Yayın Onay Süreci

1) Amaç ve sorumluluk alanı

Yayın onayı süreci, SLO, gelir ve uyumluluğu ihlal etmeden öngörülebilir ve güvenli platform değişiklikleri sağlar. Tüm yolu kapsar: çekme isteğinden tam promosyona, prod ve post-monitorizasyona.

2) İlkeler

1. SLO-first: serbest bırakma yalnızca yeşil SLI/yanma oranı olmadan izin verilir.
2. Küçük partiler ve tersinirlik: kanarya/aşamalı teslimat, hızlı geri dönüş.
3. Kod Olarak Politika: kapılar, SoD, pencereleri dondur ve risk sınıfları otomatik olarak doğrulanır.
4. Tek bir doğruluk kaynağı: artifacts/configs/flags - Git'te çevre GitOps-reconniler tarafından verilir.
5. Denetim ve kanıtlanabilirlik: WORM günlükleri, karar izi, açık sahipler.
6. Varsayılan olarak güvenlik: ayrı ayrı sırlar, minimum ayrıcalıklar, coğrafi kapılar.
7. Sürprizsiz iletişim: Dahili/harici güncellemeler için hazırlanmış şablonlar.

3) Roller ve RACI

Release Manager (RM) - boru hattı sahibi, takvim, kapılar. A/R

Hizmet Sahibi (SO) - etki alanı sahibi, riski kabul eder, eserler hazırlar. A/R

SRE/Platform - SLO kapıları, çıkışlar, otomatik geri dönüşler. R

QA Lead - denetim stratejisi, test sonuçları. R

Güvenlik/Uyumluluk - taramalar, SoD, düzenleyici. C/A

CAB (Değişim Danışma Kurulu) - Normal sınıf çözüm. A

Çağrı IC/CL - olay ve iletişim için hazır. R/C

Paydaşlar (Biz/Destek/Ortaklar) - bilgilendirme. BEN

4) Sınıfları ve onay yollarını değiştirme

Sınıf	Örnekler	Onay yolu	Şartlar
Standart	Güvenli, şablon (rıhtımlar, invaziv olmayan yapılandırmalar)	Otomatik kapılar + bildirim sonrası	Saatler
Normal	Yeni özellikler, geçiş ile veritabanı diyagramları, PSP yönlendirme değişiklikleri	Kapılar + CAB + Aşamalı Teslimat	1-3 gün
Acil durum	Sıcak P1 Düzeltmeleri, Tehlikeli Özellik/PII İhracat Kapalı	IC/RM kararı + post-factum CAB	Dakika-saat

Yükseltme - risk sınırlarını geçerken (ödemeler, RG, PII, limitler).

5) Boru hattını ve kapıları serbest bırakın (uçtan uca akış)

Aşama 0. Zamanlama ve Takvim

Freeze-windows (tatiller/maçlar), slot on-call ve CL, durum şablonları hazır.

Aşama 1. PR> Yapı

Linters/lisanslar, SBOM, birim/sözleşme testleri, gizli tarama.

Aşama 2. Entegrasyon/Güvenlik

E2E (sanallaştırılmış PSP/KYC sağlayıcıları), SAST/DAST, bağımlılık incelemesi.

Aşama 3. Sahneleme/prova

Satışlarla parite, tersinirlik ile geçiş, phicheflags %5-25, kontrol listesi "release drill".

Kapı A - Kalite ve güvenlik (gerekli)

+ tüm testler/taramalar yeşil

+ şemalar/yapılandırmalar geçerli, "kırmızı" SLI evreleme yok

+ Yüksek riskli değişiklikler için SoD/4-eyes

Aşama 4. Üretim öncesi (kanarya teslimatı)

Segmentine göre %1-5 trafik (kiracı/geo/banka), çalışma zamanı doğrulayıcıları, korkuluklar.

B Kapısı - SLO/İş Kapısı

+ SLO/KRI bozulması yok (gecikme/hata/ödeme)

+ Deney metriklerinde SRM/anomaliler yok

+ İletişim hazır: taslak durum/ortaklar

Aşama 5. Rampa - %25 - %100 (bölge/kiracı)

İzleme sonrası zamanlayıcılarla sıra tabanlı tanıtım.

Aşama 6. İzleme sonrası (30-60 dk)

Dashboard, burn-rate, şikayet/bilet, ihlal durumunda otomatik kapatma/geri alma.

6) Otomatik çözümler (politika motoru)

Sözde kurallar:

SLO- гейт: "Deny promote if slo_red in {auth_success, bet_settle_p99}'
PII-export: 'config ise dual_control gerektirir. Etkiler = = "PII_EXPORT"'
Freeze: 'Eğer takvimse dağıtımını reddet. & dondur & acil değil '
Geri alma: 'auto if auth_success_drop> 10 % for 10m in geo = T'

7) Eserleri serbest bırakın

Release Manifest (gerekli): hedef, risk sınıfı, bölgeler (kiracı/bölge), bayraklar, geçişler, haddeleme planı, geri alma planı, sahibi, çağrı üzerine kişiler.
Kanıt Paketi: test sonuçları/taramalar, evreleme panolarının ekran görüntüleri, kuru çalışma geçişleri.
İletişim Kiti: durum şablonları (dahili/harici/ortaklar), ETA/ETR.
Backout Planı - geri alma işleminin tam adımları ve tetiklendiği kriterler.

