マイグレーションプレイブック
1)移行の分類
DBスキーム:カラム、インデックス、シャーディング、キーの種類の追加/変更。
データ:大量のバックアップ/クリーンアップ、正規化、保持/アーカイブ。
サービスとAPI:エンドポイントの変更、バージョン管理、契約リファクタリング。
キュー/バス:トピックの移動、メンバーシップキーの変更、イベントフォーマット。
インフラ:新しいcluster/K8s/cloud/regionに移行し、秘密/KMSを変更します。
ストレージと分析:エンジン(OLTP/OLAP)の変更、データセットのフォーマット/パーティショニング。
セキュリティ/コンプライアンス:キーの回転、即座に暗号化、データのジオローカリゼーション。
2)成功した移行の原則
1.展開→マイグレート→コントラクト。まず、スキーム/動作(互換性)を展開し、データ/トラフィックを転送し、古いものを削除します。
2.シャドウ&デュアル。検証のためのShadow読み取り/書き込みとダブルエントリ。
3.フィーチャーフラグと"赤いボタン。"クイックシャットダウン、ステップバイステップのアクティベーション(パーセンタイル/テナント/リージョン)。
4.Idempotencyと再現性。スクリプトやタスクは副作用なしで再起動することができます。
5.変更前の可視性。事前にダッシュボード/アラート、ログ/トラック内のマイグレーションマーカー。
6.ロールバックが文書化されました。rollback runbookは、前方の計画と同じくらい詳細です。
7.ミニゲームと一時停止。私たちは小さな部分で移行し、SLIとビジネスインバリアントをチェックします。
3)在庫と依存関係の分析
消費者マップ:サービス、ジョブ、レポート、外部パートナー、BI/ETL、 webhook。
契約とスキーマ:API/イベントバージョン、後方/前方互換性。
アクセス/シークレット:キャッシュ/キューがどこにあるかを読み取り/書き込みます。
ドメイン不変量:一意性、バランス、特権性、報告日。
ボリューム/速度:データサイズ、RPS、ピークウィンドウ、RPO/RTO。
4)キャノニカルプレイブックテンプレート(YAMLスケルトン)
yaml playbook: "migrate-orders-to-v2"
owner: "orders-team"
stakeholders: ["platform", "data", "security", "support"]
change_type: ["schema", "data", "api"]
risk_level: "high"
preconditions:
- "Dashboards ready: latency/error/lag"
- "Runbook rollback validated on stage"
- "Backups verified (restore tested)"
plan:
phase_1_prepare:
steps:
- "Add new nullable columns (expand)"
- "Deploy code with dual-write (flag off)"
- "Enable CDC stream to target"
phase_2_shadow:
steps:
- "Shadow-read v2, compare with v1 (1%)"
- "Fix discrepancies; iterate"
phase_3_dual_write:
steps:
- "Enable dual-write (10%→50%→100%)"
- "Start backfill in batches (size=10k, sleep=200ms)"
phase_4_cutover:
steps:
- "Switch reads to v2 by tenants (canary)"
- "Monitor SLI 30m; expand scope"
phase_5_contract:
steps:
- "Drop old indices/columns after T+14d"
- "Disable old topic/api; update docs/SDK"
guardrails:
abort_if:
- "error_rate > 0. 5% for 5m"
- "p95 > baseline1. 5 for 10m"
- "data_mismatch > 0. 01%"
rollback:
steps:
- "Flip flag: reads back to v1"
- "Stop backfill; continue dual-write to v1"
- "Replay missed events (DLQ→v1)"
validation:
checks:
- "Row counts match within epsilon"
- "Business invariants hold (balances, limits)"
comms:
- channel: "on-call-bridge"
- status_updates: "T-24h, T-1h, start, cutover, finish"
window: "low-traffic Sun 02:00–05:00 UTC"5)移行パターン
5.1 DBスキーマ(RDBMS/NoSQL)
追加-変更しないでください。新しいnullableカラム/インデックス→コードは古いものと新しいものを読み取ります。
オンラインでの再構築。オンラインインデックス/並行DDLを使用します。
シリアル化バージョン。JSON/Proto/Avro列のペイロードをバージョン化します。
主な移行。PKを変更する場合-対応のタイムテーブル+トリガー/CDC。
5.2データ(バックアップ/クリーンアップ)
CDC+バックフィル。まず、変更の流れ(維持する)、次にバッチバックフィル。
パーティーと締め切り。ラグ制御、チェックポイント、再起動を備えた小さなバッチ。
Idempotentアップデート。自然なキー/バージョンによってUpsert。
5.3イベントとキュー
バージョン管理イベント。'event_type@vN'、消費者は慣れないフィールドを無視します。
トピックを移動します。二重ポスト、安定する前に両方から読まれる消費者;それから古いものを「切る」。
パーティションキー。主な移行-通信とidempotencyのマップで再発行を通じて。
5.4サービスとAPI
青/緑/カナリア。プールのウォームアップ、部分的なトラフィック、高速ロールバック。
Fichaの旗。テナント/地域/パーセンテージによって、包含が観察されました。
契約します。CDC契約と互換性テスト-切り替える前に。
5.5地域/クレード
