Сине-зеленые развертывания: система подстраховки или оправдание для того, чтобы не устранять первопричины?

Каждые несколько лет появляется стратегия развёртывания, которая обещает решить все ваши проблемы. Помните, когда все говорили, что контейнеры исправят всё? Развёртывание по схеме «синий-зелёный» — любимец этого десятилетия, эквивалент развёртывания по принципу «попробуйте выключить и снова включить», только гораздо более дорогостоящий.

Я не собираюсь критиковать «сине-зелёное» развёртывание. Оно действительно полезно в определённых сценариях. Но я видел, как слишком многие команды применяют его как временную меру, чтобы избежать решения реальных проблем, скрывающихся в их архитектуре. Это как купить роскошный автомобиль с отличными тормозами, когда реальная проблема в том, что вы плохо водите.

Давайте углубимся в эту неудобную правду.

Обещания «сине-зелёного» развёртывания: что нам продают

Для тех, кто новичок в этой теме, «сине-зелёное» развёртывание поддерживает две идентичные производственные среды. Вы развёртываете свой новый код в «зелёной» среде, запускаете тесты, и когда всё выглядит хорошо, переключаете трафик на «зелёную» версию. Если что-то идёт не так, вы переключаетесь обратно на «синюю» — мгновенно, без простоев.

На бумаге это прекрасно. На практике это обязательство, которое нужно полностью понимать.

Обещанные преимущества звучат почти слишком хорошо, чтобы быть правдой:

• Нулевой простой во время развёртываний.
• Возможность мгновенного отката, если что-то пойдёт не так.
• Комплексное тестирование в производственной среде перед переключением.
• Снижение стресса для вашей инженерной команды (теоретически).

И вот в чём дело — эти преимущества реальны. Когда «сине-зелёное» развёртывание работает, оно действительно работает. Но это не та проблема, которую я хочу исследовать сегодня.

Тёмная сторона: когда «сине-зелёное» становится оправданием

Позвольте мне описать вам сценарий. Вы в команде, которая развёртывает обновление функции. Что-то идёт не так. Вместо того чтобы выяснять, почему ваше приложение упало, вы делаете быстрый откат к «синей» версии. Кризис предотвращён. Все расслабляются.

Две недели спустя то же самое происходит снова. Та же ошибка, тот же откат. Ваша команда похлопывает себя по спине за наличие отличной стратегии развёртывания. Ваш менеджер доволен, потому что не было простоя, видимого для клиентов.

Никто не задаётся вопросом: «Почему это продолжает происходить?»

Здесь «сине-зелёное» развёртывание превращается из сети безопасности в костыль. Оно позволяет организациям избегать тяжёлой работы по пониманию режимов сбоя их системы. Вот что я имею в виду:

Настоящие системы нуждаются в настоящем отладке. Когда у вас есть «сине-зелёное» развёртывание, соблазн избежать анализа первопричин становится непреодолимым. Давление снимается. Вы можете откатиться быстрее, чем исправить. Поэтому вы так и делаете.

Позвольте мне быть более конкретным. «Сине-зелёное» развёртывание маскирует несколько категорий проблем:

1. Катастрофы при миграции данных

Одна из самых больших проблем «сине-зелёного» — обработка миграций баз данных. Если ваше «зелёное» развёртывание включает изменения схемы, теперь у вас проблема: «синяя» версия ожидает старую схему, «зелёная» — новую.

Многие команды справляются с этим, написав код миграции, который работает с обеими схемами одновременно — по крайней мере, временно. Это работает. До тех пор, пока не перестанет. Вы ввели сложность и технический долг, который ваша стратегия отката не сможет исправить.

2. Тихие сбои в мониторинге

Если ваши системы мониторинга и оповещения не являются производственными (а чьи они?), вы можете не уловить проблемы достаточно быстро. Мгновенный откат «сине-зелёного» означает, что вам никогда не нужно будет исправлять проблемы с наблюдаемостью. Вы просто переключаетесь обратно.

Результат? Ваша производственная среда становится всё менее видимой. Вы летаете вслепую с очень хорошим катапультным креслом.