Örnek (YAML sıkma):

yaml release:
id: "2025. 11. 01-payments-v42"
owner: "Payments SO"
risk_class: "normal"
scope: { tenants: ["brandA","brandB"], regions: ["EU"] }
rollout:
steps:
- { coverage: "5%", duration: "20m" }
- { coverage: "25%", duration: "40m" }
- { coverage: "100%" }
migrations:
- id: "ledger_ddl_0042"
reversible: true flags:
- id: "deposit. flow. v3"
guardrails: ["api_error_rate<1. 5%","latency_p99<2s"]
rollback:
autoIf:
- metric: "auth_success_rate"
where: "geo=TR"
condition: "drop>10% for 10m"

8) Kanarya/Mavi-Yeşil/Özellik-Bayrak haddeleme

Kanarya - güvenli varsayılan: küçük kapsama alanı, GEO/kiracı/BIN ile segmentasyon.
Mavi-Yeşil - ağır değişiklikler için: rota değiştirme, hızlı geri alma.
Bayraklar - davranışsal özellikler için: TTL, kill-switch, korkuluklar, SoD.

9) Yapılandırmaların ve sırların yönetimi

Veri, devreler ve doğrulayıcılar olarak yapılandırır; Drift dedektörü ile GitOps tanıtımı.
Sırlar - KMS/Gizli Yönetici, JIT erişimi, denetim ve maskeleme.

10) İletişim ve durum sayfaları

Dahili: var-room/chat, on-call notification, güncelleme şablonları.
Dış: sadece CL, önceden hazırlanmış taslaklar aracılığıyla yayınlar.
İş Ortakları (PSP/KYC/studios): Entegrasyonlar etkilendiğinde hedeflenen bildirimler.
Durum: Sürüm bir olay değildir, ancak metrikleri olan bir izleme penceresine sahiptir.

11) Acil durum bültenleri (Acil durum)

Tetikleyiciler: P1 bozulması, güvenlik açığı, PII/RG riskleri.
Yol: IC + RM çözümü - minimum kapı seti (linter/montaj) - kanarya 1-2 % - izleme - promosyon.
Zorunlu: post-factum CAB, post-mortem ≤ D + 5, ödünlerin belgelenmesi.

12) Denetim, SoD ve Uyumluluk

SoD/4-eyes: PSP yönlendirmesindeki değişiklikler, bonus limitleri, veri aktarımı.
WORM-journal: kim/ne/ne/ne zaman/neden; Politika versiyonları; diff release/flags/configs.
Geo/Gizlilik: istenen yargı alanındaki veriler ve günlükler; Eserlerde PII yokluğu.

13) Gözlemlenebilirlik ve kontrol sonrası

Yayın panosu: SLI (auth-success, bet - settle p99), hata oranı, şikayetler, dönüşüm, kuyruk gecikmeleri.
Uyarılar: yanık oranı, SRM, 5xx büyüme, bankalar/GEO tarafından PSP bozulması.
Raporlar: CFR, MTTR serbest bırakma olayları, ortalama izleme sonrası süre, otomatik geri alma oranı.

14) Süreç KPI/KRI

Değişim için Lead Time (PR), Değişim Hatası Oranı, MTTR serbest bırakma olayları.
SLO-gates geçiş oranı, Otomatik geri alma oranı, Freeze uyumluluğu.
Serbest Bırakma Tatbikatının Kapsamı (sahne provaları), SoD ihlalleri (gol - 0).
Comms SLA (taslakların kullanılabilirliği, zamanlamalara bağlılık).

15) Uygulama Yol Haritası (6-10 hafta)

Ned. 1-2: değişim sınıflarını, kapıları ve eserleri tanımlayın; Linters, SBOM, gizli tarama etkinleştirin; Takvimi serbest bırak ve dondur.
Ned. 3-4: Yapılandırmalar için GitOps, kanarya/mavi-yeşil, SLO kapıları, Comms şablonları ve var odası.
Ned. 5-6: politika motoru (SoD/4-eyes, risk kuralları), metriklere göre otomatik geri alma; pano bültenleri.
Ned. 7-8: provalar (sahneleme tatbikatları), phicheflags/incident-bot ile entegrasyon, KPI/KRI raporları.
Ned. 9-10: WORM denetimi, DR matkaplarını serbest bırakma, CFR optimizasyonu, rol eğitimi (RM/SO/CL/IC).

16) Antipatterns

Reversibility ve kanarya olmadan Bültenleri - kitlesel olaylar.
"Son tarih uğruna" SLO-kapılarını görmezden gelin.
Devresiz yapılandırmalar/bayraklar ve TTL - "donmuş" durumlar.
Git/denetim olmadan satışlarda manuel tıklamalar.
CL rolü ve şablonları olmadan genel güncellemeler.
Arşivdeki sırlar; JIT ve kayıt olmadan erişim.
Veri içermeyen bir fren olarak CAB: kararlar serbest bırakma metrikleriyle desteklenmelidir.

Toplam

Sürüm onay süreci, kalite, güvenlik ve hızı birbirine bağlayan bir mühendislik ve yönetim çerçevesidir: kod, SLO kapıları, aşamalı teslimat, şeffaf iletişim ve kanıtlanabilir denetim gibi politikalar. Bu yaklaşım CFR ve MTTR'yi azaltır, geliri ve uyumluluğu korur ve ekiplerin sık ve güvenli bir şekilde değer yayınlamasını sağlar.