Deployer Zero Downtime CI/CD Laravel DevOps

Zero-downtime deployment di applicazioni PHP senza orchestratori complessi

Zero-downtime deployment di applicazioni PHP senza orchestratori complessi

Nel febbraio 2024 mi ha contattato il CTO di una piattaforma e-commerce veneta nel settore della cosmetica professionale - 3.000 ordini al giorno medi, 11 sviluppatori in team, fatturato annuo di circa 22 milioni di euro, piattaforma Laravel 10 su un cluster di 4 server Hetzner con load balancer. Il problema operativo era concreto e misurabile: ogni deploy produceva una finestra di 15-45 secondi di errori HTTP 502 visibili agli utenti. Con 3.000 ordini al giorno, 15 secondi di downtime significavano statisticamente 0,5-1 ordini perduti per deploy. Con 4-6 deploy a settimana, la perdita media era di 3-5 ordini settimanali - circa 200-300 ordini all'anno, valorizzati a circa 45 euro di margine per ordine, equivalenti a 9.000-13.500 euro di fatturato perso. Non una catastrofe ma un costo ricorrente evitabile.

La soluzione architetturale non richiedeva orchestratori complessi. L'azienda non aveva bisogno di Kubernetes, non aveva bisogno di service mesh, non aveva bisogno di infrastruttura container-centric. Serviva una strategia di deploy disciplinata che sostituisse il pattern ingenuo ("overwrite dei file, restart PHP-FPM") con un pattern atomico ("build nuovo rilascio fuori dal path attivo, symlink swap, graceful PHP-FPM reload"). In tre giornate distribuite in due settimane, ho configurato Deployer (uno strumento open source PHP-native per deployment) con un pattern di symlink atomici, graceful reload di PHP-FPM, health check post-deploy, rollback automatico in caso di failure. Al go-live, ho misurato il downtime del deploy: zero. Nei 14 mesi successivi, zero interruzioni di servizio attribuibili a deploy, nonostante una frequenza di 5-8 deploy settimanali. Costo consulenziale dell'intervento: 2.400 euro. Risparmio operativo annuale stimato conservativamente: 11.000 euro di fatturato salvato, più benefici qualitativi in termini di velocità di delivery e sicurezza del team nell'eseguire deploy.

Questo articolo descrive il pattern di zero-downtime deployment per applicazioni PHP senza orchestratori, basato sull'esperienza di circa 30 progetti simili negli ultimi cinque anni. Il principio guida è uno: zero-downtime deployment è ottenibile con pattern semplici e disciplina operativa - l'orchestrazione complessa serve quando si fa altro oltre il deploy (scaling dinamico, self-healing, rolling release multi-region), non per il deploy in sé.

Perché la stragrande maggioranza delle PMI non ha bisogno di Kubernetes per fare zero-downtime

Il pattern di messaggio dominante nella community DevOps moderna è che "zero-downtime deployment richiede Kubernetes" o equivalenti orchestratori. Questo pattern è tecnicamente sbagliato per applicazioni PHP tradizionali su VPS Linux, ed è commercialmente amplificato da fornitori di consulenza cloud-native che hanno interesse a vendere progetti orchestratori complessi. La verità è che zero-downtime deployment per applicazioni PHP è stato risolto tecnicamente circa 15 anni fa con pattern semplici basati su symlink - e questi pattern sono ancora validi e significativamente più semplici da operare rispetto a Kubernetes.

Il motivo tecnico per cui PHP permette zero-downtime deployment senza orchestratori è il modello di esecuzione request-response di PHP-FPM. Ogni richiesta HTTP viene servita da un worker PHP-FPM che carica l'applicazione, processa la richiesta, termina. Non c'è stato persistente nei worker fra richieste. Questo significa che cambiare il codice sorgente fra una richiesta e la successiva è tecnicamente sicuro - non servono migrazioni complesse in memoria come richiede un'applicazione stateful con worker long-running (Node.js, Java, Go).

Il pattern zero-downtime deriva da un'osservazione semplice: se costruisci il nuovo rilascio in una directory parallela a quella corrente, poi cambi atomicamente un symlink per puntare alla nuova directory, poi fai reload di PHP-FPM - le richieste in volo terminano sul vecchio codice, le richieste successive vedono il nuovo codice, zero interruzioni visibili agli utenti. Kubernetes fa questa stessa cosa ma con container invece di directory e con service mesh invece di symlink - semantica identica, complessità operativa enormemente superiore.

