Vom Commit zur Produktion: Wie Tools in einer echten Pipeline kommunizieren

Sie pushen einen Commit. Was passiert dann?

Wenn Sie schon einmal erlebt haben, wie ein Deployment ins Stocken geriet, weil der CI-Server keine Benachrichtigung erhalten hat, oder weil jemand manuell ein Artefakt von einem Ort zum anderen kopieren musste, kennen Sie den Schmerz bereits. Die Tools sind alle vorhanden. Die Pipeline ist konfiguriert. Aber irgendwo in der Mitte reißt die Kette. Jemand muss per SSH auf eine Maschine, einen Befehl von Hand ausführen und hoffen, dass nichts schiefgeht.

Das ist der Moment, in dem CI/CD aufhört, automatisiert zu sein, und zu einer Sammlung manueller Schritte wird, die nur notdürftig mit Tooling verkleidet sind.

Die eigentliche Arbeit einer Pipeline liegt nicht in einem einzelnen Tool. Sie liegt darin, wie diese Tools miteinander verbunden sind. Ein Commit in Ihrem Repository muss den CI-Server auslösen. Der CI-Server muss wissen, wohin er das fertige Artefakt senden soll. Die Artefakt-Registry muss das Deployment-Tool benachrichtigen, dass eine neue Version bereit ist. Und das Deployment-Tool muss den Datenbank-Migrationsprozess koordinieren – entweder bevor oder nachdem die neue Version gestartet wird.

Diese Kette von Triggern und Datenflüssen ist es, die eine Pipeline tatsächlich zum Laufen bringt. Gehen wir sie von Anfang an durch.

Die Trigger-Kette: Jedes Tool hat zwei Aufgaben

Jedes Tool in einer Pipeline spielt zwei Rollen. Es empfängt einen Trigger vom vorherigen Tool und sendet einen Trigger an das nächste Tool. Wenn eine Verbindung reißt, stoppt die Pipeline. Das Team muss manuell eingreifen, und Sie sind wieder genau bei dem Problem, das CI/CD lösen soll: langsame, fehleranfällige manuelle Prozesse.

Die Kette beginnt mit einem Commit. Ein Entwickler merged Änderungen in den Haupt-Branch oder öffnet einen Pull-Request, der gemergt wird. Der Git-Server erkennt dieses Ereignis. Dieses Ereignis muss den CI-Server erreichen. Der Zustellmechanismus kann ein Webhook, Polling oder ein Event-Bus sein. Die Methode ist weniger wichtig als die Tatsache, dass der CI-Server weiß, dass neuer Code wartet.

Das folgende Sequenzdiagramm veranschaulicht diese Kette von Triggern und Datenflüssen:

Hier ist ein konkretes Beispiel dieser Trigger-Kette in einem GitHub Actions-Workflow:

name: Build and Deploy

on:
  push:
    branches: [main]

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - name: Build artifact
        run: docker build -t myapp:${{ github.sha }} .
      - name: Push to registry
        run: |
          docker tag myapp:${{ github.sha }} registry.example.com/myapp:${{ github.sha }}
          docker push registry.example.com/myapp:${{ github.sha }}
      - name: Trigger deployment
        run: |
          curl -X POST https://deploy.example.com/api/deploy \
            -H "Authorization: Bearer ${{ secrets.DEPLOY_TOKEN }}" \
            -H "Content-Type: application/json" \
            -d '{"artifact": "myapp", "version": "${{ github.sha }}", "env": "staging"}'
sequenceDiagram participant Dev as Developer participant Git as Git Server participant CI as CI Server participant Reg as Artifact Registry participant Dep as Deployment Tool participant DB as Database Migration participant Prod as Production Environment Dev->>Git: commit push Git->>CI: webhook trigger CI->>CI: build & test CI->>Reg: push artifact Reg->>Dep: notification Dep->>DB: migration run DB->>Dep: migration complete Dep->>Prod: deploy artifact Prod->>Dep: deployment complete

