技術路線圖
1)任命和原則
路線圖描述了我們如何通過工程計劃以及何時交付來實現業務指標。
原則:- 輸出結果:目標由SLO/Business KPI(而不是任務數)測量。
- 價值流解構:平臺,付款,數據/BI/ML,安全/合規性,可靠性/可觀察性,DevEx/IDP。
- Horizon:H1(0-6個月)-運營;H2(6-18個月)-擴展;H3 (18歲以上)-研究/創新。
- Now/Next/Later和雙速策略:快速贏得+基本項目。
- 基於Evidence的:每個語句都是度量、實驗或審核。
2)路線圖框架(文物)
Vision/North Star: 1頁(SLO、目標市場、許可證)。
戰略支柱:規模,可靠性,安全性,交貨速度,經濟性。
具有季度增量功能的年度計劃組合。
OKR(company → domain → team)和SLO(p95/TTFB,時間到錢包,容錯性)。
依存目錄(監管機構,PSP/KYC提供商,後端/客戶端版本)。
風險登記冊和應對計劃。
RACI關於關鍵舉措。
發布日歷和凍結窗口。
剝奪政策和techdolg註冊表。
3)優先級: 如何選擇先做什麼
RICE(Reach,Impact,Confidence,Effort)-用於雜貨/平臺幻燈片。
WSJF(延遲成本/工作大小)-用於基礎架構和降低風險。
Guardrails:沒有可測量的KPI、專用所有者和向後兼容性計劃,我們不會觸發啟動。
4)流(value streams)和目標
4.1個平臺/基礎設施
目標:p95 API <1500 ms,自動滑行,金絲雀發行,DR RTO≤1ch/RPO≤5min。
成熟度:從「手動發布」到「策略即代碼+SLO自動響應」。
4.2付款/調查結果
目標:時間到錢包p95 ≤ 30 c,存款轉換增長+X%,容錯智能路由PSP。
4.3 數據/BI/ML
目標:單一活動合同,DWH+流媒體,反Frod-ML,產品分析師。
4.4安全/合規性
目標:PCI/GDPR就緒性,SBOM+簽名,「無人行道」,PAM/SSO+MFA,eBPF/運行時檢測。
4.5可靠性/可觀察性
目標:錯誤預算≤ 1%,端到端OTel,對關鍵場景進行合成監控。
4.6 DevEx/IDP(開發平臺)
目標:TTFPR ≤ 1天,公關預覽環境,合同測試無處不在,模式目錄。
5)年度地圖範例(H1: 0-6個月,H2: 6-12個月)
H1 (Q1-Q2區)
Now (Q1):
IDP MVP:服務模板,基本的CI(lint+unit+build),預覽環境。
Observability 1.0:OTel,dashbords p95/5xx/DLQ,SLO警報。
Payments v1:2 PSP+failover, Idempotency-Key,簽名的webhooks。
安全核心:SSO+MFA,KMS,基本管理策略,每個法案的SBOM。
Next (Q2):
金絲雀/藍綠色,SLO自動售貨機。
Data Platform 1.0:一個事件總線,數據目錄,合同驗證。
Anti-fraud Signals 1.0(規則+ficheflagi)。
FinOps 1.0: showback,第一預算和配額。
H2 (Q3–Q4)
Now (Q3):
Smart-routing PSP по SLA/гео, Shadow traffic.
抗藥性:staging,DR擦傷的混沌測試。
Security 2.0:映像簽名+admission-enforce, SOAR花花公子。
Data 2.0:DWH+報告產品指標,ML得分(beta)。
Next (Q4):
按地區/特南特分列的ring-deployments。
Cost Guardrails: 自動關閉idle資源,rightsizing.
Compliance pack: PCI/GDPR工件、「evidence-first」審核跟蹤。
Platform UX: DevPortal 2.0, Golden Paths, Runbooks as Code.
6)年度OKR(示例)
O1:穩定性和速度:- KR1: p95 API < 1.5 c;KR2:MTTR <30分鐘;KR3:每天2 ≥發布的數量。
- KR1:+3個百分點存款轉換;KR2: Time-to-Wallet p95 ≤ 30с.
