CI/CD pipeline

Simona Česaná 13. 4. 2023 0
CI/CD pipeline

Co je CI/CD: definice, cíle a přínosy

CI/CD (Continuous Integration / Continuous Delivery / Continuous Deployment) je soubor postupů, nástrojů a kulturních principů, jejichž cílem je bezpečně a rychle doručovat změny softwaru do provozu. Continuous Integration automatizuje sestavení a testování každé změny v hlavní větvi. Continuous Delivery udržuje artefakt v release-ready stavu a umožňuje kdykoli provést řízené nasazení. Continuous Deployment jde o krok dál a po úspěšných kontrolách nasazuje změny automaticky bez manuálního zásahu. Hlavními přínosy jsou kratší lead time, vyšší kvalita, menší riziko releasů a rychlá zpětná vazba.

Základní principy a stavební kameny

  • Malé, časté změny: minimalizují riziko a urychlují učení.
  • Automatizace a opakovatelnost: pipeline jako kód, deterministické buildy a testy.
  • Shift-left kvalita a bezpečnost: statická analýza, bezpečnostní skeny a testy spouštěné co nejdříve.
  • Trvalá pozorovatelnost: metriky, logy a tracing pro rychlou diagnostiku.
  • Reverzibilita: bezpečné rollbacky, feature flagy a databázové strategie, které umožní návrat změn.

Architektura CI/CD pipeline: vrstvy a toky

  1. Zdrojový kód a verzování: Git (branch strategie, pull/merge requesty, code review).
  2. Build a závislosti: deterministické sestavení, zamknuté verze balíčků, cache buildů.
  3. Testovací vrstvy: unit → contract → integrační → end-to-end → nefunkční (výkon, bezpečnost).
  4. Tvorba artefaktů: binárky, kontejnery, helm chart, sbalené front-end balíčky.
  5. Publikace artefaktů: registry (OCI, Maven/NPM), artefaktové repozitáře.
  6. Provisioning prostředí: IaC (Terraform, Pulumi), šablony prostředí, ephemerální preview prostředí.
  7. Nasazení: skripty/operátory, GitOps, release orchestrace, schvalovací brány.
  8. Post-deploy kontroly: smoke testy, health checks, automatizovaný rollback.

Branching a integrační strategie

  • Trunk-based development: krátké větve, rychlé merge, feature flagy pro nehotové části.
  • GitFlow (omezovaně): release/hotfix větve pro organizace s delšími cykly – vyšší režie.
  • PR-driven integrace: povinné kontroly (build, testy, skeny), required reviews a status checks.

Spouštěče (triggery) a škálování běhů

  • Na commit/push: rychlá základní validace (lint, jednotkové testy).
  • Na pull/merge request: plný build, testy, bezpečnostní kontroly, generování náhledů.
  • Na tag/release: tvorba finálního artefaktu, podpisy, publikace do registrů.
  • Plánované běhy: noční regresní sady, auditní skeny, periodický chaos testing.

Deterministické buildy a správa závislostí

  • Lockfiles a pinning verzí: package-lock.json, poetry.lock, go.sum, requirements.txt s hash.
  • Reproducibilní kontejnery: multi-stage Dockerfile, minimální báze, explicitní digesty (@sha256), SBOM (Software Bill of Materials).
  • Cache a artefaktová ekonomie: ukládání závislostí a build výstupů mezi běhy, klíčování cache podle checksum.

Testovací pyramida a kvalita

  • Lint a statická analýza: ESLint, Pylint, Checkstyle; formátování (Prettier, Black).
  • Jednotkové testy: rychlé, izolované, vysoké pokrytí kritické logiky.
  • Kontraktní testy a komponentové testy: stabilní rozhraní mezi službami, testy UI komponent.
  • Integrační a E2E testy: realistické prostředí, test datových toků a side-effectů.
  • Nefunkční testy: výkon (load, soak), spolehlivost (chaos), kompatibilita prohlížečů.