Der CI-Server führt seine Pipeline aus. Dazu gehören Build-, Test- und Packaging-Schritte. Das Ergebnis ist ein Artefakt. Dieses Artefakt kann eine kompilierte Binärdatei, ein Container-Image, eine Konfigurationsdatei oder ein Datenbank-Migrationspaket sein. Es muss in eine Registry. Eine Registry ist nicht nur ein Ordner auf einem Server. Es ist ein strukturiertes Speichersystem, in dem jedes Artefakt eine Version, Metadaten und Herkunftsinformationen darüber hat, wie es erstellt wurde.

Jetzt muss das Deployment-Tool wissen, dass eine neue Version verfügbar ist. Einige Deployment-Tools überwachen die Registry direkt. Andere warten auf einen Trigger vom CI-Server oder einen Webhook von der Registry. So oder so muss das Deployment-Tool die Information erhalten, dass Version X von Artefakt Y für eine bestimmte Umgebung bereit ist.

Das Deployment-Tool deployt dann in die Zielumgebung. Aber Anwendungs-Deployments stehen selten allein. Bevor die neue Version läuft, braucht die Datenbank oft Änderungen: eine neue Spalte, einen modifizierten Index oder eine Datenmigration. Datenbank-Migrationen müssen als Teil des Deployments laufen, nicht als separater manueller Schritt. Die Reihenfolge ist wichtig. Manchmal muss die Migration vor dem Start der neuen Anwendungsversion laufen. Manchmal danach. Es hängt davon ab, ob die Änderung abwärtskompatibel ist.

Nachdem das Deployment abgeschlossen ist, ist die Pipeline noch nicht fertig. Sie benötigen eine Verifikation, dass die neue Version normal läuft. Dies kann ein Health-Check, ein Smoke-Test oder ein Observability-Signal sein, das keinen plötzlichen Anstieg von Fehlern zeigt. Wenn die Verifikation fehlschlägt, muss ein Rollback automatisch oder mit einem Klick ausgelöst werden.

Der Artefaktfluss: Daten, die zwischen Tools wandern

In dieser Kette fließen Daten zwischen den Tools. Commit-Metadaten, Artefaktversion, Pipeline-Status, Testergebnisse, Umgebungskonfiguration und Anmeldeinformationen für den Zugriff auf jedes Tool. Diese Daten müssen ohne manuelles Eingreifen von einem Tool zum nächsten gelangen.

Das ist der Artefaktfluss. Je sauberer der Artefaktfluss, desto weniger Fehler durch verlorengegangene Informationen in der Mitte. Wenn ein Deployment fehlschlägt, weil jemand vergessen hat, eine Konfigurationsdatei zu aktualisieren, oder weil die falsche Artefaktversion deployed wurde, liegt die Ursache fast immer an einem unterbrochenen Artefaktfluss.

Ein gut gestalteter Artefaktfluss umfasst:

  • Eine eindeutige Kennung für jedes Artefakt, die auf den genauen Commit und Pipeline-Lauf verweist.
  • Umgebungsspezifische Konfiguration, die getrennt vom Artefakt selbst gespeichert wird, sodass dasselbe Artefakt ohne Neubuild durch Staging bis zur Produktion gefördert werden kann.
  • Credential-Management, das es jedem Tool ermöglicht, sich ohne hartcodierte Secrets beim nächsten Tool zu authentifizieren.
  • Statusweitergabe, sodass jedes Tool in der Kette weiß, ob der vorherige Schritt erfolgreich war oder fehlgeschlagen ist.

Die Pipeline ist nicht immer linear

Die Trigger-Kette klingt linear, aber echte Pipelines sind nicht so einfach. Manchmal löst ein Commit mehrere Pipelines gleichzeitig aus: eine für die Anwendung, eine für die Infrastruktur, eine für die Datenbank. Oder mehrere Commits sammeln sich an, bevor ein Deployment ausgelöst wird. Manche Teams verwenden ein Release-Branch-Modell, bei dem Commits gebündelt und gemeinsam deployed werden. Andere deployen jeden Commit direkt in die Produktion.

