Пісочниці для експериментів
(Розділ: Операції та Управління)
1) Призначення та принципи
Пісочниця - це ізольоване середовище для безпечного проведення експериментів (фічі, конфіги, моделі, процеси) без ризику для прод-сервісу, грошей і персональних даних.
Принципи:- Типова ізоляція: мережі, дані, секрети, білінг.
- Відтворюваність: фікстури/сидірування, версії артефактів, детерміновані пайплайни.
- Етика та безпека: захист PII, guardrails і SoD.
- Спостережуваність: метрики/логи/трейси як в проді, але з позначкою середовища.
- Ефективність: швидкий підйом/знесення (ephemeral), кап на вартість.
2) Таксономія пісочниць
Dev Sandbox: локальна розробка + тестові ключі; Мінімальні дані.
Feature Sandbox (Preview): оточення на гілку/PR з власним URL, статичними фікстурами.
Integration Sandbox: повнофункціональний стенд з тестовими зовнішніми інтеграціями (PSP/KYC/провайдери контенту).
Data Science/ML Sandbox: доступ до анонімізованих зрізів, експеримент-трекер, регістри моделей/фіч.
Chaos/Resilience Sandbox: ін'єкції відмов, уповільнень, лімітів.
Partner Sandbox: ізольована вітрина та API для зовнішніх партнерів/тенантів з тестовими сертифікатами.
3) Архітектура та ізоляція
Мережеві периметри: окремі VPC/NSG, закриті підмережі, egress через шлюзи з allow-list.
Ідентичності та доступи: окремі IdP-групи/ролі для sandbox, JIT-права з коротким TTL.
Секрети: окремі сховища/неймспейси в Vault/KMS; заборона shared-секретів з prod.
Дані: «зони довіри» (public → synthetic → anonymized → masked replica). Прямий доступ до prod-PII заборонено.
Артефакти: реєстр образів/пакетів/конфігів з підписаними релізами (DSSE), семантичне версіонування.
4) Дані для експериментів
Синтетичні (генеративні профілі, розподілу близькі до бойових).
Анонімізовані (маскування/токенізація, k-анонімність, диф-приватність для агрегатів).
Фікстури (готові кейси: «виплата> ліміту», «невалідний KYC», «суперечка афіліату»).
Сиди/сценарії: детерміновані генератори з'seed _ id', каталог edge-кейсів.
Правила свіжості/TTL: термін життя наборів, заборона на ексфільтрацію.
5) Ephemeral-оточення
Автоматичний підйом середовища на PR/гілку (IaC), виділені домени/сертифікати.
Автознесення по TTL/мерджу; ліміти на CPU/RAM/egress, квоти сховища.
Автопрогрів фікстур/сидів; статус-панель для QA/продукту/партнерів.
Підписані снапшоти оточення для відтворюваності багів.
6) Експерименти: типи і методики
A/B/n и feature-flags: процентні розкатки, таргетинг за сегментами/регіонами.
Shadow-трафік: копія реальних запитів у пісочницю без побічних ефектів (write-drop).
Canary/Blue-Green: малий відсоток реального трафіку на експериментальний маршрут.
Chaos-ін'єкції: затримки, помилки, відмова залежності, «короткі» таймаути.
Датадрифт/моделі: backtesting, offline-метрики, online-guardrails.
7) Guardrails і етика
Політики-як-код: OPA/ABAC - де/якими даними можна користуватися.
Guardrails експериментів: межі латентності, error-rate, ліміти виплат/єгресу, заборона на маніпулятивні UX-патерни.
SoD: «запускає експеримент» ≠ «стверджує» ≠ «аналізує і приймає рішення».
Етика: прозорість для порушених користувачів (там, де доречно), повага до вразливих груп.
8) Спостережуваність і метрики
Трейси/метрики/логи з тегами: `{environment=sandbox, experiment_id, variant, seed_id}`.
SLI: доступність, p95, error-rate, коректність розрахунків, збіг quote↔checkout.
Experiment KPIs: конверсія, утримання, скарги, вартість/1k, egress.
Guardrails: негативні сигнали (зростання фроду/чарджбеків, RG-спрацьовування) - миттєва зупинка.
9) Вартість і FinOps
Квоти CPU/RAM/egress per-sandbox; бюджети/кап-альберти 80/90/100%.
Downsampling і термін зберігання метрик/логів; артефакти - в дешеві шари після T + N днів.
«Кнопка економії»: зупинити неактивні пісочниці, автоархів снапшотів.