Se gestisci un'applicazione PHP in produzione e pensi di dover introdurre Kubernetes solo per fare zero-downtime deployment, nel mio profilo professionale trovi il dettaglio degli interventi di razionalizzazione deployment pipeline che ho condotto su PMI italiane, sempre con approccio pragmatico e orientato al ROI reale invece delle mode architetturali.

Il pattern symlink-based organizza il filesystem del server di produzione in modo specifico. Nella directory dell'applicazione (/var/www/myapp/), tre sub-directory hanno ruoli distinti:

  • /var/www/myapp/releases/ - contiene una sottodirectory per ogni rilascio storico (es. 20250218-143022/, 20250215-091544/), ciascuna con snapshot completo del codice applicativo di quel rilascio
  • /var/www/myapp/shared/ - contiene file e directory che devono persistere fra rilasci (storage/ dei file upload, .env con secrets, log che non sono contenitori ephemeral)
  • /var/www/myapp/current/ - symlink che punta a una delle directory in releases/ - è il rilascio attivo al quale Nginx instrada le richieste

Il deploy di una nuova versione segue sei step sequenziali.

Step 1: clone del codice sorgente in nuova directory releases/20260417-094521/ dal commit target del deploy.

Step 2: installazione dipendenze Composer all'interno della nuova release (composer install --no-dev --optimize-autoloader) - la nuova release ha le sue dipendenze autonome, niente impatto sulle release precedenti.

Step 3: build assets frontend (npm run build) nella nuova release - assets compilati, minificati, versionati.

Step 4: creazione symlink dalle directory shared (tipicamente storage, public/uploads, .env) dentro la nuova release - la nuova release accede agli stessi file persistenti della release corrente.

Step 5: esecuzione migration database con php artisan migrate --force - le migration sono applicate prima dello swap del symlink, in modo che il nuovo codice trovi lo schema database aggiornato quando viene attivato.

Step 6: swap atomico del symlink current/ per puntare alla nuova release, seguito da graceful reload di PHP-FPM (systemctl reload php8.3-fpm).

Il pattern si esegue interamente in meno di 60 secondi per un deploy tipico, con swap atomico in microsecondi. PHP-FPM graceful reload segnala ai worker di terminare le richieste in corso prima di uscire - niente request interrotte a metà.

Deployer: lo strumento PHP-native che implementa il pattern

Deployer è uno strumento open-source PHP-native che implementa il pattern symlink-based con comandi semplici. La documentazione ufficiale di Deployer è disponibile sul sito deployer.org ed è il riferimento canonico per l'uso. Per Laravel, esiste un recipe predefinito (deployer/deployer con --preset laravel) che copre tutti gli step standard.

Il file di configurazione tipico è deploy.php:

<?php
namespace Deployer;

require 'recipe/laravel.php';

set('application', 'myapp');
set('repository', '[email protected]:example/myapp.git');
set('http_user', 'www-data');
set('keep_releases', 5);

set('shared_files', ['.env']);
set('shared_dirs', ['storage', 'public/uploads']);
set('writable_dirs', ['bootstrap/cache', 'storage']);

host('prod-lb.example.com')
    ->set('deploy_path', '/var/www/myapp')
    ->set('branch', 'main');

task('artisan:queue:restart', function () {
    run('cd {{release_path}} && php artisan queue:restart');
});

after('deploy:symlink', 'artisan:queue:restart');
after('deploy:failed', 'deploy:unlock');

task('fpm:reload', function () {
    run('sudo systemctl reload php8.3-fpm');
});

after('deploy:symlink', 'fpm:reload');

Il comando dep deploy prod esegue l'intero flusso. Deployer gestisce locking (impedisce due deploy simultanei), rollback automatico in caso di failure a qualsiasi step, retention delle ultime 5 release per possibilità di rollback manuale veloce.

Il parametro keep_releases = 5 è critico: Deployer mantiene le ultime 5 directory di release, eliminando quelle più vecchie. Questo permette rollback istantaneo con dep rollback che cambia il symlink alla release precedente - tipicamente 2-3 secondi di lavoro. Per rollback critici post-deploy, questo pattern è enormemente più veloce di un re-deploy da zero.

