Feature Flags和版本管理

Feature Flags和版本管理

1）如果有發行版，為什麼要懸掛旗幟？

• 發行速度和安全性：小插件+即時回滾。
• 病變半徑控制：漸進式滾動，環，SLO塞。
• 實驗和A/B：多戰標記，效果統計。
• 操作場景：用於風險支付/遊戲路徑的殺手開關。

關鍵原則：「ship dark，enable bright」-提前交付，有意識地打開。

2）國旗類型

Boolean：打開/關閉fichi，緊急停車標誌（kill-switch）。
多重性：行為選擇（算法A/B/C，限制，系數）。
Config/Remote Config：參數（時間戳、投註限制、獎金大小）。
Permission/Entitlement： 按角色/tiers訪問功能/限制。
操作：流量路由（影子查詢,啟用新服務）。

3）體系結構和數據流

控制平面：控制臺/標誌服務器、規則/段存儲、審核。
數據平面（SDK/Proxy/Edge）：接收和懸掛標誌、評估本地（潛伏率最低）規則、在不可用時後退。

• Pull： SDK定期同步config （ETag/stream）。
• 推送/流：服務器正在推送更新（Server-Sent Events/WebSocket）。
• Edge Cache/Proxy：更接近用戶,減少p99。

• 本地規則評估（熱路徑中沒有網絡跳躍）。
• Taymauts和folbacks（沒有「阻止」國旗閱讀）。
• 簽名/翻新configs snapshot。

4）定向和細分

屬性：國家/地區，語言，平臺，KYC級別，VIP級別，風險等級，帳戶年齡，付款方法，責任遊戲限制。
片段：保留的版本規則；「軟」（營銷）和「硬」（合規性）。
優先級/沖突：明確規則順序，禁止在沒有測試的情況下進行「最後匹配」。
地理/監管：跨轄區產品可用性復選框；不可變謂詞（例如，禁止特定國家/地區的獎金）。

json
{
"flag": "new_withdrawal_flow",
"default": false,
"rules": [
{"when": {"country": "CA", "kyc_level": "FULL"}, "rollout": 25},
{"when": {"segment": "vip_tier_3_plus"}, "rollout": 100},
{"when": {"country": "DE"}, "force": false}
],
"expiresAt": "2026-03-31T00:00:00Z"
}

5）漸進式滾動： 策略

金絲雀%：1% → 5% → 25% → 50% → 100%與SLO的自動停靠。
Rings：內部團隊→ Beta用戶→一個地區在全球範圍內→。
按設備/客戶端進行采樣：計入穩定性（哈希ID）。
影子交通：將請求復制到新路徑而不會影響用戶。
黑暗啟動：包括但不明顯（收集指標，加熱緩存）。

• 在10分鐘內惡化p95潛伏期API 「withdraw」>+15％。
• 錯誤5xx> 0。5%或支付提供商故障增加>+0。3個百分點。
• Alert Froda/風險評分高於細分市場的閾值。

6） Kill-switch（緊急標誌）

SRE/On-Call可見的單獨標誌類別。
保證使用TTL鍵進行本地評估（毫秒）。
不退款停機：require reason+postmortem ticket。
集成的自動操作：關閉獎金,將付款轉換為手動模式,禁止X提供商的存款。

7）與CI/CD和GitOps的集成

CI：通過匿名樣本驗證標誌方案，規則線，「幹運行」目標。
CD：宣傳國旗作為文物（semver），敏感國旗（付款/合規性）的「approval gates」。
GitOps：在單獨的config存儲庫中的標誌,merge recvest=更改事件,「開箱即用」審核。

8）安全和合規性

RBAC/ABAC：誰可以創建/啟用/提高百分比；職責分工（開發人員≠生產者≠產品所有者）。
審計：誰/何時/何時/為什麼；理由（ticket/JIRA），與事件匹配。
PII最小化：定向的屬性通過經絡匿名/散列。
snapshot簽名：在SDK/Proxy上驗證完整性。
糖果交付的SLA：降級為「安全違約」。

9）可觀察性和指標

• 標誌傳播時間（p50/p95），本地腰果的命中率，更新頻率。
• 活動標誌/過時/」懸掛」的數量（未按時刪除）。
• SLO保護器：潛伏期,錯誤,轉換,提供商的穩定性。

• DORA：報銷頻率，報廢前時間，報廢後故障百分比，MTTR。
• A/B指標：CR，ARPPU，LTV信號，對額定得分的影響。

10）國旗生命周期

1.設計：目標/指標/所有者/有效期（'expiresAt'），回滾腳本。
2.實現：SDK呼叫，後退，「曝光「/」決策」遙測。
3.Rollout：漸進式進站+SLO門。
4.Stabilize：提交效果,更新文檔/例程。
5.清除：刪除代碼分支、關閉標誌、審核「殘余」。

