Принцип Вернера Фогельса «Вы построили — вы поддерживаете»: объяснение

Что на самом деле означает «Вы построили — вы поддерживаете»

«Вы построили — вы поддерживаете» — одна из тех фраз, которые остаются в памяти своей прямолинейностью. Речь не о мотивационных постерах или «стать более DevOps». Это чёткое заявление об ответственности: команда, которая выпускает сервис, также несёт ответственность за то, как этот сервис ведёт себя в продакшене.

Главная идея: доставка и эксплуатация — одна и та же работа

На практике это значит, что та же продуктовая команда, которая проектирует фичи и пишет код, также:

• мониторит сервис в продакшене
• отвечает, когда он ломается
• повышает надёжность со временем
• делает компромиссы между новой функциональностью и операционной работой

Это не значит, что все внезапно становятся экспертами по инфраструктуре. Это значит, что обратная связь реальна: если вы выпустили что-то, что увеличивает число аутеджей, шум от пейджеров или боль для клиентов, ваша команда почувствует это напрямую — и быстро научится.

Практическая операционная модель, а не лозунг

Философия легко произносится и трудно внедряется, если вы не проявите её как операционную модель с явными ожиданиями. «Run it» обычно включает дежурства (в одной из форм), ответственность за инциденты, написание ранбуков, поддержку дашбордов и постоянное улучшение сервиса.

Это также подразумевает ограничения: нельзя требовать от команд «run it», не дав им инструментов, доступа и полномочий всё исправлять — и времени в роадмапе на эту работу.

Для кого это

• Продуктовые/сервисные команды: для создания истинного end-to-end владения и более быстрого обучения.
• Инженерные менеджеры: чтобы задать чёткие границы («эта команда владеет этим сервисом») и планировать емкость под операционную работу.
• Платформенные команды: чтобы облегчить владение, предоставляя «павированные дорожки», но не отнимая тихо ответственность за продакшен у команд, которые строят сервисы.

Почему эта философия изменила способ релизов

До «You Build It, You Run It» многие компании работали как эстафета: разработчики писали код, затем «передавали через стену» операционной команде, которая деплоила и держала систему в живых.

Такая передача решала краткосрочную проблему — кто-то опытный смотрит за продакшеном — но создавала более серьёзные: медленную обратную связь и смытую ответственность.

Проблема передачи: медленная обратная связь и размытость ответственности

Когда отдельная ops-команда владеет продакшеном, разработчики часто узнают о проблемах поздно (или не узнают вовсе). Баг может прийти в виде неопределённого тикета через несколько дней: «сервис медленный» или «CPU высокий». Контекста уже нет, логи прокручены, а люди, которые сделали изменение, уже переключились на другое.

Передачи также размывают ответственность. При аутейдже разработчики могут думать «ops разберётся», а ops — «dev выпустил что-то рискованное». Результат предсказуем: дольше решаются инциденты, повторяются те же ошибки, и культура оптимизирует локально, а не для пользовательского опыта.

Почему владение ускоряет доставку и уменьшает повторяемость инцидентов

«You Build It, You Run It» сужает цикл обратной связи. Та же команда, что выпускает изменение, отвечает за то, как оно ведёт себя в проде. Это ведёт к практическим улучшениям «вверх по потоку»: понятнее алерты, безопасные раскатки, лучшие дашборды и код, который проще эксплуатировать.

Парадоксально, но это часто ускоряет доставку. Когда команды доверяют процессу релиза и понимают поведение в продакшене, они могут выпускать меньшие изменения чаще — уменьшая радиус поражения ошибок и облегчая диагностику.

Это не универсальное решение

Не у всех организаций одинаковый штат, требования соответствия или наследуемые системы. Эта философия — направление, а не рубильник. Многие команды внедряют её постепенно: начинают с совместных дежурств, лучшей наблюдаемости и чётких границ сервисов, а затем переходят к полному end-to-end владению.

Истоки: Вернер Фогельс и мышление о сервисе

Вернер Фогельс, CTO Amazon, популяризовал фразу «You build it, you run it», описывая, как Amazon (а затем и AWS) хотел, чтобы команды думали о ПО: не как о проекте, который передают, а как о сервисе, которым оперируют.

