22-1 · Bab 22 · 4 menit baca

Mengapa Migrasi Data Berbeda dari Deployment Aplikasi

Pelajari mengapa migrasi data memiliki risiko lebih tinggi dibanding deployment aplikasi, serta praktik idempotensi, dry-run, backfill, dan rekonsiliasi untuk menjamin keamanan data.

Mengapa Migrasi Data Berbeda dari Deployment Aplikasi

Pipeline CI/CD Anda berjalan mulus. Deployment aplikasi sudah menjadi rutinitas. Rolling update, blue-green deployment, bahkan canary release—tim Anda menanganinya tanpa kesulitan. Lalu seseorang berkata, "Kita perlu mengubah skema database dan memindahkan data dari tabel lama ke tabel baru." Tiba-tiba, ruangan menjadi hening. Orang-orang mulai bertanya. Ada yang memeriksa apakah backup masih baru. Ada yang bertanya apakah bisa dilakukan di jam maintenance. Kepercayaan diri yang tadi ada, lenyap begitu saja.

Ini bukan karena tim Anda kurang kompeten. Ini karena migrasi data secara fundamental berbeda dari deployment aplikasi. Memperlakukan keduanya dengan cara yang sama adalah resep untuk insiden produksi yang tidak bisa dicegah oleh lampu hijau pipeline mana pun.

Masalah Stateful

Aplikasi pada dasarnya stateless. Saat Anda men-deploy versi baru, Anda mengganti kode yang berjalan di memori atau disk. Jika versi baru rusak, Anda rollback ke versi sebelumnya. Kode lama masih ada di repositori. Anda tinggal menjalankannya lagi. Pengguna mungkin mengalami downtime beberapa menit, tetapi data mereka tetap aman.

Database adalah kebalikannya. Mereka menyimpan state—akun pengguna, riwayat transaksi, pengaturan konfigurasi, catatan pesanan. Begitu Anda menjalankan migrasi yang menghapus kolom, data kolom itu hilang. Begitu Anda mengubah format tanggal di jutaan baris, tanggal tersebut tidak akan kembali dengan sendirinya. Tidak ada tombol "undo" untuk perubahan data. Anda bisa restore dari backup, tetapi itu berarti kehilangan data yang dibuat atau dimodifikasi sejak backup terakhir diambil.

Sifat irreversible inilah yang membuat migrasi data terasa menegangkan. Kegagalan deployment aplikasi masih bisa dipulihkan. Kegagalan migrasi data bersifat permanen kecuali Anda memiliki rencana pemulihan yang tepat sebelum memulai.

Diagram berikut membandingkan kedua alur secara berdampingan:

flowchart TD subgraph AppDeploy["Deployment Aplikasi"] A1[Kode] --> A2[Build] A2 --> A3[Test] A3 --> A4[Deploy] A4 --> A5{Berhasil?} A5 -- Ya --> A6[Selesai] A5 -- Tidak --> A7[Rollback ke versi lama] A7 --> A6 end subgraph DataMigrate["Migrasi Data"] B1[Perubahan Skema] --> B2[Pemindahan Data] B2 --> B3{Berhasil?} B3 -- Ya --> B4[Verifikasi & Rekonsiliasi] B3 -- Tidak --> B5[Restore dari backup] B5 --> B6[Kemungkinan kehilangan data] end AppDeploy -.->|Reversibel| DataMigrate

Dampak Langsung pada Pengguna

Saat aplikasi crash, pengguna melihat halaman error. Mereka mungkin me-refresh, mencoba lagi nanti, atau menghubungi support. Itu menjengkelkan, tetapi data mereka aman.

Saat migrasi data salah, kerusakannya tidak terlihat sampai seseorang menyadarinya. Migrasi yang salah menghitung saldo akun, menimpa alamat pengiriman, atau menghapus riwayat pesanan tidak muncul sebagai error 500. Itu muncul saat pengguna memeriksa akun mereka dan menemukan informasi yang salah. Pada saat itu, migrasi sudah berjalan, dan data sudah berubah. Pengguna mengalami kerugian nyata, bukan sekadar ketidaknyamanan.

Dampak langsung pada data pengguna ini menuntut tingkat kehati-hatian yang berbeda. Anda tidak bisa memperlakukan migrasi data seperti deployment kode yang diuji di staging lalu dipromosikan ke produksi. Taruhannya lebih tinggi, dan mode kegagalannya lebih sulit dideteksi.

