12-1 · Глава 12 · 5 мин. чтения

Почему вам нужен план восстановления до следующего развертывания

Узнайте, почему план восстановления критически важен перед деплоем. Как избежать хаоса при сбоях, выбрать между откатом и roll-forward, и подготовить команду к инцидентам.

Почему вам нужен план восстановления до следующего развертывания

Вы только что выкатили новую версию приложения в продакшн. Через несколько минут пользователи начинают жаловаться, что не могут войти в систему. Частота ошибок резко растет. Время отклика базы данных утраивается. Чат команды взрывается сообщениями. Кто-то спрашивает: «Нам делать откат?». Другой говорит: «Дайте я попробую поправить прямо на сервере». Третий молчит, потому что уже выполняет команды, которые никогда раньше не тестировал.

Эта ситуация знакома командам любого размера. Общая проблема — не сама ошибка, а отсутствие плана. Когда во время деплоя что-то идет не так, у команды нет времени думать. Приходится действовать под давлением, с неполной информацией, пока пользователи ждут, а менеджеры требуют отчетов. В такой момент разница между быстрым восстановлением и затяжным сбоем часто сводится к одному: решила ли команда, что делать, еще до начала развертывания.

Проблема принятия решений во время инцидента

Когда деплой идет не по плану, естественная реакция — разбираться на месте. Кто-то предлагает откатиться к предыдущей версии. Кто-то хочет исправить проблему прямо на продакшн-сервере. Третий утверждает, что нужно подождать и посмотреть, стабилизируется ли ситуация. Эти обсуждения сжигают драгоценные минуты. Каждая минута споров означает больше затронутых пользователей, больше ошибок в логах и больше давления на команду.

Более серьезный риск — необдуманные действия, которые только ухудшают положение. Ручное редактирование файлов на продакшн-сервере, восстановление частичного бекапа или выполнение команд базы данных без тестирования могут привести к новым проблемам. То, что начиналось как сломанная страница входа, может обернуться несогласованностью данных, повреждением базы данных или полным отказом сервиса.

Команды, у которых нет плана восстановления, по сути, играют в рулетку. Они надеются, что деплой пройдет хорошо, а если нет — что кто-то в комнате знает, что делать. Это не стратегия. Это надежда на удачу.

Что такое план восстановления на самом деле

План восстановления — это не толстый документ, который лежит в общей папке и читается раз в год. Это набор решений, принятых до деплоя, записанных в такой форме, чтобы команда могла выполнить их под давлением. План отвечает на конкретные вопросы:

При каких условиях мы останавливаем деплой и запускаем восстановление?
Кто имеет право принимать это решение?
Мы делаем откат к предыдущей версии или идем вперед с исправлением?
Каковы точные шаги для выполнения выбранного действия по восстановлению?
Как мы проверяем, что восстановление сработало?

Для небольшой команды план может быть чек-листом из пяти шагов. Для крупной команды с множеством сервисов и зависимостей он может включать точки координации, каналы связи и пути эскалации. Сложность масштабируется вместе с системой, но принцип остается тем же: решайте до того, как деплоить.

Почему подготовка имеет значение

Есть четыре причины, по которым план восстановления должен существовать до деплоя, а не после появления проблемы.

Во-первых, во время инцидента время не на вашей стороне. Каждая минута простоя чего-то стоит: потерянная выручка, разочарованные пользователи, подмоченная репутация. Если команде приходится останавливаться и думать, что делать, время восстановления увеличивается. Заранее определенный план убирает этап размышлений. Команда выполняет известные действия вместо того, чтобы изобретать новые.

Во-вторых, без плана у разных людей будут разные мнения о том, что делать. Один инженер захочет немедленно откатиться. Другой — сначала провести расследование. Третий — применить горячий фикс. Эти разногласия создают задержки и путаницу. План восстановления решает эти вопросы заранее. Все знают, какое действие по умолчанию и кто решает, если нужно от него отклониться.

В-третьих, некоторые действия по восстановлению требуют подготовки, которую невозможно выполнить на месте. Восстановление базы данных до предыдущего состояния требует бекапов, сделанных в правильном формате и с соответствующей политикой хранения. Откат мобильного приложения требует, чтобы предыдущая версия была подписана и готова к распространению. Эти приготовления должны быть сделаны до деплоя, а не после сбоя.

В-четвертых, план, который никогда не тестировался, — это просто теория. Команды должны моделировать сценарии сбоев и проходить шаги восстановления в безопасной среде. Это выявляет пробелы в плане, отсутствующие разрешения, устаревшие скрипты или предположения, которые не работают на практике. Тестирование превращает план из документа в реальную возможность.

Восстановление — это не признак пессимизма

Некоторые команды сопротивляются созданию планов восстановления, потому что считают, что это сигнализирует о неуверенности в процессе деплоя. Это неправильный подход. План восстановления — не признание того, что вы ожидаете неудачи. Это признание того, что сложные системы имеют непредсказуемое поведение, и быть готовым — ответственный подход.

Зрелые команды не просто сосредотачиваются на успешных деплоях. Они также готовятся к возможности того, что деплой пойдет не по плану. Они относятся к восстановлению как к нормальной части процесса доставки, а не как к аварийной процедуре, которая активируется только когда все плохо.

Два основных подхода: откат и roll-forward

Как только вы признаете, что план восстановления необходим, следующий вопрос — какой тип восстановления использовать. Два самых распространенных подхода — откат (rollback) и roll-forward.

Откат означает возврат системы к предыдущему известному рабочему состоянию. Вы отменяете деплой и возвращаетесь к версии, которая работала раньше. Это самый простой подход, когда проблема очевидна, а предыдущая версия стабильна.

Roll-forward означает развертывание новой версии, которая исправляет проблему, вместо возврата к старой версии. Этот подход полезен, когда у предыдущей версии есть свои проблемы, когда откат приведет к потере данных или когда исправление достаточно мало, чтобы развернуть его быстро.

У каждого подхода есть компромиссы. Откат проще, но может быть невозможен для некоторых типов изменений. Roll-forward позволяет системе двигаться вперед, но требует разработки и тестирования исправления под давлением. Правильный выбор зависит от ситуации, и именно поэтому решение должно быть обсуждено и задокументировано до деплоя.

Следующая блок-схема обобщает процесс принятия решений и шаги для каждого пути восстановления:

flowchart TD A[Деплой не удался] --> B{Откат безопасен?} B -->|Да| C[Откат] B -->|Нет| D[Roll-forward] C --> E[Откатить код] E --> F[Откатить БД] F --> G[Проверить систему] D --> H[Написать фикс] H --> I[Развернуть фикс] I --> J[Проверить систему]

Практический чек-лист для вашего следующего деплоя

Перед деплоем пройдитесь по этому чек-листу с командой:

Мы согласовали условия, при которых запускается восстановление?
Мы знаем, кто решает, делать откат или roll-forward?
Точные шаги восстановления задокументированы и доступны?
Мы тестировали шаги восстановления в стейджинг-среде?
У нас готовы необходимые бекапы, артефакты и разрешения?
Все в команде знают, где найти план?

Если вы не можете ответить «да» на все эти вопросы, ваш деплой не готов.

Вывод

Деплой без плана восстановления — это не деплой. Это надежда. Разница между командой, которая восстанавливается за минуты, и командой, которая проводит часы в хаосе, — не в технических навыках. Это подготовка. Решите, что вы будете делать, до того, как что-то пойдет не так, запишите это, протестируйте и убедитесь, что все знают план. Вот как превратить восстановление из паники в процедуру.