34-5 · Kapitel 34 · 6 Min. Lesezeit

Wenn fünf Prozent des Traffics dir mehr sagen als eine Staging-Umgebung

Erfahre, warum Canary Releases und gestaffelte Rollouts echte Produktionsbedingungen abbilden, die Staging-Umgebungen oft verpassen – und wie du beide kombinierst.

Wenn fünf Prozent des Traffics dir mehr sagen als eine Staging-Umgebung

Vor ein paar Wochen hat ein Team, das ich kenne, einen neuen Authentifizierungsablauf ausgerollt. Die Staging-Umgebung zeigte grüne Tests, akzeptable Antwortzeiten und keine Fehler. Sie haben den Build in die Produktion übernommen und innerhalb weniger Minuten alle Benutzer auf die neue Version umgeleitet. Dreißig Minuten später stapelten sich die Support-Tickets. Benutzer in einer bestimmten Region konnten sich nicht anmelden. Die Staging-Umgebung hatte das nie erkannt, weil sie keine realistischen Traffic-Muster, regionale Latenzen oder die Gerätemischung der Produktion hatte.

Das Team hat den Rollback durchgeführt, aber der Schaden war angerichtet. Benutzer verloren Vertrauen, und das Team verbrachte die nächsten zwei Tage damit, ein Problem zu debuggen, das nur unter echten Produktionsbedingungen auftrat.

Diese Lücke versuchen progressive Delivery-Strategien zu schließen. Statt für alle den Schalter umzulegen, setzt du zuerst eine kleine Teilmenge von Benutzern oder Traffic der neuen Version aus. Du beobachtest, was passiert. Dann entscheidest du, ob du weitermachst, pausierst oder zurückrollst.

Zwei gängige Strategien dafür sind Canary Releases und gestaffelte Rollouts (Staged Rollouts). Sie klingen ähnlich, lösen aber unterschiedliche Probleme. Den Unterschied zu verstehen, hilft dir, den richtigen Ansatz für jede Änderung zu wählen, die du auslieferst.

Canary Releases: Lass den Traffic entscheiden

Ein Canary Release beginnt damit, einen kleinen Prozentsatz des Traffics auf die neue Version zu leiten. Stell dir vor, deine Anwendung erhält hundert Anfragen pro Sekunde. Du konfigurierst deinen Load Balancer oder Service Mesh so, dass fünf dieser Anfragen an Server gesendet werden, die die neue Version ausführen. Die restlichen fünfundneunzig Anfragen treffen weiterhin auf die alte Version.

Dann überwachst du die wichtigsten Signale: Fehlerrate, Latenz, CPU-Auslastung, Datenbank-Abfrageleistung. Wenn die neue Version nach ein paar Minuten gesund aussieht, erhöhst du den Traffic-Anteil auf zehn Prozent, dann auf zwanzig, dann auf fünfzig und schließlich auf hundert Prozent.

Der entscheidende Gedanke hier ist, dass die Aufteilung probabilistisch ist. Jeder Benutzer könnte auf die neue Version landen, wenn er zufällig die fünfte Anfrage von hundert ist. Benutzer wissen nicht, welche Version sie treffen, und es sollte ihnen egal sein, solange die Anwendung funktioniert.

Canary Releases sind nützlich, wenn du validieren willst, dass eine Änderung unter realer Produktionslast stabil ist. Staging-Umgebungen sind großartig, um Logikfehler zu finden, aber sie können das Chaos der Produktion nicht replizieren: ungleichmäßige Traffic-Spitzen, langsame Datenbankverbindungen aus bestimmten Regionen oder API-Ratenbegrenzungen von Drittanbietern, die nur unter Last auftreten.

Diese Strategie eignet sich besonders für Änderungen mit hohem Risiko. Große Umschreibungen der Geschäftslogik, Datenbankschema-Migrationen, Bibliotheks-Upgrades, die Netzwerk oder Nebenläufigkeit betreffen, oder Änderungen am Caching-Verhalten sind gute Kandidaten für Canary Releases. Wenn etwas schiefgeht, ist nur ein kleiner Teil der Benutzer betroffen, und du kannst den Traffic schnell von der neuen Version ableiten.

