版本控制与回滚的核心是“每次变更可标识、可追溯、可还原”,需将代码、配置、环境、部署动作绑定为结构化发布单元,采用带上下文的版本号(如v2.4.1-20240520-prod-batch),制品不可变,回滚即切换已验证快照,并支持按节点/流量灰度回退,配置须与代码同版本打包。
发布系统里的版本控制与回滚,核心是“每次变更可标识、可追溯、可还原”。不是简单打个 Git tag 就完事,而是要把代码、配置、环境、部署动作全部绑定成一个可复现的发布单元。
版本号必须带上下文,不能只靠 commit ID
纯 commit hash(如 a1b2c3d)在跨仓库、多组件场景下难以关联。建议采用结构化版本号,例如:
v2.4.1-20240520-prod-batch,其中:
- v2.4.1:语义化主版本,对应功能迭代里程碑
- 20240520:构建日期,便于按时间定位
- prod:目标环境,避免误推测试包到生产
- batch:发布类型(如 batch / canary / hotfix),影响回滚策略
平台应自动从 CI 流水线注入该版本号,并写入制品包元数据(如 Docker image label、jar MANIFEST.MF、TAR 包内 version.json)。
回滚不是“重跑上一版”,而是“切换到已验证快照”
真正的回滚依赖三个前提:制品不可变、部署状态可查、服务启停可控。常见误区是“改完配置再 deploy”,这实际是重新发布,不是回滚。
- 每次成功部署后,平台需记录:版本号 + 主机列表 + 启动时间 + 进程 PID/容器 ID + 配置哈希值
- 回滚操作应直接拉取历史制品(如指定镜像 tag 或 RPM 包),跳过构建和测试环节
- 对有状态服务(如数据库迁移),需配套执行逆向脚本(如 downgrade.sql),该脚本必须随版本包一同发布并校验签名
灰度发布中,版本与流量要双向绑定
回滚粒度不能只到“全量”,而要支持按批次或按节点回退。例如:
- 将 v2.4.1 推给 10% 节点后发现 CPU 异常,可仅对这组节点回退至 v2.3.9,其余节点继续观察
- 平台需支持按主机 IP、标签(如 zone=shanghai)、甚至请求 Header(如 X-Canary: true)动态路由和回切
- 所有灰度操作日志必须包含版本指纹与路由规则快照,确保事后审计可还原决策链
配置与代码必须同版本发布,禁止运行时热更新
把配置文件单独放 etcd 或 Nacos,再让应用监听变更——这种模式会让回滚失效。因为代码退回了,但配置还留在新版本逻辑里,极易引发兼容问题。
- 所有配置(包括数据库连接串、开关项、限流阈值)应作为静态文件打包进制品,路径统一为 /etc/app/config/
- 环境差异化通过部署时变量注入(如 Ansible extra_vars 或 K8s ConfigMap 挂载),而非运行时中心化配置中心
- 若确需动态配置,须限定为无业务逻辑的纯参数(如日志级别),且变更需走独立审批+灰度+监控闭环,不纳入发布版本主体
