33-3 · Kapitel 33 · 5 Min. Lesezeit

Feature Flags ohne erneutes Deployment steuern

Erfahre, wie du Feature Flags zur Laufzeit steuerst – mit Konfigurationsdateien, Umgebungsvariablen oder einem Remote-Dashboard. Inklusive Entscheidungsmatrix und praktischer Checkliste.

Feature Flags ohne erneutes Deployment steuern

Stell dir vor: Dein Team hat einen neuen Checkout-Prozess hinter einem Feature Flag ausgeliefert. Im Staging sieht alles gut aus. Doch eine Stunde nach dem Produktions-Deployment zeigt dein Monitoring einen Anstieg abgebrochener Warenkörbe. Du musst den neuen Prozess sofort deaktivieren.

Wenn das Deaktivieren dieses Features bedeutet, einen neuen Release zu bauen, auf die Build-Pipeline zu warten und erneut zu deployen, hast du ein Problem. Bis der alte Code wieder live ist, hast du bereits Umsatz verloren und Nutzer frustriert.

Deshalb müssen Feature Flags zur Laufzeit steuerbar sein – ohne die Deployment-Pipeline anzufassen. Die Fähigkeit, den Wert eines Flags während des Betriebs zu ändern, unterscheidet Feature Flags von Konfiguration, die zufällig „Flag“ heißt.

Der einfachste Ansatz: Konfigurationsdateien

Der direkteste Weg, Flags zu steuern, sind Konfigurationsdateien auf dem Server. Deine Anwendung liest Flag-Werte beim Start aus einer Datei, und du kannst ein Neuladen auslösen, ohne den Prozess neu zu starten.

Eine einfache flags.json könnte zum Beispiel so aussehen:

{
  "new-checkout": {
    "enabled": true,
    "description": "Neuer Checkout-Prozess mit vereinfachten Schritten"
  },
  "dark-mode": {
    "enabled": false,
    "description": "Dark-Mode-UI-Umschalter"
  },
  "recommendation-engine": {
    "enabled": true,
    "rollout-percentage": 25,
    "description": "Schrittweise Einführung personalisierter Empfehlungen"
  }
}

Das funktioniert gut, wenn du einen oder zwei Server hast. Du bearbeitest die Datei, sendest ein SIGHUP-Signal oder wartest auf das nächste periodische Neuladen, und die Anwendung übernimmt den neuen Wert.

Aber dieser Ansatz skaliert nicht. Wenn deine Anwendung auf zehn Servern läuft, musst du zehn Dateien bearbeiten. Wenn ein Server das Update verpasst, sehen manche Nutzer den neuen Prozess, andere nicht. Und jemand braucht Shell-Zugriff auf die Produktionsserver, um die Änderung vorzunehmen – das schafft einen Engpass und ein Problem mit der Audit-Trail.

Umgebungsvariablen: Besser, aber immer noch begrenzt

Umgebungsvariablen sind eine Verbesserung. Du setzt NEW_CHECKOUT_ENABLED=true beim Start der Anwendung, und der Flag-Wert ist während des gesamten Prozesslebenszyklus verfügbar. Das ist besonders nützlich, um zwischen Umgebungen zu unterscheiden: Staging bekommt true, Produktion bekommt false.

Die Einschränkung ist offensichtlich: Du kannst eine Umgebungsvariable nicht ändern, ohne den Prozess neu zu starten. Wenn du ein Feature mitten am Tag deaktivieren musst, musst du die Anwendung mit einem neuen Variablenwert neu starten. Dieser Neustart kann Sekunden oder Minuten dauern, abhängig von der Startzeit deiner Anwendung und dem Aufwärmen der Verbindungspools.

In containerisierten Umgebungen wie Kubernetes kannst du Umgebungsvariablen über ConfigMaps aktualisieren, ohne das Container-Image neu zu bauen. Aber der Pod muss trotzdem neu starten, um die Änderung zu übernehmen. Manche Orchestratoren führen automatisch Rolling Restarts durch, aber es gibt immer ein kurzes Zeitfenster, in dem der alte Wert aktiv ist.

Die echte Lösung: Ein Remote-Flag-Dashboard

Wenn dein Team Echtzeit-Kontrolle über viele Dienste hinweg braucht, benötigst du ein dediziertes Flag-Management-System. Das bietet eine Weboberfläche oder API, um Flag-Werte zu ändern, und die Anwendung liest diese Werte von einem zentralen Dienst.

