13-4 · Chapitre 13 · 7 min de lecture

Quand un Pipeline Vert ne Signifie Pas un Déploiement Sain

Un pipeline vert ne garantit pas un déploiement sain. Découvrez comment les signaux de santé, les sondes readiness et liveness, et les bonnes pratiques de vérification peuvent détecter les problèmes avant vos utilisateurs.

Quand un Pipeline Vert ne Signifie Pas un Déploiement Sain

Vous venez de terminer un déploiement. Le pipeline est vert. Chaque étape de build a réussi, tous les tests sont passés, et le script de déploiement s'est exécuté sans la moindre erreur. Vous fermez votre ordinateur, satisfait.

Puis le premier rapport utilisateur arrive. L'application charge lentement. Certaines requêtes échouent. Quelques minutes plus tard, le pool de connexions à la base de données est épuisé, et l'application est pratiquement hors service.

Que s'est-il passé ? Le pipeline indiquait que tout allait bien.

Ce scénario est plus courant que la plupart des équipes ne veulent l'admettre. Un build réussi prouve seulement que votre code peut compiler ou être empaqueté. Il ne prouve pas que votre application peut réellement recevoir des requêtes, se connecter à sa base de données, ou retourner des réponses correctes. Il y a un fossé entre "le déploiement est terminé" et "l'application fonctionne". C'est ce fossé que les signaux de santé viennent combler.

Ce que Vous Dit Réellement un Signal de Santé

Un signal de santé est la manière dont votre application rapporte son propre état. La forme la plus courante est un endpoint de santé : une URL dédiée que votre pipeline, votre répartiteur de charge, ou votre équipe d'exploitation peut appeler pour vérifier si l'application fonctionne. Vous avez probablement déjà vu des endpoints nommés /health ou /healthz. Lorsqu'il est appelé, une application saine retourne un HTTP 200. Une application défaillante retourne une erreur 500 ou un autre code d'erreur.

Mais la vraie valeur ne réside pas dans l'endpoint lui-même. Elle réside dans ce que l'endpoint vérifie réellement. Un endpoint de santé qui retourne toujours 200, quel que soit l'état réel de l'application, est pire que de n'avoir aucun health check. Il donne une fausse confiance. Votre pipeline pense que le déploiement a réussi, mais vos utilisateurs rencontrent déjà des erreurs.

Readiness vs Liveness : Deux Questions Distinctes

Il existe deux types de health checks, et ils répondent à des questions différentes.

Le diagramme suivant illustre la différence entre les sondes de liveness et de readiness et comment elles guident les décisions de déploiement :

flowchart TD A[Requête de Health Check] --> B{Le processus de l'app est-il en cours ?} B -->|Non| C[Liveness échoue : Redémarrage du conteneur] B -->|Oui| D{L'application est-elle prête à servir du trafic ?} D -->|Non| E[Readiness échoue : Retrait du répartiteur de charge] D -->|Oui| F[Readiness réussie : Envoi du trafic] C --> G[Tentative de récupération automatique] E --> H[Attente et nouvelle tentative de readiness] F --> I[L'application sert les utilisateurs normalement] H --> D G --> B

Readiness indique au système si l'application est prête à accepter du trafic. Lorsqu'une application vient de démarrer, elle peut avoir besoin de quelques secondes pour se connecter à la base de données, charger le cache, ou établir des connexions. Pendant ce temps, l'application doit se signaler comme "pas prête". Le répartiteur de charge ou l'orchestrateur retiendra alors l'envoi des requêtes jusqu'à ce que l'application signale qu'elle est prête. Sans une sonde de readiness appropriée, les utilisateurs pourraient tomber sur une application à moitié initialisée qui retourne des erreurs ou des timeouts.

Liveness indique au système si l'application est toujours vivante et en cours de traitement. Si l'application se bloque dans un interblocage, manque de mémoire, ou entre dans un état où elle ne peut plus effectuer aucun travail, la sonde de liveness le détecte. Dans les environnements conteneurisés comme Kubernetes, un échec de la sonde de liveness déclenche généralement un redémarrage automatique.

Les deux sondes servent des objectifs différents dans votre pipeline de déploiement. Lorsque vous effectuez un déploiement, le pipeline appelle généralement d'abord la sonde de readiness. Si la nouvelle version ne devient pas prête dans un délai raisonnable, le pipeline peut décider de revenir en arrière immédiatement. C'est bien mieux que de laisser une version à moitié cuite servir les utilisateurs. Les sondes de liveness, quant à elles, sont plus utiles une fois le déploiement terminé. Elles maintiennent l'application en bon fonctionnement dans le temps.

