45-4 · Bab 45 · 5 menit baca

Mengapa Perubahan Infrastruktur Anda Membutuhkan Disiplin yang Sama seperti Perubahan Kode

Pelajari cara menerapkan disiplin yang sama pada perubahan infrastruktur seperti pada kode aplikasi. Panduan lengkap dengan template, checklist, dan workflow untuk mencegah outage akibat miskonfigurasi.

Mengapa Perubahan Infrastruktur Anda Membutuhkan Disiplin yang Sama seperti Perubahan Kode

Bayangkan ini: seseorang di tim Anda perlu membuka port untuk layanan baru. Mereka login ke konsol cloud, menambahkan aturan firewall, dan melanjutkan pekerjaan. Lima menit kemudian, seluruh aplikasi produksi menjadi tidak dapat dijangkau. Aturan baru tersebut secara tidak sengaja memblokir traffic ke database. Tidak ada yang tahu apa yang berubah, siapa yang mengubahnya, atau bagaimana cara mengembalikannya dengan cepat.

Skenario ini lebih umum daripada yang diakui sebagian besar tim. Perubahan infrastruktur - aturan firewall, konfigurasi load balancer, kebijakan penyimpanan, pengaturan jaringan - tidak terjadi setiap hari. Namun ketika salah, mereka bisa menghentikan semuanya. Satu security group yang salah konfigurasi dapat membuat aplikasi Anda tidak terlihat oleh pengguna. Satu perubahan DNS yang salah dapat mengarahkan traffic ke tempat yang tidak semestinya.

Masalahnya adalah banyak tim memperlakukan perubahan infrastruktur secara berbeda dari perubahan kode aplikasi. Perubahan kode melalui pull request, code review, pengujian otomatis, dan peluncuran bertahap. Perubahan infrastruktur sering terjadi melalui akses konsol langsung, perintah ad-hoc, atau kredensial bersama. Kesenjangan dalam disiplin ini menciptakan titik buta yang pada akhirnya menyebabkan downtime.

Infrastructure as Code Adalah Fondasi, Bukan Solusi

Infrastructure as Code (IaC) berarti Anda menulis konfigurasi infrastruktur dalam file, menyimpannya di repositori, dan menerapkannya melalui otomatisasi. Alat seperti Terraform, Pulumi, atau AWS CDK memungkinkan hal ini. Namun memiliki file IaC di repositori saja tidak cukup. Disiplin datang dari cara Anda mengelola perubahan pada file-file tersebut.

Jika seseorang dapat mendorong perubahan ke branch utama dan menerapkannya ke produksi tanpa review, Anda memiliki masalah yang sama dengan skenario konsol cloud. Alat memberi Anda repeatability, tetapi tidak memberi Anda keamanan. Keamanan datang dari proses.

Template untuk Perubahan Infrastruktur

Setiap perubahan infrastruktur harus mengikuti urutan yang dapat diulang. Urutan ini berfungsi terlepas dari alat IaC mana yang Anda gunakan. Ini melindungi tim Anda dari pola kegagalan yang paling umum.

Diagram alur berikut mengilustrasikan urutan dan titik keputusan yang direkomendasikan:

flowchart TD A[Mulai dengan Perubahan Kode] --> B[Jalankan Plan] B --> C{Review Plan} C -- Disetujui --> D[Uji di Non-Produksi] C -- Ditolak --> A D --> E{Tes Berhasil?} E -- Ya --> F[Terapkan melalui Pipeline] E -- Tidak --> A F --> G[Verifikasi Setelah Terapan] G --> H{Verifikasi OK?} H -- Ya --> I[Perubahan Selesai] H -- Tidak --> J[Jalankan Rencana Rollback] J --> A

Mulai dengan Perubahan Kode

Setiap perubahan infrastruktur harus dimulai sebagai pull request ke repositori infrastruktur Anda. Tidak ada pengecualian. Tidak seorang pun boleh memodifikasi infrastruktur produksi secara langsung melalui konsol cloud, perintah CLI di server, atau skrip manual.

Pull request menunjukkan dengan tepat apa yang berubah: resource baru, konfigurasi jaringan yang dimodifikasi, storage bucket yang dihapus. Anggota tim dapat meninjau diff, mengajukan pertanyaan, dan menemukan masalah sebelum sesuatu dijalankan. Wajibkan setidaknya satu reviewer yang memahami dampak perubahan. Untuk infrastruktur kritis seperti jaringan atau security group, pertimbangkan untuk mewajibkan dua reviewer.

Jalankan Plan Sebelum Menerapkan

Alat IaC dapat menunjukkan apa yang akan berubah tanpa benar-benar melakukan perubahan. Terraform menyebutnya plan. Pulumi menyebutnya preview. Konsepnya sama: alat membandingkan konfigurasi Anda dengan status saat ini dan mendaftar setiap resource yang akan dibuat, dimodifikasi, atau dihancurkan.