So funktioniert es in der Praxis:

Deine Anwendung integriert ein kleines SDK der Flag-Management-Plattform
Zur Laufzeit fragt die Anwendung die Plattform: „Ist das Flag new-checkout für Benutzer-ID 12345 aktiviert?“
Die Plattform antwortet basierend auf Regeln, die du über das Dashboard konfiguriert hast
Wenn du einen Flag-Wert im Dashboard änderst, übernehmen alle Anwendungsinstanzen ihn innerhalb von Sekunden

Dieser Ansatz löst das Koordinationsproblem. Du änderst einen Wert an einer Stelle, und jede Instanz jedes Dienstes sieht das Update fast sofort. Kein SSH-Zugriff auf Server. Keine Rolling Restarts. Kein Risiko inkonsistenter Werte zwischen Instanzen.

Plattformen wie LaunchDarkly, Split oder Flagsmith bieten diese Funktionalität out of the box. Sie kümmern sich um die schwierigen Teile: zuverlässige Verteilung der Flag-Werte, Caching zur Vermeidung von Performance-Overhead und granulare Targeting-Regeln.

Die richtige Wahl für dein Team treffen

Der richtige Ansatz hängt davon ab, wo dein Team heute steht und wohin es sich entwickelt.

Das folgende Flussdiagramm hilft dir bei der Entscheidung:

flowchart TD A[Wie viele Server?] -->|Wenige| B[Konfigurationsdateien] A -->|Viele| C[Echtzeit-Kontrolle nötig?] C -->|Ja| D[Remote-Dashboard] C -->|Nein| E[Umgebungsvariablen] B --> F[Vorteile: Einfach, keine neuen Tools] B --> G[Nachteile: Manuell pro Server, kein Audit] E --> H[Vorteile: Zentralisiert via Orchestrator] E --> I[Nachteile: Erfordert Neustart, kurze Verzögerung] D --> J[Vorteile: Sofortig, auditierbar, pro Benutzer] D --> K[Nachteile: Externe Abhängigkeit, Kosten]

Konfigurationsdateien sind in Ordnung für kleine Teams mit ein oder zwei Servern. Der operative Aufwand ist minimal, und du musst keine neue Plattform lernen. Stelle nur sicher, dass deine Anwendung die Konfiguration ohne vollständigen Neustart neu laden kann.

Umgebungsvariablen funktionieren gut, wenn du bereits Kubernetes oder eine ähnliche Orchestrierung verwendest. Du kannst Flag-Werte über ConfigMaps verwalten und den Orchestrator den Neustart übernehmen lassen. Das ist ein guter Mittelweg, bevor du in eine dedizierte Plattform investierst.

Remote-Dashboards werden notwendig, wenn du mehrere Dienste hast, Echtzeit-Kontrolle benötigst oder Nicht-Entwickler Flags verwalten lassen möchtest. Produktmanager können Features für bestimmte Nutzersegmente aktivieren. Entwickler können ein problematisches Feature vom Handy aus deaktivieren. Betriebsteams können nachvollziehen, wer was wann geändert hat.

Eine praktische Checkliste für die Flag-Steuerung

Bevor du dich für einen Mechanismus entscheidest, überprüfe diese Punkte:

Kannst du einen Flag-Wert ändern, ohne Code zu deployen?
Wird die Änderung innerhalb eines akzeptablen Zeitfensters wirksam (Sekunden, nicht Stunden)?
Können mehrere Teammitglieder (Entwickler, Produktmanager, Betrieb) Flags ändern, ohne Anmeldedaten zu teilen?
Gibt es einen Audit-Trail, wer was wann geändert hat?
Kannst du Flags für bestimmte Benutzer oder Segmente ändern, nicht nur global?
Funktioniert der Mechanismus in allen deinen Umgebungen (Staging, Produktion, Canary)?

Wenn du eine dieser Fragen mit „Nein“ beantwortest, muss dein Flag-Steuerungsmechanismus verbessert werden.

Was wirklich zählt

Das Kernprinzip ist einfach: Wenn das Ändern eines Flags ein Deployment erfordert, verwendest du keine Feature Flags. Du verwendest Konfiguration, die zufällig „Flag“ heißt.

Der von dir gewählte Mechanismus sollte zur Größe deines Teams und seiner operativen Reife passen. Fang einfach an, aber plane für den Tag, an dem du ein Feature über fünfzig Microservices hinweg deaktivieren musst, ohne einen einzigen Server zu berühren. Dieser Tag wird kommen, und wenn er kommt, wirst du froh sein, dass du die Remote-Flag-Steuerung richtig eingerichtet hast.

Das Ziel ist nicht, von Tag eins an ein perfektes Flag-System zu bauen. Das Ziel ist, sicherzustellen, dass deine erste Aktion bei einem Problem in der Produktion das Ändern eines Flag-Werts ist – und nicht das Starten einer Deployment-Pipeline.