技术路线图
1)任命和原则
路线图描述了我们如何通过工程计划以及何时交付来实现业务指标。
原则:- 输出结果:目标由SLO/Business KPI(而不是任务数)测量。
- 价值流解构:平台,付款,数据/BI/ML,安全/合规性,可靠性/可观察性,DevEx/IDP。
- Horizon:H1(0-6个月)-运营;H2(6-18个月)-扩展;H3 (18岁以上)-研究/创新。
- Now/Next/Later和双速策略:快速赢得+基本项目。
- 基于Evidence的:每个语句都是度量、实验或审核。
2)路线图框架(文物)
Vision/North Star: 1页(SLO、目标市场、许可证)。
战略支柱:规模,可靠性,安全性,交货速度,经济性。
具有季度增量功能的年度计划组合。
OKR(company → domain → team)和SLO(p95/TTFB,时间到钱包,容错性)。
依存目录(监管机构,PSP/KYC提供商,后端/客户端版本)。
风险登记册和应对计划。
RACI关于关键举措。
发布日历和冻结窗口。
剥夺政策和techdolg注册表。
3)优先级: 如何选择先做什么
RICE(Reach,Impact,Confidence,Effort)-用于杂货/平台幻灯片。
WSJF(延迟成本/工作大小)-用于基础架构和降低风险。
Guardrails:没有可测量的KPI、专用所有者和向后兼容性计划,我们不会触发启动。
4)流(value streams)和目标
4.1个平台/基础设施
目标:p95 API <1500 ms,自动滑行,金丝雀发行,DR RTO≤1ch/RPO≤5min。
成熟度:从"手动发布"到"策略即代码+SLO自动响应"。
4.2付款/调查结果
目标:时间到钱包p95 ≤ 30 c,存款转换增长+X%,容错智能路由PSP。
4.3 数据/BI/ML
目标:单一活动合同,DWH+流媒体,反Frod-ML,产品分析师。
4.4安全/合规性
目标:PCI/GDPR就绪性,SBOM+签名,"无人行道",PAM/SSO+MFA,eBPF/运行时检测。
4.5可靠性/可观察性
目标:错误预算≤ 1%,端到端OTel,对关键场景进行合成监控。
4.6 DevEx/IDP(开发平台)
目标:TTFPR ≤ 1天,公关预览环境,合同测试无处不在,模式目录。
5)年度地图范例(H1: 0-6个月,H2: 6-12个月)
H1 (Q1-Q2区)
Now (Q1):
IDP MVP:服务模板,基本的CI(lint+unit+build),预览环境。
Observability 1.0:OTel,dashbords p95/5xx/DLQ,SLO警报。
Payments v1:2 PSP+failover, Idempotency-Key,签名的webhooks。
安全核心:SSO+MFA,KMS,基本管理策略,每个法案的SBOM。
Next (Q2):
金丝雀/蓝绿色,SLO自动售货机。
Data Platform 1.0:一个事件总线,数据目录,合同验证。
Anti-fraud Signals 1.0(规则+ficheflagi)。
FinOps 1.0: showback,第一预算和配额。
H2 (Q3–Q4)
Now (Q3):
Smart-routing PSP по SLA/гео, Shadow traffic.
抗药性:staging,DR擦伤的混沌测试。
Security 2.0:映像签名+admission-enforce, SOAR花花公子。
Data 2.0:DWH+报告产品指标,ML得分(beta)。
Next (Q4):
按地区/特南特分列的ring-deployments。
Cost Guardrails: 自动关闭idle资源,rightsizing.
Compliance pack: PCI/GDPR工件、"evidence-first"审核跟踪。
Platform UX: DevPortal 2.0, Golden Paths, Runbooks as Code.
6)年度OKR(示例)
O1:稳定性和速度:- KR1: p95 API < 1.5 c;KR2:MTTR <30分钟;KR3:每天2 ≥发布的数量。
- KR1:+3个百分点存款转换;KR2: Time-to-Wallet p95 ≤ 30с.
