145 lines
4.3 KiB
Markdown
145 lines
4.3 KiB
Markdown
# 灰度发布与回滚 Runbook
|
||
|
||
> 版本:v1.1
|
||
> 状态:灰度门禁已定义,本地/容器化回滚演练已通过,待真实共享预生产/灰度环境演练
|
||
> 关联:`docs/MONITORING_ALERTING.md`、`docs/GRAY_DASHBOARD_MINIMUM.md`、`docs/PREPROD_VERIFICATION_RECORD.md`、`docs/ROLLBACK_DRILL_RECORD.md`
|
||
|
||
---
|
||
|
||
## 1. 前提
|
||
|
||
开始任何灰度放量前,必须满足:
|
||
|
||
1. Gate B 已通过
|
||
当前状态:**本地/容器化预演已通过,真实共享预生产环境待复跑**
|
||
2. 最小鉴权已落地
|
||
3. 工单闭环语义已收口
|
||
4. 最小监控指标和阈值已定义
|
||
|
||
---
|
||
|
||
## 2. 灰度放量节奏
|
||
|
||
默认节奏如下:
|
||
|
||
| 档位 | 流量占比 | 最短观察时间 | 进入条件 | 回退条件 |
|
||
|------|----------|--------------|----------|----------|
|
||
| Stage 1 | 5% | 30 分钟 | Gate B 通过,部署稳定,核心指标全绿 | 任一 P0/P1 指标触发 |
|
||
| Stage 2 | 20% | 2 小时 | Stage 1 稳定,`5xx <= 0.5%`,`audit fail = 0` | 5xx > 1%、audit fail > 0、DB 异常 |
|
||
| Stage 3 | 50% | 半天 | Stage 2 稳定,handoff 比率无异常升高 | 指标明显劣化或人工链路承压 |
|
||
| Stage 4 | 100% | 次日 | Stage 3 稳定跨工作日,无新增 P0/P1 | 任一核心门禁不满足 |
|
||
|
||
说明:
|
||
|
||
- **最短观察时间不是建议,是门禁**
|
||
- 任意阶段都不允许跳级放量
|
||
- 任意阶段出现 P0/P1 指标时,不继续放量
|
||
|
||
---
|
||
|
||
## 3. 放量前检查单
|
||
|
||
- [ ] 共享预生产环境已复跑 Gate B 脚本
|
||
- [ ] 最近一次部署产物与验证记录关联清晰
|
||
- [ ] `live` / `ready` 探针正常
|
||
- [ ] PostgreSQL migration 版本与目标一致
|
||
- [ ] webhook signed request 联调已通过
|
||
- [ ] ticket / audit / dedup 验证通过
|
||
- [ ] 灰度 dashboard 可查看 8 个最小指标
|
||
|
||
---
|
||
|
||
## 4. 继续放量的判定条件
|
||
|
||
每个档位进入下一档前,必须满足:
|
||
|
||
1. `webhook 5xx <= 0.5%`
|
||
2. `webhook reject` 没有异常升高
|
||
3. `audit 写入失败数 = 0`
|
||
4. `postgres 连接异常 = 0`
|
||
5. `readiness down 次数 = 0` 或未影响流量池
|
||
6. `单实例重启次数 <= 2 / 10 分钟`
|
||
7. `handoff 比率 <= 25%` 或未高于基线 `2x`
|
||
8. ticket 创建量与人工处理能力匹配,没有积压失控
|
||
|
||
---
|
||
|
||
## 5. 立即回滚条件
|
||
|
||
满足以下任意条件,立即回滚当前灰度版本:
|
||
|
||
| 条件 | 原因 |
|
||
|------|------|
|
||
| Webhook 5xx `> 5%` 持续 5 分钟 | 服务主链不可接受 |
|
||
| PostgreSQL 异常导致 `ready` 持续失败 | 核心依赖异常 |
|
||
| Audit 写入失败数 `> 0` 且持续 5 分钟 | 合规/追溯链路断裂 |
|
||
| Ticket 创建链路断裂 | 人工服务主链损坏 |
|
||
| 全量 readiness down 或实例反复重启 | 当前版本不稳定 |
|
||
|
||
---
|
||
|
||
## 6. 建议回滚条件
|
||
|
||
出现以下情况时,停止继续放量并由 TechLead 决策是否回滚:
|
||
|
||
| 条件 | 处理 |
|
||
|------|------|
|
||
| Webhook 5xx `> 1%` 持续 5 分钟 | 冻结当前档位,评估回滚 |
|
||
| Handoff 比率高于基线 `2x` | 判断意图识别/降级是否异常 |
|
||
| Reject 数持续高于 20% | 检查上游签名或渠道配置 |
|
||
| 单实例重启次数过高 | 排查资源、崩溃或配置问题 |
|
||
|
||
---
|
||
|
||
## 7. 回滚动作
|
||
|
||
### 7.1 立即动作
|
||
|
||
1. 停止继续放量
|
||
2. 将灰度比例回退到上一个稳定档位
|
||
3. 若当前档位无稳定状态,直接回退到旧版本
|
||
|
||
### 7.2 回滚后必须检查
|
||
|
||
- [ ] `live` 正常
|
||
- [ ] `ready` 正常
|
||
- [ ] signed webhook 再次联调通过
|
||
- [ ] ticket 创建恢复
|
||
- [ ] audit 写入恢复
|
||
- [ ] PostgreSQL 无新错误
|
||
|
||
---
|
||
|
||
## 8. 演练要求
|
||
|
||
Gate C 前至少完成一次回滚演练,且留下证据:
|
||
|
||
1. 演练时间
|
||
2. 演练版本
|
||
3. 触发条件
|
||
4. 回滚动作
|
||
5. 回滚后验证结果
|
||
|
||
没有演练记录,不得宣称“可安全灰度放量”。
|
||
|
||
推荐入口:
|
||
|
||
- [scripts/verify_gate_c_rollback.sh](/home/long/project/ai-customer-service/scripts/verify_gate_c_rollback.sh)
|
||
- 最近一次本地/容器化记录:[ROLLBACK_DRILL_RECORD.md](/home/long/project/ai-customer-service/docs/ROLLBACK_DRILL_RECORD.md)
|
||
|
||
---
|
||
|
||
## 9. 当前状态结论
|
||
|
||
当前正确口径:
|
||
|
||
- **灰度门禁:已定义**
|
||
- **本地/容器化 Gate B:已通过**
|
||
- **本地/容器化 Gate C 回滚演练:已通过**
|
||
- **真实共享预生产环境 Gate B:待复跑**
|
||
- **Gate C 灰度监控与回滚演练:待完成**
|
||
|
||
因此:
|
||
|
||
> **现在可以说“灰度门禁框架已补齐”,但还不能说“灰度已经可执行上线”。**
|