43-4 · Kapitel 43 · 5 Min. Lesezeit

Ihre erste Pipeline dreht sich nicht um Tools, sondern um Konsistenz

Erfahren Sie, warum der Aufbau einer konsistenten CI/CD-Pipeline wichtiger ist als das richtige Tool. Mit Golden Path, Risiko-Gates und einer praktischen Checkliste für DevOps und Plattformingenieure.

Ihre erste Pipeline dreht sich nicht um Tools, sondern um Konsistenz

Stellen Sie sich Folgendes vor: Ihr Team deployed seit Monaten manuell. Bei jedem Release verbindet sich jemand per SSH mit einem Server, zieht den neuesten Code und startet den Dienst neu. Es funktioniert, aber es ist stressig. Eines Tages vergisst ein Entwickler, vor dem Deployment die Tests auszuführen. Am nächsten Tag deployed eine andere Person von einem Branch, der nicht vollständig gemergt wurde. Niemand ist sich sicher, was tatsächlich in der Produktion läuft.

In diesem Moment beschließen die meisten Teams, dass sie eine Pipeline brauchen. Aber der Instinkt ist, zuerst nach einem Tool zu greifen: Jenkins, GitLab CI, GitHub Actions. Das Tool ist nicht das Problem. Das Problem ist, dass jedes Deployment ein einmaliges Ereignis ist. Niemand kann vorhersagen, was beim nächsten Mal passiert.

Die eigentliche Lösung ist kein Tool. Es ist ein wiederholbarer Prozess.

Beginnen Sie mit einem einzigen Pfad

Bevor Sie etwas standardisieren, legen Sie eine Route fest, die jede Änderung durchläuft. Nicht zwei Routen. Nicht „es kommt darauf an“. Ein Pfad vom Code bis zur Produktion.

Für die meisten Anwendungen sieht dieser Pfad so aus:

Hier ist eine visuelle Darstellung dieses goldenen Pfads:

flowchart TD A[Build artifact] --> B[Run unit tests] B --> C[Deploy to development] C --> D[Run integration tests] D --> E[Deploy to staging] E --> F[Deploy to production]

Build des Artefakts
Ausführen von Unit-Tests
Deployment in eine Entwicklungsumgebung
Ausführen von Integrationstests
Deployment nach Staging
Deployment in die Produktion

Ihr Team nennt diese Phasen vielleicht anders. Das ist in Ordnung. Der Punkt ist, dass jede Änderung jedes Mal dieselbe Sequenz in derselben Reihenfolge durchläuft.

So sieht dieser goldene Pfad als minimaler GitHub Actions-Workflow aus:

name: Golden Path
on: [push]

jobs:
  build:
    runs-on: ubuntu-latest
    steps:
      - run: echo "Build artifact"

  unit-tests:
    needs: build
    runs-on: ubuntu-latest
    steps:
      - run: echo "Run unit tests"

  deploy-dev:
    needs: unit-tests
    runs-on: ubuntu-latest
    steps:
      - run: echo "Deploy to development"

  integration-tests:
    needs: deploy-dev
    runs-on: ubuntu-latest
    steps:
      - run: echo "Run integration tests"

  deploy-staging:
    needs: integration-tests
    runs-on: ubuntu-latest
    steps:
      - run: echo "Deploy to staging"

  deploy-production:
    needs: deploy-staging
    runs-on: ubuntu-latest
    steps:
      - run: echo "Deploy to production"

Das ist Ihr goldener Pfad. Er muss nicht perfekt sein. Er muss nur existieren. Sobald er existiert, können Sie ihn verbessern. Aber wenn Sie keinen einzigen Pfad haben, haben Sie keine Basis, von der aus Sie verbessern können.

Konsistenz ist das Ziel, nicht Geschwindigkeit

Wenn Sie zum ersten Mal eine Pipeline einrichten, wird sie sich langsamer anfühlen als manuelles Deployment. Das ist normal. Manuelles Deployment ist schnell, weil es Schritte überspringt. Es überspringt Tests. Es überspringt die Verifikation. Es überspringt die Teile, die eine Katastrophe verhindern.

Eine Pipeline ist kurzfristig nicht schneller. Sie ist berechenbarer. Und Berechenbarkeit ist es, die es Ihnen ermöglicht, später schnell zu handeln.

Hier ist, was Ihnen Konsistenz gibt:

Jede Änderung wird auf die gleiche Weise gebaut. Kein „Bei mir läuft es“ mehr.
Jede Änderung wird auf die gleiche Weise getestet. Keine übersprungenen Test-Suites mehr.
Jede Änderung durchläuft die gleichen Umgebungen. Kein „Ich habe vergessen, nach Staging zu deployen“ mehr.

Wenn die Pipeline konsistent ist, hört das Team auf zu raten. Sie hören auf zu fragen: „Hat jemand die Tests ausgeführt?“ Sie hören auf, in Slack nach Deployment-Anleitungen zu suchen. Die Pipeline beantwortet diese Fragen automatisch.

