Keine Silos mehr

Die erste Schlüsselidee lautet: Keine Silos mehr. Dies ist eine Reaktion auf ein paar Ideen:

• Die historisch beliebte, aber zunehmend altmodische Anordnung von getrennten Betriebs- und Entwicklungsteams

• Die Tatsache, dass extreme Siloisierung von Wissen, Anreize für rein lokale Optimierung und mangelnde Zusammenarbeit in vielen Fällen aktiv schlecht für das Geschäft waren⁴

Unfälle sind normal

Der zweite Grundgedanke ist, dass Unfälle nicht nur auf die isolierten Handlungen eines Einzelnen zurückzuführen sind, sondern vielmehr auf fehlende Sicherheitsvorkehrungen für den Fall, dass etwas schief geht.⁵ Eine schlechte Schnittstelle zum Beispiel ermutigt unter Druck ungewollt zu falschen Handlungen; ein Systemfehler macht ein Versagen unausweichlich, wenn die (unausgesprochenen) falschen Umstände eintreten; eine fehlerhafte Überwachung macht es unmöglich zu wissen, ob etwas falsch ist, geschweige denn was falsch ist. Einige traditionellere Unternehmen haben den kulturellen Instinkt, den Fehlerverursacher ausfindig zu machen und ihn zu bestrafen. Aber das hat seine eigenen Konsequenzen: Es schafft Anreize, Probleme zu verwirren, die Wahrheit zu verbergen und anderen die Schuld zu geben - allesamt unrentable Ablenkungen. Deshalb ist es profitabler, sich darauf zu konzentrieren, die Genesung zu beschleunigen, als Unfälle zu verhindern.

Veränderung sollte schrittweise erfolgen

Der dritte Grundgedanke ist, dass Veränderungen am besten sind, wenn sie klein und häufig sind. In Umgebungen, in denen Änderungsausschüsse monatlich zusammentreffen um sorgfältig dokumentierte Pläne für Änderungen an der Mainframe-Konfiguration zu besprechen, ist dies eine radikale Idee. Diese Idee ist jedoch nicht neu. Die Vorstellung, dass alle Änderungen von erfahrenen Menschen geprüft und für eine effiziente Prüfung gebündelt werden müssen, ist mehr oder weniger das Gegenteil der bewährten Methode. Veränderungen sind riskant, das stimmt, aber die richtige Reaktion ist es, die Änderungen möglichst in kleinere Teilkomponenten aufzuteilen. Dann baust du aus dem regelmäßigen Output von Produkt-, Design- und Infrastrukturänderungen eine stetige Pipeline mit risikoarmen Änderungen auf.⁶ Diese Strategie, gepaart mit automatischen Tests kleinerer Änderungen und einem zuverlässigen Rollback schlechter Änderungen, führt zu Ansätzen des Änderungsmanagements wie Continuous Integration (CI) und Continuous Delivery oder Deployment (CD).

Werkzeuge und Kultur sind miteinander verbunden

Werkzeuge sind ein wichtiger Bestandteil von DevOps, vor allem, wenn man bedenkt, wie wichtig es ist, Veränderungen richtig zu managen - heutzutage ist das Veränderungsmanagement auf sehr spezifische Werkzeuge angewiesen. Insgesamt betonen die Befürworter von DevOps jedoch die Unternehmenskultur - und nicht die Werkzeuge - als Schlüssel zum Erfolg bei der Einführung einer neuen Arbeitsweise. Eine gute Kultur kann kaputte Werkzeuge umgehen, aber das Gegenteil ist selten der Fall. Wie das Sprichwort schon sagt, frisst die Kultur die Strategie zum Frühstück. Wie der Betrieb ist auch die Veränderung selbst schwierig.

Messung ist entscheidend

Und schließlich ist die Messung besonders wichtig, wenn es darum geht, Silos aufzubrechen und Vorfälle zu lösen. In jedem dieser Bereiche stellst du durch objektive Messungen die Realität fest, überprüfst, ob du die Situation so veränderst, wie du es erwartest, und schaffst eine objektive Grundlage für Gespräche, auf die sich verschiedene Funktionen einigen können. (Das gilt sowohl für geschäftliche als auch für andere Kontexte, wie z. B. den Bereitschaftsdienst).

