45-4 · Kapitel 45 · 5 Min. Lesezeit

Warum Ihre Infrastrukturänderungen dieselbe Disziplin erfordern wie Codeänderungen

Infrastrukturänderungen sind risikoreich und selten. Erfahren Sie, warum Sie sie mit derselben Disziplin behandeln müssen wie Codeänderungen – mit Pull Requests, Reviews, Plänen und Pipelines.

Warum Ihre Infrastrukturänderungen dieselbe Disziplin erfordern wie Codeänderungen

Stellen Sie sich vor: Jemand in Ihrem Team muss einen Port für einen neuen Dienst öffnen. Er meldet sich in der Cloud-Konsole an, fügt eine Firewall-Regel hinzu und macht weiter. Fünf Minuten später ist die gesamte Produktionsanwendung nicht mehr erreichbar. Die neue Regel hat versehentlich den Datenverkehr zur Datenbank blockiert. Niemand weiß, was geändert wurde, wer es geändert hat oder wie man es schnell rückgängig machen kann.

Dieses Szenario ist häufiger, als die meisten Teams zugeben. Infrastrukturänderungen – Firewall-Regeln, Load-Balancer-Konfigurationen, Storage-Richtlinien, Netzwerkeinstellungen – passieren nicht jeden Tag. Aber wenn sie schiefgehen, legen sie alles lahm. Eine einzige falsch konfigurierte Sicherheitsgruppe kann Ihre Anwendung für Benutzer unsichtbar machen. Eine falsche DNS-Änderung kann den Datenverkehr ins Nichts umleiten.

Das Problem ist, dass viele Teams Infrastrukturänderungen anders behandeln als Anwendungscodeänderungen. Codeänderungen durchlaufen Pull Requests, Code-Reviews, automatisierte Tests und gestaffelte Rollouts. Infrastrukturänderungen erfolgen oft über direkten Konsolenzugriff, Ad-hoc-Befehle oder gemeinsam genutzte Anmeldedaten. Die Disziplinlücke schafft einen blinden Fleck, der irgendwann zu einem Ausfall führt.

Infrastructure as Code ist die Grundlage, nicht die Lösung

Infrastructure as Code (IaC) bedeutet, dass Sie Ihre Infrastrukturkonfiguration in Dateien schreiben, in einem Repository speichern und über Automatisierung anwenden. Tools wie Terraform, Pulumi oder AWS CDK machen dies möglich. Aber IaC-Dateien in einem Repository zu haben, reicht nicht aus. Die Disziplin kommt daher, wie Sie Änderungen an diesen Dateien verwalten.

Wenn jemand eine Änderung in den Haupt-Branch pushen und ohne Review auf die Produktion anwenden kann, haben Sie dasselbe Problem wie beim Cloud-Konsolen-Szenario. Das Tool gibt Ihnen Wiederholbarkeit, aber keine Sicherheit. Sicherheit kommt durch Prozesse.

Eine Vorlage für Infrastrukturänderungen

Jede Infrastrukturänderung sollte einer wiederholbaren Abfolge folgen. Diese Abfolge funktioniert unabhängig davon, welches IaC-Tool Sie verwenden. Sie schützt Ihr Team vor den häufigsten Fehlermustern.

Das folgende Flussdiagramm zeigt die empfohlene Abfolge und Entscheidungspunkte:

flowchart TD A[Start with Code Change] --> B[Run Plan] B --> C{Plan Review} C -- Approved --> D[Test in Non-Production] C -- Rejected --> A D --> E{Tests Pass?} E -- Yes --> F[Apply Through Pipeline] E -- No --> A F --> G[Verify After Apply] G --> H{Verification OK?} H -- Yes --> I[Change Complete] H -- No --> J[Execute Rollback Plan] J --> A

Beginnen Sie mit einer Codeänderung

Jede Infrastrukturänderung muss als Pull Request in Ihrem Infrastruktur-Repository beginnen. Keine Ausnahmen. Niemand sollte die Produktionsinfrastruktur direkt über eine Cloud-Konsole, einen CLI-Befehl auf einem Server oder ein manuelles Skript ändern.

Der Pull Request zeigt genau, was geändert wurde: eine neue Ressource, eine modifizierte Netzwerkkonfiguration, ein gelöschter Storage-Bucket. Teammitglieder können das Diff überprüfen, Fragen stellen und Probleme erkennen, bevor etwas ausgeführt wird. Verlangen Sie mindestens einen Reviewer, der die Auswirkungen der Änderung versteht. Für kritische Infrastruktur wie Netzwerk- oder Sicherheitsgruppen sollten Sie zwei Reviewer in Betracht ziehen.

Führen Sie einen Plan aus, bevor Sie anwenden

IaC-Tools können Ihnen zeigen, was sich ändern wird, ohne die Änderung tatsächlich vorzunehmen. Terraform nennt dies einen Plan. Pulumi nennt es eine Vorschau. Das Konzept ist dasselbe: Das Tool vergleicht Ihre Konfiguration mit dem aktuellen Zustand und listet jede Ressource auf, die erstellt, geändert oder gelöscht wird.

Führen Sie diesen Plan als Teil Ihres Pull-Request-Prozesses aus. Speichern Sie die Ausgabe und fügen Sie sie dem PR bei. Reviewer sollten auf unerwartete Änderungen achten: Wird eine Ressource gelöscht, die nicht gelöscht werden sollte? Wird eine Änderung auf die falsche Umgebung angewendet? Wenn der Plan etwas Überraschendes zeigt, stoppen Sie und untersuchen Sie es, bevor Sie fortfahren.