Health check post-deploy: come validare automaticamente il rilascio

Il pattern di deploy sicuro richiede verifica automatica che il nuovo rilascio funzioni davvero prima di considerare il deploy completato. Senza health check, un deploy che introduce bug critici viene attivato in produzione e l'utente finale è il primo a scoprirlo.

Il pattern di health check che integro in Deployer è uno task custom che, dopo lo swap del symlink, esegue tre tipi di verifica. Primo tipo: endpoint sanitario dell'applicazione (GET /health) che deve rispondere 200 entro 5 secondi. Il controller /health verifica connessione database, cache Redis, filesystem scrivibile, e restituisce JSON con status. Secondo tipo: smoke test su 3-5 URL critici dell'applicazione (homepage, login, una pagina di listing, un endpoint API pubblica). Devono tutti rispondere 200. Terzo tipo: validazione versione - l'endpoint /health include la commit SHA corrente, che viene confrontata con quella attesa dal deploy.

Il pattern di task Deployer:

task('deploy:smoke_test', function () {
    $checks = [
        '/health' => 200,
        '/' => 200,
        '/products' => 200,
        '/api/status' => 200,
    ];
    foreach ($checks as $path => $expectedCode) {
        $url = 'https://myapp.example.com' . $path;
        $actualCode = run("curl -s -o /dev/null -w '%{http_code}' {$url}");
        if ((int)$actualCode !== $expectedCode) {
            throw new \Exception("Smoke test failed on {$path}: got {$actualCode}");
        }
    }
});

after('fpm:reload', 'deploy:smoke_test');
fail('deploy:smoke_test', 'rollback');

Se qualsiasi smoke test fallisce, il task rollback viene eseguito automaticamente - il symlink current/ torna alla release precedente, l'applicazione è nuovamente stabile in meno di 10 secondi. Il team riceve alert via Slack del rollback automatico e può investigare il deploy fallito senza pressione di produzione.

Database migration: il punto più delicato di qualunque zero-downtime

La parte più fragile di qualsiasi zero-downtime deployment sono le database migration - modifiche allo schema del database. Se la migration è backward-incompatible (rinomina colonna, rimuove tabella, cambia tipo di dato), l'applicazione vecchia in esecuzione può rompersi nel momento in cui la migration viene applicata, prima ancora dello swap del symlink al nuovo codice.

Il pattern corretto è disciplina di migration backward-compatible. Ogni migration deve poter essere applicata senza rompere il codice della versione precedente. Esempi:

  • Rinominare una colonna: fare in 3 deploy successivi. Deploy 1: aggiungere nuova colonna duplicato della vecchia. Deploy 2: aggiornare il codice per scrivere in entrambe e leggere dalla nuova. Deploy 3: rimuovere la vecchia colonna.
  • Rimuovere una tabella: deploy 1 smettere di usarla nel codice. Deploy 2 rimuoverla dal database.
  • Cambiare tipo di colonna: pattern simile - aggiungere colonna nuova, migrare dati, deprecare vecchia, rimuovere al deploy successivo.

Questa disciplina aggiunge complessità al singolo feature ma preserva l'invariante di zero-downtime. Per PMI con criticità produzione elevata, è disciplina che paga il suo costo nel medio termine. Il pattern si integra con i principi di modernizzazione di job in coda Laravel con Queue::fake e withFakeQueueInteractions che ho descritto in un articolo dedicato, dove la coerenza stato-schema è parte del pattern di affidabilità complessiva.

Gestione delle queue asincrone durante deploy

Un aspetto sottile dei deployment zero-downtime riguarda le queue asincrone - i worker che processano job di sfondo. Il pattern tipico Laravel con Horizon o Queue worker supervisor richiede attenzione specifica durante deploy.

Il comportamento corretto è: dopo ogni deploy, tutti i worker attivi devono essere terminated gracefully e riavviati con il nuovo codice. Il comando Laravel php artisan queue:restart segnala ai worker di uscire dopo aver finito il job corrente - terminati in modo sicuro, riavviati automaticamente da Supervisor con il codice nuovo. Nessun job perso, nessuna interruzione percepibile.

