Come si ottengono deployment a zero-downtime?

Question

Accepted Answer

**Zero-downtime deployment** significa rilasciare nuove versioni senza alcuna interruzione per gli utenti — l'applicazione rimane disponibile durante tutto il processo. Ottenerlo richiede strategie di deployment attente, cambiamenti backward-compatible, health check e gestione elegante delle richieste in volo.

## Cosa richiede lo zero-downtime

```text
GOAL: deploy a new version with NO user-facing downtime (always-available service):
  → never take the whole service offline to deploy
  → always have healthy instances serving while updating others
  → handle in-flight requests gracefully (don't drop them mid-request)
→ Combine several techniques (below).
```

## Tecniche chiave

```text
✓ DEPLOYMENT STRATEGY — rolling, blue-green, or canary (never all-at-once downtime):
  → rolling: update instances gradually (others keep serving)
  → blue-green: switch traffic to the new environment instantly
✓ LOAD BALANCER + HEALTH CHECKS → route traffic only to healthy/ready instances;
  new instances join only when READY (readiness checks)
✓ GRACEFUL SHUTDOWN → draining: stop sending new requests to an instance, let it FINISH
  in-flight requests, THEN stop it (handle SIGTERM) → no dropped requests
✓ BACKWARD-COMPATIBLE changes → old and new versions coexist during the rollout
  (API and DATABASE compatibility — expand-contract migrations)
```

## La sfida del database

```text
⚠️ Schema changes during zero-downtime deploys are the hard part (old + new code run
   together): use BACKWARD-COMPATIBLE migrations (expand-contract / parallel change):
   add new schema → migrate → remove old in a LATER deploy → never break the running version
```

## Perché è importante

Comprendere come ottenere zero-downtime deployment è una conoscenza importante a livello senior perché **la disponibilità continua durante i deployment è un requisito chiave per molti sistemi in produzione**, quindi è utile per un rilascio affidabile.

Molti sistemi devono rimanere disponibili 24/7, quindi deployare senza interrompere gli utenti (zero-downtime) è essenziale — portare il servizio offline per deployare è inaccettabile per tali sistemi, specialmente dato che CI/CD effettua deployment frequenti.

Comprendere cosa zero-downtime **richiede** (non portare mai l'intero servizio offline, avere sempre istanze sane che servono mentre altre si aggiornano, e gestire elegantemente le richieste in volo) inquadra l'obiettivo.

Comprendere le **tecniche chiave** che si combinano per ottenerlo — usare **strategie di deployment** che evitano downtime all-at-once (rolling, blue-green, canary), **load balancer con health/readiness check** (instradare il traffico solo a istanze sane e pronte, in modo che le istanze in aggiornamento non ricevano traffico e quelle nuove aderiscono solo quando pronte), **graceful shutdown/draining** (fermare nuove richieste a un'istanza, permetterle di completare le richieste in volo, poi fermarla — in modo che nessuna richiesta sia interrotta a metà volo, richiedendo una corretta gestione di SIGTERM), e **cambiamenti backward-compatible** (in modo che versioni vecchie e nuove coesistano durante il rollout) — è il nucleo pratico.

Criticamente, comprendere la **sfida del database** (i cambiamenti di schema sono la parte difficile dello zero-downtime perché il vecchio e il nuovo codice vengono eseguiti insieme, richiedendo migrazioni expand-contract backward-compatible) si connette alla conoscenza di migrazione che è essenziale per deployment veramente zero-downtime.

Queste tecniche insieme consentono di deployare continuamente senza alcuna interruzione visibile all'utente.

Poiché la disponibilità continua è un requisito chiave per molti sistemi in produzione e CI/CD effettua deployment frequenti, e poiché lo zero-downtime deployment richiede di combinare strategie di deployment, health check, graceful shutdown, e soprattutto cambiamenti backward-compatible (database), comprendere come ottenere zero-downtime deployment è una conoscenza importante a livello senior per un rilascio affidabile — una capacità critica per sistemi sempre disponibili, riflettendo la sofisticazione operativa attesa per ruoli senior che deployano in produzione senza interrompere gli utenti.