Auteur: Yves Martin Date: À: Guilde ML Sujet: Problème de performance Debian/Apache2/Subversion/iSCSI
Bonjour,
Le serveur Subversion dont je m'occupe souffre de lenteurs "aléatoires".
- Serveur Apache2 mod_auth_kerb + mod_authnz_ldap + mod_svn
(SSO SPNEGO Kerberos avec ActiveDirectory, contrôle de groupe par LDAP)
- Serveur svnserve
- Dépôts sur iSCSI
À priori les accès disques sont rapides, un checkout local ou par svn:// est rapide.
Seul l'accès sur http et https sur un dépôt protégé par des directives
Require ldap-group "CN=..."
prennent un temps certain - de 10 à 20 secondes.
J'ai ajouté la mesure "%D" dans mon CustomLog:
CustomLog /var/log/apache2/https-svn-access.log "%t %u %U %{SVN-ACTION}e %s %B %D" env=SVN-ACTION
et le serveur me donne des ordres de grandeur de 3 millisecondes...
Je soupçonne que cette mesure ne prend pas en compte les chaînes d'authentification/authorisation.
Est-ce juste ?
D'après le "ldap-status", le cache n'est pas plein et le taux de hit frôle les 100%.
Le cache LDAP a des valeurs de TTL de 10 minutes par défaut.
Une fois les valeurs en cache, l'accès est rapide (< 3 sec). Mais le problème revient rapidement.
En suivant les requêtes LDAP (pas de SSL) avec wireshark, les réponses de l'AD sont très rapides.
Par contre, après un "graceful" (donc cache ldap vide), je constate qu'il peut s'écouler 6-9 secondes
entre la recherche du DN de l'utilisateur à partir de son login (searchRequest) et la requête d'interrogation du
groupe (compareRequest) !!
Ça ne me semble pas normal du tout - verrouillage sur le shm ? collision processus/thread ?
Comment investiguer plus loin ? Est-ce que ce module "mod_authnz_ldap" est connu pour ce genre
de problèmes de performance ?