19-6 · Глава 19 · 5 мин. чтения

Почему развертывание базы данных требует собственной стратегии

CI/CD для приложений работает отлично, но добавление миграций БД в тот же пайплайн ломает всё. Разбираем, почему развертывание базы данных требует отдельной стратегии, пайплайна и процесса ревью.

Почему развертывание базы данных требует собственной стратегии

У вас есть CI/CD-пайплайн, который отлично работает для вашего приложения. Изменения кода собираются, тестируются и попадают в продакшн за считанные минуты. Команда выкатывает релизы несколько раз в день без лишнего напряжения. А потом кто-то добавляет в этот же пайплайн миграцию базы данных — и всё рушится.

Миграция выполняется сорок пять минут на большой таблице. Всё это время таблица заблокирована. Пользователи видят ошибки. Приложение не может обрабатывать запросы. На середине процесса миграция падает, но чисто откатиться уже нельзя — часть строк уже изменена. Пайплайн, который раньше занимал пять минут, теперь выполняется час, и никто не рискует запускать его в рабочее время.

Это не проблема инструментов. Это проблема стратегии. Развертывание базы данных работает в принципиально иных ограничениях, чем развертывание приложения, и попытка обращаться с ними одинаково создает риски, которые не исправить никакой автоматизацией.

Паттерн развертывания приложений, который не переносится

Развертывание приложения следует простому и повторяемому паттерну: собрать новую версию, развернуть на серверах, и если что-то пошло не так — откатиться на предыдущую версию. Этот цикл можно повторять много раз за день с минимальными последствиями. Старая версия всё еще на месте. Файлы всё еще валидны. Откат — это просто вопрос перенаправления балансировщика на предыдущий релиз.

Развертывание базы данных работает иначе. Когда вы запускаете миграцию, вы меняете структуры данных, которые уже содержат продакшн-данные. Откат — это не просто переключение. Вы не можете просто «удалить» добавленную колонку или восстановить удаленную таблицу без тщательного восстановления предыдущего состояния. Данные, которые были преобразованы во время миграции, автоматически не возвращаются.

Следующая диаграмма сравнивает два цикла:

flowchart TD subgraph App[Развертывание приложения] A1[Сборка] --> A2[Развертывание] A2 --> A3{Успех?} A3 -->|Да| A4[Готово] A3 -->|Нет| A5[Откат: перенаправить балансировщик] A5 --> A2 end subgraph DB[Развертывание БД] B1[Миграция] --> B2[Блокировка таблицы] B2 --> B3[Преобразование данных] B3 --> B4{Успех?} B4 -->|Да| B5[Готово] B4 -->|Нет| B6[Откат: восстановление данных] B6 --> B1 end

Фактор времени только усугубляет ситуацию. Развертывание приложений обычно занимает секунды или минуты. Миграции базы данных на больших таблицах могут длиться десятки минут или часы. В это время таблицы могут быть заблокированы, запросы — заблокированы, а приложение может стать частично или полностью недоступным. Пайплайн, который рассматривает изменения в БД как очередной шаг в workflow приложения, игнорирует эти реалии.

Почему разделение пайплайнов имеет смысл

Самый практичный ответ на это несоответствие — разделить пайплайн приложения и пайплайн базы данных. Они работают по разным расписаниям, с разными процессами ревью и разными профилями рисков.

Пайплайн приложения остается быстрым. Он продолжает доставлять фичи, исправления багов и изменения конфигурации несколько раз в день. Пайплайн базы данных работает в более медленном темпе, с более тщательным ревью и явным планированием. Миграции БД могут выполняться за несколько циклов до развертывания приложения, которое от них зависит. Это создает буфер: если с миграцией возникли проблемы, у вас есть время их исправить, не блокируя релиз приложения.

Такое разделение также меняет круг участников. Развертывание приложений обычно находится в зоне ответственности команды разработки или платформенной команды. Развертывание базы данных часто требует участия DBA или члена команды, который понимает схему, объем данных и поведение блокировок при миграции. Отдельный пайплайн делает очевидным, кто должен ревьюить, утверждать и мониторить каждый тип изменений.

