Во многих командах сегодня все выглядит «как положено»: Kubernetes, CI/CD, Terraform, DevOps-команда на месте.

Но по мере роста системы появляется другой эффект: разработка тормозит не из-за кода, а из-за инфраструктуры. Любое изменение проходит через одну точку — DevOps.

И дело не в том, что команда работает плохо. Просто через нее проходит все: задача уходит в очередь, возвращается на доработку и снова ждет. Бизнес давит на скорость, но инфраструктура не успевает.

Привет, Хабр! Меня зовут Павел Лавров, я owner нового продукта в экосистеме Orion soft — GitOps-платформы HyperDrive. И в этой статье я расскажу, почему проблема не в людях и не в инструментах — она в самой модели работы с инфраструктурой. Давайте разберемся, как возникает это узкое место и что меняется, если его убрать.

Вступление

Если посмотреть на команды, где DevOps становится узким местом, у них обычно схожий профиль. Это уже не стартап на десять человек, но и не гигант с сотнями инженеров.

Типичный портрет:

  • 40–150 разработчиков;

  • 3–10 DevOps / SRE;

  • десятки микросервисов (10–40);

  • несколько контуров: dev, test, staging, prod.

По мере усложнения системы нагрузка на инфраструктурную команду начинает расти быстрее, чем сама разработка. Количество сервисов увеличивается, окружений становится больше, конфигурации усложняются, а требования к стабильности и скорости изменений только усиливаются.

Работу DevOps-команды в таких условиях можно условно разделить на два типа задач:

  • run — поддержка и операционные задачи;

  • change — планирование архитектуры и развитие систем.

Проблема в том, что со временем run начинает съедать большую часть времени. Поддержка существующей инфраструктуры, доступы, правки конфигураций, сопровождение пайплайнов — все это не масштабируется линейно.

В результате команда все меньше занимается развитием и все больше — обслуживанием текущего состояния. И чем сложнее ландшафт — больше сервисов, больше интеграций — тем быстрее заканчивается время команды и тем сильнее ее фокус смещается в сторону операционки.

Попытка решить это за счет найма обычно не дает эффекта: рынок перегрет, поиск занимает месяцы, а с ростом команды увеличиваются и накладные расходы на координацию.

В итоге узкое место никуда не исчезает — оно масштабируется вместе с инфраструктурой, информационными системами и процессами.

Главная страница HyperDrive с краткой сводкой по системе
Главная страница HyperDrive с краткой сводкой по системе

Почему инфраструктура перестала успевать за разработкой

За последние годы изменилась сама разработка — и именно это потянуло за собой требования к инфраструктуре.

Во-первых, выросла скорость. Релизы стали чаще, изменения идут небольшими итерациями и должны быстро доходить до продакшена. Во-вторых, резко усложнились системы: вместо пары монолитов — десятки микросервисов, инфраструктурных компонентов и зависимостей между ними. Под это изменилась и архитектура. Тот же Kubernetes — это не просто новая технология, а ответ на эту сложность и необходимость управлять большим количеством сервисов.

В результате изменились требования к инфраструктуре. Раньше она могла быть «медленной» — это не мешало, потому что и разработка двигалась не быстро. Сейчас все наоборот: если инфраструктура не успевает, она начинает тормозить команды.

Если разложить это на практике, становится понятно, где именно возникает проблема.

Разработчику нужна новая среда или изменение текущей. Без платформы все начинается с заявки: он пишет в DevOps, дальше идет серия уточнений — какие ресурсы, какие настройки, какие зависимости. Часто разработчик сам до конца не понимает, что ему нужно, и это превращается в затяжную переписку.

Когда требования проясняются, DevOps вручную собирает окружение: настраивает Kubernetes, доступы, сервисы и пайплайны. Затем подключается ИБ и проверяет соответствие требованиям. Если что-то не проходит или требования меняются, процесс уходит на второй круг. В итоге на одну среду уходит несколько дней, и результат не всегда точно совпадает с ожиданиями.