Ключевой сдвиг был психологическим не меньше, чем техническим. Когда команда знает, что её будут пейджить при сбоях, решения в дизайне меняются. Вы заботитесь о разумных дефолтах, понятных алертах, грациозном дегрейде и путях деплоя, которые можно откатить. Иными словами, разработка включает в себя планирование «грязных» частей реальной жизни.

Почему эпоха облаков усилила требования

Эра AWS сделала надёжность и скорость обязательными. Клиенты облака ожидают доступных API 24/7 и непрерывных улучшений — не только большие релизы раз в квартал.

Это стимулировало:

• более мелкие, долгоживущие сервисы с чёткими владельцами
• быстрые циклы обратной связи между изменениями кода и поведением в проде
• операционные привычки, рассматриваемые как продуктовые фичи (мониторинг, планирование ёмкости, ранбуки)

Родственные идеи

Философия пересекается с движением DevOps: сократить разрыв между «dev» и «ops», уменьшить передачи и сделать исходы (доступность, латентность, нагрузка на поддержку) частью разработки. Это также соответствует идее мелких автономных команд, которые могут выпускать изменения независимо.

Вдохновение, а не точная копия

Соблазнительно брать подход Amazon как шаблон. Но «You Build It, You Run It» — скорее направление, чем строгое орг-устройство. Размер команды, регуляторные ограничения, зрелость продукта и требования аптайма могут потребовать адаптаций — совместные ротации, поддержка платформы или поэтапное внедрение.

Если нужен практический план перевода мышления в действие, переходите к /blog/how-to-adopt-you-build-it-you-run-it-step-by-step.

Владение: что команды берут на себя, когда они «run it»

«You Build It, You Run It» — прежде всего заявление об ответственности. Если команда выпускает сервис, она отвечает за то, как сервис ведёт себя в реальном мире — не только за прохождение тестов в день релиза.

Что именно покрывает «владение»

Эксплуатация сервиса означает заботу о результатах end-to-end:

• Надёжность: пользователи могут на него положиться, и сбои обрабатываются быстро.
• Производительность: он остаётся достаточно быстрым при нормальной и пиковых нагрузках.
• Затраты: он не становится тихо самой дорогой строчкой в бюджете.
• Безопасность и комплаенс: риски учитываются в рамках доставки, а не после неё.
• Поддержка: клиенты и внутренние пользователи получают понятную и своевременную помощь.

Что включает «run it» на практике

В обычную неделю «run it» — это не героические подвиги, а рутинная эксплуатация:

• настройка мониторинга и дашбордов, чтобы команда видела состояние с одного взгляда
• определение алертов, которые действительны и не шумят
• работа с инцидентами: триаж, смягчение, коммуникация и последующие задачи
• управление ёмкостью: планы масштабирования, нагрузочное тестирование, лимиты ресурсов
• поддержка ранбуков, чтобы любой дежурный мог реагировать последовательно

Ответственность — это не поиск виноватых

Модель работает только если ответственность означает «мы исправим», а не «мы ищем виновного». Когда что-то ломается, цель — понять, что в системе допустило это (отсутствие алертов, неясные лимиты, рискованные деплои) и улучшить эти условия.

Чёткие границы и именованный владелец

Владение становится хаотичным, когда сервисы размыты. Определите границы сервиса (что он делает, от чего зависит, что обещает) и назначьте именованную команду-владельца. Это снижает число передач, ускоряет реагирование на инциденты и делает приоритеты понятными, когда надёжность и фичи конкурируют.

Дежурства правильно (и без выгорания)

Дежурства центральны для «You Build It, You Run It», потому что они замыкают цикл обратной связи. Когда та же команда, что выпускает изменения, также чувствует их операционные последствия (скачки латентности, неудачные деплои, жалобы клиентов), приоритеты становятся яснее: работа над надёжностью перестаёт быть «чужой проблемой», и самый быстрый путь к более частым релизам — сделать систему спокойнее.

Сделайте дежурства человечными по дизайну

Здоровое дежурство прежде всего про предсказуемость и поддержку.

