Sie haben den PR zusammengeführt. CI war grün. Die Bereitstellung wurde ohne einen einzigen Fehler in den Logs abgeschlossen. Zwanzig Minuten später treffen Support-Tickets ein: Ein Zahlungsendpunkt gibt für einen Teil der Kunden 500er-Fehler zurück, und Sie haben keine Ahnung, warum, da in der Pipeline nichts fehlgeschlagen ist.
Dies ist die Lücke, die Canary Testing schließt. Unit-Tests und Integrationstests prüfen Ihren Code gegen das, was Sie erwartet haben. Sie können Ihren Code nicht gegen die reale Welt prüfen: Produktionsdatenverkehr, die tatsächliche Datenbank, die Drittanbieter-API, die am letzten Dienstag stillschweigend ihr Ratenlimit geändert hat. Canary Testing stellt eine neue Version zunächst einem kleinen Teil des echten Datenverkehrs zur Verfügung, beobachtet, wie sie sich verhält, und weitet die Einführung erst dann aus, wenn die Signale gesund aussehen. Wenn etwas kaputtgeht, betrifft es 2 % der Benutzer für zwei Minuten anstatt 100 % der Benutzer für eine Stunde.
Speziell für APIs können Sie mehr tun, als nur Dashboards zu beobachten und zu hoffen. Sie können eine echte Testsuite gegen den Canary laufen lassen, sobald er live geht, Statuscodes, Antwortschemata und Latenzzeiten überprüfen und die Bereitstellung dann vom Ergebnis abhängig machen. Diesen Workflow erläutert dieser Leitfaden, und wir werden ihn End-to-End mit Apidog und seinem Kommandozeilen-Runner verbinden, sodass das Ganze in Ihrer bestehenden CI/CD-Pipeline läuft.
Was Canary Testing wirklich ist
Der Name stammt vom Kanarienvogel im Kohlebergwerk. Bergleute trugen einen Käfigvogel unter Tage, weil er lange vor den Menschen auf giftiges Gas reagierte. Wenn der Vogel aufhörte zu singen, ging man hinaus. Eine Canary-Veröffentlichung funktioniert auf die gleiche Weise: Eine kleine, entbehrliche Stichprobe geht das Risiko zuerst ein, damit der Rest Ihrer Benutzer dies nie tun muss.
In der Praxis bedeutet eine Canary-Bereitstellung, zwei Versionen Ihres Dienstes gleichzeitig zu betreiben:
- Stabil: die aktuelle Produktionsversion, die den Großteil des Datenverkehrs bedient.
- Canary: die neue Version, die einen kleinen Prozentsatz (oft 1 % bis 5 % zu Beginn) bedient.
Ein Load Balancer, Service Mesh oder Ingress Controller teilt den Datenverkehr zwischen ihnen auf. Sie überwachen die Fehlerrate, Latenz und Geschäftsmetriken des Canary im Vergleich zur stabilen Basislinie. Wenn der Canary stabil bleibt, leiten Sie schrittweise mehr Datenverkehr dorthin um, bis er 100 % bedient und zur neuen stabilen Version wird. Verschlechtert er sich, leiten Sie alles zurück zur stabilen Version, und die fehlerhafte Veröffentlichung erreicht den Großteil Ihres Publikums nie.
Canary Testing ist die aktive Hälfte dieses Zyklus. Anstatt auf organischen Datenverkehr zu warten, der einen Fehler aufdeckt, senden Sie eine gezielte Suite von API-Anfragen an den Canary und prüfen die Antworten. Passive Überwachung informiert Sie darüber, dass etwas schiefgelaufen ist, nachdem Benutzer darauf gestoßen sind. Aktives Canary Testing sagt Ihnen, dass etwas nicht stimmt, bevor Sie den potenziellen Schadenbereich erweitern.