С платформой тот же сценарий выглядит иначе. Разработчик обращается напрямую к системе: если задача укладывается в шаблоны и политики, он просто создает нужную среду. Дальше все происходит автоматически — инфраструктура поднимается с заданными настройками и ограничениями, без ручного участия.

Вместо нескольких дней это занимает минуты или часы. Главное — сильно сокращается задержка между «нужно» и «сделано», из-за которой раньше тормозила вся разработка.

Развертывание окружения через Web UI
Развертывание окружения через Web UI

Проблема не в Kubernetes и не в DevOps

На этом этапе возникает логичный вопрос: если у компании уже есть DevOps-команда, Kubernetes и набор инструментов, почему проблемы остаются?

Короткий ответ — потому что инструменты сами по себе не дают системы управления.

Теоретически это можно компенсировать людьми. Если ресурсов достаточно, компания собирает сильную команду, выстраивает процессы вручную и по сути строит внутреннюю платформу силами инженеров. В таком сценарии отдельный платформенный слой действительно может не понадобиться — его роль выполняет команда.

Но это работает, пока хватает ресурсов. Как только появляется потребность быстрее запускать сервисы или масштабировать инфраструктуру, компания упирается в ограничения: нужно нанимать людей, обучать их, синхронизировать процессы или собирать все из open source. Скорость начинает зависеть от команды, а не от системы.

При этом остается еще одна проблема — вариативность. Когда управление держится на людях, одни и те же задачи решаются по-разному. С течением времени команды меняются, вместе с ними меняются подходы, и инфраструктура постепенно «расползается». Часть решений становится уникальной и плохо воспроизводимой, что уже напрямую бьет по стабильности и предсказуемости.

В итоге даже при наличии Kubernetes, CI/CD и DevOps-команды ключевая проблема остается: управление не закреплено в системе и не стандартизировано.

Сервисы стандартизированы и сегментированы по проектам с использованием ACL
Сервисы стандартизированы и сегментированы по проектам с использованием ACL

От инструментов к платформе: как это работает на практике

Если упростить, GitOps — это управление инфраструктурой через описание ее желаемого состояния в Git. Репозиторий выступает источником правды: в нем задается, как должна выглядеть система, а платформа синхронизирует фактическое состояние с этим описанием.

Это делают контроллеры: они постоянно сравнивают текущее состояние с тем, что описано в Git, и исправляют расхождения. В результате проблема «разъехавшейся» инфраструктуры становится контролируемой — изменения вне Git либо откатываются, либо быстро обнаруживаются.

Вместе с этим меняется и работа разработчика. В классической схеме ему нужно идти к DevOps, чтобы развернуть кластер, настроить доступы или подключить сервисы. В платформенной модели базовая инфраструктура уже подготовлена, а взаимодействие идет через шаблоны.

Шаблон — это готовый проект в Git с описанием приложения и его окружения. Разработчик создает на его основе репозиторий, задает параметры, и дальше система сама разворачивает инфраструктуру и приложение. Цепочка заявок и ручных операций исчезает — среда появляется напрямую через платформу.

На этом фоне часто возникает идея: если все это можно собрать из open source, зачем платформа?

На бумаге все выглядит просто — Kubernetes, Terraform, GitOps, мониторинг, безопасность. Но сложность появляется в момент, когда эти инструменты нужно связать в одну систему.

Каждый компонент развивается отдельно: обновления, изменения API, лицензии. В итоге появляется слой интеграций, который нужно постоянно поддерживать. Пайплайны зависят от инфраструктуры, безопасность — от процесса деплоя, мониторинг — от архитектуры сервисов. Это не разовая настройка, а постоянная работа.

Со временем такая связка превращается во внутренний продукт. Его нужно обновлять, поддерживать, держать в безопасном состоянии и следить за совместимостью компонентов. Команда начинает тратить ресурсы не только на инфраструктуру, но и на развитие этой платформы.

Это оправдано только при большом масштабе, когда есть отдельные команды под платформу. Во всех остальных случаях стоимость быстро начинает расти, а отдача — нет.