Betrieb ist ein Software-Problem

Der Grundgedanke von SRE ist, dass ein guter Betrieb ein Softwareproblem ist. SRE sollte daher Softwareentwicklungsansätze nutzen, um dieses Problem zu lösen. Das ist ein weites Feld, das alles umfasst, von Prozess- und Geschäftsänderungen bis hin zu ähnlich komplizierten, aber traditionelleren Softwareproblemen, wie z. B. das Umschreiben eines Stacks, um Single Points of Failure in der Geschäftslogik zu beseitigen.

Verwalten nach Service Level Objectives (SLOs)

SRE versucht nicht, alles zu 100% verfügbar zu machen. Wie in unserem ersten Buch, Site Reliability Engineering, beschrieben, ist dies das falsche Ziel für eine Reihe von Gründen. Stattdessen wählen das Produktteam und das SRE-Team ein angemessenes Verfügbarkeitsziel für den Dienst und seine Nutzerbasis aus, und der Dienst wird nach diesem SLO verwaltet.⁹ Die Entscheidung für ein solches Ziel erfordert eine enge Zusammenarbeit mit dem Unternehmen. SLOs haben auch kulturelle Auswirkungen: Da es sich um Entscheidungen handelt, die von allen Beteiligten gemeinsam getroffen werden, führen SLO-Verletzungen dazu, dass die Teams wieder an das Reißbrett zurückkehren, ohne dass sie etwas dafür können.

Arbeiten, um die Arbeit zu minimieren

Für SRE ist jede manuelle, strukturell vorgeschriebene betriebliche Aufgabe verabscheuungswürdig. (Das heißt nicht, dass wir keine solchen Aufgaben haben: Wir haben viele von ihnen. Wir mögen sie nur nicht.) Wir sind der Meinung, dass eine Maschine, die einen gewünschten Vorgang ausführen kann, dies auch oft tun sollte. Das ist ein Unterschied (und ein Wert), den man in anderen Unternehmen nicht so oft sieht, wo die Arbeit die Aufgabe ist, für die man einen Menschen bezahlt. Für SRE im Google-Kontext ist die Arbeit nicht der Job - das kann sie nicht sein. Jede Zeit, die für betriebliche Aufgaben aufgewendet wird, bedeutet Zeit, die nicht für die Projektarbeit verwendet wird - und die Projektarbeit ist es, mit der wir unsere Dienste zuverlässiger und skalierbarer machen.

Das Ausführen von betrieblichen Aufgaben liefert jedoch durch die "Weisheit der Produktion" einen wichtigen Beitrag zu Entscheidungen. Diese Arbeit hält uns auf dem Boden der Tatsachen, indem sie uns Echtzeit-Feedback von einem bestimmten System liefert. Belastungsquellen müssen identifizierbar sein, damit du sie minimieren oder beseitigen kannst. Wenn du dich jedoch in einer Situation befindest, in der du unterlastet bist, musst du vielleicht häufiger neue Funktionen und Änderungen einführen, damit die Ingenieure mit der Funktionsweise des Dienstes, den du unterstützt, vertraut bleiben.

Automatisiere die Aufträge für dieses Jahr

Die eigentliche Arbeit in diesem Bereich besteht darin, zu bestimmen, was unter welchen Bedingungen automatisiert werden soll und wie es automatisiert werden kann.

Bei SRE, wie es bei Google praktiziert wird, gibt es eine harte Grenze, wie viel Zeit ein Teammitglied für die Arbeit aufwenden kann, im Gegensatz zur Entwicklung, die einen dauerhaften Wert schafft: 50%. Viele denken, dass diese Grenze eine Obergrenze ist. In Wirklichkeit ist es viel sinnvoller, es als Garantie zu betrachten - eineausdrückliche Erklärung und ein Mechanismus, der es ermöglicht, Probleme ingenieurbasiert anzugehen, anstatt sich immer wieder mit ihnen abzumühen.

Es gibt eine unintuitive und interessante Wechselwirkung zwischen diesem Benchmark und den Auswirkungen, die er hat, wenn wir über Automatisierung und Arbeit nachdenken. Im Laufe der Zeit automatisiert ein SRE-Team alles, was es für einen Service tun kann, und lässt Dinge zurück, die nicht automatisiert werden können(Murphy-Beyer-Effekt). Wenn alles andere gleich bleibt, wird dies die Arbeit eines SRE-Teams dominieren, wenn nicht andere Maßnahmen ergriffen werden. In der Google-Umgebung neigt man dazu, entweder mehr Dienste hinzuzufügen, bis zu einer Grenze, die immer noch 50 % der Entwicklungszeit unterstützt, oder man ist mit seiner Automatisierung so erfolgreich, dass man stattdessen etwas ganz anderes machen kann.

