سناریوهای برگشت

(بخش: عملیات و مدیریت)

1) چرا شما نیاز به سناریوهای عقب نشینی دارید

حتی با آزمایش کامل، برخی از تغییرات منجر به تخریب می شود. Rollback عملیات مدیریت شده بازگشت به یک نسخه از پیش تعریف شده «امن» بدون از دست دادن داده ها و یا انطباق است. هدف: کاهش MTTR، محافظت از پول/داده ها، حفظ اعتماد شرکا و تنظیم کننده ها.

2) طبقه بندی تغییرات و رویکردهای برگشت

کد و ظروف: مصنوعات versioned → آبی سبز، قناری، نورد با بازگشت فوری به تصویر قبلی.
پیکربندی/phicheflags: ویژگی بازگرداندن ضامن، سوئیچ اتمی با TTL و حسابرسی.
طرحوارههای پایگاه داده: expand → migrate → contract، migrations دو طرفه، ستونهای «سایه»، backfill در پسزمینه.
داده ها/لیست قیمت/مالیات: نسخه های مصنوعی ('fx _ version'، 'tax _ rule _ version'، 'pricelist _ version')، «freeze» و بازگشت.
یکپارچگی (PSP/KYC/ارائه دهندگان محتوا): مسیرهای سوئیچینگ/استخر، بازگشت به ارائه دهنده پشتیبان.
زیرساخت/شبکه/CDN: عقب نشینی مرحله ای از قوانین/مسیرها، عقب نشینی گواهینامه ها/کلید ها با بارگذاری دوگانه.

3) الگوهای معماری برای برگشت پذیری

نسخه های غیر قابل تغییر: هر نسخه یک مصنوع امضا شده (تصویر/پیکربندی) با توانایی بلافاصله انتخاب قبلی است.
لایه های سازگاری: schema-compat (اضافه کردن، نه حذف)، خواننده تحمل کننده در طرف مصرف کننده.
Double-write و shadow-reads: مقایسه سازگاری قبل از «تعویض».

Idempotence و sagas: مراحل جبران خسارت برای معاملات متقابل خدمات

Ficheflags: سریع خاموش کردن/مرحله به مرحله به جای «داغ» redeploy.

4) استراتژی های نورد با نقاط بازگشت

قناری N٪: معیارهای/guardrails → در طول تخریب خودکار برگشت ؛ اگر موفق - گسترش به 100٪.
آبی سبز: دو پشته ؛ تعویض ترافیک و بازگشت فوری.
نورد با مکث: به روز رسانی توسط حزب با «نقاط مکث» و توانایی بازگشت به موج قبلی.
Ficheflags توسط کوهورت: «راه اندازی تاریک»، لیست های سفید، پرچم های منطقه ای/مستاجر.

5) بازگشت پایگاه های داده و مهاجرت: قالب های امن

1. گسترش: اضافه کردن ستون های جدید/شاخص ها/نقاط پایانی، کد به هر دو نسخه می نویسد.

2. مهاجرت: پر کردن و اعتبار سنجی ؛ خواندن «سایه» از ساختار جدید.

3. قرارداد: غیر فعال کردن قدیمی پس از ثبات.

Bidirectionality: هر مهاجرت دارای یک 'پایین ()' ؛ برای مجموعه های بزرگ - برگشت منطقی (پرچم، مسیریابی) به جای حذف فیزیکی.

Snapshots/point-in-time: PITR/snapshot جداول قبل از انتشار بحرانی.

کنترل طرح: اعتبار سنج قرارداد در CI/CD + «خشک اجرا» در مرحله بندی/ماکت.

6) کاتالوگ/قیمت/بازپرداخت مالیات

تجدید نظر در لیست قیمت ها و قوانین مالیاتی ؛ رسیدهای انتشار را نگه دارید.
رفع 'fx _ version '/' tax _ rule _ version' در سفارشات - بازده چک های قدیمی را خراب نمی کند.
با «PriceMismatch» → ناتوانی نیروی کش، بازگشت به نسخه قبلی مصنوع، جبران خسارت توسط سیاست است.

7) ادغام و ارائه دهندگان خارجی

PSP/KYC/محتوا: مسیرهای پشتیبان گیری، نمونه های بهداشتی، تعویض سریع DNS/LB، کلیدهای فردی را نگه دارید.
Webhooks: شامل نوشتن قطره و صف ؛ در طول رول بک - تکرار از «حروف مرده» با کلید های idemotent.
گواهینامه ها/کلید ها: بارگذاری دو برابر (قدیمی + جدید)، بررسی سازگاری قبل از تعویض.

8) اتوماسیون از kickbacks («runes») و guardrails

Руны (кнопки): انتشار مجدد، غیرفعال کردن پرچم، مسیر مجدد، کش کشیدن، بازگشت مقیاس، بازگرداندن طرح.
Guardrails: راه اندازی kickback در دسترس برای IC/مالک ؛ امضا شده (DSSE)، محدودیت فرکانس معامله، چک لیست تایید.
بازگشت خودکار: شرایط برای SLO/صدک/خطا/سیگنال های مالی (به عنوان مثال، Δ quote↔checkout ≠ 0).

9) ارتباطات و مصنوعات

در کارت انتشار: نسخه، هش، چک لیست پیش نمایش، playbook رول بک، مسئول.
در طول بازگشت: زمان بندی، علت، حجم ترافیک آسیب دیده، مصنوعات (لینک های ورود به سیستم، قبل/بعد از معیارها).
ارتباطات خارجی (صفحه وضعیت/شرکا): مختصر و واقعی.