Дополнительно появляется зависимость от людей: знания о платформе остаются внутри команды. При ее изменении часть решений приходится разбирать заново.

В итоге вывод простой: собрать платформу самому можно, но это не разовая задача, а постоянная нагрузка — со своей сложностью, стоимостью и зависимостью от команды.

Подключенные к кластерам репозитории
Подключенные к кластерам репозитории
Интерфейс настройки GitOps для конкретного кластера
Интерфейс настройки GitOps для конкретного кластера

Как выглядит процесс работы платформы на практике

Если взять типовой сценарий, все начинается с простой задачи: разработчику нужен новый кластер или отдельное окружение. В HyperDrive это делается через мастер настройки — он задает параметры, выбирает модули, настраивает сеть, доступы и сертификаты, после чего запускает деплой.

Дальше процесс полностью уходит в платформу. Сначала она валидирует конфигурацию: хватает ли ресурсов, корректна ли DNS-зона, можно ли создать записи и использовать указанные идентификаторы. Ошибки отлавливаются до старта развертывания.

Затем создаются платформенные секреты — изолированные для каждого кластера или сервиса, например SSH-ключи для управления. После этого резервируются ресурсы: платформа запрашивает их у планировщика и сразу помечает как занятые, даже если виртуальные машины еще не подняты.

Дальше начинается развертывание. Выдаются IP-адреса, создаются виртуальные машины, при необходимости поднимаются балансировщики, настраивается DNS. Затем устанавливается слой контейнеризации — Kubernetes или Nova, в зависимости от сценария.

После установки HyperDrive доводит систему до рабочего состояния: подключает мониторинг, настраивает доступы, включает GitOps (если он выбран) и проверяет, что все действительно работает — API доступен, учетные данные валидны, кластер жив. В демонстрации полный цикл занял около 37 минут, в реальном сценарии — 20–25.

На выходе разработчик получает готовый Kubernetes-кластер и может сразу с ним работать: подключиться, посмотреть метрики, забрать kubeconfig или проверить состояние системы.

Дальше тот же подход применяется к приложениям. Когда кластер готов, сервис разворачивается через платформу: она создает репозиторий из шаблона, подставляет параметры и подключает его к кластеру через GitOps-оператор (например, Flux). Без ручных действий и заявок.

Внутри кластера автоматически поднимается все необходимое: namespace, конфигурации, ingress, сетевые настройки и зависимости. После применения сервис сразу доступен по URL.

В итоге разработчик получает изолированную среду под свою задачу — без ожидания и без борьбы за общий стенд. Он может тестировать, проверять интеграции и экспериментировать с инфраструктурой. Жизненный цикл среды тоже в его зоне ответственности: когда она больше не нужна, он просто удаляет ее.

Все процессы в Hyperdrive прозрачны: при ошибках можно точно определить этап сбоя и провести анализ
Все процессы в Hyperdrive прозрачны: при ошибках можно точно определить этап сбоя и провести анализ

Как меняются роли разработчиков и DevOps

После внедрения платформы вроде HyperDrive меняется не столько стек, сколько распределение ответственности — и это главное.

Разработчики начинают сами делать то, что раньше требовало DevOps: поднимать окружения, создавать сервисы, управлять конфигурацией и запускать деплой. Все это проходит через привычные Git-процессы — например, merge request в GitLab. Инфраструктура становится продолжением кода.

Вместе с этим уходит ожидание. Разработчику больше не нужно идти к DevOps, договариваться о приоритете и ждать — он запускает нужные изменения сам, в момент, когда это нужно задаче.

На стороне DevOps исчезает большой слой ручной работы: настройка окружений, доступов, сетевых правил, запуск деплоев, конфигурация сервисов. Все, что раньше делалось руками и постоянно копилось, уходит в платформу.

Фокус смещается с операционки на развитие. Вместо run-задач — поддержки и тушения пожаров — появляется время на change-задачи: развитие платформы и инфраструктуры.