ジオダブルレコーディング。データは2つの地域に記録されます。読書-近接によって。
州の転送。スナップショット+レプリケーション;RPO「赤線」、DNS/Anycastの積み替え。
管轄区域。データの同意/ローカライズ、キットの削除のための「禁止」のリスト。
6)実行段階(詳細)
1.準備のための準備
ダッシュボード、アラート、制限、機能フラグ、回復テストのバックアップ、ステージ上で実行されます。
2.Shadow(シャドウチェック)
ユーザーに影響を与えることなく、要求/書き込みを新しいシステムにミラーリングします。応答/状態を比較します。
3.デュアルライト/デュアルリード
私たちは両方の方向に書いています。読み取り-徐々に新しいシステムに転送します。不適合ログを解析します。
4.バックフィル(Backfill
履歴データをバッチで読み込みます。CDCの遅延を制御し、ストーリー/キャッシュの負荷を監視します。
5.カットオーバー(切り替え)
セグメント別カナリム(テナント/地域/パーセンテージ)迅速なロールバックをサポートします。
6.契約(清掃)
古いパスを切り取り「、セキュリティ期間」の後に古いフィールド/インデックス/トピックを削除します。
7.検証とレトロ
レポート、メトリクス、レッスン、プレイブック/チェックリストの更新。
7)移行中の観測性とSLO
技術的なSLI: p50/p95/p99、エラー率、再試行/タイムアウト、使用率、遅延CDC、キューの深さ。
ビジネスSLI:トランザクション/コンバージョン、不変量(残高、限度、重複)の成功。
特殊ラベル:'migration_id'、 'phase'、 'tenant'、 'flag_state'。
アラートガード:テールとエラーのしきい値、SLOの「自動停止」(中止)。
比較パネル:v1 vs v2、 delta by key metrics。
8)ロールバックと緊急シナリオ
論理ロールバック:フラグ/トラフィックルーティングバック、バックフィルフリーズ。
データ:「補償」(佐賀)、イベントリプレイ、DLQ→ソースシステム。
Secrets/key:前のキー/証明書(デュアルキー)に戻ります。
DNS/traffic:「リバースドリフト」Anycast/ALB、移行ウィンドウでTTLが短い。
コミュニケーション:事前に合意されたチャネルとステータス形式。
9)セキュリティ、プライバシー、コンプライアンス
データの最小化。私たちは必要なフィールドだけを転送します。コピーの匿名化プロファイル。
暗号化。暗号化「ワイヤーで」および「残りで」、KMSの回転;キー操作ログ。
タイムアクセス。移行ジョブの一時的な役割、完了後の権利の選択。
フットプリント。ログ/トレースでのPDマスキング、エクスポートの制限。
10)変更管理とコミュニケーション
RACI:誰が誰が実行していると主張し、誰が通知されます。
フリーズ期間:マイグレーションウィンドウで無関係なリリースを禁止します。
ステータス:T-24h、 T-1h、スタート、カナリア、カットオーバー、フィニッシュ、ポスト海。
外部パートナー:互換性ウィンドウ、契約文字、テストサンドボックス。
11) Runbookテンプレート
11.1バックフィル(擬似コード)
for batch in paginate(ids, size=10_000):
try:
rows = read_v1(batch)
upsert_v2 (rows) # idempotently mark_checkpoint (batch. end)
sleep(jitter_ms(100..300))
except Throttle:
sleep (5s) # backpressure respect except Fatal as e:
alert("backfill-failed", e, context=batch)
abort_if_needed()11.2 Proverka一致nosti(スナップショット/サンプル)
sample = random_ids(n=10_000, stratify=tenant,timestamp)
v1 = fetch_v1(sample); v2 = fetch_v2(sample)
assert schema_compatible(v2)
assert key_invariants_hold (v1, v2) # sum, statuses, versions mismatch_rate = diff (v1, v2). rate()
abort_if(mismatch_rate > 0. 0001)11.3スイッチングリーディング
flag. enable("read_from_v2", segment="tenants: cohort_A")
monitor(30m)
if SLO_ok(): expand_segment()
else: rollback_segment()12)アンチパターン
expand-migrate-contractの代わりに「ビッグバン」。
CDC→永遠のキャッチアップとドリフトなしでバックフィル。
idempotency→duplicates/dirtyデータはありません。
スクリプト→ヒューマンエラーのない手動ステップ。
ダッシュボード/ガードのない移行→「ブラインドフライト」。
未知のロールバック→ロールバックは、必要に応じて動作しません。
消費者(BI/パートナー)を無視する→壊れたレポート/統合。
13)建築家のチェックリスト
1.目標、境界、移行の種類、結果不変が定義されていますか?
2.コンシューマーと契約マップを作成、互換性テスト緑?
3.準備されたダッシュボード、アラート、タグ'migration_id'、 SLO/guardrails set?
4.shadowおよび/またはdual-write、 backfill idempotentを実装しましたか?
5.実行されたロールバックランブックはありますか?バックアップからのリカバリを確認しますか?
6.窓/調整/コミュニケーションは、凍結同意しましたか?
7.カナリアと拡張/停止基準を備えたステップバイステップの計画は準備ができていますか?
8.セキュリティ/コンプライアンス:キー、アクセス、PII衛生?
9.ドキュメント/SDK/specは同じリリースサイクルで更新されますか?
10.海の後と完成後のプレイブックの更新が計画されていますか?
おわりに
マイグレーション・プレイブックは、リスク管理のアーキテクチャ上のプラクティスです。小さなリバーシブル・ステップ、透明なメトリクス、準備ができたロールバック、および「expand-migrate-contract」分野です。説明されたテンプレートに従って、ダウンタイムや驚きのないスキーム、データ、サービス、地域を移行し、ビジネス不変性とユーザーの信頼を維持します。