OVHcloud Public Cloud Status

Current status
Legend
  • Operational
  • Degraded performance
  • Partial Outage
  • Major Outage
  • Under maintenance
Authentication tokens
Scheduled Maintenance Report for Public Cloud
Completed
(Traduction française en seconde partie)


Hello,

we recently found that many Public Cloud users generate a lot of tokens with Keystone (record: 3000 per minutes!). This behavior creates few problems:
- overloading of the Keystone servers
- tokens are stored in databases, so it fulfills the database servers

Starting from next week, we will set a limit to the numbers of tokens a user can generate, to protect our infrastructures. At first, this limit will be set to 60 tokens per minutes, so that our most intensive users are impacted and fix their code. Soon later, this limit will be decreased to few tokens per minutes. Some of you may noticed we already did this announce few weeks ago. But a last minute bug prevented us from enabling it. This time, it's the good one.

As a reminder, a token can be used for many requests. Its expiration date is in the JSON payload (access > token > expires). As a best practice, I also recommend that you don't assume a token is valid for 24h. Expiration delay vary across Keystone version (eg: Fernet token, that might be deployed at OVH during 2016, are valid only 1h).

Thanks.


-------------


Bonjour,

nous avons constaté ces derniers temps que de nombreux utilisateurs du Public Cloud généraient beaucoup de tokens d'authentification dans Keystone (record constaté : 3000 par minutes !). Ce comportement pose plusieurs problèmes :
- il surcharge inutilement les serveurs Keystone,
- ces tokens doivent être stockés, ce qui rempli inutilement la base de données

À partir de la semaine prochaine, nous allons activer une limitation au nombre de tokens générés, afin de protéger nos infrastructures. Cette limite sera tout d'abord fixé à 60 tokens par minutes, afin de signaler immédiatement aux utilisateurs les plus générateurs de token qu'ils doivent adapter leur code. Cette limite sera ensuite rapidement réduite à quelques tokens par minutes. Certains d'entre vous on peut être remarqué que nous avons déjà fait cette annonce il y a quelques semaines. En effet, un bug de dernière minute nous avait empécher de l'activer. Ce coup ci, c'est la bonne.

Pour rappel, un token est réutilisable. Sa date limite de validité est disponible dans la charge JSON du token (access > token > expires). Puisqu'on est dans les bonnes pratique, je ne vous recommande pas de considérer qu'un token est valide 24h. Cette valeur évolue au gré des évolutions du code de Keystone (ex: les token Fernet, qui pourraient arriver chez OVH courant 2016, ne sont valable que 1h).

Merci.

Update(s):

Date: 2016-08-02 08:35:22 UTC
en cours
Posted Jul 26, 2016 - 08:02 UTC