Fügen Sie Risiko-Gates hinzu, keine Tempolimits

Eine konsistente Pipeline ist gut. Eine Pipeline, die weiß, wann sie anhalten muss, ist besser.

Ein Risiko-Gate ist ein Punkt in der Pipeline, an dem sie basierend auf einer Bedingung pausieren oder anhalten kann. Der Zweck ist nicht, Dinge zu verlangsamen. Der Zweck ist, Probleme zu erkennen, bevor sie die Benutzer erreichen.

Beginnen Sie mit dem einfachsten Gate: automatisierte Tests. Wenn Unit-Tests fehlschlagen, stoppt die Pipeline. Wenn Integrationstests fehlschlagen, stoppt die Pipeline. Dieses Gate erfordert keine menschliche Entscheidung. Sie schreiben die Tests, und die Pipeline setzt sie durch.

Das zweite Gate ist die manuelle Freigabe für die Produktion. Änderungen können automatisch in die Entwicklung und nach Staging fließen. Aber um in die Produktion zu gelangen, muss jemand explizit zustimmen. Dies ist nützlich, wenn Ihre automatisierten Tests noch nicht umfassend genug sind oder wenn eine Produktionsänderung hohe Auswirkungen auf die Benutzer hat. Wählen Sie sorgfältig aus, wer freigeben darf. Es sollte jemand sein, der die Anwendung und das Risiko versteht, nicht irgendjemand mit Zugriff.

Das dritte Gate ist ein grundlegendes Sicherheits-Scanning. Scannen Sie Abhängigkeiten auf bekannte Schwachstellen. Scannen Sie Code auf gefährliche Muster. Das muss nicht perfekt sein. Beginnen Sie mit den häufigsten Problemen. Fügen Sie im Laufe der Zeit weitere Prüfungen hinzu.

Risiko-Gates sind keine Mauern

Ein häufiger Fehler ist es, Risiko-Gates als dauerhafte Barrieren zu behandeln. Wenn ein Gate die Pipeline ständig aus trivialen Gründen anhält, wird das Team beginnen, es zu umgehen. Wenn ein Gate immer ignoriert wird, wird es zu Rauschen.

Risiko-Gates sollten regelmäßig evaluiert werden. Stellen Sie diese Fragen:

Fängt dieses Gate echte Probleme?
Stoppt es die Pipeline aufgrund von Fehlalarmen?
Vertraut das Team ihm?

Wenn ein Gate nicht nützlich ist, entfernen Sie es oder passen Sie es an. Ein Gate, das niemand respektiert, ist schlimmer als gar kein Gate. Zumindest bei keinem Gate weiß das Team, dass es kein Sicherheitsnetz gibt.

Wenn ein Pfad funktioniert, erweitern Sie ihn

Sobald Ihr goldener Pfad stabil ist und Ihre Risiko-Gates funktionieren, werden Sie ein Muster erkennen. Dieselben Phasen, die für eine Anwendung funktionieren, können mit geringfügigen Anpassungen auch für eine andere funktionieren. Dieselben Gates, die Probleme in einem Dienst erkennen, können auch Probleme in einem anderen erkennen.

Dies ist der Moment, um weiter zu standardisieren. Nicht, indem Sie jedes Team zwingen, dasselbe Tool zu verwenden, sondern indem Sie eine gemeinsame Pipeline-Vorlage bereitstellen. Teams können denselben Build-Schritt, denselben Test-Runner, dasselbe Deployment-Skript wiederverwenden. Sie passen nur das an, was für ihre Anwendung einzigartig ist.

Von hier aus können Sie dasselbe Muster auf Datenbankänderungen und Infrastrukturänderungen ausweiten. Aber das ist ein Thema für einen anderen Artikel.

Praktische Checkliste für Ihre erste standardisierte Pipeline

Definieren Sie einen goldenen Pfad vom Code bis zur Produktion
Lassen Sie jede Änderung dieselben Phasen in derselben Reihenfolge durchlaufen
Fügen Sie automatisierte Test-Gates hinzu (Unit, Integration)
Fügen Sie bei Bedarf eine manuelle Freigabe für die Produktion hinzu
Fügen Sie grundlegendes Sicherheits-Scanning hinzu
Überprüfen Sie die Gates nach einem Monat. Entfernen oder passen Sie an, was nicht funktioniert

Das Fazit

Bei Ihrer ersten Pipeline geht es nicht darum, das richtige Tool auszuwählen. Es geht darum, jedes Deployment berechenbar zu machen. Beginnen Sie mit einem Pfad. Machen Sie ihn konsistent. Fügen Sie Gates hinzu, die echte Probleme abfangen. Erweitern Sie dann das Muster auf den Rest Ihrer Systeme. Das Tool wird folgen. Der Prozess kommt zuerst.