Schnelles Handeln durch Verringerung der Fehlschlagskosten

Einer der Hauptvorteile des SRE-Engagements ist nicht unbedingt eine höhere Zuverlässigkeit, obwohl das natürlich auch der Fall ist, sondern eine verbesserte Produkt entwicklung. Warum? Nun, eine geringere mittlere Reparaturzeit (MTTR) für häufige Fehler führt zu einer schnelleren Produktentwicklung, da die Ingenieure keine Zeit und Konzentration auf die Behebung dieser Probleme verschwenden müssen. Dies ergibt sich aus der bekannten Tatsache, dass die Behebung eines Problems umso teurer ist, je später im Produktlebenszyklus es entdeckt wird. SREs haben die Aufgabe, die unerwünscht späte Problemerkennung zu verbessern, was dem gesamten Unternehmen zugute kommt.

Eigentum mit Entwicklern teilen

Starre Grenzen zwischen "Anwendungsentwicklung" und "Produktion" (manchmal auch Programmierer und Operatoren genannt) sind kontraproduktiv. Das gilt vor allem dann, wenn die Trennung der Zuständigkeiten und die Einstufung des Betriebs als Kostenstelle zu einem Machtungleichgewicht oder zu Diskrepanzen bei der Wertschätzung oder Bezahlung führt.

SREs konzentrieren sich in der Regel eher auf Produktionsprobleme als auf Probleme der Geschäftslogik, aber da ihr Ansatz Softwareentwicklungstools zur Lösung des Problems einsetzt, teilen sie ihre Fähigkeiten mit den Produktentwicklungsteams. Im Allgemeinen verfügt ein SRE über besondere Fachkenntnisse in den Bereichen Verfügbarkeit, Latenz, Leistung, Effizienz, Änderungsmanagement, Überwachung, Notfallreaktion und Kapazitätsplanung des/der von ihm/ihr betreuten Services. Diese spezifischen (und in der Regel klar definierten) Kompetenzen sind das A und O der Arbeit von SRE für ein Produkt und für das dazugehörige Produktentwicklungsteam.¹⁰ Idealerweise sollten sowohl die Produktentwicklungs- als auch die SRE-Teams einen ganzheitlichen Blick auf den Stack haben - Frontend, Backend, Bibliotheken, Speicherung, Kernel und physische Maschine - und kein Team sollte eifersüchtig einzelne Komponenten besitzen. Es hat sich herausgestellt, dass man viel mehr erreichen kann, wenn man die "Grenzen verwischt"¹¹ und SREs JavaScript instrumentieren oder Produktentwickler den Kernel qualifizieren lassen: Das Wissen, wie man Änderungen vornimmt, und die Befugnis, dies zu tun, sind viel breiter gestreut, und es gibt keine Anreize mehr, eine bestimmte Funktion eifersüchtig zu bewachen.

In Site Reliability Engineering haben wir nicht ausreichend deutlich gemacht, dass die Produktentwicklungsteams bei Google standardmäßig Eigentümer ihrer Dienste sind. SRE ist für den Großteil der Services weder verfügbar noch gewährleistet, obwohl die SRE-Prinzipien immer noch die Verwaltung der Services bei Google bestimmen.¹² Das Eigentumsmodell, wenn ein SRE-Team mit einem Produktentwicklungsteam zusammenarbeitet, ist letztendlich auch ein gemeinsames Modell.

Unabhängig von der Funktion oder der Berufsbezeichnung dieselben Werkzeuge verwenden

Das Tooling ist ein unglaublich wichtiger Faktor für das Verhalten, und es wäre naiv anzunehmen, dass die Wirksamkeit von SRE im Kontext von Google nichts mit der weithin zugänglichen , einheitlichen Codebasis, der breiten Palette an Software- und Systemtools, dem hoch optimierten und proprietären Produktionsstack usw. zu tun hat. Dennoch teilen wir diese absolute Annahme mit DevOps: Teams, die einen Dienst betreuen¹³ sollten unabhängig von ihrer Rolle in der Organisation die gleichen Tools verwenden. Es gibt keinen guten Weg, einen Service zu verwalten, bei dem ein Tool für die SREs und ein anderes für die Produktentwickler verwendet wird, die sich in verschiedenen Situationen unterschiedlich (und möglicherweise katastrophal) verhalten. Je mehr Unterschiede es gibt, desto weniger profitiert dein Unternehmen von den Bemühungen, jedes einzelne Tool zu verbessern.

