摘要優先發布標識
版本由內容尋址的 SHA-256 摘要標識,而不是可變標籤。相同摘要 = 相同工件 = 相同證據。
- → 促銷時標記→摘要解決
- → 相同摘要升級時重用的證據
- → 不可變責任鏈
發布編排
證明自己的促銷活動
環境感知工作流程、策略門和摘要優先身份。每個發布決策都會導出一個經過加密簽名的決策膠囊。
典型CD工具的問題
大多數部署工具都會告訴您部署了什麼。他們無法告訴您為什麼部署是安全的。
典型CD工具
- ✗ 基於標籤的版本 - 可變,無法追踪
- ✗ 與工件斷開連接的批准
- ✗ 部署時沒有安全狀況證據時間
- ✗ 回滾是“重新部署和希望”
Stella Ops編排
- ✓ 摘要優先身份 - 不可變、可審核
- ✓ 綁定到精確工件哈希的批准
- ✓ 決策膠囊中記錄的安全判決
- ✓ 回滾到已知良好狀態證據
核心編排功能
環境感知升級
將管道建模為具有升級規則的環境。開發→階段→生產,每一步都有證據門。
- → 每個環境的升級規則和批准要求
- → 通過基於日曆的阻止凍結窗口
- → 特定於環境的策略配置文件
每一步都有策略門
促銷活動需要通過大門。安全判決、批准簽名和凍結窗口都會經過評估。
- → 安全門 — 掃描判決必須通過閾值
- → 批准門 — 已收集所需簽名
- → 通過
OPA開放策略代理 — 一個開源策略引擎,用於在整個堆疊中進行細粒度、上下文感知的策略執行/Rego 策略自定義門
與證據相關的回滾
回滾到具有完整證據跟踪的先前摘要。準確了解您要返回的內容。
- → 回滾目標特定摘要,而不是“先前”版本”
- → 保留原始促銷的證據
- → 回滾本身會生成新的決策膠囊
增量部署策略
每一步都有證據的漸進式推出。具有回滾安全性的 A/B 測試、金絲雀和功能標記部署。
- → 流量的 A/B 和金絲雀部署拆分
- → 功能標記版本(nginx重新加載、微服務插件)
- → 自動回滾觸發器的增量推出
請參閱操作
每個升級命令都會輸出結構化證據。
$ stella release promote api-gateway --to staging --approve
將 api-gateway (sha256:abc123...) 推進到 staging
安全門禁:PASSED — 8 個可達 CVE 低於門檻
批准門禁:PASSED — 由 jsmith@example.com 簽名
凍結視窗:PASSED — 無活動凍結
開始部署到 staging-cluster...
部署成功
已匯出決策膠囊:staging-abc123-2026-01-20.yaml工作流引擎功能
DAG 執行
並行和順序執行的步驟圖。
步驟註冊表
內置步驟加上自定義自動化。
工作流程模板
跨項目可重用的工作流程。
腳本步驟
用於自定義邏輯的 Bash 和 .NET 腳本。
凍結窗口
基於日曆的部署阻止。
審核導出
合規性證據包。
有何不同
決策膠囊
每個促銷活動都密封在可導出、可重播的證據包中。
確定性重播
6 個月後重新運行任何升級決策,結果相同。
證據鏈接
由加密哈希綁定的批准、判決和工件。
部署模式
A/B 部署
在兩個發布版本之間路由流量。比較指標,然後向獲勝者提供證據。
金絲雀版本
首先推出到一小部分目標。僅在證據門通過後才能更廣泛地推廣。
Blue/Green 切換
維護兩個相同的環境。策略評估後自動切換流量。
回滾到已知良好
立即恢復到最後一次已知的良好摘要。保留前向和回滾促銷的證據。
準備好進行證據級編排了嗎?
從環境設置和第一次促銷開始。