DevOps начинает работать как инженер платформы: развивает ее как сервис, улучшает опыт разработчиков, добавляет шаблоны, автоматизирует сложные сценарии, выстраивает наблюдаемость — метрики, логи, мониторинг. Он больше не выполняет запросы, а делает систему, которая закрывает их сама.

В результате DevOps перестает быть узким горлышком. Разработчик больше не зависит от очереди и ручных процессов — он работает напрямую через платформу.

При этом DevOps никуда не исчезает — он поднимается на уровень выше: отвечает за базовую инфраструктуру, платформенные сервисы и развитие платформы и ее сервисов как продукта.

Итог простой: у разработчика меньше ожиданий и больше контроля, у DevOps — меньше рутины и больше инженерной работы.

Эффект на практике такой: задача, которая сама по себе занимает несколько дней разработки, в старой модели легко растягивается на недели из-за инфраструктурной операционки и согласований. Платформенный подход этот разрыв убирает.

Как в платформенной модели встроена безопасность

В платформенном подходе безопасность перестает быть надстройкой и встраивается в саму систему. Меняется не только набор инструментов, но и роль ИБ.

В HyperDrive используется ролевая модель доступа: администратор, пользователь и наблюдатель. Роли применяются в рамках проектов (мультитенантность), могут быть глобальными или локальными, есть уровень супер-администратора. Обычно распределение простое: разработчики — пользователи, DevOps — администраторы, ИБ — наблюдатели. Дальше модель будет развиваться в сторону более гибких политик.

Платформа интегрируется с корпоративной инфраструктурой: в качестве бекенда авторизации используется Keycloak, поддерживаются LDAP и OIDC, можно подтягивать пользователей и группы.

Секреты вынесены в отдельное хранилище — StarVault. Они не лежат в приложениях или базах данных. При создании кластеров и сервисов платформа сама генерирует и применяет необходимые данные, например SSH-ключи.

Ключевое изменение — требования безопасности применяются сразу, а не проверяются постфактум. Например, можно задать обязательные модули: без них кластер просто не создастся. Внутри таких модулей — политики Kubernetes, настройки безопасности и проверки. Обойти их нельзя — процесс развертывания (деплой) не пойдет дальше.

Часть политик описывается как код. Все изменения проходят через Git: видно, кто и когда их внес, можно отследить любую правку. Git становится источником правды не только для инфраструктуры, но и для безопасности — «тихо» ослабить требования не получится.

Платформа фиксирует действия: создание проектов, окружений, работу с секретами. Аудит-логи хранятся в базе и дополняются логами Keycloak и других компонентов. Отдельный модуль визуализации аудита еще дорабатывается, но данные уже доступны.

За счет шаблонов снижается и риск ошибок. Например, нельзя случайно развернуть кластер в неподходящей сети — ограничения задаются заранее. При необходимости внутрь добавляются дополнительные системы безопасности для отслеживания уязвимостей и событий.

Для расследования инцидентов доступны все ключевые источники:

  • история изменений в Git;

  • логи платформы (workflow и действия);

  • логи Kubernetes и контейнерной платформы;

  • логи систем безопасности;

  • логи авторизации.

HyperDrive не навязывает единую систему сбора — данные можно интегрировать в корпоративный стек.

Главное изменение — ИБ перестает быть блокирующим звеном. Вместо потока согласований команда управляет политиками и контролирует их выполнение. В итоге система сама обеспечивает соблюдение требований и дает прозрачность происходящего.

Платформа генерирует секреты и поддерживает пользовательские; данные безопасно хранятся в StarVault (аналог HashiCorp Vault от Orionsoft)
Платформа генерирует секреты и поддерживает пользовательские; данные безопасно хранятся в StarVault (аналог HashiCorp Vault от Orionsoft)

Кому такая платформа не подойдет

Платформенный подход — не универсальное решение. Есть сценарии, где он либо не даст эффекта, либо окажется лишним.

Первый — небольшая команда с простым продуктом. Несколько разработчиков, пара сервисов, все крутится на managed-сервисах, архитектура не усложняется. В таком случае платформа просто не раскрывается: ее сложность оказывается выше, чем реальная польза.