Canary Testing vs. die Tests, die Sie bereits durchführen
Canary Testing ersetzt Ihre anderen Tests nicht. Es sitzt am Ende der Kette und fängt eine andere Art von Fehlern ab.
| Testtyp | Läuft gegen | Fängt ab | Verpasst |
|---|---|---|---|
| Unit-Tests | Isolierte Funktionen | Logikfehler | Alles, was echte E/A betrifft |
| Integrationstests | Verbundene Komponenten | Gebrochene Verträge zwischen Diensten | Produktionskonfiguration, reale Datenformate |
| Smoke-Tests | Ein bereitgestellter Build | Grundlegende Fehler wie „Läuft es überhaupt?“ | Feine Verhaltensregressionen |
| Canary Testing | Eine Live-Veröffentlichung auf realer Infrastruktur | Fehlerhafte Konfiguration, Umgebungsdrift, Performance-Regressionen, Teilausfälle | Fehler, die nur bei vollem Umfang auftreten |
Der Grund, warum Canary Testing seinen Platz verdient: Ein großer Teil der Produktionsvorfälle stammt von Dingen, die keine Pre-Prod-Umgebung vollständig reproduzieren kann. Eine fehlende Umgebungsvariable. Eine veraltete Connection-Pool-Einstellung. Ein Datenbankindex, der in der Staging-Umgebung, aber nicht in der Produktion existiert. Eine nachgelagerte Abhängigkeit, die sich unter realer Authentifizierung anders verhält. Ihr Code ist korrekt; die Umgebung darum herum ist es nicht. Canary Testing ist das erste Mal, dass Ihre neue Version dieser Umgebung begegnet, und Sie möchten ihr mit zwei Prozent des Datenverkehrs begegnen, nicht mit dem gesamten.
Wenn Sie einen breiteren Kontext darüber wünschen, wo dies einzuordnen ist, behandelt unser Leitfaden zum Automatisieren von API-Tests in CI/CD die vorgeschalteten Phasen, und Smoke Testing vs. Regression Testing erklärt die beiden Testarten, auf die Canaries am meisten zurückgreifen.
Was an einem Canary gemessen werden sollte
Ein Canary ist nur nützlich, wenn Sie wissen, wie „gesund“ aussieht. Wählen Sie eine kleine Menge von Signalen und vergleichen Sie den Canary mit der stabilen Basislinie, nicht mit einer absoluten Zahl. Eine Fehlerrate von 1,2 % kann für Ihren Dienst normal sein; wichtig ist, ob der Canary derzeit deutlich schlechter ist als die stabile Version.
Vier Signale decken die meisten Fälle ab:
- Fehlerrate: der Anteil der 5xx-Antworten und oft auch der 4xx-Antworten, die nicht auftreten sollten, wie ein plötzlicher Anstieg von 401ern nach einer Authentifizierungsänderung. Dies ist die wichtigste Einzelmetrik.
- Latenz: p95 und p99, nicht der Durchschnitt. Ein Durchschnitt verbirgt den langsamen "Schwanz", wo echte Benutzer Schmerzen empfinden. Ein Canary, der bei p99 um 40 ms langsamer ist, ist eine Warnung, auch wenn der Mittelwert in Ordnung aussieht.
- Antwortkorrektheit: Stimmt der Body noch mit dem Schema überein? Ein 200 OK, das die falsche Form zurückgibt, ist schlimmer als ein 500er, da das Monitoring dies nicht kennzeichnet.
- Geschäftssignale: Erfolgreiche Kasse, erfolgreicher Login, Artikel zum Warenkorb hinzugefügt. Diese fangen Logik-Regressionen ab, die technisch gesehen „erfolgreiche“ HTTP-Antworten sind.
Die ersten drei können Sie direkt in einem API-Test überprüfen. Das ist der Teil, den wir automatisieren werden.
Der Canary Testing Workflow, Schritt für Schritt
Hier ist die Struktur einer Canary-Einführung, die durch automatisierte API-Tests gesteuert wird. Jeder Schritt kann aus einer Pipeline ausgeführt werden.
- Stellen Sie die neue Version als Canary neben der stabilen Version bereit.
- Leiten Sie einen kleinen Teil des Datenverkehrs (z. B. 5 %) zum Canary.
- Führen Sie eine automatisierte API-Testsuite gegen den Canary-Endpunkt aus.
- Überwachen Sie Fehlerrate und Latenz für eine kurze Einbrennphase.
- Gate: Wenn Tests bestanden werden und Metriken im Rahmen bleiben, leiten Sie mehr Datenverkehr um. Wenn nicht, machen Sie die Bereitstellung rückgängig.
