12-1 · Kapitel 12 · 6 Min. Lesezeit

Warum Sie vor Ihrem nächsten Deployment einen Wiederherstellungsplan brauchen

Ein Deployment ohne Wiederherstellungsplan ist kein Deployment, sondern Hoffnung. Erfahren Sie, warum Vorbereitung den Unterschied zwischen Minuten und Stunden im Incident ausmacht.

Warum Sie vor Ihrem nächsten Deployment einen Wiederherstellungsplan brauchen

Sie haben gerade eine neue Version Ihrer Anwendung in Produktion gebracht. Innerhalb von Minuten melden Nutzer, dass sie sich nicht mehr anmelden können. Die Fehlerraten steigen. Die Antwortzeit der Datenbank verdreifacht sich. Ihr Team-Chat explodiert vor Nachrichten. Jemand fragt: „Sollen wir ein Rollback machen?“ Eine andere Person sagt: „Lass mich direkt auf dem Server fixen.“ Eine dritte Person schweigt, weil sie bereits Befehle ausführt, die sie nie zuvor getestet hat.

Diese Szene spielt sich in Teams jeder Größe ab. Die Gemeinsamkeit ist nicht der Bug selbst. Es ist das Fehlen eines Plans. Wenn während eines Deployments etwas schiefgeht, hat das Team keine Zeit, klar zu denken. Es muss unter Druck handeln, mit unvollständigen Informationen, während Nutzer warten und Manager nach Updates fragen. In diesem Moment läuft der Unterschied zwischen einer schnellen Wiederherstellung und einem langen Ausfall oft auf eine Sache hinaus: ob das Team bereits entschieden hat, was zu tun ist, bevor das Deployment begann.

Das Problem, während eines Incidents zu entscheiden

Wenn ein Deployment schiefgeht, ist der natürliche Instinkt, spontan zu entscheiden, was zu tun ist. Jemand schlägt ein Rollback auf die vorherige Version vor. Jemand anderes möchte den Fehler direkt auf dem Produktionsserver patchen. Eine weitere Person argumentiert, dass das Team abwarten sollte, ob sich das Problem stabilisiert. Diese Diskussionen verschwenden wertvolle Minuten. Jede Minute Debatte bedeutet mehr betroffene Nutzer, mehr protokollierte Fehler und mehr Druck auf das Team.

Das größere Risiko ist, dass jemand eine ungeplante Aktion durchführt, die die Lage verschlimmert. Manuelles Bearbeiten von Dateien auf einem Produktionsserver, Wiederherstellen eines Teil-Backups oder Ausführen eines Datenbankbefehls ohne Test kann neue Probleme verursachen. Was als kaputte Anmeldeseite begann, kann zu Dateninkonsistenz, einer korrupten Datenbank oder einem vollständigen Serviceausfall werden.

Teams, die keinen Wiederherstellungsplan vorbereitet haben, spielen im Grunde genommen Roulette. Sie hoffen, dass das Deployment gut läuft, und wenn nicht, hoffen sie, dass jemand im Raum das Richtige zu tun weiß. Das ist keine Strategie. Das ist Wunschdenken.

Was ein Wiederherstellungsplan tatsächlich ist

Ein Wiederherstellungsplan ist kein dickes Dokument, das in einer gemeinsamen Ablage liegt und einmal im Jahr gelesen wird. Es ist eine Reihe von Entscheidungen, die vor dem Deployment getroffen und in einer Form niedergeschrieben wurden, die das Team unter Druck ausführen kann. Der Plan beantwortet konkrete Fragen:

Unter welchen Bedingungen stoppen wir das Deployment und leiten die Wiederherstellung ein?
Wer hat die Autorität, diese Entscheidung zu treffen?
Führen wir ein Rollback auf die vorherige Version durch, oder machen wir ein Roll-Forward mit einem Fix?
Was sind die genauen Schritte, um die gewählte Wiederherstellungsaktion auszuführen?
Wie überprüfen wir, dass die Wiederherstellung funktioniert hat?

Für ein kleines Team könnte der Plan eine Checkliste mit fünf Schritten sein. Für ein größeres Team mit mehreren Services und Abhängigkeiten könnte der Plan Koordinationspunkte, Kommunikationskanäle und Eskalationspfade enthalten. Die Komplexität skaliert mit dem System, aber das Prinzip bleibt gleich: Entscheiden Sie, bevor Sie deployen.

Warum Vorbereitung wichtig ist

Es gibt vier Gründe, warum ein Wiederherstellungsplan vor dem Deployment existieren muss, nicht erst, nachdem das Problem aufgetreten ist.

Erstens: Während eines Incidents ist Zeit nicht auf Ihrer Seite. Jede Minute Ausfall kostet etwas: verlorene Einnahmen, frustrierte Nutzer, beschädigter Ruf. Wenn das Team anhalten und darüber nachdenken muss, was zu tun ist, steigt die Wiederherstellungszeit. Ein vordefinierter Plan entfernt den Denkschritt. Das Team führt bekannte Aktionen aus, anstatt neue zu erfinden.

Zweitens: Ohne einen Plan werden verschiedene Personen unterschiedliche Meinungen darüber haben, was zu tun ist. Ein Ingenieur möchte sofort ein Rollback durchführen. Ein anderer möchte zuerst untersuchen. Ein Dritter möchte einen Hotfix anwenden. Diese Meinungsverschiedenheiten verursachen Verzögerungen und Verwirrung. Ein Wiederherstellungsplan klärt diese Fragen im Voraus. Jeder weiß, was die Standardaktion ist und wer entscheidet, ob das Team davon abweichen sollte.

