12-7 · Глава 12 · 6 мин. чтения

Стратегия развертывания уже определяет, насколько сложным будет восстановление

Большинство команд думают о восстановлении только после сбоя. Но стратегия развертывания напрямую влияет на то, насколько быстрым и безопасным будет откат. Разбираем blue-green, canary и feature flags.

Стратегия развертывания уже определяет, насколько сложным будет восстановление

Большинство команд думают о восстановлении только после того, как что-то сломалось. Они пишут скрипт отката, хранят резервную копию старого артефакта и надеются, что он никогда не понадобится. Но правда в том, что самая сложная часть восстановления — это не сам откат. Это ситуация, в которой вы оказываетесь, когда понимаете, что не можете чисто откатиться из-за того, как вы изначально развернули приложение.

Представьте такой сценарий. Ваша команда выкатывает новую версию в продакшн. Все серверы заменяются одновременно. Старая версия уходит, новая поднимается, каждый пользователь теперь работает на новом коде. И тут начинают срабатывать алерты мониторинга. Что-то пошло не так. Единственный вариант — полный откат. Каждый сервер, каждый пользователь, каждое соединение. Никакой золотой середины. Вы либо полностью на сломанной версии, либо полностью на старой. И пока вы делаете этот откат, каждый пользователь испытывает проблему.

Теперь сравните это с командой, которая использует blue-green развертывание. У них есть два идентичных окружения. Одно работает и обслуживает пользователей. В другом готова новая версия. Когда приходит время релиза, они просто переключают трафик с blue-окружения на green. Если что-то идет не так, они переключают трафик обратно. Старое окружение все еще работает. Откат занимает секунды. Никаких изменений кода, никаких изменений конфигурации, никакого ожидания завершения пайплайна.

Разница не в том, что у них лучший скрипт отката. Разница в выборе стратегии развертывания, которая ограничивает радиус поражения еще до того, как что-то пошло не так.

Blue-Green развертывание делает восстановление почти мгновенным

Blue-green развертывание — это не просто модный паттерн для релизов с нулевым простоем. Это механизм восстановления, замаскированный под стратегию развертывания. Ключевая идея в том, что вы держите старое окружение работающим до тех пор, пока не убедитесь, что новое работает. Если новая версия падает, вам не нужно ничего пересобирать. Вы просто направляете трафик обратно на старое окружение.

Это хорошо работает для stateless-приложений, где окружение — это просто вычислительные ресурсы и конфигурация. Но становится сложнее, когда есть изменения схемы базы данных. Если новая версия запускает миграцию, которая меняет структуру БД, старая версия может не работать с новой схемой. В этом случае простого переключения трафика недостаточно. Нужно также откатить миграцию базы данных, что занимает время и несет свои риски.

Вот минимальная конфигурация Kubernetes Service, которая делает такое переключение возможным. Селектор указывает на активное окружение, и его изменение с blue на green (или обратно) мгновенно перенаправляет весь трафик.

apiVersion: v1
kind: Service
metadata:
  name: my-app
spec:
  selector:
    app: my-app
    environment: blue   # переключите на 'green' для отката
  ports:
    - protocol: TCP
      port: 80
      targetPort: 8080

Когда новая версия падает, вы обновляете селектор на environment: green и применяете изменение. Никакой пересборки, никакого ожидания пайплайна — просто обновление одного поля.

Практический вывод: blue-green развертывание дает быстрый путь отката, но только если вы сохраняете совместимость старого окружения с текущим состоянием базы данных. Если вы не можете этого гарантировать, ваш откат не будет мгновенным. Он просто будет быстрее, чем пересборка с нуля.

Canary-развертывание ограничивает количество пострадавших пользователей

Canary-развертывание использует другой подход. Вместо того чтобы переключать весь трафик сразу, вы направляете небольшой процент пользователей на новую версию. Скажем, пять процентов. Если в этой группе нет проблем, вы постепенно увеличиваете процент, пока все пользователи не перейдут на новую версию.

Преимущество для восстановления здесь очевидно. Если в новой версии есть проблема, затронуты только пять процентов пользователей. Вы можете остановить canary, вернуть этих пользователей на старую версию и исследовать проблему без давления необходимости все исправить немедленно. Радиус поражения мал по дизайну.

Canary-развертывание хорошо работает, когда у вас достаточно трафика для обнаружения проблем в малой группе и когда ваша инфраструктура может выдержать работу двух версий одновременно. Оно также требует хорошей наблюдаемости. Вам нужно сравнивать частоту ошибок, задержки и поведение пользователей между canary-группой и контрольной группой. Без этого вы просто гадаете, безопасно ли раскатывать новую версию дальше.