Bezpečnost v CI/CD (DevSecOps)

  • SAST/DAST/IAST: statická a dynamická analýza, interaktivní skeny během integračních běhů.
  • SCA a SBOM: sken zranitelností závislostí a generování přehledu komponent.
  • Secrety a identity: žádné tajné údaje v repozitáři; použití OIDC workload identity, short-lived tokenů, KMS/Secrets Manager.
  • Supply chain: podepisování artefaktů (Sigstore/Cosign), politiky ověřující původ (policy as code), izolované běhové prostředí.

Artefakty a registry

  • Artefaktové repozitáře: Maven/NuGet/NPM registry, OCI registr pro kontejnery a Helm chart.
  • Verzování a metadata: semver, build čísla, provenance, attestations.
  • Retence a úklid: politiky uchovávání, deduplikace, archivace dlouhodobých releasů.

Prostředí, IaC a ephemerální náhledy

  • Infrastructure as Code: Terraform/Pulumi, kontrola přes code review, běhy s plan –> apply v pipeline.
  • Šablony prostředí: identická staging/QA/production schémata, parametrizace přes proměnné a secrets.
  • Ephemerální prostředí: automatická tvorba a zánik prostředí pro každý PR, náhledy UI a sandbox dat.

Strategie nasazení a řízení rizik

Strategie Výhody Nevýhody Vhodné pro
Blue-Green Okamžitý přepínač, rychlý rollback Vyšší náklady na dvojí prostředí Kritické systémy, nízká tolerance výpadku
Canary Postupná expozice, měřené riziko Složitější orchestrátor a metriky Velké uživatelské základny, A/B validace
Rolling Bez odstávky, běžná v K8s Může skrýt problémy bez dobrého monitoringu Stateless služby
Feature flagy Oddělení releasu od aktivace, cílení Potřeba správy flagů a úklidu Produktové experimenty, postupné rollouty

Databázové změny a kompatibilita

  • Expand-migrate-contract: nejprve přidat nové schéma, nasadit kompatibilní aplikaci, poté odstranit staré části.
  • Migrační nástroje: Liquibase, Flyway; verze migrací jako součást artefaktu.
  • Bezpečné rollbacky: idempotentní skripty, zálohy, feature toggles pro schémata.

Observabilita po nasazení

  • SLO/SLI a error budget: jasné cíle dostupnosti a výkonu jako brány pro release.
  • Monitoring: metriky latence/chybovosti, syntetické testy, RUM pro front-end.
  • Tracing a logy: distribuované trasování (OpenTelemetry), korelace s releasem a build číslem.
  • Automatizovaný rollback: watchdog nad metrikami spouští návrat na předchozí verzi.

Kontroly, schvalování a compliance

  • Quality gates: minimální pokrytí, nulové kritické zranitelnosti, performance thresholdy.
  • Čtyř-oči princip: povinné review a oddělení rolí (separation of duties).
  • Auditní stopa: podpisy, artefaktová historie, schvalovací workflow.
  • Policy as code: OPA/Conftest, validace IaC a manifestů před nasazením.

Pipeline jako kód a dobré praktiky návrhu

  • Modularita: znovupoužitelné kroky, knihovny workflow, šablony.
  • Idempotence: opakovaný běh vede k identickému výsledku, žádné skryté stavy.
  • Paralelizace: současné úlohy (testovací shardy), fail-fast chování.
  • Podmínky a matice: multiplatformní buildy (OS/arch/verze runtime) bez duplikace kódu.
  • Bezpečný přístup: princip minimálních oprávnění pro běhové identity a deployment klíče.

Monorepo vs. polyrepo a mikroservisy

  • Monorepo: centralizované dependency graphy, sdílené pipeline, incremental builds; je nutná chytrá detekce změn.
  • Polyrepo: jednodušší vlastnictví, menší blast radius; hůře se verzují cross-repo změny.
  • Mikroservisy: kontrakty, kontraktní testy, koordinace rolloutů a schémat, nezávislé release kadence.

