18-1 · Kapitel 18 · 5 Min. Lesezeit

Was wirklich passiert, wenn Sie eine Live-Anwendung aktualisieren

Erfahren Sie, warum Deployments zu Ausfällen, Fehlern und Dateninkompatibilität führen – und wie eine durchdachte Deployment-Strategie diese Probleme adressiert.

Was wirklich passiert, wenn Sie eine Live-Anwendung aktualisieren

Sie sind mitten im Ausfüllen eines Formulars. Die Seite friert ein. Dann ein leerer Bildschirm. Dann eine Fehlermeldung. Sie laden neu, und die gerade eingegebenen Daten sind weg. Irgendwo hat gerade jemand eine neue Version der Anwendung deployed, die Sie benutzt haben.

Dieses Szenario spielt sich täglich tausendfach in Unternehmen aller Größen ab. Die Person, die deployed hat, dachte wahrscheinlich, das Update sei Routine. Ein paar Bugfixes, vielleicht ein neues Feature. Aber aus Ihrer Sicht war die Erfahrung unterbrochen. Zu verstehen, warum das passiert, ist der erste Schritt zur Wahl einer Deployment-Strategie, die sowohl Ihre Benutzer als auch Ihr Team schützt.

Die vier Probleme, die nie verschwinden

Jedes Mal, wenn Sie eine Version einer Anwendung durch eine andere ersetzen, treten vier grundlegende Probleme auf. Sie kümmern sich nicht um Ihre Testabdeckung, Ihre Codequalität oder Ihr Vertrauen in den Release.

Das folgende Diagramm zeigt, wie ein einzelnes Deployment in die vier Kernprobleme und ihre Folgewirkungen verzweigt.

flowchart TD A[Neue Version deployen] --> B[Ausfallzeit] A --> C[Fehler in der neuen Version] A --> D[Dateninkompatibilität] A --> E[Rollback-Falle] B --> F[Umsatzverlust] B --> G[Frustrierte Benutzer] C --> H[Absturz unter Last] C --> I[Bug in Produktion] D --> J[Datenkorruption] D --> K[Alter Code kann neue Daten nicht lesen] E --> L[Datenverlust] E --> M[Manuelle Nachbearbeitung]

Ausfallzeit

Das offensichtlichste Problem. Sie stoppen die alte Version. Sie starten die neue Version. Dazwischen läuft nichts. Für ein internes Tool, das von fünf Personen genutzt wird, sind dreißig Sekunden Ausfallzeit vielleicht akzeptabel. Für eine Checkout-Seite, die tausende Anfragen pro Minute verarbeitet, bedeuten selbst drei Sekunden verlorene Transaktionen, frustrierte Benutzer und echte Umsatzeinbußen.

Die Frage ist nicht, ob Ausfallzeit existiert. Die Frage ist, wie viel Ihre Benutzer tolerieren können, bevor sie gehen oder Ihr Vertrauen verlieren.

Fehler in der neuen Version

Sie haben die neue Version getestet. Ihre Staging-Umgebung war erfolgreich. Aber die Produktion ist nicht Staging. Der neue Code könnte einen Bug haben, der nur unter echten Traffic-Mustern auftritt. Er könnte mehr Speicher verbrauchen als erwartet und unter Last abstürzen. Er könnte mit Produktionsdaten interagieren, die Ihre Test-Fixtures nie abgebildet haben.

Manche Fehler treten sofort auf. Andere brauchen Stunden, um sichtbar zu werden – und bis dahin hat sich der Schaden bereits durch Ihr System ausgebreitet.

Dateninkompatibilität

Das ist der stille Killer. Anwendungen arbeiten selten allein. Sie sind mit Datenbanken, Caches, Message Queues und anderen Diensten verbunden. Eine neue Version könnte Daten in einem leicht anderen Format schreiben, eine Spalte hinzufügen oder ändern, wie sie ein Feld interpretiert.

Wenn die neue Version Daten in einem neuen Format schreibt, während die alte Version noch alte Daten liest, entsteht Korruption. Wenn Sie ein Rollback durchführen müssen, sind die Daten im neuen Format für den alten Code möglicherweise unlesbar. Datenprobleme sind am schwierigsten früh zu erkennen und am teuersten später zu beheben.

Die Rollback-Falle

Rollback klingt einfach. Die neue Version ist kaputt, also setzen Sie die alte Version zurück. Aber während die neue Version lief, haben Benutzer neue Datensätze angelegt, Transaktionen abgeschlossen und den Zustand geändert. Wenn Sie die alte Version wiederherstellen, was passiert mit diesen Daten?