- Wiederholen Sie die Hochskalierung (5 % zu 25 % zu 50 % zu 100 %), wobei Sie bei jedem Schritt erneut testen.
- Befördern Sie den Canary zur stabilen Version, ziehen Sie die alte Version zurück.
Die zwei Teile, die Ihre Aufmerksamkeit verdienen, sind Schritt 3 (die Testsuite) und Schritt 5 (das Gate). Wenn Sie diese richtig machen, ist der Rest eine Infrastruktur, die Ihre Plattform bereits bietet.
Erstellen der Testsuite in Apidog
Die Testsuite ist das Herzstück des Canary Testings, und hier sparen die meisten Teams an der falschen Stelle. Ein Canary-„Test“, der nur /health anpingt und auf eine 200 prüft, sagt Ihnen, dass der Prozess gestartet wurde. Er sagt Ihnen nichts darüber, ob Ihre tatsächlichen Endpunkte funktionieren.
Eine echte Canary-Suite übt die wichtigen Pfade aus: authentifizieren, lesen, schreiben und die Antwortform bei jedem überprüfen. Die Testszenarien von Apidog ermöglichen es Ihnen, diese Anfragen miteinander zu verketten, Daten zwischen ihnen zu übergeben und die Ergebnisse zu überprüfen, ohne Glue Code schreiben zu müssen.
Ein solides Canary-Szenario für eine E-Commerce-API sieht so aus:
- Schritt 1, authentifizieren.
POST /auth/loginmit einem Testkonto. Überprüfen Sie200, extrahieren Sie den Token aus der Antwort in eine Variable. - Schritt 2, lesen.
GET /products?limit=10mit dem Token. Überprüfen Sie200, überprüfen Sie, dass die Antwort ein Array ist, überprüfen Sie, dass jedes Elementid,nameundpricehat. - Schritt 3, schreiben.
POST /cartmit einem bekannten Produkt. Überprüfen Sie201, überprüfen Sie, dass die zurückgegebene Warenkorb-Gesamtsumme dem erwarteten Wert entspricht. - Schritt 4, Zustand überprüfen.
GET /cart. Überprüfen Sie, dass der gerade hinzugefügte Artikel vorhanden ist.
In Apidog erstellen Sie jede Anfrage einmal und fügen dann visuell Überprüfungen hinzu. Für Schemaüberprüfungen können Sie die Antwort gegen das bereits entworfene OpenAPI-Schema validieren, sodass ein abweichender Antwort-Body den Test automatisch fehlschlagen lässt. Für die Übergabe des Auth-Tokens extrahieren Sie es aus der Antwort von Schritt 1 und referenzieren es als Variable in späteren Schritten. Für die gängigen Fälle ist kein Scripting erforderlich, und Sie können bei Bedarf auf JavaScript-Post-Prozessoren zurückgreifen, wenn Sie benutzerdefinierte Logik benötigen.
Der Vorteil ist, dass dasselbe Szenario auf drei Arten aus einer einzigen Definition ausgeführt wird: manuell während der Erstellung, planmäßig als synthetisches Monitoring, sobald es live ist, und über die Kommandozeile innerhalb Ihrer Canary-Pipeline. Sie schreiben die Überprüfungen nur einmal.
Ausführen der Suite über die Kommandozeile
Um eine Bereitstellung zu steuern, muss die Suite headless in CI ausgeführt werden. Apidog liefert dafür eine CLI mit. Installieren Sie sie auf Ihrem Build-Agent:
npm install -g apidog-cli
Exportieren Sie Ihre Testszenario-Daten aus Apidog als CLI-formatiertes Datei, oder weisen Sie den Runner über eine ID mit einem Zugriffstoken auf ein Szenario an, und führen Sie es dann aus:
apidog run \
--access-token "$APIDOG_ACCESS_TOKEN" \
-t "$CANARY_SCENARIO_ID" \
-e "$CANARY_ENV_ID" \
-r cli,html,junit
Einige Flags, die für die Canary-Arbeit wissenswert sind:
-t, --test-scenarioführt ein spezifisches Szenario anhand der ID aus. Verwenden Sie-f, --test-scenario-folder, um einen ganzen Ordner von Szenarien auszuführen.-e, --environmentwählt die Laufzeitumgebung aus. Verweisen Sie dies auf eine Umgebung, deren Basis-URL Ihr Canary-Endpunkt ist, sodass dieselben Tests Canary, Staging oder Produktion erreichen können, indem Sie einen Wert austauschen.-r, --reporterssteuert die Ausgabe.cligibt in die Konsole aus,htmlerstellt einen teilbaren Bericht undjuniterzeugt XML, das GitHub Actions, GitLab, Jenkins und die meisten CI-Dashboards nativ parsen, um Bestehen/Fehlgeschlagen pro Test anzuzeigen.-d, --iteration-dataführt die Suite einmal pro Zeile einer CSV- oder JSON-Datei aus. Nützlich, um den Canary in einem Durchgang mit mehreren Benutzerprofilen oder Produkt-IDs zu testen.--upload-reportsendet die Zusammenfassung des Laufs zurück an Apidog, damit das Team die Canary-Historie in der App sehen kann.
