Үздіксіз өрістету
1) CD дегеніміз не және оның CI/CD-ден айырмашылығы неде?
Үздіксіз өрістету (Continuous Deployment, CD) - бұл әрбір тексеруден өткен өзгерістерді қолмен «релиздік поездарсыз» автоматты түрде шығару практикасы. CI-ден (автоматты құрастыру және коммиттер кезіндегі тесттер) CD тізбекті аяқтаумен ерекшеленеді: код → артефакт → тексеру → шығарылған. Реттелетін салаларда CD-лерді progressive delivery (аудиторияны шектеумен кезең-кезеңмен шығару) біріктіреді.
CD мақсаттары:- Time-to-Market пен өзгерістердің құнын қысқарту.
- Үлкен релиздер тәуекелін азайту: кішкентай партиялар → себебін табу және сырғыту оңай.
- Сапа тәртібін келтіру: «әрбір коммит - әлеуетті азық-түлік».
2) Базалық қағидаттар
Шағын инкременттер. Қысқа фиче-бұтақтар, жылдам ревью, агрессивті мерджинг.
Құрастырудың детерминділігі. Қайталанатын билд-орталар, lock-файлдар, hermetic builds.
Shift-left-сапасы. Интеграцияға дейінгі линтерлер, статикалық талдау, юнит/келісімшарттық тестілер.
Production-like қоршаған ортасы. Бірдей конфигалар, vault арқылы құпиялар, деректер - синтетикалық/иесіз.
Бүкіл жолды автоматтандыру. Коммиттен трафикті маршруттауға және кері қайтаруға дейін.
Әдепкі бақылау. Метрика, логия, трассировка, алерта - Definition of Done-дің бір бөлігі ретінде.
Қауіпсіздік-by-design. SAST/DAST, SCA, қол қойылған артефактілер, саясатты тексеру.
3) CD пайплайнының эталондық сәулеті
1. Trigger: «prod-eligible» деп белгіленген VCS (push/merge) оқиғасы.
2. Build: артефактіні құрастыру (сурет, пакет), SBOM, қолтаңба (Sigstore/Cosign).
3. Test Fast: линт/юнит/келісімшарттық; жылдам feedback (<5-10 мин).
4. Test Deep (параллельде): интеграциялық, E2E, жүктемелік «бейін бойынша», стейджердегі хаос-сынамалар.
5. Security Gate: SAST/DAST/SCA, құпияларды тексеру, саясатты тексеру (OPA/Conftest/Kyverno).
6. Compliance Gate: SoD/4-көз қажет болғанда, талаптардың трассалануы, чек парақтары.
7. Promote: артефактіні орта арқылы бір билд ретінде жылжыту (dev → stage → prod).
8. Deploy Strategy: blue-green / canary / progressive + feature flags.
9. Post-Deploy Verification: auto-health, SLO/SLA, аллергия, деградация кезіндегі авто-роллбек.
10. Audit & Evidence: артефакттар, логтар, тексеру хаттамалары - өзгермейтін қоймада.
4) Релиздер стратегиялары
Blue-Green: екі прод-стенд (Blue = ағымдағы, Green = жаңа), бағыттауды атомарлық қайта қосу. Оған қоса - бірден қайту. Минус - қос инфрақұрылым.
Canary: автоматты SLO-гейтпен трафикті порциялы іске қосу (1% → 5% → 25% → 100%).
Progressive Delivery: мақсатты когорттар (өңір, провайдер, VIP-сегмент), зақымдану радиусының лимиті.
Feature Flags: «ажыратылған» кодты жеткізу, пайдаланушылар/кохорттар бойынша қосу. Міндетті: «flag lifecycle» саясаты.
5) Тестілеу және сапа
Келісімшарттық тесттер және consumer-driven contracts микросервистердің тәуелсіз релиздері үшін.
Нақты үлгілер бойынша жүктеме профильдері (RPS, p95/p99, ашық/жабық модельдер).
БД көші-қон тестілері: тікелей/кері қайтарылатын, екі нұсқаның үйлесімділігі (expand → contract).
Chaos/Resilience-сынамалары: тәуелділіктерді ажырату, желілік кідірістер, ресурстар лимиттері.
Пайдаланушыға жақын нүктелерден шығарудан кейінгі тексеру (smoke + synthetic).
6) Қауіпсіздік және комплаенс CD
Артефактілердің қолы, provenance, SBOM. Шығу тегін қадағалаймыз, «supply chain» тәуекелдерін жоққа шығарамыз.
Policy-as-Code: өнімге тек сенімді тізілімдегі, сканерден өткен бейнелерді ғана жібереміз.
Құпиялар: short-lived токендер, ротацияланатын кілттер, KMS; гит құпияларына тыйым салу.
Міндеттерді бөлу (SoD): әзірлеу ≠ прод-қол жеткізу; барлық операциялар - пайплайн арқылы.
Аудит-ізі: өзгермейтін релиздер логы, кім/не/қашан; реттеуіш бойынша N жыл сақтау.
7) Өзгерістерді басқару және тәуекел-бақылау
Change Types: стандартты (толық автоматты), қалыпты (авто + мақұлдау), шұғыл (жеделдетілген терезе + пост-mortem).
CAB-минимализм: CAB өзгерген тәуекелдер мен инфрақұрылымдық «бұзатын» апдейттер үшін, қалғаны - автоматты сапа гейттері арқылы.
Risk Matrix: әсер × ықтималдық → стратегияны таңдау (canary тереңірек, жалаулар, қосымша мониторинг).
