ThinkPink Studio Logo
ThinkPink Studio
BlogShopAcademy🐛 Bug Party
CANARYDEPLOYMENT
DEPLOYANDPRAY
DEVOPS
SRE
KUBERNETES
OBSERVABILITY
INCIDENTMANAGEMENT
THINKPINKSTUDIO
PROGRESSIVEDELIVERY
AIOPS
TECHNICALDEBT

Deploy & Pray: la preghierina che costa milioni. Cronaca di come abbiamo smesso di recitarla.

TP

ThinkPink Studio

6 maggio 2026

Deploy & Pray: la preghierina che costa milioni. Cronaca di come abbiamo smesso di recitarla.

Quella volta che abbiamo fritto il checkout per 23 minuti

Ce l'hai presente quella sensazione? Quel misto di sudore freddo e adrenalina marcia quando un deploy apparentemente innocuo sul branch `main` manda a gambe all'aria una funzione critica. Per noi è stato il checkout. Per 23, interminabili minuti. Il canale Slack del team che esplode, i telefoni che iniziano a vibrare, e tu lì, a fissare i log cercando di capire dove diavolo si è annidato il serpente. Scene che conosciamo bene. Scene che sono il pane quotidiano di chi ancora si affida alla strategia del "Deploy and Pray". Lancia in produzione e spera che Dio te la mandi buona. Una strategia che non ha nulla di professionale, ma che, ammettiamolo, è diffusa come l'influenza a gennaio. Qui in ThinkPink abbiamo visto abbastanza disastri da capire una cosa: non è un problema tecnico. È un problema di mentalità.

Il vero costo non è il downtime. È la paura.

Il danno di un rollback non si misura nei minuti in cui il servizio è down. Quella è solo la punta dell'iceberg. Il costo vero, quello che nessuno mette in fattura, è la paralisi che ne consegue. È il debito tecnico che si accumula perché nessuno ha più il coraggio di toccare quel monolite scritto nel 2018. È la paura di rilasciare che allunga i cicli di sviluppo fino a renderli geologicamente irrilevanti. Nel 2026, il mercato non aspetta. Vuole tutto e subito: rilasci veloci, zero downtime, sicurezza a prova di bomba. Continuare a "pregare" prima di ogni deploy significa firmare la propria condanna a morte, un byte alla volta. Ed è qui che spunta fuori la soluzione. Non una moda passeggera, non l'ennesima buzzword da fiera DevOps, ma una maledetta necessità: il Canary Deployment.

Canary Deployment: come abbiamo smesso di avere paura

Dopo l'incidente dei 23 minuti, ci siamo guardati in faccia e abbiamo detto: basta. Era ora di smettere di fare gli eroi notturni e iniziare a lavorare da professionisti. Abbiamo messo in piedi una strategia di Canary Deployment e, quasi per magia, i rollback sono crollati. Di che si tratta? Invece di sparare la nuova versione del software a tutti gli utenti, la rilasci a una porzione ridicola del traffico. Un 5%, a volte anche l'1%. Come una piccola cavia in laboratorio. Stai lì, guardi cosa succede, e se la cavia non esplode, aumenti gradualmente la dose. Il concetto è brutale nella sua semplicità: il Load Balancer manda il 95% delle anime alla versione stabile (v1.2.3) e solo una manciata di sfortunati pionieri sulla nuova release (la canary, v1.2.4). Se questi ultimi iniziano a generare errori o a lamentare lentezza, stacchi la spina alla canary. Fine. Il 95% degli utenti non si è accorto di nulla. Il "blast radius", il raggio dell'esplosione, è stato contenuto. Il rollback è stato indolore.

# Esempio grezzo di come si spartisce il traffico con Kubernetes e SMI
# Sembra facile, ma ricordati che il diavolo si nasconde nei dettagli. E nei timeout.
apiVersion: split.smi-spec.io/v1alpha1
kind: TrafficSplit
metadata:
  name: api-canary
spec:
  service: api # Il servizio che trema a ogni deploy
  backends:
  - service: api-stable
    weight: 95 # Qui ci sono i soldi, non toccare
  - service: api-canary
    weight: 5 # Qui ci sono i nostri coraggiosi beta tester involontari

Se non puoi misurarlo, stai solo tirando a indovinare.

