在互联网公司搞 DevOps,每天挂在嘴边的词是:GitOps,一键发布,流水线,Kubernetes 滚动重启。这很爽,也很理所当然。
但直到我有机会参与了一个金融信创背景的项目,我才体会到什么叫“架构师的无奈”。
项目的生产环境设立在绝对的内网里——这是真正的 Air Gap(物理隔离)。没有外网连接,别说从 Maven 中央仓库拉包了,就连 ssh 登上去敲个 curl 全都是大费周章。办公环境(研发网)和生产环境(生产网)之间横跨着物理网闸(Data Diode)。所有的资料传输,都得通过 U盘、移动硬盘,或者走极其严苛的审批通道用专门的摆渡机。
在这种环境下,你跟我谈什么高频迭代?能把代码顺利扔上去跑不报错,大家都谢天谢地了。
但业务方显然是不管这些的,搜推策略依然要求能够及时响应市场变化进行调整。这种极端场景,倒逼我们设计出了一套跨网闸的 “配置即代码(Configuration as Code)落地范式”。我管它叫 “资产包(Asset Bundle)摆渡机制”。
刀耕火种阶段的痛:环境漂移
一开始我们怎么搞?在公司办公网吭哧吭哧写好代码、调好参数,打包成一个巨大的 xxx.jar。然后拷贝进光盘,经过繁琐的安检带进机房。手动备份原文件,覆盖新文件,再把配置表里的参数改一改,最后重启进程。
噩梦随之而来。
我们在测试环境的 Redis 连接串是 192.168.1.1,运维在机房手动改配置的时候,不小心把生产环境的 10.200.1.1 敲错了,成了 10.200.1.2。服务一启,直接 Connection Refused,生产链路瘫痪。
这就是臭名昭著的 环境差异(Environment Drift) 带来的灾难。再加上物理隔离环境往往缺乏完善的可观测性基础设施,排查这种人为故障简直要命。
破局:把变量统统剥离
痛定思痛后,我们下了一条死命令:交付物里绝对不允许出现任何环境特异性(Environment-specific)的信息。
结合我们前两篇文章提到的 Host-Plugin 架构和 LiteFlow 编排,我们将所有的“易变业务逻辑”抽取成一个个独立的插件,把流程配置文件化。我们的最终产物,不是一个完整的可执行程序,而是一个高度浓缩的压缩包(Zip)。
这个压缩包里包含:
plugin-v2.0.jar:纯粹的业务逻辑二进制包。dag_flow.json:说明各个算子怎么调用的执行图蓝图。manifest.yaml:声明这个包依赖的环境要求和对外接口。
最关键的是,代码里再也不许写 IP 地址或者具体环境配置了。
如果你在插件里要访问外部缓存,你只能写 @Resource(name="main-cache"),这是一个逻辑标识符。而在隔离的物理生产环境里,部署着雷打不动的基座程序(Host Application),它在启动时就已经读取好了机房本地的配置信息,备好了那些连接池,并且打上了对应的逻辑标签。
当摆渡包进入生产环境加载时,系统其实是在做一种“晚期绑定(Late Binding)”。插件只管提需求(“我需要一个叫 main-cache 的东西”),基座负责满足它。代码永远不知道、也不需要知道自己在什么环境下运行。
引入防呆机制:从“祈祷”到“预演 (Dry Run)”
以前上了包启动,大家都在心里默默祈祷不出错。如今有了规范的摆渡包体系,我们在后台系统的架构上做了一个重量级的特性:预发演练(Dry Run)机制。
当有人将包含新策略包的 Zip 上传到生产后台系统点击导入时,并不会立刻生效。
后台程序会先在内存里开启一个沙盒验证。它会拆开压缩包读取它的 manifest.yaml,开始一项一项核实:
- 依赖校验:你这个版本要求
tf-serving组件版本>=2.0,可是当前基座里的是1.5,对不起,打回,不允许加载。 - 连通性校验:模拟一遍 DAG 的组装图,看看有没有死循环、闭环等低级常识错误。
- 安全验签:根据打包时带入的私钥签名校验 MD5,防止压缩包在复杂的摆渡过程中损坏或被中间人恶意篡改。
只有当这些前置关卡全绿通过时,系统才会真正触发我们在第一篇里写的那套“无感热加载”流程。
总结思考
这种在今天互联网语境下看起来有些古板的交付方式,实际上是被严苛 ToB 环境逼出来的工程化结晶。
现在回过头看,这不就是一种彻底降阶版、非容器化的的 GitOps 么?我们在做的,本质上就是把基础设施的稳定预期(Host)和上层业务的混沌预期(Plugin+Config),通过一套强契约(Asset Bundle)进行了安全的交接。
至此,我们的整个搜推中台架构演进告一段落。从打破类加载器的底层 hack 搞定热更,到引入轻量图计算做编排,再到最后去解物理隔离的工程化之结。技术其实没有银弹,它永远是伴随着特定阶段的业务阵痛,相互妥协慢慢生长出来的。