10) رول بک playbooks (مرجع)

1. دوباره مسیر/آبی سبز → 2) نسخه ثابت → 3) بلوک نورد بیشتر → 4) فشار.

1. غیر فعال کردن پرچم ویژگی (100٪) → 2) کش خیط و پیت کردن/follbacks → 3) ثابت بلیط.

1. stop heavy-backfill → 2) بازگشت خواندن به طرح قدیمی (خواندن دوگانه) → 3) کاهش بار/شاخص → 4) ارزیابی «پایین ()» یا بازگشت منطقی.

1. نورد back 'pricelist _ version '/' tax _ rule _ version' → 2) غیرفعال کردن حافظه پنهان → 3) جبران و تطبیق چک.

1. تعویض به PSP آماده به کار → 2) قرنطینه معاملات خاکستری → 3) کپی صف پس از تثبیت.

1. بازگشت به کلید قبلی (کلید دوگانه) → 2) چرخش و repablish.

11) RACI

12) معیارهای کیفیت و SLO

Change Failure Rate (CFR) - سهم انتشار با بازگشت (↓ هدف).
MTTR (با برگشت) زمان متوسط برای بازگشت به ثبات است.
زمان بازگشت - از ماشه تا پایان بازگشت (P1 ≤ 15-20 دقیقه).
Δ - قبل/بعد از متریک (p95، میزان خطا، موفقیت E2E).
بازگشت مکرر به همان علت ≤ N/quarter.
پوشش حسابرسی: 100٪ رول بک با مصنوعات و امضا.

13) امنیت، حریم خصوصی، انطباق

مجلات WORM برای انتشار/رول بک ؛ ذخیره سازی مصنوعات توسط تنظیم کننده ها.
PII/Finance: تأیید اینکه عقبگرد دسترسی به مناطق حل نشده/سیاست های قدیمی را باز نمی کند.
SoD: «چه کسی رول می کند» ≠ «چه کسی تایید می کند» ≠ «چه کسی rollback را آغاز می کند».
اعتبار/اسرار: دو رول اور و بازگشت فوری به کلید قبلی.

14) اثرات مالی و عملیاتی

هزینه خرابی در مقابل هزینه برگشت: راه حل را از طریق guardrails SLO خودکار کنید.
جبران SLA/اعتبار - قالب در playbooks.
خروج/محاسبه کلاه: برگشت می تواند به طور موقت افزایش بار (پخش/ذخیره) - پنجره برنامه.

15) چک لیست قبل از انتشار (برو/بدون رفتن)

• مصنوعات امضا شده و نقطه بازگشت (تصویر/پیکربندی/نسخه داده).
• برنامه ریزی و کتابچه راهنمای رول بک (در مراحل).
• مهاجرت معتبر: گسترش → مهاجرت → قرارداد، PITR فعال است.
• Dials/guardrails SLO: شرایط بازگشت خودکار در سیستم هشدار.
• کانال های ارتباطی: IC/صاحبان/Comms در تماس.
• تست سازگاری عقب و «اجرای خشک» در مرحله بندی.
• مسیرهای پشتیبان گیری برای ادغام بحرانی.
• طرح ارتباطی (داخلی/خارجی) و قالب ها.

16) چک لیست در طول بازگشت (در طول حادثه)

• اذعان ماشه و حجم تحت تاثیر قرار (منطقه/مستاجر/کانال).
• نسخه «آنچه را که ما پشت سر می گذاریم» را اصلاح کنید.
• اجرای رول بک (کد/پرچم/مسیر/داده).
• بررسی SLI/SLO و معیارهای کسب و کار (E2E، پرداخت، webhooks).
• دایرکتوری ها/نسخه ها (FX/Tax/PriceList) را بررسی کنید.
• رفع دولت: ممنوعیت نورد جدید، جمع آوری مصنوعات.
• ارتباطات: صفحه وضعیت، شرکا، داخلی.

17) خطاهای مکرر و ضد الگوهای

بازگشت «دستی» بدون مصنوعات و امضا.
مهاجرت های مختل کننده بدون bidirectionality و PITR.
پرچم ویژگی بدون «سوئیچ جهانی».
هیچ مسیر پشتیبانی برای PSP/KYC وجود ندارد.
کش خیط و پیت کردن بدون گرم کردن → بهمن از درخواست های سرد.
quote≠checkout حساب نشده پس از بازگشت لیست قیمت.

18) سوالات متداول

چه زمانی بازگشت به عقب بهتر از تعمیر «در محل» است ؟

در صورت نقض SLO/خطر پول/داده، بازگشت به نسخه پایدار شناخته شده سریعتر و ایمن تر است.

آیا امکان بازگشت به مهاجرت «مخرب» وجود دارد ؟

بله، اگر به عنوان گسترش → مهاجرت → قرارداد با 'پایین () '/PITR و follback منطقی طراحی شده است.

چگونه می توانم تصمیم Rollback خود را خودکار کنم ؟

SLO guardrails (p95، نرخ خطا، ارزش Δ، موفقیت webhooks) + ماتریس خطر → خودکار رون.

با سفارشات/معاملات «بین» چه باید کرد ؟

کلید Idempotent، قرنطینه «خاکستری» عملیات، کپی از صف با deduplication.

خلاصه: سناریوهای عقبگرد بداهه نیستند، بلکه یک توانایی از پیش مهندسی شده برای بازگشت سریع به ثبات هستند. Versionize همه چیز، نگه داشتن یک طرح داده برگشت پذیر، استفاده از ficheflags و قناری، به طور خودکار رونی، ضبط مصنوعات و guardrails SLO. سپس هر نسخه قابل کنترل است و کسب و کار به طور قابل پیش بینی پایدار است.