Durasi dan Kendala

Deployment aplikasi biasanya selesai dalam hitungan detik atau menit. Rolling update dapat mengganti instance satu per satu tanpa downtime yang terasa. Pengguna mungkin tidak tahu bahwa deployment terjadi.

Migrasi data bisa memakan waktu berjam-jam. Migrasi yang memperbarui setiap baris dalam tabel dengan jutaan record akan mengunci tabel, menghabiskan resource database, dan memperlambat query. Selama waktu itu, aplikasi Anda mungkin perlu berjalan dalam mode terdegradasi. Beberapa fitur mungkin dinonaktifkan. Beberapa endpoint mungkin mengembalikan error. Anda bahkan mungkin perlu mematikan aplikasi sepenuhnya.

Sifat long-running ini menimbulkan masalah koordinasi. Siapa yang memonitor migrasi? Apa yang terjadi jika gagal di tengah jalan? Bagaimana cara mengomunikasikan status ke seluruh tim? Ini bukan pertanyaan yang biasanya Anda tanyakan saat deployment kode.

Apa yang Membuat Migrasi Data Aman

Karena migrasi data membawa risiko lebih tinggi, mereka memerlukan seperangkat pengaman yang berbeda. Ini bukan tambahan opsional. Ini adalah persyaratan minimum untuk memperlakukan perubahan data dengan keseriusan yang layak mereka dapatkan.

Idempotensi. Skrip migrasi Anda harus aman dijalankan beberapa kali. Jika gagal di tengah jalan, Anda harus bisa memperbaiki masalah dan menjalankannya lagi tanpa menyebabkan data duplikat atau state yang tidak konsisten. Ini berarti menggunakan pemeriksaan IF NOT EXISTS, operasi UPSERT, atau logika kondisional yang mendeteksi apakah perubahan sudah diterapkan.

Kemampuan dry-run. Sebelum menyentuh data produksi, Anda perlu menjalankan migrasi di lingkungan aman yang semirip mungkin dengan produksi. Ini tidak sama dengan pengujian di staging. Dry-run harus menunjukkan dengan tepat apa yang akan berubah, berapa lama waktu yang dibutuhkan, dan apakah ada constraint yang akan dilanggar.

Strategi backfill. Beberapa migrasi data melibatkan pengisian data yang hilang dari catatan historis. Ini bukan operasi satu kali. Backfill harus bersifat inkremental, dimonitor, dan reversibel. Anda harus bisa menjedanya, memeriksa hasilnya, dan melanjutkan jika semuanya terlihat benar.

Rekonsiliasi. Setelah migrasi selesai, Anda perlu membuktikan bahwa data benar. Ini berarti menjalankan query yang membandingkan state lama dengan state baru, memeriksa jumlah baris, memverifikasi total, dan mencari anomali. Rekonsiliasi bukanlah fitur nice-to-have. Ini adalah satu-satunya cara untuk memastikan bahwa migrasi melakukan apa yang seharusnya dilakukan.

Daftar Periksa Praktis Sebelum Migrasi Data

Sebelum menjalankan migrasi data di produksi, periksa daftar ini:

Apakah skrip migrasi idempoten? Bisakah dijalankan dua kali tanpa menimbulkan masalah?
Sudahkah Anda melakukan dry-run terhadap salinan data produksi?
Apakah Anda tahu berapa lama migrasi akan berlangsung? Sudahkah Anda merencanakan jendela waktu tersebut?
Apakah ada rencana rollback yang tidak bergantung pada "restore dari backup saja"?
Sudahkah Anda menulis query rekonsiliasi untuk memverifikasi hasil?
Apakah tim tahu siapa yang memonitor migrasi dan siapa yang dihubungi jika terjadi masalah?

Kesimpulan

Migrasi data bukanlah deployment aplikasi dengan skrip yang berbeda. Ini adalah kategori pekerjaan yang berbeda yang memerlukan proses, pengaman, dan definisi selesai sendiri. Lain kali tim Anda merencanakan perubahan skema atau pemindahan data, berhentilah dan tanyakan: apakah kita sudah memiliki idempotensi, dry-run, backfill, dan rekonsiliasi? Jika jawabannya tidak, Anda belum siap menjalankan migrasi itu.