Metriky výkonnosti doručování (DORA)

Metrika Co měří Cíl
Frekvence nasazení Kolikrát za období nasazujete Vysoká a stabilní
Lead time for changes Čas od commitu po produkci Krátký (hodiny–dny)
MTTR Čas obnovy po incidentu Minuty–hodiny
Change failure rate Podíl nasazení vyvolávajících incident Nízký (pod 15 %)

GitOps a cloud-native nasazování

  • Git jako zdroj pravdy: žádaný stav uložen v repo; cluster reconcilers (Argo CD, Flux) zajišťují shodu.
  • Deklarativní manifesty: Kubernetes, Helm/Kustomize; progressive delivery (Argo Rollouts, Flagger).
  • Oddělení build vs. deploy: CI produkuje artefakt, CD provádí deklarativní aplikaci změn.

Specifika front-endu, mobilu a dat/ML

  • Front-end: build matice pro prohlížeče, vizuální regrese, bundle metriky a Web Vitals jako gate.
  • Mobil: podepisování, distributivní kanály (TestFlight/Play), feature flagy a experimenty, řízené rollouty.
  • Data a ML (MLOps): versioning dat/sad, reprodukovatelné tréninky, registr modelů, fairness a drift monitoring, schvalování před inferencí.

Ekonomika a ekologie CI/CD

  • Cost-aware pipeline: caching, parallelizace s limity, on-demand běhové prostředí, vypínání neaktivních runnerů.
  • Green DevOps: konsolidace jobů, plánování energeticky náročných testů mimo špičku, sledování emisní stopy buildů.

Checklist pro robustní CI/CD

  • Pipeline a infra jako kód, verzováno a recenzováno.
  • Spolehlivé testy se stabilní sadou dat a jasnými gate podmínkami.
  • Security skeny (SAST/SCA/DAST) a SBOM generován pro každý build.
  • Deterministické artefakty, podepsané a uložené v registry s retencí.
  • Prostředí z IaC, ephemerální preview pro PR.
  • Progressive delivery (canary/flags) a automatizovaný rollback.
  • Observabilita napojená na release (metriky, logy, tracing, alerting).
  • DORA metriky, retrospektivy a kontinuální zlepšování pipeline.

Antipatterny, kterým se vyhnout

  • „Snowflake“ prostředí: ručně konfigurované servery bez IaC.
  • Vložené secrety v repozitáři: místo toho používejte tajné úložiště a krátkodobé identity.
  • Monolitická, pomalá pipeline: chybí paralelizace, caching a selektivní spouštění jen pro změněné moduly.
  • Flaky testy: podkopávají důvěru; vyžadují karanténu, opravu nebo odstranění.
  • Nedostatek metrík a zpětné vazby: bez měření není zlepšování.

Závěr: CI/CD jako provozní schopnost organizace

CI/CD není pouze nástroj nebo skript – je to disciplína, která propojuje vývoj, bezpečnost a provoz do jednoho průběžného toku hodnoty. Úspěch vyžaduje malé a časté změny, automatizované a deterministické buildy, kvalitní testování, deklarativní infrastrukturu, bezpečnost zabudovanou do procesu a průběžné měření výsledků. Taková pipeline umožní rychle a spolehlivě doručovat změny, které vytvářejí reálný byznysový dopad.

Značky:

Fatal error: Uncaught Error: Call to undefined function get_field() in /data/www/ekonomicka_sk/www/wp-content/themes/covernews/template-parts/content.php:57 Stack trace: #0 /data/www/ekonomicka_sk/www/wp-includes/template.php(812): require() #1 /data/www/ekonomicka_sk/www/wp-includes/template.php(745): load_template('/data/www/ekono...', false, Array) #2 /data/www/ekonomicka_sk/www/wp-includes/general-template.php(206): locate_template(Array, true, false, Array) #3 /data/www/ekonomicka_sk/www/wp-content/themes/covernews/single.php(22): get_template_part('template-parts/...', 'post') #4 /data/www/ekonomicka_sk/www/wp-includes/template-loader.php(106): include('/data/www/ekono...') #5 /data/www/ekonomicka_sk/www/wp-blog-header.php(19): require_once('/data/www/ekono...') #6 /data/www/ekonomicka_sk/www/index.php(17): require('/data/www/ekono...') #7 {main} thrown in /data/www/ekonomicka_sk/www/wp-content/themes/covernews/template-parts/content.php on line 57