29-5 · Kapitel 29 · 5 Min. Lesezeit

Wenn sich die automatische Infrastruktur-Wiederherstellung als Bumerang erweist

Erfahren Sie, warum automatische Drift-Rekonziliation in CI/CD-Pipelines zu Incidents führen kann und wie Sie mit Approval Gates, Reconciliation Windows und Exclusion Rules die Kontrolle behalten.

Wenn sich die automatische Infrastruktur-Wiederherstellung als Bumerang erweist

Es ist 2 Uhr morgens. Ihre Produktionsanwendung beginnt, Verbindungspool-Fehler zu werfen. Der diensthabende Engineer springt in die Cloud-Konsole, passt einen Datenbankparameter an, und das System stabilisiert sich. Alle atmen auf.

Zwanzig Minuten später kommen die Alarme zurück. Dieselben Fehler. Der Engineer überprüft die Konsole und stellt fest, dass der Parameter auf seinen ursprünglichen Wert zurückgesetzt wurde. Ihre Infrastructure-as-Code-Pipeline hat die manuelle Änderung als „Drift“ erkannt und automatisch rückgängig gemacht. Jetzt stecken Sie wieder in einem Incident, und der Kreislauf wiederholt sich, bis jemand den automatischen Abgleichmechanismus deaktiviert.

Dieses Szenario ist nicht hypothetisch. Es passiert, wenn die automatisierte Rekonziliation jede Abweichung vom Code als ein zu behebendes Problem behandelt.

Das Problem mit der Annahme, dass jeder Drift schlecht ist

Automatisierte Rekonziliation klingt auf dem Papier perfekt. Ihre Pipeline erkennt, wenn die reale Infrastruktur von dem abweicht, was im Code definiert ist, und wendet dann automatisch den korrekten Zustand an. Kein menschliches Eingreifen nötig. Kein Zeitfenster, in dem Drift bestehen bleiben kann.

Aber die grundlegende Annahme ist falsch: Nicht jeder Drift ist ein Fehler. Manchmal erfolgen Änderungen außerhalb der Pipeline aus legitimen Gründen, und genau diese Änderungen halten das System am Laufen.

Während eines Incidents nehmen Engineers Notfalländerungen vor. Während einer Datenbankmigration modifizieren Teams temporär Ressourcen als Teil einer sorgfältigen Prozedur. Während eines Lasttests werden Skalierungsparameter spontan angepasst. Das sind alles valide Gründe, eine Infrastruktur zu haben, die nicht mit Ihrem Code-Repository übereinstimmt.

Ein automatisiertes Rekonziliationssystem kann nicht zwischen einer destruktiven und einer lebensrettenden Änderung unterscheiden. Es weiß nur, dass der tatsächliche Zustand vom gewünschten Zustand abweicht, und seine Aufgabe ist es, den gewünschten Zustand wiederherzustellen. Es hat keinen Kontext darüber, warum die Änderung vorgenommen wurde, ob ein aktiver Incident vorliegt oder ob die Änderung vom Team validiert wurde.

Wenn das Timing die Sache verschlimmert

Das Timing der automatisierten Rekonziliation schafft eine weitere Risikokategorie. Stellen Sie sich ein Team mitten in einer komplexen Datenbankmigration vor. Sie modifizieren bewusst mehrere Cloud-Ressourcen manuell als Teil einer mehrstufigen Prozedur, die noch nicht vollständig in IaC abgebildet ist. Wenn die Rekonziliations-Pipeline mitten in der Migration läuft, könnte sie Ressourcen löschen, die sich im Übergang befinden, was zu Datenverlust oder einem vollständigen Migrationsfehler führt.

Dies ist kein theoretischer Grenzfall. Migrationen, Infrastruktur-Upgrades und Reaktionen auf Sicherheitsvorfälle beinhalten alle temporäre Zustände, in denen die Live-Umgebung bewusst vom Codebestand abweicht. Eine automatisierte Rekonziliation, die während dieser Fenster läuft, verursacht nicht nur Unannehmlichkeiten. Sie kann Daten korrumpieren, laufende Dienste unterbrechen oder kritische Sicherheitsmaßnahmen rückgängig machen, die manuell angewendet wurden, weil die Situation Geschwindigkeit über Prozess erforderte.

Das Risiko kontrollieren, ohne die Automatisierung aufzugeben

Die Antwort ist nicht, die automatisierte Rekonziliation vollständig zu deaktivieren. Die Antwort ist, Kontrollen zu schaffen, die zum realen Betrieb passen.

Das folgende Flussdiagramm veranschaulicht die problematische automatische Rekonziliationsschleife und wo die vorgeschlagenen Kontrollen eingreifen.

flowchart TD A[Drift erkannt] --> B{Genehmigungsstufe?} B -- Nein --> C[Automatischer Revert] C --> D[Incident wiederholt sich] D --> A B -- Ja --> E[Menschliche Überprüfung] E --> F{Legitimer Drift?} F -- Ja --> G[In Code übernehmen] F -- Nein --> H[Sicher abgleichen] I[Rekonziliationsfenster] --> B J[Change Freeze] --> B K[Ausschlussregeln] --> A

Genehmigungsstufen für die Rekonziliation

Anstatt die Pipeline Änderungen automatisch anwenden zu lassen, wenn Drift erkannt wird, lassen Sie sie an einer Überprüfungsstufe anhalten. Senden Sie eine Benachrichtigung an das relevante Team mit Details darüber, was sich geändert hat. Fordern Sie eine Genehmigung an, bevor die Rekonziliation läuft. Dies gibt dem Team Zeit zu prüfen, ob der Drift rückgängig gemacht oder in die Codebasis übernommen werden soll.

