Как сделать развёртывание Go-сервиса без прерываний работы пользователей: практический пошаговый план с конкретными командами, unit-файлами и примерами кода. Подходит для одиночного сервера с systemd и для инстансов в 2025–2026 годах.
Статья была полезной?
Zero-downtime deploy — это настройка процесса развёртывания, при которой пользователи не замечают рестартов сервиса. В статье показан рабочий подход для Go-приложения на systemd с кодом, unit-файлами и командами для реального сервера.
Если приложение не умеет корректно завершать текущие запросы, любая перезагрузка приведёт к потерям соединений. Для zero downtime нужно, чтобы сервер принимал сигнал на завершение, переставал принимать новые соединения и давал существующим максимум N секунд на завершение; N обычно 30–60 секунд. В датацентрах в 2025 году чаще всего задают TimeoutStopSec=60s для web-сервисов.
Пример простого HTTP-сервера с обработкой сигналов и graceful shutdown (проверено 2025):
package main
import (
"context"
"log"
"net/http"
"os"
"os/signal"
"syscall"
"time"
)
func main() {
srv := &http.Server{
Addr: ":8080",
Handler: http.DefaultServeMux,
ReadTimeout: 10 * time.Second,
WriteTimeout: 30 * time.Second,
IdleTimeout: 60 * time.Second,
}
http.HandleFunc("/health", func(w http.ResponseWriter, r *http.Request) {
w.WriteHeader(http.StatusOK)
w.Write([]byte("ok"))
})
go func() {
log.Println("starting server on", srv.Addr)
if err := srv.ListenAndServe(); err != nil && err != http.ErrServerClosed {
log.Fatalf("listen: %s", err)
}
}()
quit := make(chan os.Signal, 1)
signal.Notify(quit, syscall.SIGINT, syscall.SIGTERM)
<-quit
log.Println("shutdown signal received")
ctx, cancel := context.WithTimeout(context.Background(), 30*time.Second)
defer cancel()
if err := srv.Shutdown(ctx); err != nil {
log.Fatalf("server forced to shutdown: %v", err)
}
log.Println("server exiting")
}Ключевые числа: ReadTimeout 10s, WriteTimeout 30s, IdleTimeout 60s, graceful shutdown таймаут 30s. Эти значения подходят для 95% REST API, в специфических случаях увеличьте таймаут до 120s.
Socket activation у systemd позволяет systemd слушать порт и передавать сокеты процессу при старте. Это устраняет проблему конфликта порта при старте нового процесса и упрощает zero-downtime: systemd держит слушающий сокет, новый процесс получает FD и сразу может принимать соединения. На практике это снижает вероятность секундных даунтаймов до миллисекунд при корректной реализации.
В Go используйте библиотеку coreos/go-systemd/activation (2025-2026 актуальна):
import (
"github.com/coreos/go-systemd/activation"
"net"
)
listeners, err := activation.Listeners()
if err != nil { /* handle */ }
var ln net.Listener
if len(listeners) > 0 {
ln = listeners[0] // systemd передал слушающий сокет
} else {
ln, _ = net.Listen("tcp", ":8080")
}
// передать ln серверу http.Serve(ln, handler)Если systemd передаёт Listener, используйте его. Если нет — падайте назад на стандартный Listen. При таком подходе вы сможете включать socket unit отдельно и обновлять сервис без перезахвата порта.
Диаграмма systemd socket activation и передачи слушающего дескриптора
Пример рабочего набора файлов. Назовём сервис myapp.
# /etc/systemd/system/myapp.socket
[Unit]
Description=MyApp socket (zero-downtime)
[Socket]
ListenStream=8080
# В backlog задаём 1024 для высокой нагрузки
Backlog=1024
Accept=no
[Install]
WantedBy=sockets.target# /etc/systemd/system/myapp.service
[Unit]
Description=MyApp service
After=network.target
Requires=myapp.socket
[Service]
Type=notify
NotifyAccess=all
# Передавать уведомления systemd через sd_notify
ExecStart=/opt/myapp/myapp-current
Restart=on-failure
RestartSec=2
# Не убивать group, чтобы дочерние процессы корректно завершились
KillMode=control-group
TimeoutStopSec=60
# Для логов используем стандартный журнальщик
StandardOutput=journal
StandardError=journal
[Install]
WantedBy=multi-user.targetКоманды для установки и включения:
sudo systemctl daemon-reload
sudo systemctl enable --now myapp.socket
# service будет стартовать по запросу socket или явно
sudo systemctl start myapp.serviceПояснения по ключевым директивам:
Процесс деплоя на сервере должен быть атомарным: новая версия выкладывается в каталог с версией, затем переключается символьная ссылка, и делается systemctl restart. Пример шагов, которые использую в 2025 году на VPS с Debian/Ubuntu:
Почему это даёт минимальный downtime: socket activation держит порт открытым; systemd посылает SIGTERM старому процессу, ждёт до TimeoutStopSec (60s). Старый процесс завершает текущие запросы (наш код даёт 30s), новый процесс запускается и получает слушающий сокет, поэтому новые соединения обслуживаются новым бинарником практически мгновенно.
Пример команд автоматизации (скрипт deploy.sh) на сервере:
#!/bin/sh
set -e
RELEASE_DIR=/opt/myapp/releases/$1
if [ ! -d "$RELEASE_DIR" ]; then
echo "release not found" >&2
exit 1
fi
ln -sfn "$RELEASE_DIR" /opt/myapp/myapp-current
# перезапуск с контролем статуса
sudo systemctl restart myapp.service
sleep 1
sudo systemctl status myapp.service --no-pagerЦифры: на тестах 2025 года среднее время между отправкой systemctl restart и началом обработки новых запросов — 30–120 миллисекунд на облачном сервере с 2 vCPU. Если вы видите >1s — проверьте время старта приложения и NotifyReady.