• Ротации под размер команды: избегайте героических графиков. Если покрытия мало — сократите область ответственности или добавьте общий secondary.
• Пути эскалации: primary, затем secondary, затем доменный эксперт — чтобы никто не был один в 3:00.
• Время восстановления после тяжёлых ночей: компенсация времени или поздний старт после пейджев, и отпуск после крупных инцидентов. Отдых — часть надёжности.
• Ранбуки и чек-листы на «первые 15 минут»: у дежурного должен быть понятный план действий.

Уровни серьёзности: страницуйте только по значимому

Определите уровни серьёзности, чтобы система не будила по каждой мелочи.

• Sev 1 (page): outage с влиянием на клиентов, риск потери данных, инцидент безопасности или жёсткое нарушение SLO.
• Sev 2 (page в рабочие часы или page при длительности): деградация сервиса с реальным влиянием на пользователя.
• Sev 3 (тикет): неоперативные баги, флейки алертов, небольшие всплески ошибок, тренды по ёмкости.

Простое правило: если пробуждение человека ничего не изменит — это тикет, а не пейдж.

Настоящая цель: меньше пейджей в следующем месяце

Дежурства — не наказание; это сигнал. Каждый шумный алерт, повторяющаяся ошибка или ручной фикс должны превращаться в инженерную задачу: лучше алерты, автоматизация, безопасные релизы и изменение системы, которое устранит необходимость пейджить вовсе.

SLO, SLI и error budget: практические ограждения

Если «вы run it» реально, командам нужен общий язык для обсуждения надёжности без превращения каждой дискуссии в мнения. Именно это дают SLI, SLO и error budget: чёткие цели и справедливый баланс между скоростью и стабильностью.

SLI vs SLO vs SLA простыми словами

• SLI (Service Level Indicator): измерение поведения сервиса. «Что мы видим в продакшене?»
• SLO (Service Level Objective): цель для SLI. «Какой уровень надёжности мы стремимся поддерживать?»
• SLA (Service Level Agreement): обещание клиенту, часто с компенсациями. «Что мы гарантируем контрактно?»

Полезная памятка: SLI = метрика, SLO = цель, SLA = внешнее обязательство.

Примеры SLI

Хорошие SLI специфичны и связаны с UX, например:

• Латентность: «95% запросов обрабатываются менее чем за 300 мс».
• Доступность: «Запросы успешны (не 5xx) в 99.9% случаев».
• Успешность задач (для асинхронных систем): «99.5% ночных экспортов завершаются успешно до 6:00».

Error budget: баланс скорости и стабильности

Error budget — это количество «плохого времени», которое вы можете потратить и всё ещё соответствовать SLO (например, при SLO 99.9% ваш месячный error budget — 0.1% простоя).

Когда сервис «в пределах» бюджета, команды могут брать больше рисков (фичи, эксперименты). Когда бюджет «сгорает» слишком быстро — приоритет на надёжность.

Как SLO влияют на планирование

SLO превращают надёжность в входной параметр планирования. Если бюджет мал, следующий спринт может быть посвящён rate limiting, безопасным раскаткам или фиксу флейковых зависимостей — потому что пропуск SLO имеет явную цену. Если бюджет в запасе, можно уверенно приоритизировать продуктовые задачи.

Безопасная доставка: готовность к продакшену и практики релиза

Модель работает, только когда деплой в продакшен рутинен, а не событие с высокими ставками. Цель — снизить неопределённость перед запуском и ограничить радиус поражения после него.

Необходимое перед запуском

Перед тем как считать сервис «готовым», командам обычно нужны базовые операционные вещи:

• Дашборды, показывающие пользовательское здоровье (латентность, ошибка, трафик) и ключевые зависимости.
• Алерты, которые действенны (понятные пороги, понятный владелец, без шума «FYI»).
• Ранбуки для типичных отказов: что проверять в первую очередь, как смягчить и когда эскалировать.
• Бэкапы и прогон восстановления (репетиции важны не меньше, чем сами бэкапы) и документированная политика хранения.

Progressive delivery: маленькими, безопасными шагами

Вместо релиза для всех сразу, progressive delivery ограничивает влияние:

• Feature flags позволяют запушить код и контролировать его экспозицию, с планом по удалению флага.
• Canary releases пропускают небольшой процент трафика на новую версию и сравнивают метрики с базовой.
• Быстрый откат (или roll-forward) должен быть отрепетирован и автоматизирован, чтобы восстановление не было импровизацией.