Enge, starre Anreize schränken deinen Erfolg ein

Viele Unternehmen legen versehentlich formale Anreize fest, die die kollektive Leistung untergraben. Um diesen Fehler zu vermeiden, solltest du die Anreize nicht so gestalten, dass sie eng an Ergebnisse gebunden sind, die mit dem Start oder der Zuverlässigkeit zu tun haben. Wie dir jeder Wirtschaftswissenschaftler bestätigen kann, werden die Menschen einen Weg finden, um die Ergebnisse zu manipulieren - manchmal sogar auf eine gut gemeinte Art und Weise.¹⁶ Stattdessen solltest du deinen Mitarbeitern die Freiheit lassen, die richtigen Kompromisse zu finden. Wie bereits erwähnt, können DevOps oder SRE als Beschleuniger für dein Produktteam im Allgemeinen fungieren und es dem Rest der Software-Organisation ermöglichen, Funktionen kontinuierlich und zuverlässig an die Kunden zu liefern. Eine solche Dynamik behebt auch ein hartnäckiges Problem des traditionellen und divergierenden Ansatzes der System-/Softwaregruppe: das Fehlen einer Feedbackschleife zwischen Design und Produktion. Ein System, bei dem SRE schon früh (idealerweise zum Zeitpunkt der Entwicklung) einbezogen wird, funktioniert in der Regel nach der Bereitstellung besser in der Produktion, unabhängig davon, wer für die Verwaltung des Dienstes verantwortlich ist. (Nichts verlangsamt die Entwicklung von Funktionen so sehr wie der Verlust von Nutzerdaten.)

Es ist besser, es selbst zu reparieren; gib nicht jemand anderem die Schuld

Außerdem solltest du Anreize vermeiden, die Schuld für Produktionsvorfälle oder Systemausfälle auf andere Gruppen abzuwälzen. In vielerlei Hinsicht ist die Dynamik der Schuldabwälzung das Kernproblem des traditionellen Modells für den technischen Betrieb, da die Trennung von Betriebs- und Softwareteams unterschiedliche Anreize entstehen lässt. Überlege dir stattdessen, ob du die folgenden Praktiken anwenden willst, um die Schuldabwälzung auf Organisationsebene zu bekämpfen:

• Erlaube den Ingenieuren nicht nur, sondern ermutige sie aktiv, Code und Konfiguration zu ändern, wenn es für das Produkt erforderlich ist. Erlaube diesen Teams auch, innerhalb der Grenzen ihres Auftrags radikal zu sein, um so Anreize zu beseitigen, langsamer vorzugehen.

• Unterstütze tadellose Obduktionen.¹⁷ So gibt es keine Anreize, ein Problem herunterzuspielen oder zu vertuschen. Dieser Schritt ist entscheidend, um das Produkt vollständig zu verstehen und seine Leistung und Funktionalität tatsächlich zu optimieren, und beruht auf der bereits erwähnten Weisheit der Produktion.

Erlaube dem Support, sich von Produkten zu entfernen, die unrettbar schwierig zu bedienen sind. Die Drohung, den Support zurückzuziehen, motiviert die Produktentwicklung, Probleme zu beheben, sowohl im Vorfeld als auch nach der Unterstützung des Produkts, was allen Beteiligten Zeit spart. Was unter "unlösbar schwierig" zu verstehen ist, kann je nach Kontext unterschiedlich sein - die Dynamik sollte von gegenseitigem Verständnis der Verantwortlichkeiten geprägt sein. Die Rückmeldung an andere Unternehmen kann ein leiseres "Wir denken, dass die Zeit von Leuten mit diesen Fähigkeiten besser genutzt werden kann" sein, oder es kann auch heißen: "Diese Leute werden kündigen, wenn sie mit zu viel operativer Arbeit betraut werden und nicht die Möglichkeit haben, ihre technischen Fähigkeiten zu nutzen". Bei Google ist die Praxis, solchen Produkten die Unterstützung zu entziehen, inzwischen zur Institution geworden.

