30-5 · Bab 30 · 5 menit baca

Mengapa Rencana Pemulihan Anda Akan Gagal Tanpa Latihan

Rencana pemulihan yang hanya disimpan di folder bersama tanpa pernah diuji bukanlah rencana, melainkan ilusi keamanan. Pelajari cara menguji rencana pemulihan dengan game day, chaos engineering, dan simulasi proses.

Mengapa Rencana Pemulihan Anda Akan Gagal Tanpa Latihan

Rencana pemulihan yang disimpan di folder bersama, sudah disetujui manajemen, dan tidak pernah disentuh lagi bukanlah rencana pemulihan. Itu hanyalah selimut keamanan. Pertama kali seseorang membacanya adalah saat insiden nyata terjadi, ketika kepanikan tinggi, penilaian rendah, dan melewatkan langkah terasa seperti cara tercepat untuk memperbaiki masalah.

Saya pernah melihat tim mengikuti prosedur rollback untuk pertama kalinya saat terjadi gangguan produksi. Mereka melewatkan langkah verifikasi propagasi DNS. Mereka mengira migrasi database bersifat reversibel padahal tidak. Mereka menghubungi kontak yang sudah keluar dari perusahaan enam bulan sebelumnya. Tidak satu pun masalah ini terlihat di dokumen. Masalah-masalah itu baru muncul ketika tekanan datang.

Rencana pemulihan hanya sebaik terakhir kali seseorang benar-benar menjalankannya.

Masalah dengan Rencana yang Tidak Diuji

Ketika rencana hanya ada di atas kertas, beberapa hal bisa salah tanpa disadari. Instruksi yang tampak jelas saat ditulis ternyata ambigu di bawah tekanan. Langkah-langkah yang mengasumsikan alat tertentu akan berfungsi malah rusak karena izin berubah. Urutan tindakan yang terlihat logis dalam diagram tidak sesuai dengan bagaimana sistem benar-benar berperilaku.

Lebih buruk lagi, rencana yang tidak diuji menciptakan kepercayaan palsu. Tim percaya mereka sudah siap karena memiliki dokumen. Mereka tidak menyadari bahwa dokumen tersebut belum pernah divalidasi terhadap kenyataan. Ketika kegagalan nyata terjadi, mereka menemukan celah di saat yang paling buruk.

Perbaikannya bukan dokumentasi yang lebih baik. Perbaikannya adalah latihan.

Perbedaan antara rencana yang tidak diuji dan yang sudah dilatih dapat dilihat dalam perbandingan ini:

flowchart TD A[Rencana Pemulihan] --> B{Diuji?} B -->|Tidak| C[Rencana Tidak Diuji] C --> D[Langkah Ambigu] D --> E[Kepercayaan Palsu] E --> F[Insiden Nyata] F --> G[Gagal di Bawah Tekanan] B -->|Ya| H[Rencana Terlatih] H --> I[Game Day / Simulasi] I --> J[Langkah Tervalidasi] J --> K[Tim Percaya pada Rencana] K --> L[Insiden Nyata] L --> M[Pemulihan Berhasil]

Game Day: Latihan Kegagalan Terstruktur

Format paling umum untuk menguji rencana pemulihan di tim DevOps adalah game day. Game day adalah sesi terjadwal di mana tim sengaja menciptakan skenario kegagalan di lingkungan yang aman, biasanya staging atau lingkungan yang mirip produksi.

Tim yang bertanggung jawab atas pemulihan tidak tahu persis skenario sebelumnya. Mereka hanya tahu bahwa dalam periode tertentu, kegagalan akan dipicu dan mereka harus menanganinya. Tujuannya bukan untuk menjebak siapa pun. Tujuannya adalah membangun memori otot untuk respons darurat.

Game day tipikal berjalan seperti ini:

Seseorang di tim mensimulasikan kegagalan, misalnya perubahan konfigurasi jaringan yang membuat setengah server tidak dapat dijangkau.
Tim on-call mendeteksi kegagalan, memutuskan apakah akan rollback atau failover, dan menjalankan langkah pemulihan dari rencana yang didokumentasikan.
Setelah sesi selesai, tim mengadakan retrospektif untuk membahas apa yang berhasil, apa yang terlewat, dan apa yang perlu diubah dalam rencana.

Game day pertama selalu mengungkap masalah. Langkah yang memakan waktu terlalu lama. Perintah yang gagal karena izin hilang. Titik keputusan yang tidak tercakup dalam rencana. Setiap masalah menjadi perbaikan untuk rencana.

Chaos Engineering: Pengujian Otomatis Berkelanjutan

Game day adalah acara terjadwal. Chaos engineering mengambil ide yang sama dan membuatnya berkelanjutan. Alat seperti Chaos Monkey atau Gremlin dapat mensimulasikan kegagalan spesifik secara otomatis: server mati, koneksi database terputus, sertifikat TLS kedaluwarsa.