Drittens: Einige Wiederherstellungsaktionen erfordern Vorbereitungen, die nicht spontan durchgeführt werden können. Die Wiederherstellung einer Datenbank auf einen vorherigen Zustand erfordert Backups, die im richtigen Format und mit der richtigen Aufbewahrungsrichtlinie erstellt wurden. Ein Rollback einer mobilen Anwendung erfordert, dass die vorherige Version signiert und für die Verteilung bereit ist. Diese Vorbereitungen müssen vor dem Deployment erledigt werden, nicht nach dem Fehler.

Viertens: Ein Plan, der nie getestet wurde, ist nur eine Theorie. Teams sollten Fehlerszenarien simulieren und die Wiederherstellungsschritte in einer sicheren Umgebung durchgehen. Dies deckt Lücken im Plan auf, fehlende Berechtigungen, veraltete Skripte oder Annahmen, die in der Praxis nicht halten. Das Testen des Plans macht aus einem Dokument eine Fähigkeit.

Wiederherstellung ist kein Zeichen von Pessimismus

Manche Teams sträuben sich dagegen, Wiederherstellungspläne zu erstellen, weil sie das Gefühl haben, es signalisiere mangelndes Vertrauen in ihren Deployment-Prozess. Das ist die falsche Denkweise. Ein Wiederherstellungsplan ist kein Eingeständnis, dass Sie mit einem Fehler rechnen. Es ist die Anerkennung, dass komplexe Systeme unvorhersehbares Verhalten haben, und vorbereitet zu sein, ist der verantwortungsvolle Weg.

Reife Teams konzentrieren sich nicht nur darauf, Deployments erfolgreich zu machen. Sie bereiten sich auch auf die Möglichkeit vor, dass ein Deployment nicht wie erwartet verläuft. Sie behandeln die Wiederherstellung als normalen Teil des Auslieferungsprozesses, nicht als Notfallprozedur, die nur aktiviert wird, wenn etwas schiefläuft.

Zwei Hauptansätze: Rollback und Roll-Forward

Sobald Sie akzeptieren, dass ein Wiederherstellungsplan notwendig ist, ist die nächste Frage, welche Art der Wiederherstellung verwendet werden soll. Die beiden häufigsten Ansätze sind Rollback und Roll-Forward.

Rollback bedeutet, das System in den vorherigen bekannten guten Zustand zurückzuversetzen. Sie machen das Deployment rückgängig und kehren zu der Version zurück, die vorher lief. Dies ist der einfachste Ansatz, wenn das Problem klar ist und die vorherige Version stabil ist.

Roll-Forward bedeutet, eine neue Version zu deployen, die das Problem behebt, anstatt zur alten Version zurückzukehren. Dieser Ansatz ist nützlich, wenn die vorherige Version eigene Probleme hat, wenn ein Rollback Datenverlust verursachen würde oder wenn der Fix klein genug ist, um schnell deployed zu werden.

Jeder Ansatz hat Kompromisse. Rollback ist einfacher, aber möglicherweise nicht für alle Arten von Änderungen möglich. Roll-Forward hält das System in Bewegung, erfordert aber, dass ein Fix unter Druck entwickelt und getestet wird. Die richtige Wahl hängt von der Situation ab, und genau deshalb sollte die Entscheidung vor dem Deployment diskutiert und dokumentiert werden.

Das folgende Flussdiagramm fasst den Entscheidungsprozess und die Schritte für jeden Wiederherstellungspfad zusammen:

flowchart TD A[Deployment schlägt fehl] --> B{Ist Rollback sicher?} B -->|Ja| C[Rollback] B -->|Nein| D[Roll-forward] C --> E[Code zurücksetzen] E --> F[DB zurücksetzen] F --> G[System verifizieren] D --> H[Fix schreiben] H --> I[Fix deployen] I --> J[System verifizieren]

Praktische Checkliste für Ihr nächstes Deployment

Bevor Sie deployen, gehen Sie diese Checkliste mit Ihrem Team durch:

Haben wir uns auf die Bedingungen geeinigt, die eine Wiederherstellung auslösen würden?
Wissen wir, wer entscheidet, ob ein Rollback oder Roll-Forward durchgeführt wird?
Sind die genauen Schritte für die Wiederherstellung dokumentiert und zugänglich?
Haben wir die Wiederherstellungsschritte in einer Staging-Umgebung getestet?
Sind die notwendigen Backups, Artefakte und Berechtigungen bereit?
Weiß jeder im Team, wo der Plan zu finden ist?

Wenn Sie nicht alle Fragen mit Ja beantworten können, ist Ihr Deployment nicht bereit.

Das Fazit

Ein Deployment ohne Wiederherstellungsplan ist kein Deployment. Es ist eine Hoffnung. Der Unterschied zwischen einem Team, das in Minuten wiederherstellt, und einem Team, das Stunden im Chaos verbringt, ist nicht technisches Können. Es ist Vorbereitung. Entscheiden Sie, was Sie tun werden, bevor etwas schiefgeht, schreiben Sie es auf, testen Sie es, und stellen Sie sicher, dass jeder den Plan kennt. So verwandeln Sie die Wiederherstellung von einer Panik in eine Prozedur.