Betrachte die Zuverlässigkeitsarbeit als eine spezialisierte Rolle

Bei Google sind SRE und Produktentwicklung getrennte Organisationen. Jede Gruppe hat ihren eigenen Schwerpunkt, ihre eigenen Prioritäten und ihr eigenes Management und muss sich nicht nach den Vorgaben der anderen richten. Allerdings finanzieren die Produktentwicklungsteams das Wachstum von SRE mit Neueinstellungen, wenn ein Produkt erfolgreich ist. Auf diese Weise hat die Produktentwicklung einen Anteil am Erfolg der SRE-Teams, genauso wie die SREs einen Anteil am Erfolg der Produktentwicklungsteams haben. SRE hat außerdem das Glück, dass sie von der Unternehmensleitung auf höchster Ebene unterstützt wird, was dafür sorgt, dass die Einwände der Ingenieurteams gegen die Unterstützung von Services "auf SRE-Art" in der Regel kurzlebig sind. Man braucht kein Organigramm, um die Dinge anders zu machen - man braucht nur eine andere Community of Practice, um sich zu entwickeln.

Unabhängig davon, ob du dein Organigramm aufgabelst oder eher informelle Mechanismen verwendest, ist es wichtig zu erkennen, dass Spezialisierung Herausforderungen mit sich bringt. DevOps- und SRE-Praktiker profitieren von einer Gemeinschaft von Gleichgesinnten, die sie unterstützen und fördern, sowie von Aufträgen, die sie für ihre¹⁸ für die einzigartigen Fähigkeiten und Perspektiven, die sie mitbringen, belohnen.

Es ist wichtig zu wissen, dass die Organisationsstruktur von Google und einige der oben erwähnten Anreize von einer großen Organisation abhängen. Wenn dein 20-Personen-Startup zum Beispiel nur ein (vergleichsweise kleines) Produkt hat, macht es nicht viel Sinn, den Rückzug der operativen Unterstützung zuzulassen. Es ist immer noch möglich, einen DevOps-ähnlichen Ansatz zu verfolgen,¹⁹ aber die Möglichkeit, ein operativ schlechtes Produkt zu verbessern, wird untergraben, wenn du ihm buchstäblich nur noch beim Wachstum helfen kannst. In der Regel hat man jedoch mehr Möglichkeiten, als man denkt, wenn es darum geht, die Wachstumsbedürfnisse zu befriedigen und die Geschwindigkeit, mit der sich technische Schulden anhäufen, zu reduzieren.²⁰

Wann kann stellvertretend für Ob

Wenn deine Organisation oder dein Produkt jedoch eine bestimmte Größe überschreitet, kannst du mehr Spielraum bei der Auswahl der zu unterstützenden Produkte oder der Festlegung der Prioritäten für diese Unterstützung nutzen. Wenn klar ist, dass System X viel früher unterstützt werden soll als System Y, kann die implizite Konditionalität eine ähnliche Rolle spielen wie die Entscheidung, in der SRE-Welt keine Services zu unterstützen.

Bei Google hat sich die starke Partnerschaft von SRE mit der Produktentwicklung als äußerst wichtig erwiesen: Wenn eine solche Beziehung in deinem Unternehmen besteht, kann die Entscheidung, Unterstützung zu entziehen (oder bereitzustellen), auf objektiven Daten über vergleichbare betriebliche Merkmale beruhen, wodurch ansonsten unproduktive Gespräche vermieden werden können.

Eine produktive Beziehung zwischen SRE und der Produktentwicklung hilft auch dabei, das organisatorische Anti-Muster zu vermeiden, bei dem ein Produktentwicklungsteam ein Produkt oder eine Funktion ausliefern muss, bevor es ganz fertig ist. Stattdessen kann SRE mit dem Entwicklungsteam zusammenarbeiten, um das Produkt zu verbessern, bevor die Last der Wartung von denjenigen abgewälzt wird, die das meiste Fachwissen haben, um es zu reparieren.

Strebe nach Gleichheit der Wertschätzung: Karriere und Finanzen

Stelle schließlich sicher, dass die Karriereanreize das Richtige zu tun: Wir wollen, dass unsere DevOps/SRE-Organisation die gleiche Wertschätzung erfährt wie ihre Pendants in der Produktentwicklung. Deshalb sollten die Mitglieder beider Teams nach ungefähr den gleichen Methoden bewertet werden und die gleichen finanziellen Anreize haben.