Деплой и инфра
Капстоун deployment: вопросы с выбором ответа
Суть Синтез по всему треку deployment в формате MCQ — digest образа, probes, rollout против миграции, L7-draining, секреты и IaC drift — каждый вопрос как решение релиза под нагрузкой.
Высота — путь к senior
НольJuniorMiddleSenior
Ты на senior-высоте — в орбитеШесть вопросов, каждый охватывает две и более стадии цепочки деплоя. Ни один не проверяет одно определение — каждый описывает шов, где две корректные стадии складываются в аварию, и ваша задача — назвать сломавшийся контракт.
Цель
Убедитесь, что можете рассуждать обо всём треке сразу: как образ, registry, объекты k8s, стратегия rollout, балансировщик, секреты и IaC складываются в один релиз — и где живут эмерджентные отказы.
Викторина
Completed
Команда пушит каждую сборку как registry.example.com/api:latest, а в Deployment задано image: api:latest. Rollout обычно проходит, но дважды узел, пересоздавший pod, отдал сборку многомесячной давности. Какое одно изменение чинит весь класс багов и почему?
Heads-up Always делает устаревание хуже, а не лучше — гарантирует, что перепланированный pod возьмёт то, на что :latest указывает прямо сейчас, что может оказаться новее или старее остального ReplicaSet. Фикс — неизменяемая ссылка, а не более агрессивный pull.
Heads-up Probe проверяет, обслуживает ли pod, а не запущен ли в нём правильный код — старая сборка прекрасно пройдёт /healthz/ready. Шов здесь в изменяемости тега registry, а не в контракте readiness.
Heads-up Кэш слоёв ускоряет pull; он никак не влияет на то, во что разрешается тег. Баг про идентичность (какой артефакт), а не про производительность (как быстро он приходит).
Викторина
Completed
Rolling update настроен как ниже, выкатывается новый релиз. Манифест применяется чисто, rollout рапортует успех за 40с, но клиенты ловят всплеск 502 в течение ~2 минут. Где шов?\n\n```yaml\nstrategy:\n rollingUpdate:\n maxUnavailable: 0\n maxSurge: 1\ntemplate:\n spec:\n containers:\n - name: api\n image: api@sha256:abc\n # нет readinessProbe\n```
Heads-up maxUnavailable: 0 держит ёмкость на уровне желаемой или выше во время выката — это безопасная настройка. Она не направляет трафик в неготовые pod; это делает отсутствие probe.
Heads-up Медленный pull задерживает запуск pod вообще; он не даёт отрапортованный успех с последующими кратковременными 502 из pod, которые k8s уже добавил в Service. Это делает отсутствующий gate readiness.
Heads-up maxSurge: 1 добавляет новый pod до вывода старого, так что ёмкость не проседает. Проблема не в пропускной способности — трафик попал в pod, которые живы, но ещё не обслуживают.
Викторина
Completed
Вы выкатываете переименование колонки одной миграцией в том же blue-green релизе, где LB переключается на green. Green обслуживает нормально, затем кидает не связанную ошибку, вы переключаетесь обратно на blue — и blue теперь 500 на каждом запросе. Почему две якобы обратимые стадии дали невосстановимое состояние?
Heads-up Совместное использование одной БД для blue и green — норма и ожидаемо. Отказ в том, что общая схема несовместима с версией, на которую вы откатились — а не в ошибке маршрутизации соединений.
Heads-up Обратимость — именно то, что обещает blue-green: переключить LB назад мгновенно. Обещание сдержано; сломала его связка обратимого переключения с необратимым DROP COLUMN.
Heads-up Canary следит за метриками новой версии, но деструктивная миграция всё равно ломает старый код при откате независимо от стиля rollout. Реальный фикс — expand-contract, а не другая стратегия сдвига трафика.
Викторина
Completed
При каждом деплое небольшая доля запросов в полёте обрывается на середине ответа ровно в момент завершения старых pod, хотя readiness и rollout корректны. Сервис стоит за L4-балансировщиком. Какой фикс даёт наибольший рычаг?
Heads-up Surge управляет тем, как быстро появляется новая ёмкость; он ничего не делает для запросов, уже находящихся в полёте на завершающемся pod. Защищают draining и обработка SIGTERM.
Heads-up Это задерживает, когда новые pod получают трафик при старте; проблема же на стороне завершения — запросы, убитые при выводе старых pod — что решает draining, а не задержка старта.
Heads-up Recreate убивает все старые pod до запуска новых, вызывая полный простой — доступность становится хуже, и обрываются те же запросы, что были в полёте при гибели старых pod.
Викторина
Completed
Ревьюер отмечает, что пароль production-базы задан в Dockerfile, чтобы образ был самодостаточным. Команда возражает, что registry приватный, значит всё нормально. Какое возражение верное?
Heads-up Контроль доступа registry — один слой, но секрет теперь навсегда встроен в историю образа и в каждый узел и кэш, что когда-либо его тянул — нет ротации, избыточная экспозиция. Build-time и runtime — разные границы доверия.
Heads-up Умеет (ENV/ARG), и в этом-то ловушка — секрет в build-time ARG или ENV запекается в образ. Возражение про границу доверия, а не про отсутствие возможности.
Heads-up base64 — это кодирование, а не шифрование — тривиально обратимо и не даёт защиты. Он всё ещё запечён в образ, поэтому наследует все проблемы выше.
Викторина
Completed
Постмортем находит у упавшего сервиса вручную правленное число реплик и переменную окружения, которую не объявляет ни один конфиг IaC — кто-то правил через kubectl во время прошлого пожара. Следующий terraform apply откатит и то и другое. О чём это говорит и в чём устойчивый фикс?
Heads-up Это полностью отказывается от воспроизводимости — весь смысл IaC в том, что объявленное состояние авторитетно и пересоздаваемо. Пусть ручные правки побеждают — и кластер становится неповторимой снежинкой.
Heads-up Drift означает, что протестированный и живой конфиги тихо различаются — следующий apply, замена узла или событие масштабирования вернут реальность к объявленному состоянию и отменят недокументированный фикс, часто прямо во время инцидента.
Heads-up Импорт значений в версионируемый IaC верен; продолжать делать ручные правки — изначальный грех. Фикс — закрыть внеполосный путь, а не легализовать его.
Итог
Сквозная линия трека — один составной объект: неизменяемый digest фиксирует, какой артефакт работает, readinessProbe делает «готов» равным «обслуживает», expand-contract держит стратегию rollout и миграцию N-1 совместимыми, L7-draining плюс обработка SIGTERM защищают запросы в полёте на переключении, runtime-инжект секретов держит креды ротируемыми и вне истории образа, а IaC как единственный источник истины убивает drift. Каждый неверный ответ здесь — реальная авария, выкаченная командой, у которой каждая стадия по отдельности была в порядке — отказ жил в шве.