Löschen Sie sie? Behalten Sie sie in einem Format, das der alte Code nicht lesen kann? Konvertieren Sie sie zurück? Jede Option hat Konsequenzen. Ein sauberes Rollback ist selten. Die meisten Rollbacks beinhalten Datenverlust, manuelle Nachbearbeitung oder eine Phase der Inkonsistenz.

Warum diese Probleme nicht optional sind

Sie können diese vier Probleme nicht beseitigen. Jedes Deployment bringt sie mit sich. Was Sie kontrollieren können, ist, wie stark sie Ihre Benutzer beeinträchtigen und wie schnell Sie sich erholen können, wenn etwas schiefgeht.

Hier kommen Deployment-Strategien ins Spiel. Eine Deployment-Strategie ist keine Frage des richtigen Knopfdrucks oder der richtigen Tool-Konfiguration. Es geht darum, bewusste Kompromisse zwischen Geschwindigkeit, Sicherheit und Komplexität einzugehen. Verschiedene Strategien gehen unterschiedlich mit den vier Problemen um.

Was eine gute Deployment-Strategie tatsächlich bewirkt

Eine Deployment-Strategie beantwortet drei praktische Fragen:

Wie machen Sie die neue Version verfügbar, ohne die alte Version zu früh zu entfernen?
Wie begrenzen Sie die Schadensradius, wenn die neue Version defekt ist?
Wie kehren Sie in einen funktionierenden Zustand zurück, ohne Daten zu verlieren oder Ihr System zu korrumpieren?

Die Antworten bestimmen, ob Ihre Benutzer das Update überhaupt bemerken, ob Ihr Bereitschaftsingenieur um 2 Uhr morgens alarmiert wird und ob Ihr Team mehrmals täglich oder nur einmal im Monat deployen kann.

Ein kurzer Realitätscheck

Bevor wir uns mit spezifischen Strategien wie Rolling Updates, Blue-Green-Deployments oder Canary-Releases befassen, hilft ein Blick darauf, wie die meisten Teams heute tatsächlich deployen. Das häufigste Muster ist immer noch das einfachste: alte Version stoppen, neue Version starten, hoffen, dass es gut geht. Es funktioniert für interne Tools mit geringem Traffic. Es versagt bei allem, worauf Menschen angewiesen sind.

Die Teams, die über dieses Muster hinausgehen, haben nicht unbedingt bessere Tools oder mehr Ingenieure. Sie haben ein klareres Verständnis dafür, welches der vier Probleme für ihre spezifische Anwendung am wichtigsten ist. Ein Zahlungssystem legt größten Wert auf Datenintegrität. Eine Content-Seite legt größten Wert auf Verfügbarkeit. Eine mobile App legt größten Wert auf Rollback-Fähigkeit, da Sie Benutzer nicht zum Update zwingen können.

Praktische Checkliste vor der Strategiewahl

Bevor Sie eine Deployment-Strategie auswählen, beantworten Sie diese Fragen ehrlich. Ihre Antworten zeigen Ihnen, welche Kompromisse Sie eingehen sollten.

Wie viele Sekunden Ausfallzeit können Ihre Benutzer tolerieren, ohne die Anwendung aufzugeben?
Was passiert mit Daten, wenn die neue Version Datensätze in einem anderen Format schreibt?
Können Sie Fehler innerhalb von Sekunden nach dem Deployment erkennen, oder brauchen sie Stunden, um sichtbar zu werden?
Wie lange dauert es, den Dienst aus einem Backup vollständig wiederherzustellen, wenn Daten korrumpiert wurden?
Können Sie ein Rollback ohne manuelle Datenbereinigung durchführen, oder erfordert jedes Rollback einen DBA-Eingriff?
Wie viele Benutzer sind betroffen, wenn die neue Version sofort abstürzt?

Das Fazit

Eine Live-Anwendung zu aktualisieren ist kein Dateikopiervorgang. Es ist ein Koordinationsproblem zwischen altem Code, neuem Code, Live-Daten und aktiven Benutzern. Die vier Probleme – Ausfallzeit, Fehler, Dateninkompatibilität und Rollback-Komplexität – sind immer präsent. Kein Tool und kein Prozess beseitigt sie. Eine gute Deployment-Strategie tut nicht so, als ob diese Probleme nicht existierten. Sie entscheidet, welche minimiert und welche akzeptiert werden, basierend auf dem, was Ihre Anwendung und Ihre Benutzer tatsächlich brauchen. Beginnen Sie damit, die Probleme zu verstehen. Die Strategie ergibt sich daraus.