Friction réelle : pourquoi la CI « rame » avant même la bande passante
Lorsque GitHub Actions pousse des artefacts vers un Mac distant utilisé comme nœud de build, la première intuition est souvent d’augmenter le débit uplink. Pourtant, chaque synchronisation rsync déclenche une pile complète : résolution DNS, poignée TCP, échange de clés SSH, authentification, ouverture de canal puis négociation du sous-système SFTP si vous passez par sftp. Multiplié par des jobs courts mais fréquents, ce coût fixe dépasse vite le volume utile transféré, surtout sur des liaisons transcontinentales où la latence domine le temps de congestion.
ControlMaster répond à ce problème en conservant une socket maîtresse et en rattachant les sessions suivantes au même tunnel logique. Le gain est tangible pour des milliers de petits fichiers ou des incréments répétés. En revanche, toutes les sessions qui partagent le même ControlPath se retrouvent dans une file d’attente unique au niveau SSH : deux jobs matriciels qui semblaient indépendants peuvent désormais se bloquer mutuellement sans saturer le disque ni le CPU chiffrement.
Le parallélisme n’est donc pas « gratuit » : il faut décider si l’on duplique des comptes système, des ports d’écoute ou des répertoires ControlPath par équipe, par environnement ou par type d’artefact. Cette décision se croise avec MaxSessions côté sshd sur le Mac distant, car un multiplexage agressif peut faire apparaître des rejets de session qui ressemblent à une surcharge disque alors qu’il s’agit simplement de la limite de canaux multiplexés.
Les passerelles NAT et les équilibreurs stateful posent un second piège : pendant qu’un job compresse localement une archive avant envoi, aucun octet applicatif ne traverse le tunnel. Un timeout d’inactivité intermédiaire peut fermer silencieusement l’état TCP sans message d’erreur côté rsync. Les sondes ServerAliveInterval côté client et ClientAliveInterval côté serveur doivent être dimensionnées par rapport à la fenêtre la plus courte observée sur le chemin, pas seulement par rapport aux habitudes internes de l’équipe.
Enfin, le répertoire qui héberge les sockets ControlPath est un actif de sécurité : permissions trop laxistes exposent des métadonnées de session, tandis qu’un nettoyage agressif par cron peut supprimer une socket encore utilisée. Les obligations RGPD sur la journalisation des chemins d’artefacts imposent de tracer qui lit quoi, surtout si des noms de répertoires contiennent des identifiants projet ou des adresses mail.
Modèle d’observation : découpler connexion, multiplex et charge utile
Adoptez une taxonomie à trois niveaux. L1 regroupe DNS, routage, MTU et temps de poignée brute. L2 mesure le taux de réussite du multiplex, l’âge de la socket maîtresse et la profondeur de file observée via des compteurs applicatifs. L3 suit le débit rsync, les codes de sortie des scripts de barrière checksum et la latence d’écriture sur le volume cible APFS ou externe.
Instrumentez L2 comme une file d’attente : exportez un compteur « multiplex hit » et « multiplex miss » vers votre stack de métriques. Une chute brutale après une mise à jour mineure d’OpenSSH sur le runner ou sur le Mac distant est un signal d’alerte plus fiable que la seule opinion des développeurs. Couplez ces séries temporelles aux hashes de configuration ssh -G pour savoir si le changement vient du binaire ou du fichier ssh_config injecté dans l’image OCI.
Documentez la propriété fonctionnelle de chaque alias Host : environnement, compte distant, stratégie de pinning et durée de ControlPersist. Lors d’un incident nocturne, la carte des alias évite de confondre un bastion ProxyJump avec une entrée directe, situation classique où les sockets maîtresses se mélangent et où les diagnostics tournent en rond.
Chiffrer le problème : ordres de grandeur et pièges de mesure
Sur une liaison Europe–Amérique du Nord, un handshake SSH complet se situe fréquemment entre 120 et 400 millisecondes. Dix synchronisations de quelques mégaoctets par minute peuvent ainsi consommer plusieurs minutes d’horloge murale rien qu’en négociations, même si le débit instantané affiché reste confortable. Le multiplexage ramène souvent la phase de reprise à quelques millisecondes, mais le plafond utile reste dicté par la fenêtre TCP, l’algorithme de contrôle de congestion et le coût CPU des suites chiffrées modernes sur Apple Silicon.
