nameserver 127.0.0.1
[/simterm]
Далее можно создать новый файл, например resolv.dnsmasq, в котором перечислить апстримы:
[simterm]
root@bttrm-production-console:/home/admin# cat /etc/resolv.dnsmasq nameserver 10.0.3.2 nameserver 1.1.1.1
[/simterm]
И задать в конфиге /etc/dnsmasq.conf опцию --resolv-file="/etc/resolv.dnsmasq":
... resolv-file="/etc/resolv.dnsmasq" ...
Перед рестаром проверяем синтаксис конфига:
[simterm]
root@bttrm-production-console:/home/admin# dnsmasq --test dnsmasq: syntax check OK.
[/simterm]
--servers
Другой вариант – вместо создания /etc/resolv.dnsmasq указать апстримы прямо в конфиге через опцию server:
server=10.0.3.2 server=1.1.1.1
Кроме того, спомощью server можно задать конкретные апстримы для конкретных доменов.
Например, что бы выполнять разрешение имени backend-db2-slave.example.com исключительно через VPC DNS 10.0.3.2 – задаём в конфиге следующую запись:
... server=/backend-db2-slave.example.com/10.0.3.2 ...
При этом dnsmasq продолжит считывать resolv.conf. Что бы отключить это – добавьте no-resolv.
--strict-order
По умолчанию dnsmasq отпрашивает все известные ему апстрим-сервера, и первый, который ответит на запрос становится primary – dnsmasq будет стараться отправить запросы через него. При этом это может быть любой DNS сервер из resolv.conf, resolv.dnsmasq или из списка server в конфиге.
Для того, что бы dnsmasq использовал сервер строго в порядке очереди – добавляем в конфиг опцию strict-order.
Размер кеша dnsmasq
И один из самых интересных вопросов – какой размер кеша стоит устанавливать для dnsmasq?
Значение по умолчанию – 150 записей, максимальное – 10000.
Задаётся с помощью опции cachesize, например:
cachesize=1000
Но как узнать – надо ли его увеличивать?
SIGUSR1
Для этого – можно сдампить всю статистику работы dnsmasq с момента его запуска с помощью сигнала SIGUSR1:
[simterm]
root@bttrm-production-console:/home/admin# pkill -USR1 dnsmasq && cat /var/log/syslog | grep dns | tail -6 Oct 26 10:53:45 localhost dnsmasq[30433]: time 1572076425 Oct 26 10:53:45 localhost dnsmasq[30433]: cache size 150, 0/45516 cache insertions re-used unexpired cache entries. Oct 26 10:53:45 localhost dnsmasq[30433]: queries forwarded 22241, queries answered locally 633009 Oct 26 10:53:45 localhost dnsmasq[30433]: queries for authoritative zones 0 Oct 26 10:53:45 localhost dnsmasq[30433]: server 10.0.3.2#53: queries sent 11352, retried or failed 0 Oct 26 10:53:45 localhost dnsmasq[30433]: server 1.1.1.1#53: queries sent 46, retried or failed 0
[/simterm]
В котором мы видимо невероятно много полезной информации:
- time 1572076425 – время с момента запуска сервера в UNIX epoch
- cache size 150, 0/45516 cache insertions re-used unexpired cache entries – “добавление в кеш с вытеснением записей с неистёкшим временем жизни” – как раз показатель того, что кеша не хватает: если операции добавления новых записей в кеш начинают вытеснять из него записи, у которых ещё не истёк TTL, заданный для домена его SOA (может быть переопределно в помощью
--min-cache-ttlдляdnmasq) – значит, места в кеше мало - queries forwarded 22241, queries answered locally 633009 – количество запросов, не найденных в кеше, и перенаправленных апстриму (возвращается из
misses.bind), и кол-во запросов, обработанных самимdnsmasqиз кеша (значение изhits.bind) - queries for authoritative zones – при использовании
dnsmasqв роли SOA, кол-во запросов к authority-зонам - server 10.0.3.2#53: queries sent 11352, retried or failed 0 – та самая строка, которая теоретически поможет нам, когда случится очередной “php_network_getaddresses: getaddrinfo failed: Temporary failure in name resolution” – можно будет увидеть, были ли ошибки от AWS VPC DNS
AWS “Temporary failure in name resolution”
Пока писал этот пост – как раз проскочило несколько ошибок.
Выглядит это так:
При этом в дампе dnsmasq всё по-прежнему отлично:
[simterm]
root@bttrm-production-console:/home/admin# pkill -USR1 dnsmasq && cat /var/log/syslog | grep dns | tail -6 Oct 26 11:12:36 localhost dnsmasq[30433]: time 1572077556 Oct 26 11:12:36 localhost dnsmasq[30433]: cache size 150, 0/49227 cache insertions re-used unexpired cache entries. Oct 26 11:12:36 localhost dnsmasq[30433]: queries forwarded 24327, queries answered locally 724600 Oct 26 11:12:36 localhost dnsmasq[30433]: queries for authoritative zones 0 Oct 26 11:12:36 localhost dnsmasq[30433]: server 10.0.3.2#53: queries sent 12949, retried or failed 0 Oct 26 11:12:36 localhost dnsmasq[30433]: server 1.1.1.1#53: queries sent 590, retried or failed 0
[/simterm]
Ошибок от VPC DNS нет, кеша хватает – всё нормально.
Зато – явно видно проседание по кол-ву отправленных пакетов (график за день):
И полученных:
И что бы это значило? При этом все сервисы работают нормально – проблемы наблюдаются только с DNS-запросами.
Пока не ясно, но в целом – проблема, судя по всему, не с DNS вообще, и не dnsmasq в частности.
Наблюдаем дальше.