Deviare il traffico è la parte facile. La vera partita si gioca sull'osservabilità. Senza un cruscotto che ti urla in faccia quando le cose vanno male, il canary deployment è inutile come un ombrello nel deserto. Devi "vedere" cosa sta succedendo. Il nostro team tiene d'occhio quattro parametri vitali, i cosiddetti "Golden Signals": il tasso di errore (quante richieste 5xx sta vomitando la canary?), la latenza (quanto ci mette a rispondere?), il tasso di successo e la memoria (sta per caso mangiando tutta la RAM?). Se uno di questi sfora le soglie che abbiamo impostato, parte l'allarme e il rollback è automatico. Senza intervento umano. Nel 2026, l'osservabilità non è più un ammasso di log illeggibili, ma la capacità di correlare metriche, log e trace per capire *perché* il sistema sta avendo le convulsioni. Da noi, a Rosignano come a Kampala, lo stack è quasi sempre lo stesso: Prometheus, Loki, Grafana. Non perché siano la soluzione definitiva a tutti i mali del mondo, ma perché fanno il loro sporco lavoro, permettendoci di passare da un picco di latenza su un grafico ai log di quella specifica richiesta in una manciata di click.

Gli attrezzi del mestiere nel 2026: dal ferrovecchio all'AI

All'inizio eravamo partiti con un accrocchio fatto in casa: due deployment su Kubernetes e un bilanciatore di carico. Funzionava, ma era un lavoro da artigiani. Oggi, il panorama è cambiato. L'ecosistema DevOps ha sfornato strumenti che rendono tutto questo un gioco da ragazzi (o quasi):

  • Service Mesh (Istio, Linkerd): Roba da architetture a microservizi complesse. Ti permettono di gestire il traffico a livello 7 senza toccare una riga di codice. Istio sta diventando più snello con la sua "Ambient Mesh", mentre Linkerd è sempre stato il peso piuma della categoria. I nostri ragazzi a Kampala li usano per gestire rilasci su infrastrutture distribuite dove la latenza è un fattore critico.
  • Progressive Delivery Controller (Argo Rollouts, Flagger): Questi sono i veri game-changer per chi vive su Kubernetes. Automi che gestiscono l'intero ciclo di vita del canary. Si attaccano a Prometheus, guardano le metriche e decidono in autonomia se promuovere la release o farla saltare. Un lavoro sporco che nessuno vuole più fare a mano.
  • Feature Flag (LaunchDarkly, Split): Il controllo chirurgico. Ti permettono di attivare una funzionalità a un gruppo ristretto di utenti senza nemmeno fare un deploy. È come avere un interruttore per ogni feature del tuo software.
  • Canary con anabolizzanti (AIOps): La nuova frontiera. Strumenti che usano l'AI per analizzare le metriche della canary in tempo reale. Invece di impostare soglie manuali, l'algoritmo impara qual è la normalità e rileva anomalie che a un occhio umano sfuggirebbero. Questo riduce i falsi positivi e rende il processo ancora più affidabile.

Ok, ma noi non siamo Google. Appunto.

"Bello, ma noi siamo una PMI di Varese, non abbiamo i budget di Google." L'obiezione è lecita. La risposta è semplice: non devi essere Google. Anzi, è proprio per questo che ti serve. Il Canary Deployment non è un lusso, è un'assicurazione sulla vita per il tuo business. Si parte in piccolo. Un semplice bilanciatore, uno script che controlla due metriche in croce. Poi si automatizza, un pezzo alla volta. La verità, controintuitiva ma reale, è che da quando abbiamo adottato questo approccio, rilasciamo molto più spesso. La paura del venerdì pomeriggio è sparita. Quando sai che un bug impatterà al massimo l'1% degli utenti, il coraggio di innovare ti torna. E lasci i tuoi concorrenti a recitare le loro preghierine, sperando che il prossimo deploy non sia l'ultimo.

Torna al blog

Ultimo aggiornamento: