30-7 · Bab 30 · 5 menit baca

Apa yang Terjadi Setelah Recovery: Mengubah Kegagalan Infrastruktur Menjadi Perbaikan Proses

Pelajari cara melakukan post-mortem tanpa menyalahkan, mengidentifikasi temuan teknis dan sistemik, serta menerjemahkannya ke dalam perbaikan pipeline dan rencana recovery yang konkret.

Apa yang Terjadi Setelah Recovery: Mengubah Kegagalan Infrastruktur Menjadi Perbaikan Proses

Dashboard monitoring sudah hijau kembali. Tim menghela napas lega. Insiden selesai, layanan kembali normal, dan semua orang akhirnya bisa pulang atau kembali ke pekerjaan rutin.

Tepat di momen inilah sebagian besar tim kehilangan hal paling berharga yang baru saja mereka peroleh: pelajaran dari sebuah kegagalan.

Ketika semuanya kembali normal, insting alami adalah move on. Tekanan hilang, urgensi berlalu, dan masih ada tugas lain yang menunggu. Tapi jika Anda melewatkan langkah memahami apa yang terjadi, Anda menjamin bahwa perubahan berikutnya akan gagal dengan cara yang sama, di jam yang sama, dengan stres yang sama.

Mulai dengan Post-Mortem, Bukan Mencari Kambing Hitam

Hal pertama yang harus dilakukan setelah recovery adalah post-mortem. Ini bukan rapat untuk mencari siapa yang salah. Ini adalah proses terstruktur untuk merekonstruksi apa yang sebenarnya terjadi: apa yang direncanakan, apa yang dieksekusi, di mana semuanya mulai salah, dan bagaimana recovery berlangsung.

Diagram alur berikut merangkum langkah-langkah utama setelah insiden selesai:

flowchart TD A[Insiden Selesai] --> B[Lakukan Post-Mortem Tanpa Menyalahkan] B --> C[Rekonstruksi Timeline] C --> D[Identifikasi Temuan] D --> E{Kategorikan} E --> F[Teknis: spesifik terhadap perubahan] E --> G[Sistemik: celah proses] F --> H[Implementasi Perbaikan Pipeline] G --> H H --> I[Perbarui Rencana Recovery] I --> J[Dokumentasi Catatan Singkat Praktis] J --> K[Verifikasi Perbaikan & Uji Ulang] K --> L[Jadwalkan Percobaan Berikutnya] L --> M[Monitor & Ulangi]

Anda membutuhkan timeline. Mulai dari keputusan untuk melakukan perubahan. Sertakan hasil review pipeline, langkah apply, tanda pertama masalah, dan setiap tindakan yang diambil selama recovery. Tuliskan selagi detailnya masih segar. Timeline ini menjadi bahan mentah untuk mengidentifikasi pola.

Syarat paling penting untuk post-mortem yang berguna adalah budaya tanpa menyalahkan (blameless culture). Jika orang takut dihukum karena kesalahan, mereka akan menyembunyikan detail. Mereka akan membersihkan log chat, menghilangkan keraguan, dan tidak menyebutkan tanda peringatan yang mereka lihat tapi tidak berani sampaikan. Post-mortem tanpa menyalahkan bukan berarti tidak ada yang bertanggung jawab. Artinya fokusnya adalah pada proses yang memungkinkan kegagalan terjadi, bukan pada orang yang menjalankan perintah.

Dua Jenis Temuan

Setelah Anda memiliki timeline dan tim merasa aman untuk berbicara jujur, biasanya Anda akan menemukan dua kategori masalah.

Kategori pertama spesifik terhadap perubahan yang baru saja gagal. Mungkin parameter Terraform tidak kompatibel dengan versi provider terbaru. Mungkin ada dependensi resource yang tidak terlihat saat planning. Mungkin ada nilai konfigurasi yang salah ketik. Ini adalah masalah satu kali yang bisa diperbaiki langsung.

Kategori kedua bersifat sistemik. Ini adalah masalah yang lebih dalam yang membuat kegagalan mungkin terjadi sejak awal. Pipeline tidak menjalankan plan check sebelum apply. Tidak ada monitoring untuk resource tertentu setelah perubahan. Tim tidak punya cara untuk mendeteksi anomali sampai pengguna melaporkannya. Rencana recovery ada tapi belum pernah diuji. Ini adalah temuan yang, jika dibiarkan, akan menyebabkan kegagalan berikutnya terlihat berbeda tapi terasa persis sama.

