Feature Flags和幻想發布

Feature Flag （FF）是一種受控條件,它啟用/關閉系統行為而無需發布代碼。標誌允許：安全地推出菲奇,針對用戶/市場/tenant組,快速禁用有問題的組件,進行實驗,並在隨機時配置參數。

• 在發布時降低blast radius。
• 將部署和激活分開。
• 通過審核、SLO和「一鍵回滾」提供透明的變更管理。

1）國旗的類型以及何時使用

Release flags-分階段包含新仙女（dark → canary → ramp-up → 100％）。
Ops/kill-switch-即時斷開依賴關系（提供程序、子系統、重型計算）。
實驗（A/B, multi-variant）-將流量劃分為變體（權重、緊縮）。
Permission/Entitlement-按角色/計劃/司法管轄區訪問釣魚。
Remote Config-標誌/config中的行為參數（閾值、定時、公式）。
Migration flags-電路/數據路徑切換（移至新索引/DB/端口）。

反模式：相同的「關於一切」標誌-粉碎在前線，復卷軸和參數上。

2）標誌數據模型（最小值）

yaml flag:
key: "catalog. new_ranker"
type: "release"    # release      ops      kill      experiment      permission      config     migration description: "New Directory Ranking"
owner: "search-team@company"
created_at: "2025-10-01T10:00:00Z"
ttl: "2026-01-31" # delete deadline after 100% enable rules:
- when:
tenant_id: ["brand_eu","brand_latam"]
region: ["EE","BR"]
user_pct: 10 # progressive percentage then: "on"
- when:
kyc_tier: ["unverified"]
then: "off"
variants: # for experiments
- name: "control"; weight: 50
- name: "v1"; weight: 30
- name: "v2"; weight: 20 payload:
v1:
boost_freshness: 0. 3 boost_jackpot:  0. 2 v2:
boost_freshness: 0. 2 boost_jackpot:  0. 4 prerequisites: # dependent flags/schema versions
- key: "catalog. index_v2_ready"
must_be: "on"
audit:
require_ticket: true change_window: "09:00-19:00 Europe/Kyiv"
safeguards:
max_rollout_pct: 50 # stop threshold auto_rollback_on:
p95_ms: ">200"
error_rate: ">2%"

3）評估和定位（評估）

Ключи таргетинга: `tenant_id, region/licence, currency, channel, locale, role, plan, device, user_id, cohort, kyc_tier, experiment_bucket`.

評分順序：先前的→ deny規則→ allow規則→默認。
Sticky bucketing：對於實驗，哈希穩定標識符（例如「hash（user_id，flag_key）」）-讓用戶始終收到一個選項。

ts result = evaluate(flag, context)  // pure function if (!prereqs_ok(result)) return OFF if (deny_match(result, ctx)) return OFF if (allow_match(result, ctx)) return resolve_variant_or_on(result, ctx)
return flag. default

4） FF分配和體系結構

• 服務器側SDK（建議）：後端的真實來源和緩存；邏輯統一。
• Edge/CDN評估：在外圍快速定位（沒有PII/秘密）。
• Client-side SDK：當需要UI個性化時,但是-只有極少的上下文且沒有敏感規則。
• Config-as-Code：將旗幟存儲在存儲庫中，CI驗證，通過CD滾動。

• Startup bootstrap+streaming updates （SSE/gRPC）+fallback to last snapshot。
• Flags的SLA 「freshness」：p95 ≤ 5。

5）發布策略

5.1 Dark Launch

啟用了Ficha，但用戶看不見；收集指標和錯誤。

5.2 Canary

在一個司法管轄區/tenant中包含1-5％的流量；監視p95/p99，錯誤，轉換。
Stop conditions-根據度量標準自動觸發器的閾值觸發器。

5.3 Progressive Rollout

10％→ 25％→ 50％→ 100％的手動/自動驗證時間表。

5.4 Shadow / Mirroring

將查詢重復到新路徑（沒有可見效果），並比較結果/潛伏期。

5.5 Blue/Green + FF

我們展開兩個版本。標誌通過流量滾動並按段切換約束。

6）依賴性和跨服務一致性

使用prerequisites和「健康標誌」準備就緒：索引構建,遷移完成。
通過事件進行協調：「FlagChanged（flag_key，scope，new_state）」。

1.啟用read路徑→ 2）檢查度量→ 3）啟用write/side-effects。

• 服務合同：違約必須安全（失敗安全）。

7）可觀察性和SLO

• `flag_eval_p95_ms`, `errors_rate`, `config_freshness_ms`.
• 業務指標：'ctr'，'conversion'，'ARPU'，'retention'，guardrails（例如RG事件）。
• 自動變頻器的自動SLO閾值。

Logi/Tracing：添加「flag_key」、「variant」、「decision_source」 （服務器/edge/client）、「context_hash」。