Die CLI beendet sich mit einem Wert ungleich Null, wenn eine Überprüfung fehlschlägt. Dieser Exit-Code ist der gesamte Steuerungsmechanismus: Ihre Pipeline weiß bereits, wie sie bei einem fehlgeschlagenen Schritt anhalten muss, sodass ein fehlgeschlagener Canary-Test die Bereitstellung kostenlos stoppt.
Für eine detailliertere Anleitung zur Ausführung von Apidog in Pipelines behandeln die Automatisierung von API-Tests in GitHub Actions und der Jenkins-Integrationsleitfaden diese Plattformen im Detail.
Integration in CI/CD
Hier ist ein gekürzter GitHub Actions Job, der einen Canary bereitstellt, ihn testet und nur bei Erfolg befördert. Die Struktur lässt sich mit geringfügigen Syntaxänderungen auf GitLab CI, CircleCI oder Jenkins übertragen.
name: canary-release
on:
push:
branches: [main]
jobs:
canary:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Deploy canary (5% traffic)
run: ./deploy.sh --canary --weight 5
- name: Install Apidog CLI
run: npm install -g apidog-cli
- name: Test the canary
run: |
apidog run \
--access-token "$APIDOG_ACCESS_TOKEN" \
-t "$CANARY_SCENARIO_ID" \
-e "$CANARY_ENV_ID" \
-r cli,junit
env:
APIDOG_ACCESS_TOKEN: ${{ secrets.APIDOG_ACCESS_TOKEN }}
CANARY_SCENARIO_ID: ${{ vars.CANARY_SCENARIO_ID }}
CANARY_ENV_ID: ${{ vars.CANARY_ENV_ID }}
- name: Bake and watch (2 min)
run: sleep 120 && ./check-metrics.sh --service canary --max-error-rate 1.0
- name: Promote canary to 100%
run: ./deploy.sh --promote
- name: Roll back on any failure
if: failure()
run: ./deploy.sh --rollback
Die Logik, die dies zu einem Canary und nicht zu einer einfachen Bereitstellung macht, ist die Reihenfolge. Der Canary nimmt einen Teil des Datenverkehrs auf, bevor der Test läuft, sodass der Test eine Version prüft, die bereits echte Anfragen bedient. Der Schritt if: failure() ist das Sicherheitsnetz: Wenn die Testsuite mit einem Wert ungleich Null beendet wird oder die Metrikprüfung fehlschlägt, schlägt der Job fehl, und der Rollback wird ausgeführt, bevor der Datenverkehr über 5 % ansteigt.
Halten Sie CANARY_ENV_ID so, dass es auf eine Apidog-Umgebung zeigt, deren Basis-URL den Canary anspricht. Wenn Sie später dieselbe Suite als Post-Deploy-Produktions-Smoke-Test ausführen möchten, tauschen Sie einfach die Produktionsumgebungs-ID ein und ändern nichts weiter. Diese Wiederverwendung ist der Punkt: eine Suite, viele Phasen.
Häufige Fehler, die Canary Testing nutzlos machen
Testen des falschen Endpunkts. Wenn Ihr Test die lastverteilte öffentliche URL trifft, könnte die Anfrage auf einer stabilen Instanz statt auf dem Canary landen. Leiten Sie den Test explizit an den Canary, entweder über einen Header, den das Mesh routet, einen dedizierten Canary-Hostnamen oder eine Umgebung, deren Basis-URL die Adresse des Canary ist.
