4-8 · Kapitel 4 · 5 Min. Lesezeit

Was nach Ihrem Pipeline-Durchlauf passiert: Post-Aktionen, Bereinigung und Nachweise

Erfahren Sie, warum eine CI/CD-Pipeline erst nach Benachrichtigungen, Ressourcenbereinigung und der Speicherung von Nachweisen vollständig ist. Praktische Tipps für DevOps und Plattformingenieure.

Was nach Ihrem Pipeline-Durchlauf passiert: Post-Aktionen, Bereinigung und Nachweise

Sie haben gerade zugesehen, wie Ihre Pipeline grün wurde. Alle Tests bestanden, das Deployment war erfolgreich, und der Team-Chat hat eine kurze „Erledigt“-Nachricht bekommen. Die meisten Leute schließen den Tab und widmen sich der nächsten Aufgabe. Aber wenn Sie hier aufhören, lassen Sie die Pipeline nur halb fertig.

Eine Pipeline ist nicht allein deshalb abgeschlossen, weil das Deployment funktioniert hat. Es gibt drei Dinge, die nach dem letzten erfolgreichen Test passieren müssen – und wenn Sie sie auslassen, entstehen Probleme, die erst Wochen oder Monate später sichtbar werden.

Benachrichtigungen, die wirklich helfen

Das Erste, was Ihre Pipeline nach Abschluss tun sollte, ist, jemanden zu informieren. Aber nicht alle Benachrichtigungen sind nützlich. Eine Nachricht, die nur „Deployment erfolgreich“ oder „Build fehlgeschlagen“ sagt, ist Rauschen. Sie zwingt Leute dazu, die Pipeline-Logs zu öffnen, nur um herauszufinden, was passiert ist.

Eine gute Benachrichtigung enthält Kontext. Sie sollte Folgendes umfassen:

Welche Änderung verarbeitet wurde (Commit-Hash oder Merge-Request-ID)
Wer die Pipeline ausgelöst hat
Welche Umgebung das Deployment erhalten hat
Ob alles bestanden hat oder etwas fehlgeschlagen ist
Einen direkten Link zum Pipeline-Durchlauf

Für ein kleines Team reicht eine Chat-Nachricht. Für größere Organisationen möchten Sie vielleicht Benachrichtigungen an E-Mail, Issue-Tracker oder Monitoring-Dashboards senden. Der Kanal ist nicht so wichtig wie der Inhalt. Wenn Ihre Benachrichtigung niemandem hilft zu entscheiden, ob er handeln muss, ist sie nur eine weitere Ablenkung.

Denken Sie an die Person, die um 2 Uhr morgens alarmiert wird, weil die Produktion sich seltsam verhält. Sie muss sofort wissen: Gab es kürzlich ein Deployment? Wer hat es durchgeführt? Was wurde geändert? Eine gut strukturierte Benachrichtigung beantwortet diese Fragen, bevor jemand einen Browser öffnen muss.

Hier ist ein praktisches YAML-Snippet für einen Slack-Benachrichtigungsschritt, der den wesentlichen Kontext enthält:

notify-slack:
  stage: post-deploy
  image: curlimages/curl:latest
  script:
    - |
      curl -X POST -H "Content-type: application/json" \
        --data "{
          \"text\": \"Deployment complete\",
          \"blocks\": [
            {
              \"type\": \"section\",
              \"text\": {
                \"type\": \"mrkdwn\",
                \"text\": \"*Pipeline finished*\nCommit: \`$CI_COMMIT_SHORT_SHA\`\nAuthor: $GITLAB_USER_LOGIN\nEnvironment: production\nStatus: $CI_JOB_STATUS\nLink: $CI_PIPELINE_URL\"
              }
            }
          ]
        }" \
        $SLACK_WEBHOOK_URL
  only:
    - main

Dieser Schritt läuft nur auf dem Haupt-Branch, sendet den Commit-Hash, Autor, Umgebung und einen direkten Pipeline-Link, sodass jeder Empfänger die Situation sofort einschätzen kann, ohne Logs öffnen zu müssen.

Temporäre Ressourcen bereinigen

Jedes Mal, wenn eine Pipeline läuft, erzeugt sie temporäre Ressourcen. Einen Arbeitsbereich auf dem Runner. Container, die für Tests gestartet wurden. Temporäre Speichervolumes. Build-Artefakte, die nur während der Build-Phase benötigt wurden. Heruntergeladene Abhängigkeiten.

Wenn Sie diese nicht bereinigen, sammeln sie sich an. Der Speicherplatz füllt sich. Runner werden langsamer. Und schlimmer noch: Ein zurückgebliebener Zustand aus einer Pipeline kann den nächsten Durchlauf beeinträchtigen. Ein Test, der lokal bestanden hat, könnte in CI fehlschlagen, weil der Arbeitsbereich noch Dateien von einem vorherigen Build enthält.

Die Bereinigung sollte automatisch erfolgen. Verlassen Sie sich nicht darauf, dass jemand daran denkt, Dinge manuell zu löschen. Die meisten Pipeline-Plattformen haben integrierte Bereinigungsmechanismen, aber Sie müssen überprüfen, ob sie für Ihre spezifische Einrichtung tatsächlich funktionieren. Ein Container, der von der Plattform bereinigt wird, könnte trotzdem eingehängte Volumes hinterlassen. Ein Arbeitsbereich, der gelöscht wird, könnte noch zwischengespeicherte Anmeldedaten enthalten.

