45-5 · Глава 45 · 4 мин. чтения

Почему ваше приложение ведет себя по-разному в стейджинге и продакшене

Вы разворачиваете один и тот же код в стейджинге, тесты проходят, но в продакшене приложение падает. Код идентичен. Разница — в единственном значении конфигурации, которое вы забыли обновить.

Почему ваше приложение ведет себя по-разному в стейджинге и продакшене

Вы разворачиваете один и тот же код в стейджинге, прогоняете тесты — всё проходит. Затем выкатываете в продакшен, и приложение падает. Код идентичен. Разница — в единственном значении конфигурации, которое вы забыли обновить.

Этот сценарий разыгрывается в командах каждую неделю. Код в порядке. Конфигурация — нет. А когда проблема касается секретов вроде пароля базы данных или API-токена, ставки становятся еще выше. Утечка секрета может нанести больший ущерб, чем большинство багов в коде.

Что такое конфигурация и секреты на самом деле

Конфигурация — это любое значение, которое меняет поведение вашего приложения без изменения его кода. Адреса серверов, максимальное количество соединений, уровни логирования, фича-флаги — всё это конфигурация. Одна и та же кодовая база работает по-разному в разработке, стейджинге и продакшене именно из-за разной конфигурации.

Секреты — это особая категория конфигурации. Это значения, которые должны оставаться конфиденциальными: пароли, токены, ключи шифрования, сертификаты. Секреты требуют другого подхода, потому что их раскрытие — это инцидент безопасности, а не просто ошибка конфигурации.

Ключевая мысль: и конфигурация, и секреты должны управляться отдельно от кода приложения. Они находятся в другом слое вашей системы доставки.

Начните с шаблона конфигурации

Прежде чем правильно управлять конфигурацией, нужно знать, какая конфигурация вообще нужна вашему приложению. Шаблон конфигурации — это просто полный список всех значений конфигурации, которые ожидает ваше приложение, сгруппированный по окружениям.

Для каждого элемента конфигурации запишите:

Вот конкретный пример того, как может выглядеть такой шаблон в YAML:

# config-template.yaml
# Шаблон конфигурации приложения
# Переопределяйте значения для каждого окружения в отдельных файлах

app:
  name: my-app
  version: 1.0.0
  log_level: info  # переопределение: dev=debug, staging=info, prod=warn
  max_retry: 3

database:
  host: localhost  # переопределение: staging=db-staging.example.com, prod=db-prod.example.com
  port: 5432
  name: myapp_db
  pool_size: 10  # переопределение: prod=50

cache:
  host: localhost  # переопределение: staging=redis-staging.example.com, prod=redis-prod.example.com
  port: 6379
  ttl_seconds: 3600

feature_flags:
  new_checkout: false  # переопределение: staging=true, prod=false
  dark_mode: true

Имя переменной (например, DB_HOST или MAX_RETRY)
Тип значения (строка, число, булево)
Какие окружения его используют
Отличается ли значение между окружениями

Некоторые значения будут одинаковыми везде. MAX_RETRY может быть равен 3 и в разработке, и в стейджинге, и в продакшене. Другие значения должны различаться. DB_HOST будет указывать на вашу локальную базу в разработке и на кластер продакшен-базы в продакшене.

В шаблоне также следует указать, кто может изменять каждое значение конфигурации и как отслеживаются эти изменения. Не все в команде должны иметь возможность менять строки подключения к продакшен-базе.

Для секретов нужен свой шаблон

Секреты следуют той же идее, но с более строгими правилами. Шаблон секретов фиксирует:

Имя секрета
Откуда он берется (vault, parameter store, зашифрованный файл)
Каким окружениям нужен к нему доступ
Когда его последний раз ротировали
Как долго он действителен
Точные шаги для его ротации
Как проверить, что приложение продолжает работать после ротации

Ротация — это процесс замены старого секрета новым по регулярному расписанию. Многие команды пропускают этот шаг, пока утечка не вынудит их действовать. Шаблон превращает ротацию из аварийной операции в рутинную.

Шаг верификации критически важен. После ротации пароля базы данных нужно убедиться, что ваше приложение всё еще может подключаться и выполнять запросы. Иначе вы можете отротировать секрет и сломать продакшен, не заметив этого, пока пользователи не начнут сообщать об ошибках.

Аудитируйте всё

Конфигурация и секреты нуждаются в аудиторских следах. Журнал аудита фиксирует, кто получил доступ или изменил значение конфигурации или секрета, когда и зачем.

Шаблон для журналов аудита должен содержать:

Временную метку действия
Кто его выполнил
Какое действие было совершено (просмотр, изменение, удаление)
Какая конфигурация или секрет были затронуты

Этот журнал необходим, когда что-то идет не так. Если секрет утек, нужно знать, кто и когда к нему обращался. Если изменение конфигурации сломало продакшен, нужно отследить, кто внес изменение и каким было предыдущее значение.

Без аудиторских логов вы отлаживаете вслепую. Вы знаете, что что-то изменилось, но у вас нет способа выяснить, что именно или кто это сделал.

Тестируйте конфигурацию и секреты

Вот шаг, который большинство команд упускает: конфигурацию и секреты нужно тестировать. Вы тестируете код. Вы тестируете инфраструктуру. Но как часто вы проверяете, что ваше приложение действительно может корректно прочитать свою конфигурацию и секреты в каждом окружении?

Тест конфигурации проверяет, что:

Все необходимые значения конфигурации существуют
Они имеют правильный тип
Они находятся в ожидаемых диапазонах
Приложение успешно запускается с этими значениями

Тест секретов проверяет, что:

Секрет существует и доступен
Приложение может аутентифицироваться с его помощью
Приложение может выполнять свои базовые операции после аутентификации

Эти тесты выявляют проблемы до развертывания. Отсутствующий секрет или неправильно отформатированное значение конфигурации вызовут падение приложения при запуске. Лучше поймать это в тесте, чем в продакшене.

Практический чек-лист

Вот короткий чек-лист, который можно использовать при настройке управления конфигурацией и секретами для нового приложения или сервиса:

Перечислите все значения конфигурации, необходимые приложению, сгруппировав по окружениям
Отметьте, какие значения различаются между окружениями, а какие остаются одинаковыми
Определите, какие значения являются секретами и требуют особого обращения
Задокументируйте источник каждого секрета (vault, parameter store и т.д.)
Создайте расписание ротации для каждого секрета
Настройте аудиторское логирование доступа к конфигурации и секретам
Напишите тесты, проверяющие загрузку конфигурации и секретов в каждом окружении
Задокументируйте, кто может изменять каждое значение конфигурации и секрет

Вывод

Конфигурация и секреты — не второстепенная задача. Это отдельная область, требующая собственных шаблонов, собственного тестирования и собственного аудиторского следа. Тот же код, который отлично работает в стейджинге, упадет в продакшене, если одно значение конфигурации неверно или одного секрета не хватает. Относитесь к конфигурации и секретам с той же строгостью, что и к коду приложения, и вы устраните целую категорию сбоев при развертывании.