远程更新系统最容易失控的地方,是把消息通道当成命令通道。控制面越轻,越容易审计和回滚。
只下发意图
控制面适合下发版本、批次、资源位置、校验信息和策略。真正的安装、健康检查和回滚应该由客户端按本地策略执行。
校验不可省
客户端必须在执行前完成签名验证和内容校验。任何跳过校验的捷径,都会把发布系统变成高风险入口。
灰度和回执
批量发布应该有明确批次、随机延迟、状态回执和失败停止条件。先把闭环跑稳,再扩大规模。
远程更新控制面的边界
控制面只应该下发意图,客户端负责验证、校验和受控执行。
控制面只应该下发意图,客户端负责验证、校验和受控执行。
远程更新系统最容易失控的地方,是把消息通道当成命令通道。控制面越轻,越容易审计和回滚。
控制面适合下发版本、批次、资源位置、校验信息和策略。真正的安装、健康检查和回滚应该由客户端按本地策略执行。
客户端必须在执行前完成签名验证和内容校验。任何跳过校验的捷径,都会把发布系统变成高风险入口。
批量发布应该有明确批次、随机延迟、状态回执和失败停止条件。先把闭环跑稳,再扩大规模。