Второй — системы без динамики. Монолит с редкими релизами, инфраструктура «настроили и забыли», закрытый контур без давления на скорость изменений. Здесь ключевое преимущество платформы — быстрые изменения — просто не нужно.

Третий — незрелые процессы. Платформа не заменяет базу: работу с Git, CI/CD, автоматизацию тестирования. Если этого нет, она не исправит ситуацию, а только добавит еще один слой. Сначала выстраиваются процессы — потом имеет смысл автоматизировать их через платформу.

Отдельный случай — устаревшие практики. Когда сборка делается вручную, версии собираются локально, а Docker используется как упаковка в конце, проблема не в инструментах, а в подходе. Платформа это не вылечит.

В итоге HyperDrive — инструмент для команд, которые уже движутся в сторону GitOps и CI/CD и начинают упираться в сложность инфраструктуры. Если этой базы нет, платформа либо не даст эффекта, либо будет восприниматься как лишний слой.

Мини-кейс: как это работает на практике

Это не маркетинговый пример, а реальный опыт команды, из которого вырос подход HyperDrive. Тогда это была внутренняя платформа, которую собирали под свои задачи.

Типичный крупный e-commerce: около пяти кросс-функциональных команд, ~50 микросервисов поверх legacy backend, шесть DevOps-инженеров. Отдельные слои баз данных, Kafka, около десяти внешних интеграций — от платежных систем до сервисов бронирования.

Инфраструктура гибридная: часть в облаке (managed и IaaS), часть — в своем дата-центре на четырех стойках. Облако — около 2 млн рублей в месяц, плюс собственное железо и отдельные команды администраторов и сетевых инженеров.

До платформы любое окружение создавалось через заявку. Разработчик заводил тикет — и уже здесь начинались проблемы: не хватало параметров, что-то указывалось неверно, заявку возвращали на доработку. Дальше — цепочка согласований: инфраструктура, DevOps, ИБ. Каждый этап добавлял время.

В итоге одно окружение делалось от двух до пяти дней, иногда дольше. При этом задачи почти всегда выполнялись «как в первый раз», несмотря на документацию.

С внедрением платформы сначала жестко зафиксировали стандарты: где разворачиваются окружения, какие ресурсы используются, какие требования безопасности применяются. Это убрало большую часть согласований.

Затем автоматизировали процесс. На первом этапе роли не менялись: разработчик ставил задачу, DevOps поднимал окружение, но уже через платформу. Время сократилось до нескольких часов или одного дня.

Дальше — самообслуживание. Разработчики начали поднимать окружения сами, и сама сущность заявки исчезла. DevOps перестал выполнять задачи вручную и переключился на развитие платформы.

Изменения хорошо видны в метриках:

  • время создания окружения: с 2–5 дней до часов / в тот же день;

  • частота релизов: рост в 2–3 раза;

  • нагрузка на DevOps: снижение примерно вдвое;

  • стабильность релизов: рост за счет снижения человеческого фактора.

Главный эффект — исчезает инфраструктурное узкое место. Окружения появляются по требованию, а не по очереди. Разработка не ждет. DevOps при этом никуда не девается — он поднимается на уровень выше и отвечает за устойчивость и развитие платформы.

Что меняется для бизнеса

Если смотреть не со стороны инфраструктуры, а со стороны бизнеса, эффект становится вполне осязаемым: скорость, стабильность, стоимость и эффективность команд.

Первое — скорость изменений. В кейсе был показательный пример: бизнес приходит с задачей «нужно срочно поменять кнопку на проде». Раньше такие изменения занимали дни — попасть в прод в тот же день было сложно. С платформенным подходом изменения доезжают до продакшена за минуты — без цепочки согласований и ручных операций. Это дает бизнесу возможность быстро запускать маркетинговые активности, исправлять ошибки и реагировать на изменения рынка в реальном времени.