10) Реєстр експериментів і відтворюваність
Experiment Registry: '{id, гіпотеза, власник, дизайн, дата, метрики, guardrails, артефакти, рішення}'.
Автогенерація протоколу: таймлайн, версії артефактів, семпли даних, скріншоти/трейси.
Посилання на PR/тікети/дашборди; статуси «planned/running/frozen/closed».
11) Безпека та комплаєнс
Роздільні ролі та ключі; MFA/FIDO2 для адмін-панелей.
PII - тільки synthetic/masked; запит на доступ до агрегатів - через схвалення власника даних.
Вебхуки: тестові endpoints з підписом/TTL/nonce; заборона відправки в прод.
WORM-журнали для критичних експериментів (фінанси/відповідальна гра).
Регіональні обмеження (локалізація даних/ключів) дотримуються і в пісочницях.
12) Інтеграції з зовнішніми провайдерами
Тестові акаунти/сертифікати PSP, KYC, провайдерів контенту.
Маркер середовища в заголовках/метаданих ('X-Sandbox: true'), окремі ліміти та звітність.
Імітації відповідей (simulators) з керованою латентністю/помилками.
13) Процеси і RACI
14) SLO пісочниць
Час підйому ephemeral-середовища ≤ 10 хвилин (p95).
Доступність core-сервісів в Integration Sandbox ≥ 99. 5%.
Збіг схем/контрактів з продом: 100% (валідація на CI).
Повнота артефактів експерименту (протокол/версії/метрики) = 100%.
Вартість sandbox на одиницю часу ≤ N (по бюджету).
15) Типові плейбуки
Shadow-трафік дає помилки: вимкнути запис, увімкнути write-drop, збільшити таймаути симуляторів.
Розбіжність цін (quote≠checkout): звірка'fx _ version/tax _ rule _ version', інвалідація кешу, фікса в каталозі.
Сплеск egress: включити компресію, урізати рівень логування, перерахувати квоти.
Збій провайдера: перемкнути симулятор/резервного провайдера, зафіксувати латентність.
PII-прапор: негайна ізоляція пісочниці, видалення артефактів, повідомлення Privacy/Legal.
16) Специфіка iGaming/фінтех
RTP & Limits: тільки synthetic/симуляції, ніякого реального розрахунку виплат; guardrails на експозицію.
Платежі/PSP: тестові мерчанти, карантин «сірих» транзакцій, ручний кліринг в симулятор.
Афіліати/вебхуки: тестові підписи, ескроу-логіка в sandbox, звірки квитанцій.
Відповідальна гра: симулятори RG-подій, перевірка UX-повідомлень і лімітів.
17) Чек-лист впровадження
- Описати рівні пісочниць і зону відповідальності (Dev/Preview/Integration/ML/Chaos/Partner).
- Розгорнути IaC-шаблони для ephemeral оточень (автопідйом по PR).
- Налаштувати ідентичності/секрети/мережі: повна ізоляція від prod.
- Створити каталоги фікстур/сидів і синтетичних датасетів; ввести TTL.
- Підключити спостережуваність і теги експериментів; завести guardrails і алерти.
- Включити Experiment Registry і шаблони протоколів.
- Налаштувати тестові контури зовнішніх провайдерів і симулятори.
- Ввести квоти/бюджети і FinOps-дашборд.
- Регламенти етики/комплаєнсу (PII, повідомлення, SoD).
- Провести GameDay: витік тестових ключів, сплеск egress, збій PSP-симулятора.
18) FAQ
Чи можна використовувати «знеособлений прод»?
Тільки після суворої анонімізації/маски і з окремим периметром; переважні синтетичні дані.
Чи потрібні окремі домени/сертифікати?
Так, щоб виключити перетини з продом і спростити політику безпеки.
Як швидко закривати пісочниці, щоб не ріс рахунок?
TTL, авто-знесення по мерджу/неактивності, алерти по бюджету, «кнопка економії».
Чим відрізняється Preview від Integration?
Preview - для фічі/PR, фіксовані фікстури; Integration - повнофункціональний стенд з тестовими провайдерами.
Резюме: Пісочниці - це керована інфраструктура для безпечних і чесних експериментів. Ізолюйте мережі/дані/секрети, використовуйте синтетичні набори, піднімайте ephemeral-оточення по PR, включайте спостережуваність і guardrails, ведіть реєстр експериментів і контролюйте вартість. Так ви прискорите інновації без ризику для прод-бізнесу, гравців і комплаєнсу.