Das Muster von Triggern und Datenflüssen bestimmt, wie sich Ihre Pipeline unter Druck verhält. Wenn Sie Tools auswählen, ohne zu verstehen, wie sie verbunden werden, erhalten Sie eine Pipeline, die in Demos funktioniert, aber in der Produktion bricht. Das Tool, das auf dem Papier großartig aussieht, könnte sich schlecht in Ihre Artefakt-Registry integrieren lassen. Das Deployment-Tool, das Container wunderbar handhabt, könnte keine Unterstützung für Datenbank-Migrationen haben.

Deshalb sollte die Tool-Auswahl mit der Kette beginnen, nicht mit einzelnen Funktionen. Zeichnen Sie auf, wie aus einem Commit ein laufender Service in der Produktion wird. Identifizieren Sie jeden Übergabepunkt. Bewerten Sie dann Tools danach, wie gut sie diese Übergaben handhaben.

Das Risiko von Tool-Sprawl

Wenn jedes Team seine eigenen Tools ohne Koordination auswählt, ist das Ergebnis keine reibungslose Pipeline. Es ist Tool-Sprawl. Ein Team verwendet Jenkins. Ein anderes verwendet GitHub Actions. Das Datenbank-Team hat sein eigenes Migrationstool. Das Infrastruktur-Team verwendet Terraform mit einem anderen State-Backend. Jedes Tool funktioniert isoliert, aber um sie zu verbinden, sind benutzerdefinierte Skripte, manuelle Schritte und viel implizites Wissen erforderlich.

Tool-Sprawl ist nicht nur ein Wartungsproblem. Es ist ein Zuverlässigkeitsproblem. Jede benutzerdefinierte Integration ist ein Fehlerpunkt. Jede manuelle Übergabe ist eine Stelle, an der Fehler passieren. Das Ziel ist nicht, für alles dasselbe Tool zu verwenden. Das Ziel ist, eine kohärente Trigger-Kette und einen kohärenten Artefaktfluss über die von Ihnen gewählten Tools hinweg zu haben.

Praktische Checkliste für die Verbindung von Tools

Bevor Sie eine Tool-Auswahl abschließen, gehen Sie diese Checkliste für jeden Übergabepunkt in Ihrer Pipeline durch:

  • Wie benachrichtigt der Git-Server den CI-Server über einen neuen Commit?
  • Wie pusht der CI-Server das Artefakt in die Registry?
  • Wie erfährt das Deployment-Tool von einer neuen Artefaktversion?
  • Wie löst das Deployment-Tool Datenbank-Migrationen aus?
  • Wie verifiziert die Pipeline, dass das Deployment erfolgreich war?
  • Wie wird das Rollback ausgelöst, und beinhaltet es ein Datenbank-Rollback?
  • Welche Daten fließen zwischen jedem Tool-Paar, und werden sie automatisch übergeben?

Wenn einer dieser Übergabepunkte erfordert, dass eine Person etwas manuell tut, haben Sie eine Lücke gefunden, die früher oder später Probleme verursachen wird.

Das Fazit

Eine Pipeline ist nur so stark wie ihre schwächste Verbindung. Die Tools, die Sie wählen, sind weniger wichtig als die Art und Weise, wie sie Trigger und Daten aneinander weitergeben. Beginnen Sie damit, die Kette vom Commit bis zur Produktion abzubilden. Identifizieren Sie jede Übergabe. Wählen Sie dann Tools, die in diese Kette passen, nicht Tools, die isoliert beeindruckend aussehen. Die beste Pipeline ist nicht die mit den meisten Funktionen. Es ist die, bei der ein Commit ohne Unterbrechung in die Produktion fließt – ohne dass jemand anhalten und überlegen muss, was als Nächstes zu tun ist.