Gestaffelte Rollouts: Wähle, wer es zuerst bekommt

Gestaffelte Rollouts verfolgen einen anderen Ansatz. Statt den Traffic zufällig aufzuteilen, entscheidest du, welche Benutzergruppen die neue Version zuerst erhalten. Diese Gruppen werden oft als Ringe bezeichnet.

Ring eins könnte dein internes Team und eine Handvoll Beta-Tester enthalten. Ring zwei könnte ein Prozentsatz von Benutzern in einer bestimmten Region oder mit einem bestimmten Gerätetyp sein. Ring drei könnten alle Free-Tier-Benutzer sein. Ring vier könnten Enterprise-Kunden mit strengen SLAs sein.

Der Rollout durchläuft diese Ringe nur, wenn der vorherige Ring keine kritischen Probleme zeigt. Wenn Ring eins ein Problem meldet, pausierst du vor der Ausweitung. Wenn Ring zwei erhöhte Fehlerraten zeigt, rollst du zurück, bevor du Ring drei erreichst.

Der Hauptunterschied zu Canary Releases ist die Absichtlichkeit. Du wählst aus, wer die neue Version bekommt, nicht nur, wie viel Traffic. Das ist wichtig, wenn verschiedene Benutzergruppen unterschiedliche Erwartungen, unterschiedliche Nutzungsmuster oder unterschiedliche vertragliche Verpflichtungen haben.

Wenn deine Anwendung zum Beispiel sowohl einzelne Benutzer als auch große Enterprise-Kunden mit unterschriebenen SLAs bedient, willst du wahrscheinlich nicht versehentlich eine Enterprise-Anfrage an eine fehlerhafte neue Version weiterleiten. Ein gestaffelter Rollout ermöglicht es dir, die Änderung zuerst an weniger kritischen Benutzern zu testen und dann auf hochwertige Kunden auszuweiten, sobald du sicher bist.

Gestaffelte Rollouts funktionieren auch gut für Mobile-App-Veröffentlichungen. Bei Mobile-Apps kannst du den Traffic nicht einfach auf Netzwerkebene steuern. Stattdessen veröffentlichst du das Update über die gestaffelte Rollout-Funktion des App Stores für einen kleinen Prozentsatz der Benutzer, überwachst Absturzberichte und Bewertungen und weitest es dann auf weitere Benutzer aus.

Beide Strategien kombinieren

In der Praxis schließen sich Canary Releases und gestaffelte Rollouts nicht gegenseitig aus. Viele Teams kombinieren sie zu einer einzigen Pipeline für progressive Delivery.

Das folgende Diagramm zeigt die beiden Strategien nebeneinander und wie sie miteinander verkettet werden können.

flowchart TD A[Neue Version bereit] --> B{Strategie wählen} B --> C[Canary Release] B --> D[Gestaffelter Rollout] C --> C1[5% Traffic leiten] C1 --> C2{Gesund?} C2 -->|Ja| C3[Auf 20% erhöhen] C2 -->|Nein| C4[Rollback] C3 --> C5[Bis 100% fortsetzen] D --> D1[Ring 1: Intern] D1 --> D2{Probleme?} D2 -->|Nein| D3[Ring 2: Beta] D2 -->|Ja| D4[Rollback] D3 --> D5[Ring 3: Alle Benutzer] C5 --> E[Kombinierte Pipeline] D5 --> E E --> F[Canary 5% → Gestaffelte Ringe → Vollständige Freigabe]

Die Pipeline könnte mit einem Canary Release bei fünf Prozent Traffic beginnen, um die technische Stabilität zu validieren. Wenn der Canary besteht, wechselt die Pipeline zu einem gestaffelten Rollout: zuerst an interne Benutzer, dann an Beta-Benutzer, dann an einen Prozentsatz der Produktionsbenutzer und schließlich an alle.

