Vault lent sur les read au dela de 10k req/s

RSS
edith18 22/10/2025
RÉSOLU
Retour Répondre
Avatar de edith18
edith18
Auteur
Avatar de edith18
edith18
Auteur

Salut la team j'ai un souci avec vault j'ai l'impression qu'il galère grave dès qu'on monte en charge sur les reads de secrets. Au dela de 10k req/s le p99 monte à 500ms voire plus c'est injouable.

L'infra c'est du k8s avec un backend consul sur ec2. Les instances sont pas saturées en cpu/mem.


# config vault simplifiée
storage "consul" {
  address = "127.0.0.1:8500"
  path    = "vault/"
}
listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = true
}

Des idées sur ce qui pourrait ralentir les reads à ce point ?

22/10/2025 à 20:33

9 commentaires

Avatar de guichard-victor
guichard-victor
Membre Actif Secouriste
Avatar de guichard-victor
guichard-victor
Membre Actif Secouriste

yo. 10k req/s c'est pas rien. t'as checké le réseau entre tes pods vault et tes serveurs consul ? un p'tit iperf histoire de voir la latence brute et le débit max.

23/10/2025 à 19:54
Avatar de gauthier-zacharie
gauthier-zacharie
Membre
Avatar de gauthier-zacharie
gauthier-zacharie
Membre

salut. regarde aussi les metrics consul côté serveur. cpu, mem et surtout disk iops. si consul galère à stocker/récupérer les données sur le disque ça va impacter vault direct.

24/10/2025 à 18:14
Avatar de guichard-victor
guichard-victor
Membre Actif Secouriste
Avatar de guichard-victor
guichard-victor
Membre Actif Secouriste

ouais et vault est-ce que t'as activé le caching local ? des fois ça aide énormément sur les reads si les secrets sont souvent les mêmes. et la réplication raft est bien syncro partout ?

25/10/2025 à 17:54
Avatar de osanchez
osanchez
Membre
Avatar de osanchez
osanchez
Membre

y'a pas un plugin particulier que vous utilisez ? un custom auth method ou un secrets engine qui pourrait être mal optimisé ? on a eu un souci similaire avec un secrets engine maison qui faisait trop d'appels externes synchrones.

26/10/2025 à 12:27
Avatar de gauthier-zacharie
gauthier-zacharie
Membre
Avatar de gauthier-zacharie
gauthier-zacharie
Membre

côté consul les journaux d'audit et les snapshots peuvent aussi foutre le bordel en iops si mal configurés. c'est quoi le type d'instance ec2 pour consul ? du gp2/gp3 ? provisioned iops ?

27/10/2025 à 11:02
Avatar de edith18
edith18
Auteur
Avatar de edith18
edith18
Auteur

ok merci pour les pistes. j'ai run iperf c'est bon pas de souci réseau. par contre consul c'est du gp2 par défaut on a jamais touché. je vais regarder les iops on dirait qu'on est capsé à fond dessus

28/10/2025 à 06:00
Avatar de guichard-victor
guichard-victor
Membre Actif Secouriste
Avatar de guichard-victor
guichard-victor
Membre Actif Secouriste

ah gp2 par défaut sur de la forte charge consul c'est un classique. t'as ptete des bursts capacity qui s'épuisent. passe en gp3 avec des iops provisionnés ou de l'io1/io2. ça coute mais ça scale.

29/10/2025 à 03:46
Avatar de gauthier-zacharie
gauthier-zacharie
Membre
Avatar de gauthier-zacharie
gauthier-zacharie
Membre

ouais +1 pour le gp3/io1. et n'oublie pas de monitorer les latences de consul lui-même, pas juste les iops brutes. il a ses propres métriques de performance.

30/10/2025 à 02:51
Avatar de edith18
edith18
Auteur
Avatar de edith18
edith18
Auteur

bon c'était bien ça les iops de consul. on est passé en gp3 avec 10k iops et le p99 est redescendu à 50ms. énorme merci la team vous m'avez sauvé la journée

31/10/2025 à 02:34

Laisser une réponse

Vous devez être connecté pour poster un message !

Rejoindre la communauté

Recevoir les derniers articles gratuitement en créant un compte !

S'inscrire