25-7 · Chapitre 25 · 7 min de lecture

Quand les Changements d'Infrastructure Provoquent une Panne en Production : Récupération après un Désastre IaC

Apprenez à récupérer rapidement après un changement d'infrastructure qui a cassé la production. Stratégies de rollback, gestion d'état, versionnement et tests pour les équipes DevOps et SRE.

Quand les Changements d'Infrastructure Provoquent une Panne en Production : Récupération après un Désastre IaC

Vous avez fait tout ce qu'il fallait. Le plan Terraform a été relu par deux ingénieurs seniors. La modification a passé les contrôles de conformité dans votre pipeline. Elle a tourné sans problème en préproduction pendant trois jours. Puis vous l'avez appliquée en production, et en moins de dix minutes, les utilisateurs ont commencé à signaler des erreurs.

C'est la réalité des changements d'infrastructure. Aussi rigoureux que soit votre processus de relecture, certains problèmes ne se révèlent que sous le trafic réel. Une dépendance que vous n'aviez pas vue. Une différence de configuration entre la préproduction et la production qui est passée entre les mailles du filet. Une interaction subtile entre votre modification et une ressource existante que personne n'avait anticipée.

Quand cela arrive, votre équipe a besoin d'une chose avant tout : la capacité de revenir rapidement à un état connu et sain. C'est ce qu'on appelle le rollback d'infrastructure, et cela fonctionne différemment du rollback de code applicatif.

Pourquoi le Rollback d'Infrastructure est Différent

Revenir en arrière sur une application signifie généralement déployer une version précédente du code. Les serveurs, le réseau, le schéma de base de données — tout reste identique. Vous échangez simplement le binaire ou l'image conteneur.

Le rollback d'infrastructure n'est pas aussi simple. L'infrastructure comprend des serveurs, des équilibreurs de charge, des règles réseau, des instances de base de données, des volumes de stockage et des dizaines d'autres ressources qui dépendent les unes des autres. Revenir à une ancienne version d'une ressource sans tenir compte des autres peut empirer les choses, pas les améliorer.

Imaginez que vous ayez modifié une règle de groupe de sécurité et mis à jour la configuration d'un équilibreur de charge. Si vous ne restaurez que le groupe de sécurité, l'équilibreur de charge pourrait maintenant pointer vers des instances que l'ancien groupe de sécurité bloque. Votre tentative de récupération vient de créer une nouvelle panne.

La clé d'un rollback d'infrastructure sûr repose sur deux choses : la gestion de l'état et le versionnement de la configuration.

Gestion de l'État : Savoir ce que Vous Avez

Les outils d'Infrastructure as Code comme Terraform, Pulumi ou OpenTofu maintiennent un fichier d'état. Ce fichier enregistre chaque ressource gérée par l'outil, sa configuration actuelle et les relations entre les ressources. Sans un état précis, l'outil ne peut pas savoir ce qui existe, et encore moins comment le modifier.

Les fichiers d'état sont des actifs critiques. Ils doivent être stockés de manière sécurisée, avec un contrôle d'accès et versionnés à chaque modification. Si vous perdez votre fichier d'état, vous perdez la capacité de gérer cette infrastructure via l'IaC. Vous revenez à une récupération manuelle, en devinant quelles ressources existent et comment elles sont connectées.

La bonne pratique consiste à stocker l'état à distance — dans un stockage cloud, un service backend ou un outil de gestion d'état dédié. Les fichiers d'état locaux sur le portable d'un développeur sont une catastrophe en puissance. Le pipeline doit toujours utiliser la même source d'état faisant autorité.

Versionnement de la Configuration : Savoir ce que Vous Aviez

Le code applicatif reçoit des tags de version. La configuration d'infrastructure mérite le même traitement. Chaque modification de vos templates IaC, modules et fichiers de variables doit être commitée dans le système de contrôle de version avec des marqueurs clairs.

Lorsque votre équipe décide de revenir en arrière, elle ne devrait pas avoir à deviner quelle configuration fonctionnait la dernière fois. Elle devrait pouvoir pointer vers un commit ou un tag spécifique et dire : "C'est celui-là." Le pipeline applique alors cette version en utilisant le fichier d'état qui correspond à ce point dans le temps.

Cela semble évident, mais de nombreuses équipes traitent la configuration d'infrastructure comme "déployer simplement la dernière version" sans taguer les releases. Quand quelque chose casse, ils cherchent frénétiquement le dernier bon commit, en espérant que personne n'a poussé une modification à moitié terminée entre-temps.

Planifier le Rollback Avant d'Appliquer

Le meilleur moment pour planifier un rollback, c'est avant d'appliquer le changement. Dans votre pipeline, sauvegardez une copie de l'état actuel avant d'exécuter l'étape d'application. Si le changement pose problème, le pipeline peut immédiatement exécuter apply avec l'état sauvegardé. Pas de recherche, pas de devinette, pas d'étapes manuelles.

Ce rollback pré-planifié peut être automatisé. Après l'application, exécutez des contrôles de santé. Si les contrôles échouent, déclenchez le rollback automatiquement. Votre équipe est notifiée, mais la récupération a déjà commencé.