Плата за это — сложность. Вам нужна логика маршрутизации трафика, мониторинг, который может сравнивать группы, и процесс для принятия решения об увеличении процента canary. Но для команд, которые выкатывают часто и не могут позволить себе полные откаты, эта сложность оправдана.

Feature Flags позволяют восстанавливаться без развертывания

Feature flags работают иначе, чем другие стратегии. Вместо развертывания новой версии для контроля того, кто ее видит, вы развертываете новый код для всех, но прячете его за переключателем. Код уже в продакшне. Он просто еще не активен для пользователей. Вы включаете переключатель для малой группы, мониторите результаты, а затем постепенно расширяете аудиторию.

Если что-то идет не так, вы выключаете переключатель. Никакого отката, никакого hotfix, никакого ожидания пайплайна. Восстановление происходит за секунды одним изменением конфигурации. Это самый хирургический подход к ограничению радиуса поражения. Вы можете включить функцию сначала для внутренних пользователей, затем для бета-тестеров, затем для процента продакшн-трафика и, наконец, для всех. В любой момент вы можете мгновенно отключить функцию.

Feature flags — мощный инструмент, но у них есть свои издержки. Вам нужна система управления флагами, процесс очистки старых флагов и дисциплина, чтобы избежать разрастания флагов. Каждый флаг в коде добавляет условную логику, что усложняет тестирование. Если вы никогда не удаляете флаги после стабилизации функции, ваша кодовая база превращается в лабиринт мертвых веток.

Реальная ценность feature flags не в том, чтобы доставлять быстрее. А в том, чтобы иметь механизм восстановления, который вообще не требует развертывания. Это меняет профиль риска каждого релиза.

Ваша стратегия развертывания — это ваш план восстановления

Вот ключевая идея, которая связывает все это воедино. Вы не можете отделить стратегию развертывания от плана восстановления. Решения, которые вы принимаете о том, как выкатывать новую версию, определяют, какие варианты восстановления у вас есть, когда что-то идет не так.

Диаграмма ниже показывает, как каждая стратегия обрабатывает сбой — от обнаружения до восстановления.

flowchart TD A[Развернуть новую версию] --> B{Стратегия развертывания?} B -->|Blue-Green| C[Переключить трафик на новое окружение] C --> D{Новая версия падает?} D -->|Да| E[Переключить трафик обратно на старое окружение] D -->|Нет| F[Оставить новое окружение активным] B -->|Canary| G[Направить 5% трафика на новую версию] G --> H{Ошибки в canary?} H -->|Да| I[Остановить canary, вернуть пользователей] H -->|Нет| J[Постепенно увеличивать трафик] B -->|Feature Flags| K[Развернуть код, скрытый за флагом] K --> L[Включить флаг для малой группы] L --> M{Проблема обнаружена?} M -->|Да| N[Мгновенно отключить флаг] M -->|Нет| O[Расширить аудиторию флага]

Если вы развертываете, заменяя все серверы сразу, ваш единственный вариант восстановления — полный откат. Если вы используете blue-green, у вас есть мгновенное переключение обратно. Если вы используете canary, вы ограничиваете количество затронутых пользователей. Если вы используете feature flags, вы можете отключить проблемную функцию, не касаясь пайплайна развертывания.

У каждой стратегии есть компромиссы. Blue-green требует двойной инфраструктуры. Canary требует хорошего мониторинга и маршрутизации трафика. Feature flags требуют системы управления флагами и дисциплины очистки. Но все они лучше, чем отсутствие стратегии и надежда на то, что скрипт отката сработает, когда он понадобится.

Команды, которые восстанавливаются быстрее всего, — это не те, у кого лучшие скрипты отката. Это те, кто спроектировал свой процесс развертывания так, чтобы восстановление было легким с самого начала.

Краткий чек-лист для вашего следующего развертывания

Можете ли вы откатиться без изменения кода или конфигурации?
Сколько пользователей будет затронуто, если новая версия упадет?
Можете ли вы протестировать новую версию в продакшне, не показывая ее всем пользователям?
Есть ли у вас способ отключить конкретную функцию без повторного развертывания?
Работает ли ваше старое окружение и совместимо ли оно с текущей базой данных?

Если вы ответили «нет» на большинство этих вопросов, ваше следующее восстановление будет сложнее, чем должно быть.

Что это значит для вашей команды

В следующий раз, когда вы будете планировать развертывание, думайте не только о том, как поднять новую версию. Думайте о том, как вы будете ее отключать, если что-то пойдет не так. Выберите стратегию, которая дает вам варианты. Ваше будущее «я», стоящее перед дашбордом, полным красных алертов, скажет вам спасибо.