- KR1:100%的圖像簽名;KR2: 0 critical/High無例外>14天;KR3:− 占基礎設施開支/1 000 RPS的20%。
7)12個月供應計劃(模板)
8)團隊資源和組成
Матрица навыков: Platform (K8s/IaC), Payments (PSP/KYC/crypto), Data (Kafka/DWH/DBT), Security (IAM/PAM/SAST/DAST), SRE (SLO/OTel), DevEx (Backstage/CLI).
Capacity Plan:70%是地圖計劃,20%是支持/事件,10%是H3研究。
供應商:Build vs Buy標準(TCO、鎖定、速度、控制、合規)。
9)預算和FinOps
單位經濟學:歐元/1000 RPS, 歐元/TB-storage,歐元/德普洛伊。
預算SLO:服務/內部空間限制;偏差時的自動警報。
優化:rightsizing、spot/訂閱、緩存、冷庫、非高峰測試。
10)路線圖中的安全和合規性
內置「質量門」:SBOM,簽名,SAST/SCA,DAST,策略即代碼。
PCI/GDPR數據包:DPIA,令牌化,PAN區域細分,可審計日誌。
Q 3末尾的「沒有人」:PAM,會議記錄,「斷面」發布進行審核。
11)可觀察性和SLO
Единые service level indicators: latency p50/p95/p99, error-rate, saturation.
Business SLI:時間到錢包,存款轉換,KYC的拒絕份額。
錯誤預算控制發布速度:已用盡-專註於可靠性。
12)溝通與管理
頒獎典禮:每周公文包(PM+EM+RM),月度Steering,季度QBR。
文物:合並的OKR/SLO/預算,戰略決策變更板。
透明度:DevPortal帶有「活著」路線圖(Now/Next/Later,業主)。
13)風險和依賴(註冊表模板)
14)RACI(「金絲雀發行版」的示例)
Responsible: Release Manager, SRE
Accountable: Head of Platform
Consulted: Security Lead, QA Lead
Informed: Product/Support/Compliance
15)啟動計劃: 定義Ready/Done
DoR:所有者,目標指標,合同/計劃,設計碼頭,風險清單,回滾計劃。
國防部:測試綠色(unit/contract/integration/e2e),更新dashbords/alerts, runbook準備就緒,changelog發布,度量改進。
16)實驗,A/B和ficheflagi
任何產品/風險模型都是通過ficheflag,具有漸進式激活和影響遙測(轉換,後退,錯誤)。
實驗記錄在目錄中:假設→結果→解決方案。
17)剝奪政策和tehdalg
日落計劃:支持≥ 2個次要版本,遷移適配器,EOL日期。
Techdolg登記冊:風險/價值評估,季度「債務沖刺」。
18)路線圖成熟度清單
- 有Vision和5個戰略支柱。
- 具有可測量OKR/SLO的4季度投資組合。
- 統一優先權規則(RICE/WSJF)。
- 風險登記冊和成癮每周相關。
- RACI/所有者已指定,資源已確認。
- 該卡可在DevPortal中獲得,並與發行日歷同步。
- 剝離政策和techdolg註冊表均應保存。
- SLO/Error預算控制發行速度。
- FinOps-dashboard和預算門包括在內。
19)示例「Now/Next/Later」(DevPortal的視圖)
Now: IDP MVP, Observability 1.0、PSP v1 (2個提供商)、SSO+MFA+KMS。
Next: Canary, Data 1.0、智能路由、DR測試、映像簽名(enforce)。
後來: 戒指,PCI/GDPR審計,ML防凍評分,DevPortal 2。0.
簡短的結論
技術路線圖是企業與工程之間的活生生的合同。它將策略與可執行的季度步驟聯系起來,保持對結果(SLO,時間到錢包,轉換)的關註,平衡速度和風險,並產生透明度:誰,什麼時候,為什麼。遵循這種模式,您可以將擴展和合規性從威脅轉變為競爭優勢。