Eine Einbrennphase von null. Einige Fehler treten nur unter anhaltender Last auf: Speicherlecks, Erschöpfung des Verbindungspools, ein Cache, der sich füllt. Führen Sie den Test aus und beobachten Sie dann einige Minuten, bevor Sie die Promotion durchführen. Ein Canary, der sofort bestanden wird und in zehn Sekunden befördert wird, ist kaum ein Canary.
Kein automatischer Rollback. Wenn ein Mensch den Fehler bemerken und auf Rollback klicken muss, haben Sie den langsamsten Teil der Incident-Response im Kreislauf gehalten. Der ganze Wert liegt darin, dass die Pipeline von selbst zurückrollt. Verbinden Sie den Rollback mit der Fehlerbedingung und testen Sie, ob der Rollback funktioniert.
Absolute Schwellenwerte statt Vergleiche. „Fehler, wenn Fehlerrate über 1 %“ schlägt fehl, wenn Ihre Basis-Fehlerrate tatsächlich 1,5 % beträgt. Vergleichen Sie den Canary mit der aktuellen stabilen Version und lösen Sie das Gate aus, wenn der Canary deutlich schlechter ist, nicht wenn er eine Zahl überschreitet, die Sie vor Monaten festgelegt haben.
Dünne Überprüfungen. Eine 200-Antwort mit einem fehlerhaften Body besteht eine reine Statuscode-Prüfung und führt bei Ihren Benutzern zu Fehlern. Überprüfen Sie das Antwortschema, nicht nur den Code. Hier zahlt es sich direkt aus, zuerst Ihren API-Vertrag zu entwerfen und Antworten gegen das Schema zu validieren: Ihr Canary-Test erbt den Vertrag kostenlos.
Wie groß sollte der Canary sein und wie lange?
Es gibt keine allgemeingültige Antwort, aber eine praktikable Standardeinstellung für die meisten Teams:
- Beginnen Sie mit 5 % des Datenverkehrs. Klein genug, um den Schaden zu begrenzen, groß genug, um innerhalb von Minuten bei einem vielgenutzten Dienst ein echtes Signal zu erhalten. APIs mit geringem Datenverkehr benötigen möglicherweise ein längeres Zeitfenster, um genügend Anfragen zu sammeln.
- Schrittweise hochfahren: 5 % zu 25 % zu 50 % zu 100 %. Führen Sie die Testsuite bei jedem Schritt erneut aus. Eine Regression, die sich bei 5 % verbirgt, tritt manchmal bei 50 % auf, wenn ein Verbindungspool gesättigt ist.
- Lassen Sie ihn pro Schritt mindestens einige Minuten „backen“. Lang genug, damit sich langsam auftretende Fehler zeigen, kurz genug, damit Sie nicht jede Veröffentlichung für eine Stunde aufhalten.
Dienste mit hohem Datenverkehr können schneller vorgehen, da sie schnell Signale ansammeln. Eine Zahlungs-API, die Tausende von Anfragen pro Sekunde verarbeitet, hat innerhalb einer Minute genügend Daten, um einen Canary zu beurteilen. Eine interne Admin-API, die nur wenige Anfragen pro Stunde erhält, benötigt eine längere Einbrennphase oder eine höhere synthetische Testlast, um zu einem Urteil zu gelangen.
Wo Canary Testing in Ihre Release-Strategie passt
Canary Testing passt natürlich gut zu Feature Flags und Blue-Green Deployments, und es lohnt sich, den Unterschied klarzustellen. Blue-Green schaltet den gesamten Datenverkehr sofort von einer vollständigen Umgebung auf eine andere um; der Rollback ist schnell, aber es gibt keine schrittweise Exposition. Feature Flags schalten das Verhalten für ausgewählte Benutzer ohne erneute Bereitstellung um. Canary-Releases verschieben den realen Datenverkehr schrittweise und steuern die Freigabe anhand von Live-Signalen.
Die meisten erfahrenen Teams verwenden alle drei: Blue-Green für den Infrastrukturwechsel, Canary für die schrittweise Erhöhung des Datenverkehrs mit automatisierten Gates und Feature Flags für die feingranulare Kontrolle, sobald der Code live ist. Der gemeinsame Nenner ist, dass keiner davon die Notwendigkeit beseitigt, die Veröffentlichung gegen die Produktion zu testen. Sie steuern, wie viel Ihres Publikums exponiert ist, während Sie dies tun.