Les timeouts NAT d’entreprise gravitent souvent autour de 300, 600 ou 900 secondes d’inactivité applicative. Si votre pipeline compresse ou signe des binaires pendant des segments plus longs, alignez ServerAliveInterval et ClientAliveInterval sur la contrainte la plus sévère du chemin, puis archivez la décision dans le runbook : les auditeurs demandent la trace, pas seulement la valeur magique copiée depuis un tutoriel.
Les transferts massifs mettent en avant d’autres goulots : écriture séquentielle sur SSD externe, caches de fichiers, ou conflit entre rsync --inplace et une politique de publication atomique. Dans ces cas, le multiplexage n’apporte qu’un gain marginal ; lisez plutôt le guide intégrité pour découper les barrières checksum et éviter les faux positifs lorsqu’une socket maître est recréée au milieu d’un upload.
Corrélez enfin chaque changement de keepalive avec un ticket de changement et un test de charge minimal : un simple A/B sur cinq minutes suffit à détecter une régression où le runner termine avant que le tunnel SSH n’ait fini de vider ses tampons.
Les runners hébergés par GitHub et vos runners auto-hébergés n’ont pas la même topologie d’egress : les adresses IP publiques peuvent changer entre deux jobs, ce qui influence la stratégie de pinning et la fréquence des rejetons de session. Documentez ce comportement à côté de vos choix multiplex, sinon une optimisation validée en interne échouera dès la première bascule d’IP.
Du côté Mac distant, surveillez la pression thermique lorsque plusieurs flux chiffrés coexistent : Apple Silicon gère admirablement les charges, mais une série de jobs rsync concurrents peut quand même déclencher une modulation de fréquence qui ressemble, vu depuis le runner, à une saturation réseau. Croiser les métriques powermetrics ou équivalent avec les graphes de débit évite de mauvais diagnostics.
Enfin, reliez vos barèmes de débit aux SLA créatifs : les studios qui livrent des assets volumineux acceptent parfois des transferts plus lents la nuit mais exigent des reprises sans erreur le matin. Le multiplexage doit servir cette promesse sans masquer une fragilité NAT qui ne se manifeste qu’aux heures de pointe européennes.
Matrice de décision rapide
| Scénario | Multiplex | Bénéfice | Risque |
|---|---|---|---|
| Nombreux petits incréments | ControlMaster auto + ControlPersist borné | Réduction de la latence de queue | Socket maître corrompue ou périmée |
| Matrice dense sur un runner | Scinder ControlPath ou désactiver | Supprime la sérialisation SSH | Coût de poignée accru |
| Transferts longs avec barrières | Compte CI dédié | Moins de reconnexions | NAT impose des keepalives actifs |
| Humains et robots partagent un compte | Alias Host distincts | Moindre risque opérationnel | Surface de configuration élargie |
| Posture conformité stricte | ControlPersist court ou désactivé | Fenêtre d’exposition réduite | Charge CPU de handshake plus élevée |
Mise en œuvre : séquence recommandée
# Fragment ~/.ssh/config pour la CI
# Host rm-ci
# HostName mac.distant.exemple
# User ciupload
# IdentityFile ~/.ssh/id_ed25519_ci
# ControlMaster auto
# ControlPath ~/.ssh/cm/%r@%h:%p
# ControlPersist 8m
# ServerAliveInterval 25
# ServerAliveCountMax 5
# ConnectTimeout 12
# rsync -av --partial -e "ssh -F ~/.ssh/config" ./dist/ rm-ci:~/artifacts/
Étape 1 — Baseline honnête. Mesurez trois exécutions rsync identiques sans multiplexage, avec horodatage fin sur la phase de connexion (time, traces ssh -vvv filtrées). Notez CPU, IO et débit pour éviter d’optimiser le mauvais étage.
Étape 2 — Durcissement des chemins. Créez un répertoire ControlPath dédié, permissions 0700, propriétaire strictement le compte du runner. Ajoutez une rotation de logs qui mentionne uniquement les métadonnées nécessaires pour prouver l’absence de fuite de chemins sensibles.
Étape 3 — Expérience de charge parallèle. Lancez volontairement deux jobs matriciels simultanés : observez si le second attend la fin du premier au niveau SSH. Si oui, scindez les alias ou désactivez le multiplex pour ce profil.
Étape 4 — Accords keepalive bilatéraux. Alignez ServerAliveInterval côté client et ClientAliveInterval côté sshd du Mac sur la fenêtre NAT la plus courte ; documentez l’hypothèse sur la présence ou non d’un équilibreur applicatif.
Étape 5 — Ancrage cryptographique. Figez StrictHostKeyChecking et les empreintes dans l’image du runner ; le multiplexage ne doit jamais masquer une invite interactive due à une rotation de clé surprise.