3. Кошмарные версии зависимостей

Ваше приложение зависит от внешних сервисов, баз данных, кэшей и библиотек. «Сине-зелёное» развёртывание не волшебным образом исправляет несовместимости между вашим новым кодом и этими зависимостями. Тем не менее команды часто предполагают, что если они могут откатиться быстро, им не нужно беспокоиться о комплексном тестировании зависимостей.

Спойлер: им стоит беспокоиться.

Стоимость инфраструктуры, о которой никто не говорит

Давайте обратим внимание на слона в комнате — стоимость инфраструктуры. Вы поддерживаете две полные идентичные среды. Это не на 10% больше затрат. Это примерно двукратный множитель затрат.

Теперь, вот где становится философски. Команда может оправдать эти затраты, говоря: «Но посмотрите, как быстро мы можем развернуться! У нас нет простоя!»

Но что, если реальное решение проще? Что, если вместо создания дублирующей среды вы инвестируете в:

• Лучшее автоматизированное тестирование (снижение риска при каждом развёртывании).
• Стратегии постепенного развёртывания, такие как канареечные развёртывания (быстрая обратная связь без полного дублирования).
• Надежную наблюдаемость (выявляйте проблемы до того, как они станут катастрофами).
• Процедуры поэтапного развёртывания (постепенное переключение трафика вместо двоичного переключателя).

Эти альтернативы требуют меньше инфраструктуры, при этом решая реальную проблему: безопасное развёртывание.

«Сине-зелёное» развёртывание отвечает на вопрос: «Как мы безопасно переключимся с плохого развёртывания?» Канареечные развёртывания отвечают на другой вопрос: «Как мы обнаружим плохие развёртывания до того, как они затронут всех?»

Это принципиально разные проблемы, и «сине-зелёное» развёртывание не обязательно лучший ответ на обе.

Когда «сине-зелёное» на самом деле ваш друг

Я не хочу, чтобы вы думали, что «сине-зелёное» — это зло. Это не так. Это инструмент, и у инструментов есть соответствующие случаи использования.

«Сине-зелёное» развёртывание хорошо работает в этих сценариях:

• Финансовые услуги и критически важная инфраструктура, где простой буквально стоит денег или влияет на безопасность.
• Приложения с высоким уровнем без сохранения состояния, где проблемы с базой данных минимальны.
• Организации с зрелыми DevOps практиками, которые используют «сине-зелёное» как одну из стратегий среди многих, а не костыль.
• Регулируемые отрасли, где вам нужны комплексные журналы аудита того, что и когда изменилось.

Но вот в чём загвоздка: если вы реализуете «сине-зелёное» развёртывание вместо исправления фундаментальных архитектурных проблем, вы делаете это неправильно.

Пример из реальной жизни: что не делать

Позвольте мне провести вас через процесс развёртывания, который я видел, как команды реализуют, а затем переделаю его в нечто более здоровое.

Антипаттерн: сильная зависимость от мгновенного отката

# Рабочий процесс развёртывания — все яйца в корзине отката
deployment:
  strategy: blue-green
  steps:
    - name: "Развёртывание в зелёную среду без предварительных проверок"
      command: "docker-compose -f docker-compose.green.yml up"
    - name: "Запуск базовых дымовых тестов"
      command: "curl -f http://localhost:8000/health || rollback"
    - name: "Переключение трафика"
      command: "update_load_balancer_to_green"
    - name: "Если что-то странное происходит в первые 5 минут"
      command: "update_load_balancer_to_blue"
      rollback_on_error: true

Проблема с этим подходом? Вы летаете по приборам, которым не доверяете. Ваши дымовые тесты минимальны. Ваш мониторинг, вероятно, реактивен, а не проактивен. Вы полностью полагаетесь на механизм отката.

Более здоровый подход: «сине-зелёное» с реальной строгостью

# Рабочий процесс развёртывания — «сине-зелёное» плюс серьёзная инженерия
deployment:
  strategy: blue-green
  pre_deployment_phase:
    - name: "Комплексный набор тестов"
      command: "make test-integration test-performance test-load"
      timeout: 30m
    - name: "Статический анализ и сканирование безопасности"
      command: "make lint security-scan"
    - name: "Пробный запуск миграции базы данных"
      command: "migrate-dry-run --environment=preview"
    - name: "Проверка совместимости схем"