Dieser kombinierte Ansatz gibt dir beide Sicherheitsebenen. Der Canary fängt infrastrukturnahe Probleme wie Speicherlecks oder langsame Datenbankabfragen ab. Der gestaffelte Rollout fängt benutzerseitige Probleme wie defekte Workflows für bestimmte Kontotypen oder Regionen ab.

Eine gut entworfene Pipeline für progressive Delivery kann diese Entscheidungen automatisieren. Sie überwacht die von dir definierten Metriken, vergleicht sie mit Schwellenwerten und fährt entweder mit dem nächsten Schritt fort, hält den Rollout für eine manuelle Überprüfung an oder löst einen automatischen Rollback aus.

Was du brauchst, bevor du anfängst

Progressive Delivery-Strategien sind nur so nützlich wie die Daten, die du für Entscheidungen verwendest. Ohne gute Beobachtbarkeit ist ein Canary Release nur ein langsamerer Weg, die Produktion zu beschädigen.

Du brauchst:

Echtzeit-Überwachung der Fehlerrate, aufgeschlüsselt nach Version
Latenz-Perzentile für die neue Version im Vergleich zur alten
Geschäftsmetriken, die für dein Produkt wichtig sind, wie Conversion-Rate oder Abschlussrate der Registrierung
Eine Möglichkeit, Benutzermeldungen mit der Version zu korrelieren, die sie ausführen

Du brauchst auch die Fähigkeit, schnell zurückzurollen. Wenn der Canary Probleme zeigt, solltest du den Traffic in Sekunden von der neuen Version ableiten können, nicht in Stunden. Dazu benötigst du eine Infrastruktur, die Traffic-Shifting unterstützt, wie einen Load Balancer, ein Service Mesh oder ein Feature-Flag-System.

Eine kurze praktische Checkliste

Wenn du progressive Delivery zum ersten Mal einrichtest, findest du hier eine kurze Liste zur Orientierung für deine Implementierung:

Beginne mit einer Strategie. Wähle Canary Releases, wenn dir die technische Stabilität unter Produktionslast wichtig ist. Wähle gestaffelte Rollouts, wenn du kontrollieren musst, welche Benutzer die Änderung zuerst sehen.
Definiere klare Go/No-Go-Kriterien, bevor du beginnst. Welche Fehlerrate ist akzeptabel? Welcher Latenzanstieg ist zu viel? Schreibe diese Schwellenwerte auf und konfiguriere sie in deiner Pipeline.
Stelle sicher, dass deine Überwachung sowohl technische Metriken als auch Geschäftsmetriken abdeckt. Ein Canary könnte null Fehler anzeigen, aber trotzdem deinen Checkout-Prozess beschädigen, wenn Benutzer keine Käufe abschließen können.
Übe den Rollback. Warte nicht, bis etwas kaputtgeht, um herauszufinden, dass dein Traffic-Shifting zehn Minuten dauert.
Kombiniere Strategien erst, wenn du mit jeder einzelnen vertraut bist. Eine kombinierte Pipeline erhöht die Komplexität, und du solltest jede Ebene verstehen, bevor du sie stapelst.

Die konkrete Erkenntnis

Canary Releases und gestaffelte Rollouts dienen nicht der Vorsicht um der Vorsicht willen. Sie dienen dazu, zu lernen, was die Produktion tatsächlich mit deinem Code macht, bevor er alle erreicht. Eine Staging-Umgebung gibt dir Vertrauen in deine Tests. Ein Canary oder ein gestaffelter Rollout gibt dir Vertrauen in die Realität.

Beginne mit einer Strategie, instrumentiere deine Metriken und lass die Daten entscheiden, wann du weitermachst. Das Ziel ist nicht, Risiken vollständig zu eliminieren. Das Ziel ist, Risiken auf eine kleine Gruppe von Benutzern zu begrenzen, daraus zu lernen und nur dann zu expandieren, wenn du sicher bist.