30-6 · Bab 30 · 6 menit baca

Ketika Perubahan Infrastruktur Gagal: Panduan Pemulihan Langkah demi Langkah

Pipeline berubah merah. Terraform apply yang seharusnya dua menit sudah berjalan lima belas menit. Dashboard monitoring menunjukkan lima resource gagal dibuat. Inilah panduan pemulihan infrastruktur langkah demi langkah untuk engineer DevOps dan SRE.

Ketika Perubahan Infrastruktur Gagal: Panduan Pemulihan Langkah demi Langkah

Pipeline berubah merah. Sebuah Terraform apply yang seharusnya memakan waktu dua menit sudah berjalan selama lima belas menit. Dashboard monitoring Anda menunjukkan lima resource gagal dibuat, dan health check load balancer mengembalikan kode 503. Saluran chat masih sepi untuk saat ini, tetapi Anda tahu keheningan itu tidak akan bertahan lama.

Inilah momen yang ditakuti setiap insinyur infrastruktur. Bukan kegagalannya sendiri, melainkan ketidakpastian yang mengikutinya: Apa yang harus dilakukan pertama kali? Apakah harus roll back segera? Apakah harus memperbaiki di tempat? Bagaimana cara mengetahui bahwa semuanya benar-benar kembali normal?

Perbedaan antara pemulihan yang terkendali dan kekacauan yang kacau balau terletak pada memiliki urutan tindakan yang jelas sebelum Anda membutuhkannya. Berikut adalah panduan praktis tentang cara menjalankan pemulihan ketika perubahan infrastruktur menjadi kacau.

Langkah 1: Konfirmasi Kegagalan

Tanda pertama masalah seharusnya tidak datang dari keluhan pengguna. Seharusnya datang dari pipeline dan sistem monitoring Anda. Pipeline CI/CD yang dirancang dengan baik untuk perubahan infrastruktur mencakup checkpoint yang memverifikasi setiap langkah: Apakah resource berhasil dibuat? Apakah konfigurasinya benar? Apakah layanan masih merespons dengan baik?

Berikut adalah tampilan tipikal konfirmasi kegagalan dalam praktik:

# Periksa output Terraform plan untuk error	erraform plan -var-file=production.tfvars

# Contoh output yang menunjukkan kegagalan yang jelas
# Error: Error creating security group: InvalidGroup.Duplicate: The security group 'web-sg' already exists
#   on main.tf line 42, in resource "aws_security_group" "web":
#   42: resource "aws_security_group" "web" {

# Periksa log pipeline untuk job yang gagal
curl -s https://pipeline.internal/api/v1/jobs/12345/logs | tail -50

# Contoh cuplikan log
# [ERROR] Terraform apply failed: Error creating security group: InvalidGroup.Duplicate
# [INFO] Retry attempt 1/3...
# [ERROR] Terraform apply failed: Error creating security group: InvalidGroup.Duplicate

Ketika sebuah checkpoint gagal, pipeline akan berhenti dan memberi sinyal bahwa ada yang salah. Namun sebelum Anda melompat ke mode pemulihan, luangkan waktu sejenak untuk memastikan kegagalan itu nyata. Alert monitoring dapat menyala karena berbagai alasan: gangguan jaringan sementara, timeout yang teratasi saat percobaan ulang, atau false positive dari health check yang salah konfigurasi.

Apa yang perlu diperiksa:

Lihat log pipeline. Apakah errornya konsisten atau intermiten?
Periksa apakah operasi yang sama berhasil ketika dicoba ulang secara manual.
Verifikasi bahwa alert monitoring bukan false positive yang sudah diketahui.

Jika kegagalan terkonfirmasi, lanjutkan ke langkah berikutnya. Jika itu hanya masalah sementara, dokumentasikan dan lanjutkan. Tidak perlu memicu pemulihan penuh hanya karena gangguan kecil.

Langkah 2: Tentukan Strategi Pemulihan

Di sinilah memiliki rencana pemulihan yang sudah ditulis sebelumnya menjadi sangat berharga. Di saat genting, Anda tidak ingin berdebat apakah akan roll back, menerapkan state lama, atau melakukan failover ke lingkungan cadangan. Keputusan-keputusan itu seharusnya sudah didokumentasikan dan disetujui oleh tim.

Faktor kunci dalam keputusan ini adalah waktu. Sebagian besar rencana pemulihan mendefinisikan jendela rollback: periode setelah perubahan di mana rollback penuh masih aman. Jika kegagalan terdeteksi dalam hitungan menit, roll back ke state sebelumnya biasanya merupakan opsi terbaik. Infrastruktur belum sempat mengalami drift, dan resource dependen kemungkinan besar belum beradaptasi dengan konfigurasi baru.

Diagram alir berikut merangkum proses pengambilan keputusan:

flowchart TD A[Kegagalan terkonfirmasi] --> B{Dalam jendela rollback?} B -- Ya --> C{Perubahan sudah menyebar ke resource lain?} C -- Tidak --> D[Rollback penuh] C -- Ya --> E[Penerapan ulang state] B -- Tidak --> F{Lingkungan standby tersedia?} F -- Ya --> G[Failover ke standby] F -- Tidak --> H[Penerapan ulang state] D --> I[Eksekusi pemulihan] E --> I G --> I H --> I

Tetapi jika satu jam telah berlalu dan perubahan sudah menyebar ke resource lain, rollback sederhana mungkin akan menimbulkan lebih banyak masalah daripada solusinya. Sistem lain mungkin sudah mulai bergantung pada konfigurasi baru. Dalam kasus itu, strategi yang lebih baik mungkin adalah menerapkan state lama ke depan, atau melakukan failover ke lingkungan standby yang tidak pernah tersentuh oleh perubahan yang gagal.

