4-5 · Глава 4 · 4 мин. чтения

Почему вашему пайплайну нужна правильная стратегия хранения артефактов

Узнайте, почему хранение артефактов с уникальными версиями и метаданными критически важно для надежных и воспроизводимых развертываний в CI/CD.

Почему вашему пайплайну нужна правильная стратегия хранения артефактов

Вы только что закончили сборку приложения. Все тесты пройдены. Сканирование безопасности не нашло ничего. В логе сборки — зеленая галочка. Теперь пора разворачивать. Но когда вы открываете дашборд деплоя, вы понимаете, что понятия не имеете, какой артефакт использовать. Сервер сборки уже очистил свою рабочую область. Разработчик, который запускал сборку, в отпуске. Единственное, что осталось, — смутное воспоминание, что «сборка прошла успешно».

Этот сценарий встречается чаще, чем большинство команд готовы признать. Сборка работает, но артефакт исчезает. Или, что еще хуже, пайплайн развертывания пересобирает артефакт с нуля в продакшене, используя другую версию зависимости, и получает то, что никогда не тестировалось.

Проблема не в сборке. Проблема в том, что артефакт рассматривался как временный файл, а не как проверенный результат, который нужно хранить, маркировать и отслеживать.

Что на самом деле означают упаковка и публикация

Когда ваш пайплайн завершает тестирование и сканирование, он входит в фазу, которую многие команды проходят наспех: упаковка и публикация. Эти два шага превращают успешную сборку в многократно используемый актив.

Упаковка — это процесс преобразования проверенного кода в формат, который может работать в вашей целевой среде. Формат зависит от того, что вы собираете:

Для приложений на контейнерах упаковка означает создание образа контейнера.
Для Java-приложений — создание JAR или WAR файла.
Для JavaScript или Python библиотек — создание пакета, который может установить npm или pip.
Для инфраструктуры — генерация проверенного модуля Terraform или шаблона CloudFormation.

Публикация — это отправка упакованного артефакта в реестр или репозиторий, где он будет доступен для последующего использования пайплайнами развертывания. Реестр — это не просто корзина для хранения. Это структурированная система, которая поддерживает ваши артефакты организованными, версионированными и обнаруживаемыми.

Вот минимальный YAML-фрагмент, показывающий, как CI-пайплайн упаковывает образ контейнера и публикует его с уникальным тегом версии:

- name: Build and tag Docker image
  run: |
    docker build -t myregistry.com/myapp:1.0.0-b20240315-a1b2c3d .

- name: Push image to registry
  run: |
    docker push myregistry.com/myapp:1.0.0-b20240315-a1b2c3d

Образы контейнеров отправляются в реестры контейнеров, такие как Docker Hub, Amazon ECR или Harbor. Пакеты приложений — в репозитории артефактов, такие как Nexus, Artifactory или GitHub Packages. Модули инфраструктуры — в реестры модулей или Git-репозитории с правильной маркировкой тегами.

Единственное, что решает успех этого этапа

Версионирование — это не опция. Каждый публикуемый артефакт должен иметь уникальную, отслеживаемую версию. Это не про следование семантическому версионированию, потому что это выглядит профессионально. Это про возможность ответить на один вопрос: «Что именно сейчас работает в продакшене?»

Если ваш артефакт помечен как latest или stable, вы не можете ответить на этот вопрос. Эти метки меняются со временем. Они ничего не говорят об изменениях в коде. Когда в продакшене появляется баг и вам нужно отследить его до коммита, который его внес, метка вроде latest дает ноль информации.

Хорошая строка версии объединяет семантическую версию с метаданными сборки. Что-то вроде 1.2.3-b20240315-a1b2c3d говорит вам номер релиза, дату сборки и хеш коммита. Этого достаточно, чтобы отследить артефакт до точного исходного кода, точной задачи сборки и точных результатов тестов.

Метаданные — ваша страховка

Одной строки версии полезно, но недостаточно. Каждый опубликованный артефакт должен нести метаданные, которые фиксируют:

Хеш коммита, который запустил сборку
Имя ветки
Номер сборки
Сводку результатов тестов
Кто запустил сборку

Для образов контейнеров эти метаданные помещаются в labels. Для файлов пакетов — в манифест или сопутствующий файл метаданных. Эти метаданные превращают ваш артефакт из черного ящика в документированный актив. Когда кто-то спрашивает «Прошел ли этот артефакт все необходимые тесты?», вы можете указать на метаданные и доказать, что да.

Почему это важно для уверенности в развертывании

Как только ваш артефакт упакован, версионирован и опубликован с метаданными, ваш пайплайн развертывания может забрать его с уверенностью. Шаг развертывания становится простой операцией: взять артефакт версии X, развернуть его в среде Y.

Без этой основы развертывание превращается в угадайку. Команды в итоге пересобирают артефакты в средах продакшена, потому что исходный вывод сборки исчез. Пересборка в продакшене опасна. Сборка может использовать другую версию зависимости, другой компилятор или другой базовый образ. Результат — артефакт, который никогда не тестировался, работающий в среде, где сбои наиболее болезненны.

Правильно сохраненный артефакт устраняет этот риск. Артефакт, прошедший все тесты, — это тот же самый артефакт, который разворачивается. Никаких пересборок. Никаких сюрпризов.

Распространенные варианты реестров

Вам не нужно дорогое корпоративное решение, чтобы сделать это правильно. Важно выбрать реестр, который подходит вашему стеку, и использовать его последовательно.

Образы контейнеров: Docker Hub, Amazon ECR, Google Artifact Registry, Harbor или любой OCI-совместимый реестр.
Пакеты приложений: Nexus, Artifactory, GitHub Packages, GitLab Package Registry или языковые реестры, такие как npm или PyPI.
Модули инфраструктуры: Terraform Cloud, Git с семантическими тегами или выделенный реестр модулей.

Сам реестр имеет меньшее значение, чем то, как вы его используете. Простой реестр со строгим версионированием и метаданными лучше, чем сложный, где все пушат артефакты со случайными метками.

Краткий чек-лист для вашего пайплайна

Если вы настраиваете или проверяете этап упаковки и публикации, пройдитесь по этим пунктам:

Каждый артефакт имеет уникальную версию, включающую хеш коммита или номер сборки.
Ни один артефакт не публикуется с меткой вроде latest для использования в продакшене.
Метаданные (хеш коммита, ветка, номер сборки, статус тестов) прикреплены к каждому опубликованному артефакту.
Сервер сборки не очищает артефакты сразу после завершения сборки.
Пайплайн развертывания забирает артефакты из реестра, никогда не пересобирает их.
В реестре есть политики хранения, предотвращающие случайное удаление артефактов продакшена.

Что дальше

С вашим артефактом, безопасно сохраненным и отслеживаемым, следующий шаг — развертывание. Но прежде чем двигаться дальше, уделите минутку проверке того, что ваш реестр организован достаточно хорошо для поддержки откатов. Если вам нужно вернуться к предыдущей версии, сможете ли вы найти точный артефакт из развертывания на прошлой неделе? Если ответ «нет», в вашей стратегии хранения все еще есть пробелы.

Хорошо сохраненный артефакт — это основа повторяемых, надежных развертываний. Без него каждое развертывание несет скрытый риск. С ним вы можете разворачивать, зная, что то, что вы запускаете, — это именно то, что вы тестировали.