Обратно совместимые изменения схемы снижают риски

Еще одна стратегия, которая меняет подход к развертыванию БД — это обеспечение обратной совместимости изменений схемы. Идея проста: старая и новая схемы должны какое-то время сосуществовать. Это позволяет развертывать приложение и изменения в БД отдельными шагами, без необходимости синхронизированного переключения.

Рассмотрим переименование колонки. Наивный подход — переименовать колонку в одной миграции и одновременно обновить код приложения. Если что-то пойдет не так, приложение сломается, потому что ссылается на имя колонки, которого больше не существует.

Обратно совместимый подход выглядит иначе. Сначала добавьте новую колонку, сохранив старую. Обновите приложение, чтобы оно писало в обе колонки. Разверните это изменение. Когда вы убедитесь, что всё работает, обновите приложение, чтобы оно читало из новой колонки вместо старой. Разверните снова. Наконец, после того как все потребители перешли на новую схему, удалите старую колонку отдельной миграцией.

Этот процесс занимает больше времени. Он требует нескольких развертываний и большей координации. Но он значительно безопаснее. Если на любом этапе что-то пошло не так, вы можете откатить приложение, не оставляя базу данных в несогласованном состоянии. Изменения в БД никогда не становятся блокирующим фактором.

Управление — это не бюрократия, это защита

Изменения в базе данных требуют процесса ревью, который выходит за рамки проверки синтаксиса. Pull request для миграции должен включать ответы на такие вопросы: заблокирует ли эта миграция таблицу? Как долго ожидается блокировка? Каково примерное время выполнения на продакшн-объеме данных? Есть ли другие сервисы или потребители, которые читают из этой таблицы и могут быть затронуты?

Это не про добавление бюрократии. Это про признание того, что изменения в БД несут последствия, которых нет у изменений кода приложения. Баг в коде приложения можно исправить новым развертыванием. Баг в миграции может повредить данные, вызвать простой или потребовать восстановления из бекапа. Процесс ревью существует, чтобы выявить эти риски до того, как они попадут в продакшн.

Тот же принцип применим к тому, кто может запускать миграции. Не у всех должна быть возможность выполнять изменения схемы в продакшне. Это не вопрос доверия. Это вопрос ответственности и того факта, что изменения в БД требуют специфических знаний об объеме данных, индексах, блокировках и репликационном лаге. Отдельный пайплайн с контролируемым доступом и явными шлюзами утверждения — это практическая защита, а не бюрократическое препятствие.

Что это значит для вашей команды

Если ваша команда рассматривает миграции БД как очередной шаг в пайплайне приложения, вы несете ненужный риск. Решение не в том, чтобы замедлить развертывание приложений. Решение в том, чтобы дать развертыванию базы данных собственную стратегию, собственный пайплайн и собственный процесс ревью.

Начните с разделения. Запускайте пайплайны приложения и базы данных независимо. Делайте изменения схемы обратно совместимыми, когда это возможно. Постройте процесс ревью, который задает правильные вопросы о блокировках, времени выполнения и влиянии на потребителей. И примите тот факт, что развертывание БД никогда не будет таким быстрым и простым, как развертывание приложения. Это не ограничение. Это признание того, что поставлено на карту.

Практический чек-лист для стратегии развертывания БД

Пайплайны приложения и базы данных разделены, с разными расписаниями и процессами ревью
Изменения схемы по возможности проектируются обратно совместимыми
Каждая миграция включает оценку времени выполнения и анализ блокировок
Изменения в БД проходят ревью pull request с явными проверками блокировок таблиц и влияния на потребителей
Миграции тестируются на staging-окружении с объемом данных, близким к продакшну
План отката документируется перед запуском любой миграции в продакшне

Итог

Развертывание базы данных — это не техническая проблема, которую можно решить, добавив инструмент миграции в существующий пайплайн. Это стратегическая проблема, требующая разработки отдельного процесса с другими временными рамками, другими критериями ревью и другой толерантностью к риску. Команды, которые подходят к этому именно так, в долгосрочной перспективе доставляют изменения быстрее, потому что перестают упираться в изменения БД, которые изначально не были рассчитаны на встраивание в пайплайн приложения.