- KR1:100%的图像签名;KR2: 0 critical/High无例外>14天;KR3:− 占基础设施开支/1 000 RPS的20%。
7)12个月供应计划(模板)
8)团队资源和组成
Матрица навыков: Platform (K8s/IaC), Payments (PSP/KYC/crypto), Data (Kafka/DWH/DBT), Security (IAM/PAM/SAST/DAST), SRE (SLO/OTel), DevEx (Backstage/CLI).
Capacity Plan:70%是地图计划,20%是支持/事件,10%是H3研究。
供应商:Build vs Buy标准(TCO、锁定、速度、控制、合规)。
9)预算和FinOps
单位经济学:欧元/1000 RPS, 欧元/TB-storage,欧元/德普洛伊。
预算SLO:服务/内部空间限制;偏差时的自动警报。
优化:rightsizing、spot/订阅、缓存、冷库、非高峰测试。
10)路线图中的安全和合规性
内置"质量门":SBOM,签名,SAST/SCA,DAST,策略即代码。
PCI/GDPR数据包:DPIA,令牌化,PAN区域细分,可审计日志。
Q 3末尾的"没有人":PAM,会议记录,"断面"发布进行审核。
11)可观察性和SLO
Единые service level indicators: latency p50/p95/p99, error-rate, saturation.
Business SLI:时间到钱包,存款转换,KYC的拒绝份额。
错误预算控制发布速度:已用尽-专注于可靠性。
12)沟通与管理
颁奖典礼:每周公文包(PM+EM+RM),月度Steering,季度QBR。
文物:合并的OKR/SLO/预算,战略决策变更板。
透明度:DevPortal带有"活着"路线图(Now/Next/Later,业主)。
13)风险和依赖(注册表模板)
14)RACI("金丝雀发行版"的示例)
Responsible: Release Manager, SRE
Accountable: Head of Platform
Consulted: Security Lead, QA Lead
Informed: Product/Support/Compliance
15)启动计划: 定义Ready/Done
DoR:所有者,目标指标,合同/计划,设计码头,风险清单,回滚计划。
国防部:测试绿色(unit/contract/integration/e2e),更新dashbords/alerts, runbook准备就绪,changelog发布,度量改进。
16)实验,A/B和ficheflagi
任何产品/风险模型都是通过ficheflag,具有渐进式激活和影响遥测(转换,后退,错误)。
实验记录在目录中:假设→结果→解决方案。
17)剥夺政策和tehdalg
日落计划:支持≥ 2个次要版本,迁移适配器,EOL日期。
Techdolg登记册:风险/价值评估,季度"债务冲刺"。
18)路线图成熟度清单
- 有Vision和5个战略支柱。
- 具有可测量OKR/SLO的4季度投资组合。
- 统一优先权规则(RICE/WSJF)。
- 风险登记册和成瘾每周相关。
- RACI/所有者已指定,资源已确认。
- 该卡可在DevPortal中获得,并与发行日历同步。
- 剥离政策和techdolg注册表均应保存。
- SLO/Error预算控制发行速度。
- FinOps-dashboard和预算门包括在内。
19)示例"Now/Next/Later"(DevPortal的视图)
Now: IDP MVP, Observability 1.0、PSP v1 (2个提供商)、SSO+MFA+KMS。
Next: Canary, Data 1.0、智能路由、DR测试、映像签名(enforce)。
后来: 戒指,PCI/GDPR审计,ML防冻评分,DevPortal 2。0.
简短的结论
技术路线图是企业与工程之间的活生生的合同。它将策略与可执行的季度步骤联系起来,保持对结果(SLO,时间到钱包,转换)的关注,平衡速度和风险,并产生透明度:谁,什么时候,为什么。遵循这种模式,您可以将扩展和合规性从威胁转变为竞争优势。