Der sicherste Ansatz ist, die Bereinigung als expliziten Schritt am Ende Ihrer Pipeline zu definieren. Löschen Sie, was Sie erstellt haben. Hängen Sie aus, was Sie eingehängt haben. Entfernen Sie, was Sie zwischengespeichert haben. Wenn Ihre Pipeline-Plattform einen Teil davon automatisch erledigt, gut. Aber fügen Sie einen Schritt für die Dinge hinzu, die sie möglicherweise übersieht.

Nachweise speichern: Der Teil, den alle vergessen

Dies ist die wichtigste Post-Aktion – und die, die die meisten Teams auslassen.

Ein Nachweis ist eine vollständige Aufzeichnung von allem, was während des Pipeline-Durchlaufs passiert ist. Nicht nur der endgültige Status, sondern die ganze Geschichte:

Was die Pipeline ausgelöst hat
Welcher Commit verarbeitet wurde
Build-Ausgabe und Logs
Testergebnisse, einschließlich welcher Tests bestanden und welche fehlgeschlagen sind
Sicherheits-Scan-Berichte
Das genaue erzeugte Artefakt (mit seinem Hash oder der Registry-URL)
Deployment-Logs
Verifikationsergebnisse aus Post-Deployment-Prüfungen

All dies muss an einem zugänglichen Ort gespeichert werden. Nicht im internen Speicher einer CI-Plattform, der nach 30 Tagen abläuft. Nicht im lokalen Terminal-Verlauf von jemandem. Sondern an einem Ort, der Monate oder Jahre später durchsucht werden kann.

Warum ist das wichtig? Weil irgendwann jemand fragen wird:

„Die Version, die wir vor drei Wochen in Produktion deployed haben, wurde sie einem Sicherheits-Scan unterzogen?“
„Wir haben einen Produktionsvorfall. Wurde diese Änderung gegen die Datenbankmigration getestet?“
„Der Prüfer möchte einen Nachweis sehen, dass jedes Deployment vor der Freigabe überprüft wurde.“

Ohne Nachweise können Sie diese Fragen nicht beantworten. Sie müssen raten. Und Raten bei Produktionsvorfällen oder Audits kann Karrieren kosten.

Wie man Nachweise praktisch speichert

Sie brauchen keine einzige riesige Datei, die alles enthält. Das wird schnell unhandlich. Speichern Sie stattdessen Referenzen und Links.

Ihre Pipeline sollte eine Zusammenfassung erstellen, die Folgendes enthält:

Build-ID und Link zu den Build-Logs
URL zum Artefakt in Ihrer Registry
Link zum Testbericht
Link zu den Sicherheits-Scan-Ergebnissen
Speicherort des Deployment-Logs
Alle manuellen Freigabeaufzeichnungen

Diese Zusammenfassung kann in Ihrem Change-Management-System, einem Objektspeicher-Bucket oder sogar einer Datenbank gespeichert werden. Das Format kann JSON, YAML oder einfacher Text sein. Wichtig ist, dass sowohl Menschen als auch Maschinen sie lesen können.

Manche Teams hängen diese Nachweise an den Commit oder Merge-Request selbst an. Andere speichern sie in einem dedizierten Nachweis-Repository. Beide Ansätze funktionieren, solange sie durchsuchbar sind und nicht automatisch gelöscht werden.

Nachweise sind nicht nur für Prüfer

Ja, Prüfer lieben Nachweise. Aber der wahre Wert zeigt sich beim Debugging.

Wenn die Produktion ausfällt, ist die erste Frage immer: „Was hat sich geändert?“ Mit guten Nachweisen können Sie den letzten Pipeline-Durchlauf öffnen und genau sehen, was passiert ist. Gab es einen Test, der fehlgeschlagen ist, aber ignoriert wurde? War das Artefakt anders als erwartet? Gab es eine Konfigurationsänderung, die niemand dokumentiert hat?

Ohne Nachweise debuggen Sie blind. Sie verlassen sich auf Erinnerungen, Chat-Logs und Vermutungen. Mit Nachweisen haben Sie eine faktische Aufzeichnung dessen, was tatsächlich passiert ist.

Den Pipeline-Zyklus abschließen

Sobald Benachrichtigungen gesendet, Ressourcen bereinigt und Nachweise gespeichert sind, ist der Pipeline-Zyklus wirklich abgeschlossen. Die Pipeline ist bereit für den nächsten Auslöser, und die gleiche Sequenz wiederholt sich.

Dieser Rhythmus macht CI/CD zuverlässig. Jede Änderung folgt dem gleichen Pfad. Jede Änderung hinterlässt die gleiche Art von Spur. Jede Änderung erzeugt eine Ausgabe, die später überprüft werden kann.

Kurze Checkliste für die Post-Action-Phase Ihrer Pipeline

Benachrichtigungen enthalten Commit, Autor, Umgebung und Status mit einem direkten Link
Temporäre Ressourcen werden automatisch bereinigt
Build-Logs, Testergebnisse und Scan-Berichte werden dauerhaft gespeichert
Artefakt-Referenzen (Registry-URL, Hash) werden aufgezeichnet
Deployment-Logs werden gespeichert und verlinkt
Nachweise werden an einem durchsuchbaren, nicht ablaufenden Ort gespeichert

Die konkrete Erkenntnis

Eine Pipeline, die bei „Deployment erfolgreich“ aufhört, ist unvollständig. Fügen Sie nach Ihrem Deployment drei Schritte hinzu: Benachrichtigen Sie mit nützlichem Kontext, bereinigen Sie temporäre Ressourcen und speichern Sie Nachweise, die Monate später auffindbar sind. Der letzte Schritt ist derjenige, der Sie rettet, wenn etwas schiefgeht. Ohne ihn fliegen Sie blind. Mit ihm haben Sie eine faktische Aufzeichnung, die Debugging vom Raten zur Untersuchung macht.