Контроль за релизом нужен в первые 2–5 минут. Минимальный набор команд для проверки состояния:
Откат: переключаем символьную ссылку назад на корректную версию и делаем restart. Пример:
ln -sfn /opt/myapp/releases/myapp-v2026.02.28 /opt/myapp/myapp-current
sudo systemctl restart myapp.serviceЕсли после restart сервис упал (failed), systemd оставит socket слушающим, но не будет обслуживать запросы. В этом случае последуют ошибки 000 с TCP. Для автоматического отката можно добавить простой health-check в systemd (Type=notify + ExecStartPost проверяет /health) или использовать внешнюю систему мониторинга (Prometheus + alertmanager). В 2026 проекты обычно ставят 2 независимых чекера: один для status code, второй для latency.
Zero-downtime — это цель, при которой пользователи не замечают перерывов обслуживания при деплое: HTTP-запросы возвращают валидный ответ, соединения не обрываются, а кластер или сервер продолжает принимать трафик. На практике под "zero" обычно понимают < 100–1000 миллисекунд прерывания для коротких соединений; для долгих websocket/stream задач цель — полное отсутствие разрыва соединения.
Критерии измерения: процент ошибок (HTTP 5xx) в течение 2 минут после релиза, медианная задержка (p50) и p99. Для проектов с SLA 99.95% целевой рост ошибок при деплое — <0.01% в течение 5 минут. Эти метрики — то, что фиксируют девопс команды в 2025–2026.
Zero-downtime — не магия: это комбинация graceful shutdown, контролируемого запуска процесса и инфраструктурных механизмов (socket activation / load balancer).
Systemd даёт два основных инструмента, полезных для zero-downtime:
Комбинация socket activation + graceful shutdown (server.Shutdown с таймаутом) обеспечивает минимальные сбои при рестартах: старый процесс завершает текущие запросы, systemd передаёт новый слушающий сокет, новый процесс начинает обслуживать новые подключения. Для корректной работы необходимо:
Пример вызова sd_notify в Go (псевдокод):
import "github.com/coreos/go-systemd/daemon"
// после запуска goroutine, которая слушает и ready
daemon.SdNotify(false, "READY=1")Если необходима абсолютная гарантия нулевых потерянных соединений для длительных WebSocket или long-polling, socket activation + graceful shutdown могут быть недостаточны: при перезапуске активные socket-поединения останутся привязаны к старому процессу. В таких случаях используют прокси-уровень (nginx/haproxy) с health checks, или библиотеки типа tableflip, которые выполняют reexec и передают файлы между процессами без разрыва.
Внутренние материалы по смежным темам: Как настроить мониторинг и алерты и Практики разработки на Go: управление lifecycle.
Workflow zero-downtime deploy: CI, rsync, systemd socket activation, health checks
Socket activation + graceful shutdown — надёжный и минималистичный метод для одиночных инстансов. Если инфраструктура сложнее, есть альтернативы и дополнения:
Сравнение по сложности и стоимости (оценка на 2025 год):
Выбор зависит от требований: для простой веб-API на одном сервере socket activation + graceful shutdown часто является самым быстрым и дешёвым вариантом. Для критичных систем с миллионами подключений в секунду используют комбинацию Kubernetes/LoadBalancer + canary.
Запустите только socket unit: sudo systemctl start myapp.socket, затем проверьте netstat/sockstat: ss -ltn | grep 8080 покажет слушающий FD принадлежащий systemd (PID 1). После этого запустите service: sudo systemctl start myapp.service и в логах journalctl -u myapp.service вы увидите sd_notify READY=1. Для полной проверки отправьте HTTP-запросы и посмотрите, что при рестарте сервиса новые запрсы обслуживаются новым процессом без ошибки Connection refused.
Сначала смотрите journalctl -u myapp.service --no-pager --since "1 minute ago". Частые причины: новый бинарник падает на старте (отсутствуют env-переменные), NotifyAccess=all настроен, но приложение не вызывает sd_notify, из-за чего systemd считает сервис неготовым и может считать restart неудачным. Для быстрого отката переключите симвссылку на предыдущую версию и sudo systemctl restart myapp.service. Также увеличьте TimeoutStartSec, если инициализация занимает больше времени.
Храните бинарники в /opt/myapp/releases с симвссылкой current. Держите минимум 3 релиза для быстрой отладки/отката. Диск для релизов обычно занимает 50–200 MB на несколько последних сборок; планируйте политику хранения на CI: хранить 10–30 релизов в зависимости от частоты деплоев и доступного пространства.
Type=notify позволяет процессу сообщить systemd о своей готовности (READY=1). Если приложение выполняет асинхронную инициализацию (подключение к БД, миграции, загрузка конфигурации), sd_notify гарантирует, что systemd не пометит сервис как ready до фактической готовности. В 2025 этот механизм помогает сократить ложные перезапуски и уменьшить окно недоступности при старте.
Socket activation и graceful shutdown подходят для короткоживущих HTTP-запросов; для long-lived соединений (WebSocket, gRPC streams) потребуется дополнительная логика: либо использовать tableflip/re-exec, либо маршрутизировать через балансировщик, умеющий плавно переводить трафик. Также при очень высокой нагрузке лучше использовать нескольких бэкэндов за балансировщиком, а systemd-метод — как часть решения.
Комментарии (0)
Войдите или зарегистрируйтесь, чтобы оставить комментарий
Загрузка комментариев…