Das ist die eigentliche Erkenntnis. Canary Testing ist kein Tool, das Sie kaufen; es ist eine Disziplin: stellen Sie klein bereit, testen Sie die Live-Veröffentlichung mit echten Überprüfungen, überwachen Sie die Signale und steuern Sie die Einführung anhand des Ergebnisses. Die Tools existieren, um jeden dieser Schritte zu automatisieren. Mit Apidog erstellen Sie die Testsuite einmal, führen sie über die CLI in jeder Pipeline aus und lassen den Exit-Code entscheiden, ob die Veröffentlichung fortgesetzt wird. Schlechte Veröffentlichungen stoppen bei 5 % des Datenverkehrs, und Ihre Benutzer sehen niemals die 500er.
Laden Sie Apidog herunter, um Ihr erstes Canary-Testszenario zu erstellen, richten Sie eine Umgebung auf Ihren Canary-Endpunkt aus und fügen Sie Ihrer Pipeline einen CLI-Schritt hinzu. Der nächste fehlerhafte Merge betrifft eine Handvoll Anfragen statt alle.
FAQ
Ist Canary Testing dasselbe wie eine Canary-Bereitstellung? Eine Canary-Bereitstellung ist der Release-Mechanismus: Eine neue Version wird einem kleinen Teil des Datenverkehrs bereitgestellt. Canary Testing ist das, was Sie in diesem Zeitfenster tun, indem Sie aktiv Tests ausführen und Antworten überprüfen, anstatt nur Dashboards zu beobachten. Sie benötigen die Bereitstellung, um die Tests durchzuführen, aber das Testen ist es, was eine riskante Einführung in eine gesteuerte umwandelt.
Brauche ich ein Service Mesh für Canary Testing? Nein. Ein Service Mesh wie Istio oder Linkerd erleichtert die Verkehrsaufteilung, aber Sie können Canaries auch mit einem einfachen Load Balancer-Gewicht, den Canary-Annotationen eines Ingress Controllers oder sogar DNS-Gewichtung betreiben. Der Test- und Gate-Teil des Workflows, auf den sich dieser Leitfaden konzentriert, funktioniert unabhängig davon, wie Sie den Datenverkehr aufteilen.
Wie unterscheidet sich das vom Smoke Testing nach der Bereitstellung? Ein Smoke-Test läuft normalerweise einmal gegen eine vollständig bereitgestellte Version, um zu bestätigen, dass sie läuft. Canary Testing läuft gegen eine Version, die nur einen Bruchteil des realen Datenverkehrs bedient, und es steuert die Hochskalierung. Die Überprüfungen können identisch sein; der Unterschied liegt im Timing und in der Konsequenz. Ein fehlgeschlagener Smoke-Test bedeutet, etwas zurückzurollen, das bereits für alle live ist; ein fehlgeschlagener Canary-Test bedeutet, eine Einführung bei 5 % zu stoppen. Für die Unterscheidung zwischen Smoke- und Regressionstests sehen Sie unseren Vergleichsleitfaden.
Kann ich meine bestehenden API-Tests als Canary-Tests wiederverwenden? Oft ja. Wenn Sie bereits Apidog-Testszenarien mit echten Überprüfungen haben, richten Sie sie auf eine Umgebung aus, deren Basis-URL der Canary ist, und führen Sie sie mit der CLI aus. Die Arbeit besteht darin, sicherzustellen, dass Ihre Tests Antwort-Bodies und nicht nur Statuscodes überprüfen und dass sie auf den Canary und nicht auf die lastverteilte öffentliche URL geroutet werden.
Was passiert, wenn ein Canary-Test in CI fehlschlägt? Die Apidog CLI beendet sich mit einem Wert ungleich Null bei jeder fehlgeschlagenen Überprüfung. Ihre Pipeline behandelt dies wie jeden fehlgeschlagenen Schritt: Der Job stoppt, der Promotion-Schritt wird übersprungen, und Ihr if: failure() Rollback-Schritt wird ausgeführt. Es muss kein Mensch den Rollback überwachen.