Если вы стандартизируете откат — относитесь к нему как к первоклассной возможности: чем быстрее вы сможете безопасно вернуть состояние, тем более реалистичной становится модель «вы run it».

Нагрузочное и отказное тестирование

Два типа тестов снижают «неизвестное неизвестное»:

• Нагрузочное тестирование проверяет допущения по ёмкости и обнаруживает узкие места до того, как это сделают клиенты.
• Тестирование отказов (тайм-ауты зависимостей, убитые инстансы, сброшенные соединения) проверяет, что сервис деградирует корректно и что алерты срабатывают.

Простой чек-лист готовности к продакшену

Держите его лёгким: одностраничный чек-лист в репозитории или шаблоне тикета (например, «Observability», «On-call readiness», «Защита данных», «План отката», «Тесты ёмкости», «Ссылки на ранбуки»). Статус «не готов» нормален — лучше, чем учиться в продакшене.

Инциденты и постмортемы: превращаем сбои в обучение

Инциденты — момент истины для «you run it»: сервис деградирует, клиенты замечают, команда должна быстро и ясно реагировать. Цель — не героизм, а воспроизводимый workflow, который уменьшает вред и даёт улучшения.

Простой workflow инцидента

Большинство команд сходятся на похожих фазах:

• Обнаружение: алерты мониторинга, сообщения клиентов или автоматическое обнаружение аномалий.
• Триаж: подтверждение проблемы, оценка серьёзности, назначение лидера инцидента и запуск таймлайна.
• Смягчение: остановить кровотечение (откат, выключение фичи, масштаб, блокировка плохого трафика), затем восстановить сервис.
• Коммуникация: регулярные и согласованные обновления — что затронуто, текущий статус и время следующего апдейта.
• Уроки: после стабилизации разберите факторы и предотвратите повторение.

Если нужен практический шаблон, держите лёгкий чек-лист под рукой (см. /blog/incident-response-checklist).

Blameless postmortems: что записывать

Безвиновный постмортем не значит «никто не ошибался». Это значит, что фокус на том, как система и процессы позволили ошибке дойти до продакшена, а не на поиске виновных. Именно это побуждает людей делиться информацией быстро и открыто.

Документируйте:

• Влияние на клиентов: кто пострадал, как долго и насколько серьёзно.
• Таймлайн: ключевые события, решения и когда появились сигналы.
• Корневые и сопутствующие причины: технические и процессные факторы.
• Что прошло хорошо / что нет: включая коммуникацию.

Действия, которые действительно предотвращают повторы

Хорошие постмортемы заканчиваются конкретными, оформленными задачами, обычно в четырёх категориях: инструменты (лучшие алерты/дашборды), тесты (регрессии и крайние случаи), автоматизация (безопасные деплои/откат, гардрейлы) и документация (ранбуки, понятные операционные шаги). Назначьте владельца и срок — иначе обучение останется теорией.

Инструменты, которые облегчают владение сервисом

Инструменты — это рычаг, делающий «You Build It, You Run It» устойчивым, но они не заменят реального владения. Если команда считает операционку «чьей-то чужой проблемой», самая навороченная панель лишь задокументирует хаос. Хорошие инструменты снижают трение: они делают правильное действие (наблюдаемость, реагирование, обучение) проще, чем неправильное (угадывать, винить, игнорировать).

Минимум, который нужна каждой команде

Командам-владельцам нужен единый способ видеть поведение софта в продакшене и быстро действовать, если что-то не так:

• Централизованные логи: поиск, хранение достаточно долго для расследований, структурированные по возможности.
• Метрики: золотые сигналы (латентность, трафик, ошибки, насыщение) плюс бизнес-важные метрики.
• Распределённые трейсинги: чтобы проследить запрос через сервисы и найти узкие места.
• Алертинг: действенные алерты, привязанные к влиянию на клиента.
• Тикетинг/инцидентный workflow: место для связи инцидентов с доработками и контроля выполнения исправлений.

Если история мониторинга фрагментирована, команды тратят время на охоту вместо фикса. Единый подход к наблюдаемости помогает; см. /product/observability.