Étape 6 — Idempotence des barrières. Les scripts checksum doivent tolérer la recréation d’une socket maître : verrouillage fichier, chemins temporaires distincts par job, critères de succès basés sur l’empreinte finale et non sur la durée de session.
Étape 7 — Sortie de secours documentée. Conservez un alias Host sans multiplexage pour les incidents, testé au moins une fois par trimestre lors d’un exercice de jeu.
Précision sur rsync -z. La compression peut saturer le CPU du Mac distant sur des liens déjà rapides ; mesurez avant de l’activer systématiquement avec le multiplexage, car les deux optimisations consomment des ressources différentes.
ProxyJump et chemins. Si la chaîne comporte un bastion, encodez le saut dans le nom du fichier ControlPath pour éviter qu’une session directe ne réutilise par erreur une socket créée via le saut, situation difficile à diagnostiquer sans schéma réseau à jour.
Gestion du cache DNS local. Les runners réutilisent parfois un résolveur avec TTL agressif : une bascule d’adresse sur le Mac distant peut laisser un multiplex pointer vers une cible obsolète. Ajoutez un test de résolution explicite avant les transferts critiques ou diminuez ControlPersist lors des fenêtres de migration DNS.
Journalisation contractuelle. Préfixez chaque ligne de log avec l’identifiant du job CI et l’alias Host utilisé ; lors d’audits clients, cette granularité prouve que vous savez quel chemin réseau a servi pour un artefact donné sans divulguer l’intégralité du système de fichiers distant.
Retour d’expérience post-incident. Après chaque coupure, capturez non seulement la cause racine mais aussi le temps perdu à distinguer multiplex, NAT et disque ; ces minutes sont le coût réel à comparer à l’externalisation vers un Mac géré.
Lecture filée et intégration dans votre runbook
Enchaînez cet article avec le guide known_hosts pour verrouiller l’identité du serveur avant toute optimisation de session. Poursuivez avec la fiche SFTP parallèle afin d’harmoniser MaxSessions et vos sondes keepalive. Le volet IPv6 clarifie les latences intermittentes qui imitent des problèmes de multiplex. Terminez par intégrité des artefacts pour relier barrières checksum et politiques de publication, puis revenez à l’accueil pour comparer les offres Mac distants gérés.
Insérez ces liens dans votre wiki interne : la navigation linéaire réduit le temps passé à rechercher « l’article sur known_hosts » pendant une coupure de production.
Prévoyez une section « check-list avant release majeure » : vérification des versions OpenSSH, relecture des alias, test du chemin d’urgence sans multiplex, validation des quotas disque sur le Mac distant. Cette routine prend moins d’une heure et évite des heures de rollback chaotique.
Les équipes créatives apprécient surtout la prévisibilité : exposez-leur un tableau simple (fenêtre de maintenance, débit attendu, procédure de reprise) plutôt que les détails du champ ControlPath. Le multiplexage reste un outil d’ingénierie ; sa valeur perçue dépend de la clarté de la communication vers les métiers.
FAQ et transition vers un Mac distant géré
Quelle durée pour ControlPersist ?
Alignez-la sur la cadence réelle des jobs et sur la politique de sécurité ; consignez la valeur dans le runbook plutôt que dans des fichiers locaux non versionnés.
Compatibilité avec ProxyJump ?
Oui, mais nommez explicitement les chemins ControlPath pour distinguer saut et accès direct, et testez les deux branches lors des upgrades OpenSSH.
Synthèse. Le multiplexage SSH est un levier puissant contre la taxe de poignée, mais il ne remplace ni une stratégie NAT cohérente ni des barrières checksum idempotentes. Traitez la socket maîtresse comme un composant d’état : propriétaire, durée de vie, observabilité et plan de repli doivent être aussi documentés que le code applicatif.
Limite. Si DNS, double pile ou proxy d’entreprise restent instables, vous accélérerez seulement la vitesse à laquelle les échecs se produisent. Corrigez d’abord L1, puis seulement affinez le multiplex.
Pourquoi envisager SFTPMAC. L’externalisation d’un Mac distant dédié permet de stabiliser l’ingress, d’industrialiser les valeurs keepalive et de réduire la dette opérationnelle sur vos runners : vos équipes creative et DevOps se concentrent sur les releases plutôt que sur la chasse aux sockets fantômes.
Planifiez une revue trimestrielle qui combine multiplex, empreintes et journaux NAT.