Jalankan plan ini sebagai bagian dari proses pull request Anda. Simpan output dan lampirkan ke PR. Reviewer harus memeriksa perubahan yang tidak terduga: Apakah ada resource yang dihapus yang seharusnya tidak? Apakah perubahan diterapkan ke lingkungan yang salah? Jika plan menunjukkan sesuatu yang mengejutkan, berhenti dan selidiki sebelum melanjutkan.

Sebagai contoh, plan Terraform untuk perubahan security group mungkin terlihat seperti ini:

Terraform will perform the following actions:

  # aws_security_group_rule.app_ingress will be updated in-place
  ~ resource "aws_security_group_rule" "app_ingress" {
        id                     = "sgrule-1234567890"
      ~ from_port              = 8080 -> 8443
        protocol               = "tcp"
      ~ to_port                = 8080 -> 8443
        type                   = "ingress"
        # (5 unchanged attributes hidden)
    }

Plan: 0 to add, 1 to change, 0 to destroy.

Output ini menunjukkan dengan tepat aturan mana yang akan berubah dan bagaimana, memungkinkan reviewer menangkap kesalahan sebelum perubahan diterapkan.

Uji di Lingkungan Non-Produksi Terlebih Dahulu

Terapkan perubahan ke lingkungan staging atau development sebelum produksi. Jika Anda tidak memiliki lingkungan staging infrastruktur yang lengkap, buat replika yang lebih kecil yang mencerminkan bagian kritis dari produksi. Beberapa tim menjalankan akun atau proyek infrastruktur terpisah khusus untuk menguji perubahan.

Jika lingkungan staging benar-benar tidak memungkinkan, setidaknya jalankan plan terhadap produksi dalam mode read-only. Ini memberi Anda visibilitas tentang apa yang akan berubah tanpa benar-benar mengubah apa pun.

Terapkan Melalui Pipeline, Bukan Laptop

Perintah apply yang sebenarnya harus berjalan di pipeline CI/CD, bukan di mesin pengembang. Pipeline mencatat siapa yang memicu apply, kapan itu terjadi, dan apa yang berubah. Jejak audit ini sangat penting untuk debugging dan kepatuhan.

Pipeline harus berhenti segera jika apply gagal di tengah jalan. Jangan biarkan terus menerapkan perubahan ke resource lain setelah kegagalan. Perubahan infrastruktur parsial sulit didiagnosis dan bahkan lebih sulit diperbaiki.

Miliki Rencana Rollback

Sebelum Anda menerapkan, ketahui cara mengembalikan perubahan jika terjadi kesalahan. Untuk infrastruktur immutable, ini berarti menghancurkan resource baru dan membuat ulang yang lama dari status sebelumnya. Untuk infrastruktur mutable, ambil snapshot atau backup konfigurasi sebelum membuat perubahan.

Simpan file status infrastruktur Anda di backend yang memiliki versioning. Beberapa tim menyimpan file status baik terakhir yang diketahui sehingga mereka dapat memulihkannya dengan cepat. Rencana rollback harus didokumentasikan dan diuji, bukan diciptakan di tengah insiden.

Verifikasi Setelah Menerapkan

Jangan berasumsi semuanya baik-baik saja hanya karena apply selesai tanpa error. Periksa apakah resource baru berjalan. Uji apakah koneksi jaringan berfungsi. Konfirmasi bahwa aplikasi yang bergantung pada infrastruktur masih sehat.

Otomatiskan verifikasi ini sebanyak mungkin. Skrip sederhana yang memeriksa status resource, melakukan ping ke endpoint, atau menjalankan tes konektivitas dapat menangkap masalah yang tidak dilaporkan oleh perintah apply.

Checklist Praktis untuk Perubahan Infrastruktur

Perubahan dimulai sebagai pull request di repositori infrastruktur
Setidaknya satu reviewer yang memahami dampak telah menyetujui PR
Output plan telah direview dan sesuai dengan ekspektasi
Perubahan telah diterapkan ke lingkungan non-produksi terlebih dahulu
Apply berjalan melalui pipeline, bukan dari mesin lokal
Rencana rollback didokumentasikan dan siap
Pemeriksaan verifikasi lulus setelah apply

Checklist ini bukan birokrasi. Ini adalah perlindungan terhadap jenis downtime yang dimulai dengan satu klik di konsol cloud dan berakhir dengan tim yang kebingungan memahami apa yang terjadi.

Kesimpulan

Perubahan infrastruktur adalah operasi berisiko tinggi dan frekuensi rendah. Kombinasi itu membuatnya berbahaya. Ketika Anda jarang melakukan sesuatu, Anda lebih mungkin membuat kesalahan. Ketika dampaknya luas, kesalahan itu lebih menyakitkan.

Perlakukan perubahan infrastruktur dengan ketelitian yang sama seperti perubahan kode aplikasi. Pull request, review, plan, lingkungan bertahap, eksekusi pipeline, dan verifikasi bukanlah tambahan opsional. Itu adalah proses minimum untuk menjaga infrastruktur Anda tetap stabil. Alat yang Anda gunakan kurang penting daripada disiplin yang Anda terapkan.