Видимость владения в масштабе

При росте организации вопрос «кто владеет этим?» сам по себе становится риском. Каталог сервисов (или внутренний developer portal) решает это, храня оперативный контекст в одном месте: имя команды, ротация on-call, путь эскалации, ранбуки, зависимости и ссылки на дашборды.

Ключ — актуальные метаданные владения. Сделайте это частью workflow: новые сервисы не идут в прод без владельца, а смены владения проходят как изменения кода (review, аудит).

Инструменты должны поощрять привычки

Лучшие решения подталкивают команды к здоровому поведению: шаблоны ранбуков, автоматические алерты, связанные с SLO, дашборды, которые за секунды отвечают на вопрос «насколько пользователи пострадали?». Но человеческая система остаётся важнее — командам нужно время поддерживать эти инструменты, чистить алерты и улучшать эксплуатацию сервиса.

Роль платформенных команд: помощь без отъёма ответственности

Платформенные команды упрощают жизнь и делают «You Build It, You Run It» более приемлемым. Их задача — не запускать продакшен за все команды, а дать хорошо освещённую дорожку, чтобы продуктовые команды могли владеть сервисами без изобретения операционки каждый спринт.

Pavied roads, шаблоны и гардрейлы

Хорошая платформа даёт безопасные дефолты, которые трудно испортить и просто принять:

• шаблоны «золотого пути» для новых сервисов (структура репозитория, логирование, алерты, дашборды)
• стандартные CI/CD пайплайны с безопасными опциями деплоя (canary, blue/green, автооткат)
• runtime-основания готовые к проду (health checks, rate limits, соглашения по конфигам)

Гардрейлы должны предотвращать риск без блокировки релиза. Думайте «secure by default», а не «открывай тикет и жди».

Общие сервисы vs. совместное владение

Платформа может запускать общие сервисы — не забирая при этом владение продуктовыми сервисами.

• Общие сервисы: аутентификация/авторизация, управление секретами, контейнерная платформа, артефактный реестр, стек наблюдаемости.
• Продуктовое владение: каждая команда по‑прежнему отвечает за надёжность, производительность и целостность данных своего сервиса.

Граница проста: платформа владеет аптаймом платформы; продуктовые команды владеют тем, как они используют платформу.

Как платформа снижает когнитивную нагрузку

Когда команды не обязаны становиться экспертами в CI/CD, auth или секретах с первого дня, они могут сосредоточиться на поведении сервиса и влиянии на пользователя.

Примеры, снижающие рутину:

• один клик для настройки пайплайна с проверками
• центральный auth с поддержкой идентичности сервисов
• управляемые секреты с политиками ротации
• базовый мониторинг, который автоматически собирает общие метрики

Результат: быстрее доставка и меньше «операционных снежинок», при сохранении основной идеи: команда, что строит сервис, его и поддерживает.

Типичные ошибки и когда адаптировать модель

Модель может повысить надёжность и скорость — но лишь при условии, что организация меняет условия вокруг команды. Частые провалы выглядят так, будто лозунг приняли, а привычки нет.

Повторяющиеся ошибки

Типичные шаблоны:

• Разработчики на дежурстве, но им никогда не дают время исправить коренные причины. Пейджер становится вечерней повинностью, пока беклог тянет операционные задачи в конец очереди. Возникает беспомощность: люди перестают верить, что инциденты приведут к реальным улучшениям.
• Размытое владение («все этим владеют»). Если инцидент затрагивает пять команд и никто не может принять решение end-to-end, у вас не владение — у вас совещание.
• Слишком много общих зависимостей. Когда все сервисы зависят от общей базы схем, общей библиотеки или «ядра», команды не могут по-настоящему управлять тем, что они строят. Они наследуют ошибки без рычагов уменьшения.
• Если культура вознаграждает тушение пожаров больше, чем их предотвращение, система идёт к частым экстренным ситуациям.

