Оркестрация релизов

Релизы, которые сами себя доказывают

Рабочие процессы с учётом среды, контрольные точки политик и идентификация по дайджесту. Каждое решение о релизе экспортируется как криптографически подписанная Капсула решения.

Запросить доступ Читать документацию

Проблема типичных CD-инструментов

Большинство инструментов развёртывания сообщают, что было развёрнуто. Но они не могут объяснить, почему это было безопасно.

Типичные CD-инструменты

  • Релизы по тегам — изменяемые, неотслеживаемые
  • Одобрения не связаны с артефактами
  • Нет доказательств состояния безопасности на момент развёртывания
  • Откат — «передеплой и надейся»

Оркестрация «Стеллы»

  • Идентификация по дайджесту — неизменяемая, аудируемая
  • Одобрения привязаны к точному хешу артефакта
  • Вердикты безопасности записаны в Капсулах решений
  • Откат к известному состоянию с доказательствами

Основные возможности оркестрации

Идентификация релиза по дайджесту

Релизы идентифицируются по SHA-256 дайджестам, адресуемым по содержимому, а не по изменяемым тегам. Тот же дайджест = тот же артефакт = те же доказательства.

  • Разрешение тега в дайджест при продвижении
  • Повторное использование доказательств при продвижении того же дайджеста
  • Неизменяемая цепочка ответственности

Продвижения с учётом среды

Моделируйте пайплайн как среды с правилами продвижения. Dev → Stage → Prod с контрольными точками доказательств на каждом шаге.

  • Правила продвижения и требования к одобрению для каждой среды
  • Окна заморозки с блокировкой по календарю
  • Профили политик для каждой среды

Контрольные точки политики на каждом шаге

Продвижения требуют прохождения контрольных точек. Оцениваются вердикты безопасности, подписи одобрения и окна заморозки.

  • Контрольная точка безопасности — вердикт сканирования должен пройти порог
  • Контрольная точка одобрения — собраны необходимые подписи
  • Кастомные точки через политики OPAOpen Policy Agent — открытый движок политик для детальной контекстно-зависимой проверки политик на всех уровнях стека/Rego

Откат с доказательной базой

Откат к предыдущему дайджесту с полной цепочкой доказательств. Точно знайте, к чему возвращаетесь.

  • Откат на конкретный дайджест, а не на «предыдущую версию»
  • Доказательства исходного продвижения сохранены
  • Сам откат генерирует новую Капсулу решения

Стратегии поэтапного развёртывания

Постепенные развёртывания с доказательствами на каждом шаге. A/B-тестирование, канареечные и feature-flag релизы с безопасным откатом.

  • A/B и канареечные развёртывания с разделением трафика
  • Feature-flag релизы (перезагрузка nginx, плагины микросервисов)
  • Поэтапное развёртывание с автоматическими триггерами отката

Посмотрите в действии

Каждая команда продвижения выводит структурированные доказательства.

Терминал
$ stella release promote api-gateway --to staging --approve
Продвигаем api-gateway (sha256:abc123...) в staging
Security gate: PASSED — 8 достижимых CVE ниже порога
Approval gate: PASSED — подписано jsmith@example.com
Freeze окно: PASSED — активного freeze нет
Запуск развёртывания на staging-cluster...
Развёрнуто успешно
Капсула решения экспортирована: staging-abc123-2026-01-20.yaml

Возможности движка рабочих процессов

Исполнение DAG

Графы шагов с параллельным и последовательным выполнением.

Реестр шагов

Встроенные шаги плюс кастомная автоматизация.

Шаблоны рабочих процессов

Переиспользуемые процессы между проектами.

Скриптовые шаги

Bash и .NET скрипты для кастомной логики.

Окна заморозки

Блокировка развёртывания по календарю.

Экспорт для аудита

Пакеты доказательств для комплаенса.

Чем это отличается

Капсулы решений

Каждое продвижение запечатано в экспортируемый, воспроизводимый пакет доказательств.

Детерминированное воспроизведение

Повторите любое решение о продвижении через 6 месяцев с идентичным результатом.

Связь с доказательствами

Одобрения, вердикты и артефакты связаны криптографическими хешами.

Шаблоны развертывания

Развертывание A/B

Маршрутизация трафика между двумя версиями выпуска. Сравните показатели, а затем определите победителя с помощью доказательств.

Канарский релиз

Сначала развертывайте небольшой процент целей. Продвижение шире только после прохождения ворот доказательств.

Переключение Blue/Green

Поддерживайте две идентичные среды. Переключайте трафик атомарно после оценки политики.

Откат до заведомо исправного

Мгновенно вернитесь к последнему известному хорошему дайджесту. Сохраняются данные как прямого, так и обратного повышения.

Готовы к оркестрации с доказательствами?

Начните с настройки сред и вашего первого продвижения.

Запросить доступ Читать документацию

Движок доказательств · Принятие решений о безопасности · Все функции