Perbedaan utamanya adalah frekuensi. Game day terjadi sebulan sekali atau sekuartal sekali. Eksperimen chaos bisa berjalan setiap hari. Untuk pengujian rencana pemulihan, chaos engineering berguna secara terarah. Alih-alih kegagalan acak, Anda membuat eksperimen yang persis sesuai dengan skenario kegagalan dalam rencana pemulihan Anda. Kemudian biarkan sistem berjalan dan lihat apakah rencana benar-benar berfungsi ketika kegagalan terjadi secara otomatis.

Pendekatan ini menangkap regresi. Langkah pemulihan yang berfungsi bulan lalu mungkin rusak karena seseorang mengubah aturan firewall atau merotasi kredensial. Eksperimen chaos segera mengungkap kerusakan itu, bukan saat gangguan berikutnya.

Simulasi Proses: Menguji Komunikasi, Bukan Hanya Kode

Tidak semua bagian dari rencana pemulihan bersifat teknis. Beberapa bagian berkaitan dengan siapa menghubungi siapa, informasi apa yang dibagikan, dan bagaimana keputusan dibuat. Bagian-bagian ini lebih sulit diuji hanya dengan game day atau eksperimen chaos.

Simulasi proses mengatasi hal ini. Dalam simulasi, tidak ada server yang benar-benar dimatikan. Tim menerima laporan insiden palsu dan menjalani rencana pemulihan dari awal hingga akhir di atas kertas atau di sistem monitoring tiruan. Mereka memeriksa apakah instruksi jelas, apakah akses ke sistem tersedia, dan apakah rantai komunikasi masih berfungsi.

Simulasi sering mengungkap masalah yang terlewat oleh latihan teknis. Nomor kontak yang tidak lagi berfungsi. Langkah yang mengasumsikan seseorang dari tim lain akan tersedia pada jam 3 pagi. Gerbang persetujuan yang membutuhkan manajer yang sedang cuti. Ini adalah jenis kegagalan yang tidak bisa diperbaiki oleh otomatisasi apa pun, tetapi walkthrough sederhana bisa menangkapnya.

Apa yang Harus Dilakukan dengan Hasilnya

Setiap sesi latihan, baik itu game day, eksperimen chaos, atau simulasi proses, harus menghasilkan daftar perbaikan. Rencana pemulihan bukanlah dokumen statis. Ini adalah artefak hidup yang berubah berdasarkan apa yang dipelajari tim.

Setelah setiap sesi, perbarui rencana. Hapus langkah yang ternyata tidak perlu. Tambahkan langkah yang hilang. Perbaiki masalah alat. Perbarui daftar kontak. Perjelas instruksi yang ambigu. Rencana harus terlihat berbeda setelah setiap sesi latihan.

Jika rencana tidak pernah berubah, tim tidak belajar dari latihan.

Daftar Periksa Singkat untuk Memulai

Jika tim Anda belum pernah menguji rencana pemulihan, mulailah dari yang kecil. Berikut daftar periksa praktis untuk sesi pertama:

Pilih satu skenario kegagalan dari rencana pemulihan yang ada. Mulailah dengan yang paling sederhana.
Jadwalkan game day satu jam di lingkungan staging. Tidak ada dampak produksi.
Tugaskan satu orang untuk memicu kegagalan dan mengamati. Mereka tidak membantu pemulihan.
Biarkan tim on-call menjalankan rencana sebagaimana tertulis. Tidak ada improvisasi selama sesi.
Setelah sesi, catat setiap penyimpangan dari rencana dan setiap langkah yang tidak jelas.
Perbarui rencana berdasarkan temuan Anda. Kemudian jadwalkan sesi berikutnya.

Jangan bertujuan untuk kesempurnaan di sesi pertama. Bertujuanlah untuk penemuan. Setiap celah yang Anda temukan adalah celah yang tidak akan mengejutkan Anda selama insiden nyata.

Satu-satunya Ukuran yang Penting

Rencana pemulihan yang belum pernah diuji hanyalah harapan, bukan rencana. Satu-satunya cara untuk mengetahui apakah tim Anda benar-benar dapat pulih dari kegagalan adalah dengan melihat mereka melakukannya, dalam kondisi terkendali, sebelum keadaan darurat nyata tiba.

Mulailah dengan satu skenario. Jalankan satu sesi. Perbaiki apa yang rusak. Kemudian lakukan lagi. Seiring waktu, latihan menjadi rutinitas, dan rencana pemulihan menjadi sesuatu yang dipercaya tim, bukan sesuatu yang diabaikan sampai semuanya terlambat.