Runbooks & Playbooks: шығарудың және қайтарудың әрбір түріне арналған нақты нұсқаулықтар.
8) Бақылау, SLO және авто-роллбек
Алтын сигналдар: жасырындылық, қателер, қанығу, трафик; бизнес-метрика (конверсия, депозит, төлемдердің табысы).
Guardrails: егер р95> табалдырық, error rate ↑, бизнес-метрика ↓ - авто-тоқта/кері шегініс.
Release Dashboards: виджеттер: нұсқасы → метрика → жалаулар → канареялық трафик үлестері.
Алерттар: шуды азайту деңгейлері, on-call ротациясы, инцидент-менеджментпен байланыс.
9) CD өлшемдері
DORA-метриктер: деплойлардың жиілігі, lead time for changes, MTTR, сәтсіз релиздердің үлесі.
Когорттарда Change-failure-rate (провайдер, өңір, құрылғы бойынша).
Гейттердің өту уақыты: мұнда «тар жерлер» (security scan, интеграциялық тестілер).
Cost-to-Release: терезе минутының құны, стратегиялардың инфрақұрылымдық үстеме бағасы (blue-green vs canary).
10) Кері шегініс үлгілері және үйлесімділігі
Авто-роллбек: маршруттау (traffic switch) және/немесе нұсқалау (K8s rollout undo) деңгейінде.
БД-көші-қон: expand-migrate-contract стратегиясы, фича-жалаушалар қол жетімсіз өрістерді жасырады.
Idempotency & Exactly-once-like: кезектер/төлемдер үшін - біртұтастық кілттері, дедупликация.
Back-pressure және graceful degradation: деградация кезінде - жұмыс істемейтін фичтерді өшіру.
11) Қоршаған ортаның практикалық моделі
GitOps-тәсілі: мақсатты күйі гитада сақталады, контроллер манифесттерді қолданады.
Environments: 'dev' (тез және лас), 'stage' (прод-like, хаос-сынамалар), 'prod-A/B' (blue-green) немесе 'prod' canary-пулдары бар.
Деректерді оқшаулау: деректер ретінде конфигтер, бейнеден тыс құпиялар, жеке есептер/лимиттер.
12) Процестер мен рөлдер
RACI: Сәулетші (саясаткерлер), Платформалық команда (пайплайн, кластер), Өнім командалары (тесттер/жалаулар), Қауіпсіздік (саясаткерлер/сканерлер), SRE (SLO/сенімділік).
ChatOps: PR-боттардағы релиздер, «/promote », «/rollback» мәртебелерінің көрінуі.
SOP: шығарылым чек-парақтары, post-release review, «aging» жалауларын бақылау.
13) Жоғары реттелетін домендер үшін ерекшеліктер (мысалы, iGaming/финтех)
Трассалануы: талап → тикет → PR → билд → артефакт → орта → аудит журналы.
Geo-release: елдер/юрисдикциялар бойынша, төлемдердің жергілікті конфигурациясы/АКҚ.
Антифрод/тәуекел-қозғалтқыштар: канареялық трафик-пулдар, false-positive/negative мониторингі.
KYC/AML/жауапты ойын: пайдаланушы әсерінің міндетті мониторингі бар жалаулар арқылы фичтер шығару.
14) Жиі қарсы үлгілер
Кезеңдер арасындағы қол қадамдары («қолмен артефакт әкелді»).
«Сұр жалаулар» иесіз және өмір сүру мерзімінсіз.
Келісім-шарттардың орнына бір жалпы «қалың» интеграциялық тест.
Қайтарылатын көші-қонның болмауы ДБ.
Деплойдан кейінгі қауіпсіздік сканері, дейін емес.
15) CD-ге дайындық шағын чек парағы
- Детерминирленген билд; артефактіге қол қойылған; SBOM бар.
- E2E арналған келісімшарттық тестілер мен фикстуралар.
- Security/Compliance-гейттер код ретінде; құпиялар - vault арқылы.
- Бақылау қабілеті: логи/метрика/трейстер, релиздік дашбордтар, SLO-гейттер.
- Шығару стратегиясы: canary/blue-green + авто-роллбек.
- ДБ көші-қон рәсімдері (expand/contract).
- «жасаған → пайдаланған → жойған» саясаты бар feature flags.
- RACI/Runbooks/ChatOps интеграциясы.
16) Ағын мысалы (сценарий)
1. Merge в 'main' триггерит пайплайн.
2. Контейнерді жинау, қолтаңба, SBOM.
3. Линт/юнит/келісімшарттар → өтті.
4. SAST/SCA/құпия-сканер → «жасыл».
5. stage-дегі автоөнеркәсіп: E2E + хаос + профиль бойынша жүктеме.
6. Canary 1% өнімі, қателерді/жасырындылықты/бизнес-метриканы бақылау.
7. Жасыл гейт кезінде 25 %/50 %/100% дейін эскалация.
8. «Rollout-guard» жалауын автоматты түрде жабу, аудит артефактілерін жазу.
9. Post-release review, уақытша жалауларды жою.
17) Жиынтық
CD - бұл «деплой түймесі» емес, шағын, қауіпсіз және бақыланатын өзгерістер мәдениеті. Дұрыс саясаттармен және автоматтандырумен CD тәуекелдерді азайтады, құндылықтарды жеткізуді жылдамдатады және релиздерді оқиға емес, рутина етеді. Жоғары жүктемелі және реттелетін жүйелер үшін табысқа жетудің кілті - қатаң сапа гейттері, кезең-кезеңмен rollout, фича-жалаулар, әрбір қадамның бақылануы мен жаңғыртылуы.