Par exemple, si un changement sur une seule ressource comme une instance EC2 a causé le problème, vous pouvez cibler cette ressource spécifiquement :

# Sauvegarder l'état actuel avant d'appliquer tout changement
terraform state pull > state-backup-$(date +%Y%m%d-%H%M%S).json

# Appliquer la configuration précédente uniquement pour la ressource problématique
terraform apply -auto-approve -target=aws_instance.web

# Vérifier le rollback avec des contrôles de santé
terraform output instance_health

Tous les changements d'infrastructure ne peuvent pas être annulés proprement. Supprimer un volume de base de données, modifier un schéma réseau dont dépendent d'autres ressources, ou changer un service partagé — ces actions peuvent ne laisser aucune voie de retour propre. Pour ces changements, vous avez besoin de stratégies supplémentaires.

Quand le Rollback ne Suffit Pas

Certains changements d'infrastructure sont destructeurs par nature. Si votre modification a supprimé un volume de base de données, revenir en arrière sur la configuration IaC ne ramènera pas les données. Le volume a disparu. Le fichier de configuration dit qu'il devrait exister, mais la ressource réelle n'existe plus chez votre fournisseur cloud.

Le diagramme suivant illustre le processus de décision lorsqu'un changement casse la production :

flowchart TD A[Changement casse la production] --> B{Le changement peut-il être annulé proprement ?} B -->|Oui| C[Restaurer l'état précédent depuis le fichier d'état sauvegardé] B -->|Non| D{Un snapshot a-t-il été pris avant le changement ?} D -->|Oui| E[Restaurer depuis le snapshot puis appliquer l'ancienne config] D -->|Non| F{L'ancien environnement est-il toujours en cours ?} F -->|Oui| G[Rediriger le trafic vers l'ancien environnement] F -->|Non| H[Provisionner de nouvelles ressources depuis la dernière bonne config] C --> I[Exécuter les contrôles de santé] E --> I G --> I H --> I I --> J{Contrôles de santé réussis ?} J -->|Oui| K[Récupération terminée] J -->|Non| L[Escalader vers l'ingénieur d'astreinte]

Pour ces cas, vous avez besoin de stratégies de récupération qui vont au-delà du rollback :

Prenez des snapshots avant d'effectuer des changements destructeurs. Un snapshot de base de données pris juste avant une migration de schéma vous donne un point de repli.
Utilisez des déploiements blue-green ou canary pour l'infrastructure. Gardez l'ancien environnement en cours jusqu'à ce que vous soyez sûr que le nouveau fonctionne.
Provisionnez l'infrastructure en parallèle plutôt que de modifier sur place. Créez les nouvelles ressources à côté des anciennes, puis basculez le trafic quand c'est prêt.

Ces stratégies ajoutent du coût et de la complexité, mais elles coûtent moins cher qu'une panne prolongée.

Testez Votre Rollback

Un plan de rollback qui n'a jamais été testé n'est pas un plan. C'est un vœu pieux.

Effectuez des exercices de rollback dans votre environnement de préproduction. Appliquez un changement, puis déclenchez délibérément le rollback. Mesurez le temps nécessaire. Vérifiez que le fichier d'état est correctement restauré. Assurez-vous que toutes les ressources reviennent à leur configuration précédente. Confirmez que l'application fonctionne correctement après le rollback.

Faites-le régulièrement. Tous les quelques mois, ou chaque fois que votre configuration d'infrastructure change de manière significative. L'objectif n'est pas seulement de vérifier que le mécanisme fonctionne, mais de renforcer la confiance de votre équipe. Quand la production casse à 2 heures du matin, vous voulez que votre équipe sache exactement quoi faire, et non qu'elle lise la documentation pour la première fois.

Après le Rollback : Apprendre et Documenter

Une fois le rollback terminé et la production stable, le vrai travail commence. Trouvez ce qui n'a pas fonctionné. Était-ce une dépendance manquante ? Une dérive de configuration entre les environnements ? Un problème de concurrence dans l'ordre d'application ?

Documentez l'incident. Quel changement a été appliqué ? Qu'est-ce qui a cassé ? Comment a-t-il été détecté ? Combien de temps a duré le rollback ? Qu'est-ce qui aurait pu l'accélérer ? Cette documentation devient la base pour améliorer votre pipeline, vos tests et vos procédures de rollback.

Liste de Vérification Pratique pour la Préparation au Rollback d'Infrastructure

Les fichiers d'état sont stockés à distance avec contrôle d'accès et versionnement
Chaque changement d'infrastructure est tagué avec une version dans le système de contrôle de version
Le pipeline sauvegarde l'état actuel avant d'appliquer les changements
Des contrôles de santé automatisés sont exécutés après chaque application
Le rollback se déclenche automatiquement en cas d'échec des contrôles de santé
Les changements destructeurs disposent de stratégies de snapshot ou de déploiement parallèle
Le rollback est testé en préproduction au moins une fois par trimestre
La documentation d'incident est créée et revue après chaque rollback

L'Essentiel à Retenir

Le rollback d'infrastructure n'est pas une fonctionnalité que vous ajoutez plus tard. C'est une décision de conception que vous prenez dès le départ. Planifiez votre gestion d'état. Versionnez vos configurations. Automatisez le chemin de rollback. Testez-le jusqu'à ce qu'il devienne routinier. Quand la production casse, votre équipe ne devrait pas chercher comment récupérer. Elle devrait exécuter une procédure qu'elle a déjà effectuée des dizaines de fois, en sachant exactement combien de temps cela prendra et quel sera le résultat.