Il task Deployer già mostrato include questo comando. Il pattern completo di deploy con queue handling è:

  • Step deploy standard
  • queue:restart per segnalare ai worker di uscire gracefully
  • Supervisor rileva worker terminato e lo riavvia con codice nuovo
  • Tempo totale per il "refresh" dei worker: tipicamente 30-120 secondi (fino al completamento del job più lungo in corso)

Per applicazioni con job molto lunghi (minuti o ore), il pattern di queue:restart può essere problematico perché il job attuale continua sulla vecchia versione del codice fino al suo termine. Se il deploy introduce modifiche breaking per quel tipo di job, potrebbero emergere errori. La mitigazione è disciplina di backward compatibility dei job - analogo alla backward compatibility delle migration.

Orchestrazione multi-server: lo stesso pattern ma con rolling update

Il pattern symlink-based si generalizza naturalmente a deploy multi-server. Quando l'applicazione gira su N server dietro un load balancer, il deploy è rolling - un server alla volta.

Il pattern Deployer per multi-server:

host('web01.example.com', 'web02.example.com', 'web03.example.com', 'web04.example.com')
    ->set('deploy_path', '/var/www/myapp');

set('limit', 1);

Il parametro limit: 1 dice a Deployer di deployare a un server alla volta. Durante il deploy di web01, gli altri tre continuano a servire traffico normalmente. Se il deploy di web01 fallisce smoke test, rollback automatico di quel server e stop dell'intero deploy - gli altri tre server restano sulla versione precedente, coerenza globale preservata.

Questo pattern multi-server beneficia anche di drain del load balancer prima del deploy di ogni server - istruire il load balancer a smettere di inviare nuove richieste al server in deploy, attendere che le richieste in corso finiscano, eseguire il deploy, health check, riattivare il server nel pool. Il pattern aggiunge 10-30 secondi di deploy time per server ma elimina completamente anche la minima possibilità di request interrotte durante il graceful reload di PHP-FPM.

Deploy automation tramite CI/CD: integrazione con GitHub Actions

Il pattern zero-downtime si integra naturalmente con pipeline CI/CD. Il trigger tipico è: push su branch main, GitHub Actions esegue test, se test passano esegue dep deploy prod via SSH. Il pattern si integra con il workflow GitHub Actions per deploy Laravel su VPS unmanaged che ho descritto in un articolo dedicato, dove Deployer è il tool che esegue effettivamente il deploy remoto.

Il pattern consolidato che applico nei miei progetti PMI include.

Pipeline CI: PHPUnit tests, PHPStan analysis, composer audit, detect-secrets, build assets. Se tutto passa, trigger deploy.

Pipeline CD: SSH su VPS con chiave dedicata limitata a dep deploy prod, Deployer esegue il flusso zero-downtime, smoke test post-deploy, notifica Slack team del risultato.

Il feedback loop completo dal merge al merge al deploy in produzione è tipicamente 5-12 minuti - veloce abbastanza che il developer che ha fatto merge è ancora al lavoro e può rispondere a eventuali problemi.

Il risultato finale del cliente veneto dopo 14 mesi di operatività con il nuovo pattern è stato il seguente. Zero downtime totale attribuibile a deploy nei 14 mesi di monitoring - il target è stato raggiunto e mantenuto. Numero totale di deploy nel periodo: 380 deploy (media di 27 al mese). Numero di rollback automatici attivati: 3 in 14 mesi - tutti gestiti senza impatto cliente visibile. Tempo medio di un deploy completo: 47 secondi end-to-end. Tempo di rollback: 6-8 secondi, usato 3 volte. Fatturato salvato stimato: circa 13.000 euro/anno rispetto al pattern precedente. Velocità di delivery del team: aumentata del 40% grazie alla fiducia nel deploy affidabile - i merge verso main sono passati da 3 alla settimana a 12-14 alla settimana. Costo consulenziale: 2.400 euro una tantum, zero costi ricorrenti.

Se gestisci un'applicazione PHP in produzione con deploy che producono qualche secondo di downtime visibile agli utenti, e stai valutando se introdurre orchestratori complessi per risolverlo, la risposta quasi sempre è no - non servono Kubernetes, non servono orchestratori. Serve disciplina di deploy con pattern symlink-based ben implementato. Se vuoi confrontarti sul tuo caso specifico con una proposta di implementazione zero-downtime calibrata sulla tua infrastruttura, contattami per una consulenza preliminare: in una sessione di analisi guidata valutiamo insieme il tuo attuale processo di deploy, le sue criticità, e produciamo un piano di implementazione zero-downtime con stime realistiche di tempo e benefici attesi - senza complessità orchestratore superflua rispetto alla dimensione reale del tuo contesto.

Ultima modifica: