7 commentaires
yo
vous avez checké le timeout du lease consul pour vault
si le lease est long vault mettra du temps à relâcher le lock leader
regarde dans la conf consul côté serveur et aussi le client vault
oui et aussi la latence réseau entre tes pods vault et les serveurs consul
si t'as des micro-coupures ou du lag ça peut allonger le temps pour que consul détecte que le leader est down
regarde les logs consul et vault pour voir si y a des messages de connectivité
un truc con mais tu uses bien le HEALTH endpoint de vault dans tes liveness probes k8s
si ta probe est trop laxiste ou utilise le STANDBY endpoint le kubelet va mettre du temps à relancer le pod leader
# exemple de probe
livenessProbe:
httpGet:
path: /v1/sys/health?standbyok=true&sealedok=false
port: 8200
initialDelaySeconds: 10
periodSeconds: 5
timeoutSeconds: 5
failureThreshold: 3
attention le standbyok=true doit pas être là pour le leader sinon ça dit ok même si c'est pas le leader
le paramètre c'est le ttl des sessions consul pour vault
il est souvent défini implicitement mais tu peux le forcer côté vault
session_ttl = "10s" # exemple
fais gaffe à pas le mettre trop bas non plus sinon t'as des faux positifs si le réseau tousse un peu
et n'oublie pas le paramètre raft.leader_election_timeout si tu étais passé de consul à raft avant
mais là t'es en consul donc moins pertinent mais on sait jamais
sinon pour la latence réseau entre pods vault et consul dans k8s un iperf3 entre eux peut donner des indices si c'est vraiment réseau
Laisser une réponse
Vous devez être connecté pour poster un message !
salut la team
on a vault en ha sur k8s avec consul comme backend et le truc c'est que quand on tue un pod vault leader le failover prend une plombe genre 30-45s c'est trop long pour nos app qui pètent des timeout
on est sur vault 1.14 et consul 1.15
des pistes pour réduire ce délai ?