Dashbords：帶有閾值的「樓梯」滾動，按段排列錯誤。

8）安全和合規性

上下文中的PII最小化。
RLS/ACL：誰可以更改哪些標誌（跨域/市場）。
更改時鐘窗口（change windows）和敏感標誌的「雙重確認」。
不變審計：何人/何時/何時/為什麼（ticket/incident link）。
司法管轄區：旗幟不應繞過監管禁令（例如，在被禁止的國家包括遊戲）。

9）管理「長壽」旗幟

每個標誌都有TTL/刪除日期。
100%啟用後-創建一個任務以刪除代碼分支,否則將增加標記-債務。
將標誌標記為「migration」/「one-time」，將它們與永久的「permission/config」分開。

10）合同API/SDK示例

Evaluation API (server-side)

http
POST /v1/flags/evaluate
Headers: X-Tenant: brand_eu
Body: { "keys":["catalog. new_ranker","rgs. killswitch"], "context": { "user_id":"u42", "region":"EE" } }
→ 200
{
"catalog. new_ranker": { "on": true, "variant":"v1", "as_of":"2025-10-31T12:10:02Z" },
"rgs. killswitch":  { "on": false, "variant":null, "as_of":"2025-10-31T12:10:02Z" }
}

Client SDK (кэш, fallback)

ts const ff = await sdk. getSnapshot()     // bootstrap const on = ff. isOn("catalog. new_ranker", ctx)
const payload = ff. payload("catalog. new_ranker", "v1")

11）與其他路徑的交互

比例限制/配額：在事件發生時，旗幟可能會降低RPS/包括旋轉。
電路斷路器/斷路器：kill-switchi禁用重軌並包括降級。
目錄/個性化：標誌更改權重/排名規則（通過Remote Config）。
DB遷移：標誌分階段將讀/寫轉換為新模式（read-replica → dual-write → write-primary）。

12）花花公子（runbooks）

1.包括後事件25%

Autocatof為所有/細分市場工作了→個OFF標誌，在呼叫中滴答作響，收集雕像，RCA。
通過遷移標誌暫時啟用降級/舊分支。

2.按目錄分列的p95增長

閾值'p95_ms> 200'是自動觸發器；用'flag_key=catalog捕捉日誌。new_ranker`.

啟用簡化的排名信號（payload config）。

3.管轄權不匹配

Permission標誌錯誤地在「NL」-OFF+事實審核中打開了遊戲，並添加了「region deny」守衛規則。

4.A/B中的方差

停止實驗，執行CUPED/stratified分析，重新調整權重。

13）測試

單位：確定性地評估規則/優先事項/預告。

合同： 標誌圖（JSON/YAML）,驗證器,CI驗證,merge之前.

基於物業：「deny> allow」，「most specific wins」，穩定擊球。
Replay：在新配置上播放實際上下文。
E2E：金絲雀腳本（step-up/step-down）、自動靜態檢查和審計事件。
混亂：流媒體破裂，過時的狙擊，大規模的旗幟更新。

14）典型錯誤

客戶端標誌中的秘密邏輯（泄漏/替換）。
缺少TTL →代碼中的旗幟「墓地」。
沒有分割的「通用」標誌→無法本地化問題。
沒有guardrails/autocatophs-手動事件。
標誌之間不兼容的依賴關系→循環/旋轉。
在沒有緩存的情況下評估每個請求中的標誌→潛伏期激增。
沒有審計/更改窗口-合並風險。

15）售前支票清單

• 國旗的創建具有類型，所有者，描述，TTL和字幕要求。
• 目標規則定義；「deny」指不需要的區域/角色。
• 確定性堅韌不拔；選擇的標識符是一致的。
• 預告片和衛生標誌已準備就緒；默認是安全的。
• Dashbords和Alerta在p95/p99，error_rate，商業護欄上。
• Autocatoff定制；停止閾值滾動和回滾條件。
• 金絲雀計劃：利息/階段/變更窗口/責任。
• Configs在CI中得到驗證；狙擊手分布在集群/地區。
• 支持/產品文檔；事件的花花公子。
• 100%後刪除代碼分支和標誌本身的計劃。

16）「遷移」標誌示例（DB/索引）

yaml flag:
key: "search. use_index_v2"
type: "migration"
description: "Switching reads to index v2"
prerequisites:
- key: "search. index_v2_built"
must_be: "on"
rules:
- when: { tenant_id: ["brand_eu"], user_pct: 5 } then: "on"
- when: { tenant_id: ["brand_eu"], user_pct: 25 } then: "on"
safeguards:
auto_rollback_on:
search_p95_ms: ">180"
error_rate: ">1%"
ttl: "2026-02-01"

結論

Feature Flags不僅是「打開/關閉」，而且是變更風險管理的學科。清晰的標誌類型，確定性的目標，帶有guardrails，autocatoff，審核和刪除計劃的漸進式布局使發布變得可預測，並且事件簡短且可控制。將標誌作為第一類公民嵌入體系結構-您可以更頻繁，更安全，更有意義地傳遞價值。