Maxilect 16 дек 2024 в 16:14

Как мы обновляли продакшн до Spring Boot 3

Средний

7 мин

3.3K

Блог компании MaxilectKotlin*Java*Анализ и проектирование систем*Высокая производительность*

Кейс

+14

Комментарии 15

IvanVakhrushev 16 дек 2024 в 17:17

Вы же не руками обновляли сервисы? OpenRewrite же?

burov4j 16 дек 2024 в 20:35

Все обновления выполнялись вручную

panzerfaust 16 дек 2024 в 19:29

Зачем вы оправдываетесь в конце? Вы как профессионалы сами решаете, когда, как и зачем апгрейдить ПО. Кому интересна аргументация - пусть релиз ноутсы читает.

Если долго не обновлять бэкэнд, то уязвимости копятся, их количество начинает исчисляться сотнями

В экосистеме джавы сегодня много делается не столько ради устранения CVE, сколько ради оптимизации. Java 8 и грядущая Java 24 - разные вещи в плане перфоманса. То же самое хибер сегодня и хибер времен 8 джавы.

burov4j 16 дек 2024 в 20:51

Посмотрите на это глазами бизнеса. Вы тратите несколько месяцев работы нескольких ваших инженеров. В конце вы с высокой вероятностью получите еще и ряд проблем на проде. Все это стоит денег.

Что вы получаете взамен? Если улучшение перформанса, то вам необходимо понимать, сколько именно. Плюс пять процентов? Десять? Или вообще минус? Вам следует это посчитать и понять, стоит ли оно того. Может дешевле просто добавить сервер в кластер?

Аргументация о том, что в системе устраняются проблемы безопасности, универсальна и понятна каждому.

panzerfaust 16 дек 2024 в 21:17

Посмотрите на это глазами бизнеса. Вы тратите несколько месяцев работы нескольких ваших инженеров. В конце вы с высокой вероятностью получите еще и ряд проблем на проде. Все это стоит денег.

С точки зрения бизнеса любая инженерная деятельность это какая-то мутная возня, которая стоит денег и иногда приводит к проблемам на проде. Система может навернуться как после "ненужного" апгрейда зависимости, так и после "нужного" внедрения фичи. После фичи даже гораздо вероятнее все распердолить. С т.з. пресловутого бизнеса - никакой разницы.

Поэтому не хватало еще себе голову забивать, что там бизнес думает. А тем более оправдываться. Он мне платит, чтобы наблюдать некий полезный эффект - вопросов ноль, эффект будет. А уж каким образом он будет - не его, бизнеса, дело.

Acvilon 17 дек 2024 в 22:04

Глазами бизнеса как раз таки все понятно. Приходит клиент, запрашивает аудит. Смотрит результаты и говорит, что он не будет заключать договор по причине того, что ваш продукт дырявый и с кучей уязвимостей.

bex2014 17 дек 2024 в 08:02

есть же netty

jdev 17 дек 2024 в 09:42

По моему опыту обновление бэкэнда - это всегда долго, сложно и сопряжено с большим количеством проблем, в том числе иногда и для бизнеса (в худшем случае).

Я в прошлом году переводил проект меньше раз в 7 (~300 Котлин файлов), но порядка на 2-3 быстрее:

Для перехода я:

очевидным образом, обновил версии
заменой по проекту поправил javax.* -> jakarta.*
Поменял com.github.tomakehurst:wiremock-jre8:2.35.0 -> com.github.tomakehurst:wiremock-jre8-standalone:2.35.0. Без этого были проблемы со спекой сервлетов, что ли
В конфиге Spring Security заменой по файлу поправил antMatchers -> requestMatchers
Руками поудалял ConstructorBinding
Больше всего времени ушло на то, чтобы реанимировать вытягивание доков к эндпоинтам в сваггере из котлин доков. Для этого пришлось руками добавить зависимость runtimeOnly("com.github.therapi:therapi-runtime-javadoc:0.15.0"), а допетрить до того, что этот джарник пропал из зависимостей (без ошибок) пришлось самостоятельно
всё. Все 100+ тестов (преимущественно пользовательских/внешних/функциональных/е2е) прошли, приложение благополучно задеплоилось на тестовый стенд. И потом обошлось без факапов в проде

Всё это я сделал часа за два грустным вечером 5-ого января:)

Возможно секрет в том, что проект у меня был на Spring Data JDBC:)

novoselov 17 дек 2024 в 18:55

А теперь представьте проект на 3+ млн. строк кода и 100+ разработчиков которые за 15+ лет несколько раз поменялись и трижды переписали компоненты с разной степенью успеха и с соответствущими технологическими наслоениями.

jdev 18 дек 2024 в 07:16

К такому проекту я и на пушечный выстрел не подойду:)

Но если проект на 3M строк и 100 разработчиков попилен на 30 сервисов по 100К кода и покрыт качественными тестами - каждый сервис мигрируется также в пределах рабочего дня. Тот же проект, когда он был уже на 50К строк Котлин кода (и я его уже этом размере попилил на два сервиса) на минорные версии обновлялся за минуты.

SimSonic 20 дек 2024 в 17:50

Чем больше проект, ИМХО, тем чаще нужно делать более минорные обновления, иначе очень быстро они накапливаются в непреодолимый ком.

seregamorph 17 дек 2024 в 15:32

Перешли сразу с 2.7 на 3.3? Если так, то почему решили пропустить 3.0?

burov4j 18 дек 2024 в 18:42

Да, перешли сразу. Не видел смысла делать обновление частями. Обычно мы так делаем только при обновлении БД.

SimSonic 20 дек 2024 в 17:51

Мы тоже осенью перешли с 2.7.18 на 3.3.4. Какие-то проблемы пересекались, какие-то свои поймали :) Ушло примерно 1.5 месяца одного разработчика.

keekkenen 20 дек 2024 в 18:53

Если liquibase при выполнении миграций увидит, что у одного из старых changelog’ов чексумма отличается от той, что записана в базе, то он упадёт с ошибкой.

в liquibase уже много лет присутствует возможность писать миграции идемпотентно, отсюда удаление записей о миграциях никак не влияет на конечный результат их многократного применения

Зарегистрируйтесь на Хабре, чтобы оставить комментарий