11）實施示例

11.1 Web/Node。js

ts
// Инициализация SDK (псевдо)
const flags = await sdk.init({ sdkKey: process.env.FLAGS_KEY, user: { id: userIdHash, country, vipTier } });

// Не блокировать рендер:
const showNewCashout = flags.bool("new_withdrawal_flow", false);

if (showNewCashout) {
renderNewFlow();
} else {
renderClassic();
}

11.2 Kotlin / JVM

kotlin val client = FlagsClient(sdkKey = System.getenv("FLAGS_KEY"))
val context = UserContext(id = userHash, country = country, kycLevel = kyc)
val enabled = client.getBoolean("risk_guard_withdrawals", default = true, context = context)
if (!enabled) {
// аварийный режим: все выводы в manual review routeToManual()
}

11.3 NGINX（通過地圖進行外部連接）

nginx map $http_x_feature $cashout_new {
default 0;
"~enabled" 1;
}

location /withdraw {
if ($cashout_new) { proxy_pass http://new_flow; }
if (!$cashout_new) { proxy_pass http://classic_flow; }
}

12）風險管理和漸進步驟

包括步驟：1％的員工→ 5％的「beta」 → 10％的RU → 25％的EU → 100％，但DE（監管機構）除外。
限制器：最大1步/30分鐘；每個窗口15分鐘的指標穩定性要求。
自動停止：平臺級別的政策（請參見下面的OPA）。

rego package flags.guard

deny[msg] {
input.flag == "new_withdrawal_flow"
input.metrics["withdraw_5xx_rate"] > 0.5 msg:= "Stop rollout: withdraw 5xx too high"
}

13）訪問控制和批準

Change Types：標準（安全）vs敏感（付款/付款/限額）。
Approvals：產品所有者+技術。負責+合規性（適用於司法管轄區）。
時間窗口（freeze）：禁止在高風險時期（黃金時段、大型賽事）進行夾具/擴展。

14）實驗和統計

Exposure events（曝光事件）：我們用屬性來構造標誌解決方案。
分析：當前滾動值、段、轉換效果/誤差。
統計檢查：正確分離,控制協變量（設備/地質）。
倫理和監管：避免地方法律限制的分割。

15）反模式

代碼中沒有「expiresAt」（「分支墓地」）的長壽旗幟。
在熱路徑中阻止SDK網絡調用。
根據PII進行過多的定位，沒有屬性匿名。
啟用，沒有SLO保安/自動停止。
對於高風險流（存款/收款/獎金）沒有殺手開關。
未經審核和證明的「秘密」手動旗幟編輯。

16）實施清單（0-60-90）

0-30天

選擇標誌平臺/準備主機（SDK、proxy、kesh）。
輸入電路（「flag」，「owner」，「purpose」，「expiresAt」，「risk_level」）。
將SLO指標連接到平臺（關鍵API的潛在性/錯誤）。

31-60天

在敏感標誌上添加approvals，OPA警衛。
自定義漸進策略（percent/rings）,殺手開關面板。
在CI 中嵌入國旗方案linter；開始清理第一個「掛起」。

61-90天

與GitOps完全集成（MR標記編輯、審核）。
視覺dashbords：coverage SDK，發行時間，％kesh命中。
常規「Flag Debt Day」：刪除代碼並關閉旗幟。

17）成熟度量

技術：p95接受配置<5 c；cache hit-rate SDK> 95%；使用'expiresAt'> 90%的標誌百分比。
過程：100％帶有前瞻性的敏感旗幟；「回滾前平均時間」<3分鐘。
代碼衛生：全球包容後30天內封閉旗幟的比例>80%。
業務效果：改進DORA（發布頻率↑, MTTR ↓）,減少發布事件。

18）應用程序： 模板和策略

國旗方案（YAML）

yaml flag: new_withdrawal_flow owner: payments-team risk_level: high purpose: "Новый поток вывода средств"
expiresAt: "2026-03-31T00:00:00Z"
sla:
propagation_p95_ms: 3000 slo_guards:
withdraw_p95_ms_increase_pct: 15 withdraw_5xx_rate_pct: 0.5 approvals:
required: ["product_owner","tech_lead","compliance"]

「沒有永恒的旗幟」政策（林特的慣例）

yaml rules:
- check: expiresAt max_days_from_now: 180 action: error

事件的SDK合同（曝光）

json
{
"event": "flag_exposure",
"flag": "new_withdrawal_flow",
"variant": "on",
"userKey": "hash_abcdef",
"context": {"country":"CA","vipTier":"3"},
"traceId": "9f1c...a2",
"ts": 1730623200000
}

19）結論

Feature Flags是用於更改的「音量旋鈕」。連接漸進式夾雜物、SLO保護器、嚴格的審核和定期掃除,並在CI/CD和GitOps上懸掛標誌。結果，發布將變得頻繁，可管理且安全，並且事件風險是可預測和可控制的。