Второе — стабильность. До платформы крупные релизы превращались в отдельное событие с проверками и откатами. После внедрения количество ошибок снизилось примерно в два раза, а сами релизы стали предсказуемыми. Основная причина — меньше ручных действий, меньше случайных сбоев.

Третье — восстановление после инцидентов. По внутренним метрикам команды, MTTR снизился в 2–3 раза: в типовом сценарии восстановление занимает около часа. Это напрямую влияет на uptime, SLA и репутационные риски.

Четвертое — экономика. За счет более эффективного использования ресурсов и динамических окружений расходы снизились примерно на 30%: с ~2 млн рублей в месяц до ~1,5 млн. Тяжелые окружения больше не простаивают — они поднимаются под задачу и отключаются после.

Есть и менее очевидный эффект — перераспределение времени разработки. Раньше часть времени уходила на инфраструктурную операционку: заявки, согласования, уточнения. По оценке команды, это около 5%. В абсолютных цифрах это заметно:

  • ~50 разработчиков;

  • ~10 млн рублей в год на одного;

  • ~500 млн рублей общий фонд.

Даже эти 5% превращаются в ощутимую экономию, которая раньше просто терялась в процессах.

Бизнес получает:

  • изменения в проде за минуты;

  • меньше ошибок и откатов;

  • быстрее восстановление после инцидентов;

  • снижение инфраструктурных затрат;

  • больше времени разработки на продукт, а не на операционку.

Достигается это не за счет «ускорения людей», а за счет изменения самой модели работы с инфраструктурой.

Условия успеха: когда платформа действительно дает эффект

Платформа сама по себе ничего не чинит — она усиливает то, что уже есть. Поэтому ключевой вопрос — готовность команды.

База — работа через единый источник правды. Все изменения идут через Git, а не через «зайти на сервер и поправить». Это дисциплина: никаких ручных правок в проде, все описано в коде и воспроизводимо.

Дальше — автоматизация. Если деплои, тесты или создание окружений все еще делаются вручную, платформа не даст эффекта. Сначала автоматизируются повторяемые процессы, и только потом появляется смысл собирать их в единую систему и масштабировать.

Ценность проявляется с ростом сложности. Пока сервисов немного, платформа выглядит как лишний слой. Когда их десятки, появляются Kubernetes, базы, очереди, интеграции — вручную этим управлять уже либо дорого, либо невозможно.

Важно и изменение процессов. Меняется не только стек, но и организация работы: кто за что отвечает, как проходят деплои, как участвуют DevOps и ИБ. Та же безопасность перестает быть проверкой «на входе» и становится набором правил, которые применяются автоматически. Без готовности к этим изменениям платформа не взлетит.

Обычно к ней приходят не «по желанию», а по необходимости. Пока система небольшая, хватает Kubernetes, Terraform и GitOps-инструментов. Но с ростом количества сервисов, команд и зависимостей сложность начинает давить. Уже мало просто поднять кластер — нужно управлять системой целиком.

В этот момент появляется давление на скорость: быстрее запускать сервисы, быстрее вносить изменения и не ломать прод. Дальше выбор простой — либо расширять DevOps-команду, либо менять подход и переносить сложность в платформу. Здесь и становится понятно, что одного набора инструментов уже недостаточно.

Что в итоге

HyperDrive в этом смысле — не попытка «собрать все в одном месте», а способ закрывать реальные задачи, которые появляются при росте системы. Поэтому развитие идет не от списка фич, а от практики: интервью, пилоты, работа с командами.

Сейчас фокус в трех направлениях:

  • интеграции с инфраструктурой и провайдерами;

  • улучшение удобства для разработчиков;

  • развитие встроенной безопасности.

При этом платформа остается гибкой — ее можно адаптировать под конкретную инфраструктуру и требования, а не подгонять процессы под «жесткую коробку».

В итоге платформенный подход — это не про инструменты и не про моду. Это способ справляться со сложностью, которая неизбежно появляется по мере роста системы. И в какой-то момент почти любая команда в нее упирается — вопрос только в том, когда она с этим столкнется и как решит.