Господа, подскажите плиз куда копать. Разворачиваю кластер c kubectl v1.16.0

по kelseyhightower (но на виртуалках vmware) всё работает, за исключением CoreDNS. Поды, сервис и конфиг мапа в неймспейсе kube-system крутятся, ошибок не наблюдаю.

10.32.0.10 - Cluster-IP CoreDNS svc
Проверяю так:

$ kubectl exec -ti busybox -- cat /etc/resolv.conf
search default.svc.cluster.local svc.cluster.local cluster.local
nameserver 10.32.0.10
options ndots:5

$ kubectl exec -ti busybox -- nslookup kubernetes
Server: 10.32.0.10
Address 1: 10.32.0.10

nslookup: can't resolve 'kubernetes'
command terminated with exit code 1

Ожидаю увидеть ошибку, а не вижу:

$ for p in $(kubectl get pods --namespace=kube-system -l k8s-app=kube-dns -o name); do kubectl logs --namespace=kube-system $p; done
.:53
2019-12-05T15:10:19.805Z [INFO] plugin/reload: Running configuration MD5 = f64cb9b977c7dfca58c4fab108535a76
2019-12-05T15:10:19.805Z [INFO] CoreDNS-1.6.2
2019-12-05T15:10:19.805Z [INFO] linux/amd64, go1.12.8, 795a3eb
CoreDNS-1.6.2
linux/amd64, go1.12.8, 795a3eb
.:53
2019-12-05T15:10:19.861Z [INFO] plugin/reload: Running configuration MD5 = f64cb9b977c7dfca58c4fab108535a76
2019-12-05T15:10:19.861Z [INFO] CoreDNS-1.6.2
2019-12-05T15:10:19.861Z [INFO] linux/amd64, go1.12.8, 795a3eb
CoreDNS-1.6.2
linux/amd64, go1.12.8, 795a3eb

ConfigMap так выглядит:

apiVersion: v1
kind: ConfigMap
metadata:
name: coredns
namespace: kube-system
data:
Corefile: |
.:53 {
errors
health
ready
kubernetes cluster.local in-addr.arpa ip6.arpa {
pods insecure
fallthrough in-addr.arpa ip6.arpa
ttl 30
}
prometheus :9153
forward . /etc/resolv.conf
cache 30
loop
reload
loadbalance
}

/etc/resolv.conf воркер ноды выглядит так:
nameserver 8.8.8.8

что я делаю не так? сорян за длинную портянку)

а просто с узла dig @10.32.0.10 kubernetes.default.svc.cluster.local. работает ?

Блин, если не прослоупочил - похожая проблема была, добавил в конфиг upstream /etc/resolv.conf

Примерно так конфиг начал выглядеть. data: Corefile: | .:53 { errors health ready kubernetes cluster.local in-addr.arpa ip6.arpa { pods insecure upstream /etc/resolv.conf fallthrough in-addr.arpa ip6.arpa ttl 30 } prometheus :9153 forward . /etc/resolv.conf cache 30 loop reload loadbalance }

У вмваре ж по дефолту не работают mac'и, о которых не знает гипервизор. Так что если у тебя такой сетевой плагин, который каждому контейнеру генерит свой мак - не заведется.