Das bedeutet nicht langsame Abläufe. Ein gut gestalteter Genehmigungsprozess kann schnell sein. Der Schlüssel ist, dass ein Mensch die Entscheidung trifft, nicht ein automatisiertes System ohne Kontext.

Rekonziliationsfenster

Definieren Sie spezifische Zeitfenster, in denen die automatisierte Rekonziliation laufen darf. Zum Beispiel nur zwischen 9 und 17 Uhr an Werktagen. Außerhalb dieser Zeiten wird Drift erkannt und gemeldet, aber nicht automatisch behoben.

Diese einfache Regel verhindert das 2-Uhr-morgens-Incident-Szenario. Wenn nachts eine Notfalländerung vorgenommen wird, protokolliert die Pipeline dies und alarmiert das Team, macht die Behebung aber nicht rückgängig, bis am Morgen jemand sie ordnungsgemäß überprüfen kann.

Change Freezes

Wenn sich das Team in einer Freeze-Phase befindet, schalten Sie die gesamte automatisierte Rekonziliation ab. Freezes finden vor großen Releases, während Audits oder bei kritischen Migrationen statt. Während eines Freezes wird Drift überwacht und protokolliert, aber es sind keine automatischen Änderungen erlaubt. Das Team kann die Rekonziliation nach dem Freeze wieder aktivieren, nachdem bestätigt wurde, dass alle legitimen Änderungen im Code festgehalten wurden.

Ausschlussregeln für dynamische Ressourcen

Einige Ressourcen ändern sich von Natur aus häufig außerhalb der Pipeline. Auto-Scaling-Gruppen passen ihre Größe basierend auf der Last an. Überwachungstools optimieren automatisch Konfigurationen. Diese Ressourcen sollten von der automatisierten Rekonziliation ausgeschlossen werden oder spezielle Regeln erhalten, die bestimmte Arten von Drift erlauben.

In Terraform können Sie beispielsweise den lifecycle-Block mit ignore_changes verwenden, um zu verhindern, dass die Pipeline legitime dynamische Anpassungen rückgängig macht:

resource "aws_autoscaling_group" "app" {
  name               = "production-app-asg"
  min_size           = 2
  max_size           = 10
  desired_capacity   = 4
  launch_configuration = aws_launch_configuration.app.id
  vpc_zone_identifier = ["subnet-abc123", "subnet-def456"]

  lifecycle {
    ignore_changes = [
      desired_capacity,
      min_size,
      max_size,
    ]
  }
}

Dies weist Terraform an, Änderungen an den Skalierungsparametern zu ignorieren, sodass manuelles Skalieren während Lastspitzen nicht rückgängig gemacht wird.

Hier geht es nicht darum, Ausnahmen von der Regel zu machen. Es geht darum, anzuerkennen, dass einige Infrastrukturen von Natur aus dynamisch sind, und ihre normalen betrieblichen Änderungen als Drift zu behandeln, schafft mehr Probleme, als es löst.

Eine praktische Checkliste

Bevor Sie die automatisierte Rekonziliation für eine Ressourcengruppe aktivieren, überprüfen Sie diese Punkte:

Kann das Team die Rekonziliation während Incidents übersteuern oder pausieren?
Gibt es ein definiertes Rekonziliationsfenster, das die arbeitsfreie Zeit ausschließt?
Sind dynamische Ressourcen wie Auto-Scaling-Gruppen ausgeschlossen oder haben sie spezielle Regeln?
Erfordert die Pipeline eine menschliche Genehmigung, bevor Rekonziliationsänderungen angewendet werden?
Gibt es einen dokumentierten Prozess, um legitimen Drift zurück in den Code zu übernehmen?

Die eigentliche Erkenntnis

Automatisierte Rekonziliation ist ein Werkzeug, keine Richtlinie. Sie funktioniert gut, wenn Ihre Infrastruktur stabil ist, alle Ihre Änderungen durch die Pipeline laufen und Incidents selten sind. Sie arbeitet gegen Sie, wenn der Betrieb chaotisch ist, Notfälle passieren und Menschen Ermessensentscheidungen treffen müssen.

Die Teams, die das gut handhaben, automatisieren nicht alles. Sie automatisieren die Erkennung und Benachrichtigung von Drift, behalten aber die Entscheidung zur Rekonziliation in menschlichen Händen. Sie schaffen Fenster und Freezes, die ihrer betrieblichen Realität entsprechen. Sie schließen Ressourcen aus, die dynamisch sein sollen.

Ihre Infrastruktur wird von Ihrem Code abweichen. Ein Teil dieses Drifts wird ein Problem sein. Ein Teil davon wird der Grund sein, warum Ihr Dienst verfügbar blieb. Das Ziel ist nicht, Drift zu eliminieren. Das Ziel ist, genug Kontrolle zu haben, um zu wissen, mit welcher Art Sie es zu tun haben, bevor Sie handeln.