Rollout strategies: соберите canary, который сам себя откатывает

Развернуть небольшой HTTP-сервис в Kubernetes за автоматическим canary-выкатом, затем доказать свойства безопасности выката: намеренно отправить плохой релиз и изменение схемы и показать, что система сдерживает оба — ограниченный blast radius, отсутствие 502 и rollback, переживающий миграцию.

• Соберите или возьмите небольшой HTTP-сервис, который читает/пишет одну таблицу и отдаёт эндпоинт /healthz плюс метрику для gate канарейки (error-rate запросов и p99 latency, собираемые Prometheus).
• Разверните его в кластере Kubernetes (kind/minikube сгодится) с реальным readiness probe на /healthz, возвращающим успех только после установления связи с БД — и добавьте стартовую задержку приложению, чтобы под без probe заметно отдавал 502.
• Настройте автоматический canary через Argo Rollouts или Flagger: шаги 5% → 25% → 50% → 100% с analysis-шаблоном, который приостанавливает и автоматически откатывает, если error-rate или p99 пробивает порог SLO на любом шаге.
• Эксперимент 1 (readiness): разверните с убранным readiness probe, дайте нагрузку во время выката и зафиксируйте 502; верните probe и покажите, что тот же выкат отдаёт ноль ошибок. Запишите оба прогона.
• Эксперимент 2 (gate канарейки): отправьте релиз, возвращающий 500 для ~10% запросов, и покажите, что analysis-шаг автоматически приостанавливает и откатывает на шаге 5% — зафиксируйте события rollout и долю трафика, когда-либо увидевшую плохую версию.
• Эксперимент 3 (схема): выполните переименование колонки как миграцию expand-contract (add + dual-write, деплой, затем отдельный contract-деплой). В середине выката откатитесь на предыдущую версию и покажите, что она по-прежнему корректно работает с расширенной схемой.
• Задокументируйте выбранные настройки maxSurge/maxUnavailable (или эквивалент для canary) и почему, а также пороги SLO, которые использует analysis-gate.

• Before/after для Эксперимента 1: число ошибок во время выката без probe и с probe, измеренное под одной нагрузкой — не оценочно.
• Логи событий rollout из Эксперимента 2, показывающие автоматическую паузу и rollback, плюс измеренная доля общего трафика, попавшая на плохую версию (должна быть ≤ шага канарейки в 5%).
• Доказательство из Эксперимента 3, что rollback после шага expand по-прежнему корректно работает, и пометка, почему шаг contract отложен в более поздний деплой.
• Абзац с выбором canary против blue-green против rolling для этого сервиса и обоснованием против blast radius, стоимости ресурсов и скорости rollback.