Когда модель не подходит (и как адаптировать)

Некоторым средам нужна адаптация:

• Сильный комплаенс или регулирование. Может потребоваться разделение обязанностей, формальный контроль изменений или ограниченный доступ в прод. Адаптируйте: держите команды ответственными за результаты, но используйте утверждённые рабочие процессы (аудитируемые ранбуки, предодобренные изменения, break-glass доступ).
• Наследуемый монолит. Единый кодовый базис с переплетённым владением усложняет «run it». Начните с выделения ясного операционного владения для отдельных модулей, джобов или пользовательских путей и вложите в наблюдаемость и безопасность деплоя.
• Критические общие платформы. Если одна платформа поддерживает много команд, платформа может её эксплуатировать, но продуктовые команды всё равно должны владеть целями надёжности и поведением своих сервисов.

Работа руководства: защищать ёмкость под надёжность

Философия рушится, когда операционную работу считают «дополнительной». Руководство должно явно выделять ресурсы на:

• снижение операционного долга (алерты, ранбуки, автоматизация)
• исправление повторяющихся причин инцидентов
• снижение рискованных зависимостей

Без этой защиты дежурство превращается в налог, а не в обратную связь, улучшающую систему.

Как внедрять «You Build It, You Run It» по шагам

Лучше всего вводить это фазами, а не объявлением на весь офис. Начните с малого, сделайте владение видимым и постепенно масштабируйте.

1) Пилот на одном сервисе

Выберите один ограниченный сервис (лучше с чёткими пользователями и управляемым риском).

Определите:

• SLO, отражающее пользовательский опыт (например, «99.9% успешных запросов»)
• Покрытие on-call для сервиса (может быть сначала рабочие часы + эскалация)
• Ранбуки для основных режимов отказа: «что проверить», «как откатить», «кого пейджить»

Ключ: команда, выпускающая изменения, также владеет операционными результатами сервиса.

2) Добавьте гардрейлы перед масштабированием

Прежде чем расширять практику, убедитесь, что пилотная команда может эксплуатировать сервис без героизма:

• базовые алерты, которые пейджат по пользовательскому эффекту (не по каждой метрике)
• лёгкий чек-лист готовности к продакшену (логи, дашборды, план отката)
• регулярный разбор пейджей и инцидентов, чтобы убрать шум и исправить повторяющиеся проблемы

3) Отслеживайте правильные метрики внедрения

Небольшой набор индикаторов покажет, улучшается ли владение:

• Change failure rate (сколько деплоев приводят к инциденту/откату)
• MTTR (среднее время восстановления)
• Объём страниц (пейджи в неделю и «после-часовые» пейджи)
• Частота деплоев (как часто можно безопасно выкатывать)

Пример плана на 30/60/90 дней

• Дни 1–30: выбрать пилот, определить SLO, политику пейджинга, написать первые ранбуки, создать дашборды.
• Дни 31–60: настроить алерты (убрать шум), отрепетировать инцидентный ответ, добавить защиту релизов (шаги отката, canary где возможно).
• Дни 61–90: расширить на 1–2 сервиса, стандартизовать шаблоны (ранбуки/SLO), пересмотреть метрики и честность распределения нагрузки.

Где помогает Koder.ai

Если вы внедряете «you build it, you run it» и одновременно хотите ускорить доставку, узким местом часто остаётся путь от идеи до продакшен-готового сервиса с ясным владением и историей отката.

Koder.ai — платформа vibe-coding, которая помогает командам строить веб-, бэкенд- и мобильные приложения через чат-интерфейс (React на фронте, Go + PostgreSQL на бэкенде, Flutter для мобильных).

Для команд, которые хотят взять на себя владение сервисами, несколько возможностей Koder.ai прямо соответствуют операционной модели:

• Planning mode для определения границ сервиса, зависимостей и ожиданий по ранбукам/SLO ещё до кодинга.
• Snapshots и rollback для того, чтобы «быстрый откат» стал обычным инструментом при инцидентах.
• Экспорт исходников так, чтобы владение оставалось у команды (в репозитории), а не в инструменте.

Следующий шаг

Выберите пилотный сервис на этой неделе и запланируйте 60‑минутный kickoff для установки первого SLO, ротации on-call и владельцев ранбуков. Если вы оцениваете инструменты для поддержки этого процесса (доставка, откат и рабочие процессы владения), посмотрите /pricing для планов Koder.ai (free, pro, business, enterprise) и опции хостинга, деплоя и кастомных доменов.