Voici un exemple YAML pratique qui configure les deux sondes pour un déploiement Kubernetes :

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
spec:
  template:
    spec:
      containers:
      - name: app
        image: my-app:1.0.0
        ports:
        - containerPort: 8080
        readinessProbe:
          httpGet:
            path: /ready
            port: 8080
          initialDelaySeconds: 5
          periodSeconds: 10
          failureThreshold: 3
        livenessProbe:
          httpGet:
            path: /live
            port: 8080
          initialDelaySeconds: 15
          periodSeconds: 20
          failureThreshold: 3

Dans cet exemple, la sonde de readiness vérifie /ready toutes les 10 secondes après un délai initial de 5 secondes. Si elle échoue trois fois, Kubernetes cesse d'envoyer du trafic vers le pod. La sonde de liveness vérifie /live moins fréquemment et redémarre le conteneur en cas d'échec.

Ce que Vérifie Réellement un Bon Health Check

Un health check qui se contente de retourner 200 sans rien vérifier n'est qu'une décoration, pas un signal. Un health check pertinent doit tester les composants qui comptent pour le fonctionnement de votre application :

Connectivité à la base de données : L'application peut-elle atteindre la base de données et exécuter une requête simple ?
APIs externes critiques : Les services dont dépend votre application sont-ils disponibles ?
Ressources internes : Le pool de threads est-il sain ? L'utilisation de la mémoire est-elle dans les limites ?

Mais il y a un compromis. Un health check qui teste toutes les dépendances à chaque appel peut devenir une charge pour le système. Si votre pipeline ou votre répartiteur de charge appelle l'endpoint toutes les quelques secondes, un check lourd peut dégrader les performances ou même provoquer des défaillances en cascade.

Une approche courante consiste à garder les sondes de liveness légères : confirmer simplement que le processus est en cours d'exécution. Les sondes de readiness peuvent être plus profondes, car elles sont appelées moins fréquemment et leur résultat affecte directement l'acheminement du trafic vers l'instance.

Signaux de Santé dans les Stratégies de Déploiement Progressif

Les signaux de santé deviennent encore plus importants lorsque vous utilisez des stratégies de déploiement comme le canary ou le blue-green. Imaginez que vous déployez une nouvelle version auprès d'un petit sous-ensemble d'utilisateurs. Votre pipeline peut surveiller l'endpoint de santé de cette nouvelle version. Si le health check commence à montrer des erreurs ou si le temps de réponse augmente, le pipeline peut automatiquement rediriger le trafic vers l'ancienne version.

Sans signaux de santé, vous dépendez des rapports utilisateurs. Les rapports utilisateurs sont précieux, mais ils arrivent tard. Au moment où quelqu'un signale un bug, de nombreux utilisateurs ont déjà pu être affectés. Un health check qui s'exécute toutes les quelques secondes peut détecter les problèmes en quelques secondes, et non en minutes ou en heures.

Que se Passe-t-il Quand les Health Checks Sont Absents ou Faibles

Les équipes qui négligent les health checks appropriés découvrent souvent les problèmes à leurs dépens. Un déploiement réussit, mais la nouvelle version ne peut pas se connecter à la base de données parce qu'un identifiant a changé. Le pipeline signale un succès. Les utilisateurs voient des erreurs. Quelqu'un doit enquêter manuellement, comprendre le problème, et déclencher un retour arrière. Ce processus prend du temps, et pendant ce temps, l'application est dégradée.

La même chose s'applique aux dépendances. Si votre application dépend d'une API externe et que cette API tombe en panne, un bon health check signalera l'application comme défaillante. Un health check faible signalera un état sain, et vos utilisateurs subiront des échecs pendant que votre tableau de bord de surveillance affiche du vert.

Une Liste de Vérification Pratique Rapide

Si vous mettez en place des health checks pour votre application, voici une courte liste d'éléments à vérifier :

Votre endpoint de santé vérifie-t-il réellement quelque chose de significatif, ou se contente-t-il de retourner 200 ?
Disposez-vous de sondes de readiness et de liveness distinctes avec des profondeurs différentes ?
Votre pipeline utilise-t-il la sonde de readiness pour décider de poursuivre le déploiement ou de revenir en arrière ?
Vos health checks sont-ils suffisamment légers pour ne pas dégrader les performances lorsqu'ils sont appelés fréquemment ?
Vos stratégies de déploiement progressif utilisent-elles les signaux de santé pour détecter les problèmes rapidement ?

Le Véritable Test d'un Déploiement

Un pipeline vert n'est pas une preuve que votre application fonctionne. C'est une preuve que votre processus de build et de déploiement s'est exécuté sans erreur. Le véritable test survient après le déploiement, lorsque le trafic atteint la nouvelle version. Les signaux de santé sont le pont entre "le déploiement est terminé" et "l'application sert correctement les utilisateurs".

Lorsque votre pipeline peut détecter qu'une nouvelle version n'est pas saine en quelques secondes et revenir automatiquement en arrière, vous êtes passé de l'espoir que les déploiements se passent bien à la certitude qu'ils sont sûrs. C'est la différence entre un déploiement qui a l'air bon sur le papier et un qui fonctionne réellement en production.