20-1 · Глава 20 · 5 мин. чтения

Почему изменения схемы базы данных требуют той же дисциплины, что и код

Ручные изменения схемы БД — частая причина инцидентов. Узнайте, почему управление миграциями как кодом делает развёртывание предсказуемым и безопасным.

Почему изменения схемы базы данных требуют той же дисциплины, что и код

Представьте: ваша команда только что развернула новую функцию. Код приложения работает отлично. Но через пять минут начинают сыпаться ошибки. Столбца, который ожидает новый код, ещё не существует. Или хуже: столбец, который удалили, всё ещё запрашивает старый сервис, который не обновили. База данных оказывается в несогласованном состоянии, и никто не может точно сказать, что произошло или как быстро это исправить.

Такой сценарий встречается чаще, чем большинство команд готовы признать. Корень проблемы почти всегда один и тот же: схему базы данных изменили вручную, без воспроизводимого процесса и без согласования с кодом приложения, который от неё зависит.

Фундаментальное различие между кодом и схемой

Код приложения не хранит состояние. Когда вы развёртываете новую версию, старые файлы заменяются. Если что-то пошло не так, вы можете откатиться на предыдущую версию, и сервер вернётся к известному состоянию. Никаких остаточных данных, никаких скрытых зависимостей.

Базы данных — полная противоположность. Они по своей природе хранят состояние. Каждая таблица, столбец, индекс и ограничение содержат данные, накопленные за время работы. Когда вы меняете схему, вы не просто заменяете файл. Вы изменяете структуру, в которой уже хранятся данные. Новому столбцу может потребоваться значение по умолчанию для существующих строк. Удалённый столбец может удалить данные, от которых всё ещё зависит другая часть системы. Новый индекс может строиться минуты или часы на большой таблице.

Эта природа хранения состояния делает изменения схемы inherently более рискованными, чем изменения кода. Неудачное развёртывание можно откатить за секунды. Неудачная миграция может повредить данные, сломать запросы или полностью обрушить систему. А поскольку база данных общая для нескольких сервисов и окружений, радиус поражения гораздо больше.

Старый подход: вручную, хрупко, невоспроизводимо

Долгое время изменения базы данных рассматривались как отдельный ручной процесс. DBA или старший разработчик заходил на сервер продакшена, выполнял несколько SQL-команд и ждал. Если миграция проходила успешно — отлично. Если нет — пытались исправить на месте, часто без чёткой записи того, что было сделано.

У такого подхода несколько проблем:

Он невоспроизводим. Точные шаги зависят от того, кто их выполняет, что он помнит и что замечает во время выполнения. Одна и та же миграция может быть выполнена по-разному двумя разными людьми.
Он не подлежит аудиту. Нет истории того, что изменилось, когда и кем. Если что-то ломается через несколько дней, отследить причину практически невозможно.
Он хрупок. Один забытый шаг или неправильный порядок выполнения могут оставить базу данных в несогласованном состоянии. Восстановление превращается в ручную операцию под высоким давлением.
Он блокирует совместную работу. Только несколько человек имеют доступ и знания для выполнения миграций. Остальная команда не может просматривать, тестировать или вносить вклад в изменения схемы.

По мере роста команды и усложнения системы этот ручной подход становится узким местом и источником риска. Каждое развёртывание, включающее изменение схемы, превращается в событие с высоким уровнем тревоги.

Относитесь к изменениям схемы как к коду

Решение простое: управляйте изменениями схемы базы данных с той же дисциплиной, что и кодом приложения. Эта практика называется миграцией схемы (schema migration) и основана на нескольких простых принципах.

Записывайте каждое изменение как скрипт миграции. Скрипт миграции — это файл, содержащий SQL-команды, необходимые для изменения схемы базы данных. Он может добавить столбец, создать таблицу, добавить индекс или изменить ограничение. Каждый скрипт представляет одно логическое изменение.

Например, вместо того чтобы заходить в продакшен и выполнять:

ALTER TABLE users ADD COLUMN phone VARCHAR(20);

Вы создаёте файл миграции:

-- V001__add_phone.sql
-- Прямая миграция
ALTER TABLE users ADD COLUMN phone VARCHAR(20);

И соответствующий файл отката:

-- V001__add_phone_rollback.sql
-- Откат миграции
ALTER TABLE users DROP COLUMN phone;

Эти файлы хранятся в вашем репозитории, проходят ревью в пул-реквестах и выполняются автоматически вашим пайплайном развёртывания. Никаких ручных шагов, забытых команд или загадок.

Храните скрипты миграции в том же репозитории, что и код приложения. Это гарантирует, что изменения схемы версионируются вместе с кодом, который от них зависит. Когда вы переключаетесь на определённую версию кода, у вас также есть точные скрипты миграции, которые использовались для создания схемы для этой версии.

Никогда не редактируйте существующий скрипт миграции. Если нужно внести изменение, создайте новый скрипт. Это сохраняет историю нетронутой и гарантирует, что порядок выполнения остаётся ясным. Инструменты миграции обычно используют номер версии или временную метку, чтобы определить, какие скрипты уже выполнены, а какие ожидают выполнения.

Запускайте миграции как часть пайплайна развёртывания. Как и запуск тестов или сборка артефактов, применение изменений схемы должно быть автоматизированным шагом в вашем CI/CD-пайплайне. Это устраняет зависимость от ручного выполнения и гарантирует, что каждое окружение получает одни и те же изменения в одном и том же порядке.

Просматривайте скрипты миграции как код. Прежде чем скрипт миграции будет слит, он должен пройти ревью кода. Члены команды могут проверить потенциальные проблемы: отсутствие значений по умолчанию, длительные операции или изменения, которые могут сломать существующие запросы. Это позволяет выявить проблемы до того, как они попадут в продакшен.

Почему это важно на практике

Когда изменения схемы управляются как код, процесс развёртывания становится предсказуемым. Команда точно знает, что произойдёт при выполнении миграции. Они могут сначала протестировать её в стейджинге. Они могут откатить изменения, если что-то пошло не так, потому что у каждого скрипта миграции есть соответствующий скрипт отката. Они могут отследить любое изменение схемы до коммита, который его ввёл.

Что более важно, этот подход снижает страх перед развёртыванием. Изменения схемы перестают быть отдельной высокорискованной активностью. Они становятся нормальной частью рабочего процесса разработки, проходят ревью и тестирование, как и любые другие изменения кода. База данных больше не является чёрным ящиком, к которому могут прикасаться только избранные.

Практический чек-лист для миграций схемы

Прежде чем слить скрипт миграции, пройдитесь по этому быстрому чек-листу:

Есть ли у миграции соответствующий скрипт отката?
Можно ли выполнить миграцию несколько раз без ошибок (идемпотентность)?
Не заблокирует ли миграция таблицы на долгое время? Если да, рассмотрите пакетную обработку или инструменты для онлайн-изменения схемы.
Есть ли существующие запросы или код, которые могут сломаться после этого изменения?
Тестировали ли вы миграцию на копии продакшен-данных?
Просмотрел ли скрипт миграции хотя бы один другой член команды?

Вывод

Схема вашей базы данных — не статический артефакт. Она развивается вместе с вашим приложением. Относиться к изменениям схемы как к ручным разовым операциям — верный путь к инцидентам на продакшене и трениям в команде. Управляя миграциями схемы с той же дисциплиной, что и кодом, вы делаете изменения базы данных воспроизводимыми, поддающимися аудиту и безопасными. База данных перестаёт быть источником страха и становится просто ещё одной частью системы, которую ваша команда может уверенно изменять.