24-7 · Глава 24 · 5 мин. чтения

Выбор правильной стратегии восстановления базы данных для вашей команды

Руководство по выбору стратегии восстановления БД: roll-forward, down-миграции или резервное копирование. Учитывает размер команды, частоту деплоя и допустимое время простоя.

Выбор правильной стратегии восстановления базы данных для вашей команды

Вы только что выполнили миграцию базы данных в production. Пять минут спустя панель мониторинга показывает всплеск неудачных запросов. Ваша команда оказалась в знакомой ситуации: нужно быстро исправить проблему. Но способ исправления зависит не только от технических возможностей. Он зависит от того, кто вы, как часто вы деплоите и какое приложение поддерживаете.

Универсального ответа для восстановления базы данных не существует. Стратегия, которая работает для маленькой команды, выкатывающей релиз раз в неделю, провалится для команды, деплоящей десять раз в день. Фокус не в том, чтобы найти идеальную стратегию. Фокус в том, чтобы найти такую, которую вы сможете последовательно выполнять под давлением.

Размер команды и частота деплоя имеют значение

Команда из трех человек, деплоящая раз в неделю, сталкивается с совершенно другой проблемой восстановления, чем команда из двадцати человек, деплоящая несколько раз в день.

Когда вы деплоите редко, вы точно знаете, что изменилось. За последнюю неделю было всего несколько миграций, и все в команде их помнят. Если что-то пошло не так, вы можете рассмотреть запуск down-миграции для отката изменений схемы. Риск пересечься с работой другого члена команды низок, потому что никто больше не деплоил одновременно.

Теперь представьте команду, которая деплоит каждые несколько часов. К тому времени, как вы заметите проблему со своей миграцией, три других разработчика уже могли запустить новые миграции поверх вашей. Запуск down-миграции в такой среде опасен. Вы можете откатить свои изменения, но также можете уничтожить чужую миграцию, которая была совершенно корректна. Риск коллизий высок, а последствия плачевны.

Для команд с высокой частотой деплоя down-миграции становятся обузой. Они работают в теории, но на практике создают хаос. Таким командам нужна стратегия восстановления, которая не предполагает, что они единственные, кто вносит изменения.

Допустимое время простоя определяет ваши возможности

Не все приложения могут позволить себе простой, пока вы исправляете проблему с базой данных. Ваша толерантность к простою напрямую определяет, какие стратегии восстановления вам доступны.

Если у вас внутреннее приложение, используемое пятьюдесятью людьми в рабочее время, вы, возможно, сможете остановить систему на пять минут. Это дает вам возможность восстановиться из резервной копии или выполнить down-миграцию, которая требует времени. Пользователи будут раздражены, но влияние на бизнес ограничено.

Теперь рассмотрим публичное приложение, обрабатывающее тысячи запросов в секунду. Каждая минута простоя стоит дохода и подрывает доверие пользователей. Восстановление из резервной копии может занять двадцать минут или больше. Это неприемлемо. В таком сценарии roll-forward практически обязателен. Вы пишете новую миграцию, которая исправляет проблему, деплоите ее и двигаетесь дальше. Исправление занимает секунды, а не минуты.

Та же логика применима к компенсирующим скриптам. Если вы знаете, что работаете над высокорискованным изменением, подготовьте компенсирующий скрипт до деплоя исходной миграции. Не ждите, пока что-то сломается. Когда давление велико, ваша способность писать корректный SQL в условиях дедлайна значительно падает. Заранее написанный скрипт снимает эту когнитивную нагрузку.

Тип изменений определяет уровень риска

Не все изменения базы данных несут одинаковый риск. Добавление nullable-столбца или создание новой таблицы — это низкий риск. Такие изменения легко откатить вперед (roll-forward), потому что они не ломают существующие запросы. Вы можете добавить столбец, задеплоить код приложения, который его использует, и все работает.

Но удаление столбца, изменение типа данных или перенос данных между таблицами — это высокий риск. Такие изменения могут сломать запросы, которые все еще выполняются в production. Они могут заблокировать таблицы на минуты или часы. Они могут повредить данные, если в логике миграции есть ошибка.

Для высокорискованных изменений никогда не полагайтесь на реактивное восстановление. Вам нужно спланировать путь восстановления до запуска миграции. Это означает написание компенсирующего скрипта заранее. Это означает тестирование пути roll-forward в staging-окружении. Это означает точное знание того, что вы будете делать, если миграция займет больше времени, чем ожидалось, или если она выполнится успешно, но приведет к неверным данным.

Стратегия по умолчанию: сначала roll-forward

После работы со многими командами вырисовывается четкая закономерность. Зрелые команды по умолчанию используют roll-forward. Down-миграции оставляют для staging-окружений или очень ранних стадий разработки. Резервные копии рассматриваются как страховочная сетка для катастрофических сбоев, а не как ежедневный механизм отката. Компенсирующие скрипты используются, когда нужно исправить данные без изменения схемы.

Причина, по которой этот паттерн работает, — последовательность. Когда вы всегда используете roll-forward, у вас вырабатываются привычки, облегчающие восстановление. Вы пишете более мелкие и частые миграции. Вы каждый раз тестируете путь roll-forward. Вы привыкаете к мысли, что исправление проблемы означает деплой другого изменения, а не отмену предыдущего.

Команды, которые смешивают стратегии, часто испытывают трудности. На одной неделе они используют down-миграцию, на следующей — восстановление из резервной копии, а на третьей — пишут компенсирующий скрипт на лету. Каждый инцидент требует нового решения под давлением. Именно тогда происходят ошибки.

Практический чек-лист для выбора стратегии восстановления

Как часто ваша команда деплоит? Если чаще одного раза в день, избегайте down-миграций в production.

Приведенный выше чек-лист — хорошее начало, но визуальное дерево решений может сделать выбор еще более понятным в условиях стресса. Вот простая блок-схема, которая поможет вашей команде выбрать стратегию восстановления:

flowchart TD A[Начало] --> B{Размер команды?} B -->|Маленькая| C{Частота деплоя?} B -->|Большая| D{Частота деплоя?} C -->|Низкая| E{Допустимое время простоя?} C -->|Высокая| F{Допустимое время простоя?} D -->|Низкая| G{Допустимое время простоя?} D -->|Высокая| H{Допустимое время простоя?} E -->|Высокое| I[Down-миграция] E -->|Низкое| J[Roll-forward] F -->|Высокое| K[Восстановление из бэкапа] F -->|Низкое| L[Roll-forward] G -->|Высокое| M[Down-миграция] G -->|Низкое| N[Roll-forward] H -->|Высокое| O[Восстановление из бэкапа] H -->|Низкое| P[Roll-forward]

Может ли ваше приложение допустить пять минут простоя? Если нет, roll-forward должен быть вашим выбором по умолчанию.
Ваша миграция добавляет столбец или удаляет его? Высокорискованные изменения требуют заранее написанного компенсирующего скрипта.
У вас есть staging-окружение, зеркалирующее production? Протестируйте путь восстановления там сначала.
Ваша команда согласовала стратегию по умолчанию? Последовательность важнее совершенства.

Вывод

Стратегия восстановления базы данных — это не техническое решение. Это командное решение, определяемое тем, как вы работаете, как часто вы выкатываете изменения и что могут выдержать ваши пользователи. Лучшая стратегия — та, которую ваша команда может выполнить без колебаний, когда что-то идет не так. Выберите одну, практикуйтесь в ней и сделайте ее своей стратегией по умолчанию. Эта последовательность сэкономит вам больше времени, чем любой инструмент или скрипт.