Tiga strategi pemulihan yang umum:

Rollback penuh: Kembalikan ke state sebelumnya yang tepat menggunakan alat Infrastructure as Code Anda.
Penerapan ulang state: Terapkan konfigurasi baik terakhir yang diketahui tanpa mengembalikan perubahan lain.
Failover: Arahkan lalu lintas ke lingkungan terpisah yang tidak terpengaruh oleh perubahan.

Keputusan harus dipandu oleh rencana pemulihan Anda, bukan oleh apa yang terasa benar pada saat itu.

Langkah 3: Eksekusi Pemulihan

Setelah strategi dipilih, jalankan persis seperti yang didokumentasikan. Ini bukan waktunya untuk improvisasi. Jika rencana Anda mengatakan untuk menjalankan terraform apply dengan file state tertentu, jalankan perintah itu. Jangan mencoba flag yang berbeda atau versi tool yang lebih baru karena Anda pikir itu mungkin lebih cepat.

Selama eksekusi, catat setiap tindakan yang Anda lakukan. Catat waktu, perintah, output, dan perilaku tak terduga. Log ini tidak hanya untuk post-mortem. Mereka membantu Anda melacak apa yang telah dilakukan jika pemulihan itu sendiri menyebabkan masalah baru.

Jika strategi melibatkan failover, aktifkan mekanisme yang telah Anda siapkan sebelumnya. Ini mungkin berarti memperbarui catatan DNS, mengganti target load balancer, atau mengubah konfigurasi routing. Langkah-langkah pastinya tergantung pada infrastruktur Anda, tetapi prinsipnya sama: ikuti rencana, bukan intuisi Anda.

Langkah 4: Verifikasi Pemulihan

Pemulihan belum selesai sampai Anda memverifikasi bahwa semuanya kembali normal. Jangan berasumsi bahwa karena Terraform apply berhasil, infrastruktur sehat. Jangan berasumsi bahwa karena server online, aplikasi berfungsi.

Verifikasi berarti memeriksa beberapa lapisan:

State resource: Apakah resource infrastruktur dalam konfigurasi yang diharapkan?
Kesehatan layanan: Apakah layanan berjalan dan merespons permintaan?
Perilaku aplikasi: Dapatkah aplikasi menjalankan fungsi intinya?
Sistem dependen: Apakah layanan hilir yang bergantung pada infrastruktur ini juga sehat?

Jalankan pemeriksaan yang sama yang akan dijalankan pipeline Anda selama deployment normal. Jika Anda memiliki smoke test otomatis, jalankan. Jika Anda memiliki langkah verifikasi manual, ikuti. Tujuannya adalah untuk yakin, bukan hanya berharap.

Langkah 5: Komunikasikan Hasilnya

Setelah verifikasi selesai, beri tahu anggota tim lainnya. Insinyur lain mungkin menunggu infrastruktur Anda stabil sebelum mereka melakukan deployment perubahan mereka sendiri. Tim operasi mungkin memantau alert yang sama dan bertanya-tanya apakah mereka perlu eskalasi.

Komunikasi yang jelas harus mencakup:

Apa yang salah
Apa yang dilakukan untuk memulihkan
Apakah pemulihan berhasil
Risiko atau pengamatan yang sedang berlangsung

Ini mencegah perubahan yang tumpang tindih dan mengurangi kebingungan. Ini juga membantu tim lain menyesuaikan rencana mereka jika diperlukan.

Checklist Pemulihan Praktis

Ketika tekanan meningkat, checklist sederhana membantu Anda tetap fokus. Berikut adalah satu yang dapat Anda adaptasi untuk tim Anda:

Konfirmasi kegagalan itu nyata (bukan masalah sementara atau alarm palsu)
Periksa jendela rollback: sudah berapa lama sejak perubahan?
Pilih strategi pemulihan dari rencana yang sudah ditulis sebelumnya
Eksekusi langkah-langkah pemulihan persis seperti yang didokumentasikan
Catat setiap tindakan dan hasilnya
Verifikasi state infrastruktur, kesehatan layanan, dan perilaku aplikasi
Komunikasikan hasilnya ke tim

Pekerjaan Sesungguhnya Dimulai Setelah Pemulihan

Infrastruktur kembali normal. Alert telah hilang. Tim bisa bernapas lega. Tetapi proses pemulihan belum benar-benar selesai sampai Anda menjawab satu pertanyaan: Mengapa ini terjadi, dan apa yang dapat kami lakukan untuk mencegahnya terjadi lagi?

Evaluasi setelah pemulihan adalah tempat Anda meningkatkan proses Anda. Mungkin pipeline memerlukan pemeriksaan pra-deployment yang lebih baik. Mungkin rencana pemulihan melewatkan satu langkah. Mungkin tim memerlukan kebijakan jendela rollback yang lebih jelas. Pelajaran apa pun, catat dan perbarui rencana Anda sesuai kebutuhan.

Perubahan infrastruktur yang gagal bukanlah kegagalan tim. Itu adalah sinyal bahwa sistem perlu ditingkatkan. Tim yang pulih dengan baik bukanlah tim yang tidak pernah gagal. Mereka adalah tim yang memiliki proses yang jelas, terlatih, dan dapat diulang ketika sesuatu menjadi salah.