Terjemahkan Temuan Menjadi Perbaikan Konkret

Setiap temuan harus menjadi sebuah perubahan. Mulailah dari pipeline, karena biasanya itu yang paling cepat diperbaiki.

Jika kegagalan terjadi karena plan check dilewati, tambahkan gate otomatis yang mewajibkan inspeksi plan sebelum apply. Jika monitoring tidak menangkap anomali, tambahkan metrik atau alert yang hilang. Jika prosedur rollback tidak jelas, perbarui pipeline untuk menyertakan langkah rollback yang sudah teruji. Ini adalah perubahan teknis yang bisa diimplementasikan segera di pipeline yang baru saja gagal.

Selanjutnya, perbarui rencana recovery itu sendiri. Pengalaman dari insiden ini mungkin mengungkap celah dalam rencana awal. Mungkin langkah restore-from-snapshot memakan waktu dua kali lebih lama dari perkiraan karena volume data bertambah. Mungkin langkah verifikasi setelah restore tidak ada, sehingga tim tidak tahu layanan sudah sehat sampai seseorang memeriksanya secara manual. Perbarui rencana recovery dengan perkiraan waktu yang realistis, tambahkan langkah verifikasi antara, dan dokumentasikan perintah aktual yang berhasil.

Dokumentasikan Pengalaman, Bukan Novel

Dokumentasi setelah kegagalan tidak perlu berupa laporan formal yang tidak dibaca siapa pun. Ini harus berupa catatan praktis yang bisa diambil oleh engineer lain ketika menghadapi perubahan serupa.

Tuliskan: perubahan apa yang dicoba, apa tanda peringatan dini, langkah recovery apa yang diambil, berapa lama setiap langkah berlangsung, dan apa yang diperbaiki setelahnya. Buatlah singkat. Satu atau dua halaman sudah cukup. Simpan di tempat yang bisa ditemukan tim, jangan dikubur di folder yang tidak pernah dibuka siapa pun.

Dokumentasi ini sangat berharga bagi anggota tim baru yang belum pernah mengalami jenis kegagalan ini. Ketika mereka menghadapi situasi serupa, mereka akan memiliki referensi yang menunjukkan apa yang harus diwaspadai dan apa yang harus dilakukan.

Putuskan Kapan Harus Mencoba Lagi

Setelah semua perbaikan terpasang, tim perlu memutuskan kapan akan mencoba perubahan yang sama lagi. Jangan terburu-buru. Jangan redeploy di hari yang sama kecuali rencana recovery sudah diuji ulang dan akar penyebab sudah dipahami sepenuhnya.

Beri waktu bagi tim untuk memverifikasi bahwa perubahan pipeline berfungsi. Jalankan simulasi kecil jika memungkinkan. Biarkan perbaikan "meresap" setidaknya selama satu siklus. Tujuannya bukan kecepatan. Tujuannya adalah memastikan bahwa percobaan berikutnya tidak mengulangi kegagalan yang sama.

Checklist Praktis untuk Evaluasi Pasca-Recovery

Jika Anda ingin referensi cepat untuk sesi pasca-recovery berikutnya, berikut adalah checklist singkat yang mencakup hal-hal esensial:

Rekonstruksi timeline lengkap dari keputusan hingga recovery
Identifikasi temuan spesifik yang unik untuk perubahan ini
Identifikasi temuan sistemik yang bisa memengaruhi perubahan di masa depan
Implementasi perbaikan pipeline (gate, monitoring, langkah rollback)
Perbarui rencana recovery dengan perkiraan realistis dan langkah verifikasi
Tulis dokumen singkat praktis untuk referensi masa depan
Jadwalkan percobaan berikutnya hanya setelah perbaikan diverifikasi

Biaya Sebenarnya dari Melewatkan Langkah Ini

Setiap kegagalan infrastruktur memakan biaya: waktu, stres, kepercayaan pengguna, dan terkadang uang. Biaya itu sudah dibayar. Satu-satunya cara untuk mendapatkan imbal hasil dari investasi itu adalah dengan belajar darinya dan memperbaiki proses.

Jika Anda melewatkan evaluasi, Anda akan menghadapi kegagalan berikutnya dengan proses yang sama rapuhnya, celah monitoring yang sama, dan rencana recovery yang sama tidak terujinya. Kegagalan akan terasa berbeda, tapi polanya akan sama.

Tim yang meningkat seiring waktu bukanlah tim yang tidak pernah gagal. Mereka adalah tim yang memperlakukan setiap kegagalan sebagai biaya kuliah untuk pelajaran yang tidak perlu mereka bayar lagi.