Ein Terraform-Plan für eine Sicherheitsgruppenänderung könnte beispielsweise so aussehen:

Terraform will perform the following actions:

  # aws_security_group_rule.app_ingress will be updated in-place
  ~ resource "aws_security_group_rule" "app_ingress" {
        id                     = "sgrule-1234567890"
      ~ from_port              = 8080 -> 8443
        protocol               = "tcp"
      ~ to_port                = 8080 -> 8443
        type                   = "ingress"
        # (5 unchanged attributes hidden)
    }

Plan: 0 to add, 1 to change, 0 to destroy.

Diese Ausgabe zeigt genau, welche Regel sich ändert und wie, sodass Reviewer Fehler erkennen können, bevor die Änderung angewendet wird.

Testen Sie zuerst in einer Nicht-Produktionsumgebung

Wenden Sie die Änderung zuerst in einer Staging- oder Entwicklungsumgebung an, bevor Sie sie in der Produktion einsetzen. Wenn Sie keine vollständige Infrastruktur-Staging-Umgebung haben, erstellen Sie eine kleinere Replik, die die kritischen Teile der Produktion widerspiegelt. Einige Teams führen ein separates Infrastrukturkonto oder -projekt speziell zum Testen von Änderungen.

Wenn eine Staging-Umgebung absolut unmöglich ist, führen Sie zumindest den Plan gegen die Produktion im Nur-Lese-Modus aus. Dies gibt Ihnen Einblick, was sich ändern würde, ohne tatsächlich etwas zu ändern.

Wenden Sie über eine Pipeline an, nicht über einen Laptop

Der eigentliche Apply-Befehl sollte in einer CI/CD-Pipeline ausgeführt werden, nicht auf dem Rechner eines Entwicklers. Die Pipeline zeichnet auf, wer den Apply ausgelöst hat, wann er stattfand und was geändert wurde. Diese Audit-Trail ist für Debugging und Compliance unerlässlich.

Die Pipeline sollte sofort anhalten, wenn der Apply teilweise fehlschlägt. Lassen Sie nicht zu, dass sie nach einem Fehler weiterhin Änderungen an anderen Ressourcen vornimmt. Partielle Infrastrukturänderungen sind schwer zu diagnostizieren und noch schwerer zu beheben.

Haben Sie einen Rollback-Plan

Bevor Sie anwenden, wissen Sie, wie Sie die Änderung rückgängig machen, wenn etwas schiefgeht. Bei unveränderlicher Infrastruktur bedeutet dies, die neuen Ressourcen zu zerstören und die alten aus einem vorherigen Zustand neu zu erstellen. Bei veränderlicher Infrastruktur erstellen Sie einen Snapshot oder ein Backup der Konfiguration, bevor Sie Änderungen vornehmen.

Speichern Sie Ihre Infrastruktur-Statusdateien in einem versionierten Backend. Einige Teams bewahren die letzte bekannte gute Statusdatei auf, um sie schnell wiederherstellen zu können. Der Rollback-Plan sollte dokumentiert und getestet sein, nicht mitten in einem Vorfall erfunden werden.

Überprüfen Sie nach dem Apply

Gehen Sie nicht davon aus, dass alles in Ordnung ist, nur weil der Apply fehlerfrei abgeschlossen wurde. Überprüfen Sie, ob neue Ressourcen laufen. Testen Sie, ob Netzwerkverbindungen funktionieren. Bestätigen Sie, dass Anwendungen, die von der Infrastruktur abhängen, noch gesund sind.

Automatisieren Sie diese Überprüfung so weit wie möglich. Ein einfaches Skript, das den Ressourcenstatus prüft, Endpunkte anpingt oder Konnektivitätstests durchführt, kann Probleme erkennen, die der Apply-Befehl nicht meldet.

Eine praktische Checkliste für Infrastrukturänderungen

Änderung beginnt als Pull Request im Infrastruktur-Repository
Mindestens ein Reviewer, der die Auswirkungen versteht, hat den PR genehmigt
Plan-Ausgabe wurde überprüft und entspricht den Erwartungen
Änderung wurde zuerst in einer Nicht-Produktionsumgebung angewendet
Apply läuft über eine Pipeline, nicht von einem lokalen Rechner
Rollback-Plan ist dokumentiert und bereit
Überprüfungen nach dem Apply sind bestanden

Diese Checkliste ist keine Bürokratie. Sie ist ein Schutz vor der Art von Ausfall, der mit einem einzigen Klick in einer Cloud-Konsole beginnt und damit endet, dass ein Team verzweifelt versucht zu verstehen, was passiert ist.

Das Fazit

Infrastrukturänderungen sind risikoreiche, seltene Operationen. Diese Kombination macht sie gefährlich. Wenn Sie etwas selten tun, machen Sie eher Fehler. Wenn die Auswirkungen breit sind, tun diese Fehler mehr weh.

Behandeln Sie Infrastrukturänderungen mit derselben Sorgfalt wie Anwendungscodeänderungen. Pull Requests, Reviews, Pläne, gestaffelte Umgebungen, Pipeline-Ausführung und Überprüfung sind keine optionalen Extras. Sie sind der Mindestprozess, um Ihre Infrastruktur stabil zu halten. Das verwendete Tool ist weniger wichtig als die Disziplin, die Sie anwenden.