De Kapsule à Hetzner Talos : 550 €/mois → ~65 €/mois sur mon infra perso

En avril, ma facture Scaleway était à 550 €, dont 338 € de pur compute Kapsule. Pour une infra perso opérée seul, c’est trop. Quelques semaines après avoir viré GitLab pour Forgejo sur ce Kapsule, je me suis posé la question d’à côté : le control plane managé, est-ce vraiment necessaire ? Pas vraiment. J’ai migré toute mon infra (git.z3k.eu, auth.z3k.eu, ce site, ArgoCD, la stack VictoriaMetrics) sur un cluster Talos chez Hetzner. Voilà ce que ça donne.

Pourquoi quitter Kapsule

Le Kapsule en tier gratuit (control plane mutualisé) ne tient pas la route même pour un tout petit cluster — j’ai essayé, j’ai eu plein de soucis : des objets qui ne se créent pas, des rollouts bloqués plusieurs heures, des kubectl qui ne répondent pas. Il faut passer en HA dédié pour avoir un comportement stable, autour de 80 €/mois rien que pour les CPs. À ce prix-là, on est quasi déjà au coût de l’infra Hetzner complète que j’ai finalement.

Scaleway vient en plus d’augmenter ses prix compute. Pour une boîte avec des SLA a tenir et des engagements de support, Kapsule a du sens. Pour mon usage, ça ne se justifiait plus.

La nouvelle stack

Trois cpx22 en control plane, deux cpx32 en worker, tous sur un réseau privé Hetzner. Talos géré par talosctl et un fichier de config par node. Cilium en CNI avec le kube-proxy replacement en eBPF, Traefik en ingress, hcloud-CCM pour les load balancers, hcloud-CSI pour le storage, cert-manager côté Let’s Encrypt, CNPG pour Postgres.

Le vrai changement c’est le control plane qui n’est plus managé. Mais Talos rend ça facile, tout passe par l’API talosctl, pas de SSH, pas de cloud-init. C’est descriptif et ça fonctionne. Et l’OS est immutable. Les updates se font via talosctl upgrade --image ghcr.io/siderolabs/installer:<version> (ou l’URL factory.talos.dev/installer/<schematic> si t’as des extensions) : Talos télécharge la nouvelle image système, l’écrit sur la partition de secours (schéma A/B), reboot dessus. Si le boot échoue, tu reviens sur la partition précédente avec talosctl rollback. Pas de gestionnaire de paquets, pas de drift entre nodes.

Ce qui reste cross-cloud pendant la transition

External Secrets Operator pointe encore sur Scaleway Secret Manager. Dépendance cross-cloud assumée, ça marche, ça coute rien, je verrai plus tard si je migre vers un Vault local ou si je reste comme ça.

Le bilan

3 × CPX22 à 7,99 €/mois (control plane), 2 × CPX32 à 13,99 €/mois (workers), 1 × LB11 à 7,49 €/mois. Compute + LB : ~59 €/mois. Ajoute les 5 IPv4 (€0,50 chacun depuis 2024) et la cinquantaine de Go de Volumes sur les workers (€0,057/GB), tu tournes à ~65 €/mois steady-state tout compris. À mettre en face des 550 €/mois d’avril sur Scaleway (dont 338 € de pur compute Kapsule). Sur la facture totale, c’est un facteur 8.

Pour la comparaison à profil équivalent : un CPX32 (4c/8G) chez Hetzner est en vCPU partagé AMD. L’équivalent Scaleway c’est le DEV1-L à 36 €/mois (gamme depuis dépréciée chez Scaleway, mais c’était mon référentiel à l’époque), sauf que sur mes workloads les DEV1-* étaient vraiment lents et j’avais dû passer en POP2 (CPU dédié) à 78 €/mois pour que ça tienne. Le CPX32, lui, encaisse pour 14 €/mois. À profil officiel comparable on est à un facteur 2,6×, mais à charge réelle utilisable je remplace du 78 € par du 14 €.

Le gain n’est pas que sur la facture. Plus aucun lock-in managé, je choisis ma version de Kubernetes, mon CNI, et les parametre du scheduler, je fais ce que je veux. En contrepartie j’ai la responsabilité de l’OS et des patchs de sécu, que Talos rend pour le moment indolores. Aussi je perds le multi-DC par raport a Kapsule, dans mon cas je ne pense pas que ce soit indispensable.