Blue-green vs canary expliqués pour les changements d'API et de base de données, avec des étapes pratiques pour réduire le risque de downtime lors de migrations de schéma et de mises à jour mobiles lentes.
Un déploiement peut sembler parfait en tests et pourtant échouer dès qu'il reçoit du vrai trafic. La raison la plus courante est que votre code n'est pas la seule chose qui change. Votre contrat d'API et le schéma de votre base de données évoluent aussi, et rarement au même rythme.
Les choses cassent quand différentes parties du système ne sont pas d'accord sur ce que signifie « correct ». Un backend récent attend une colonne qui n'existe pas encore. Un backend plus ancien écrit des données dans un format que le nouveau code ne comprend plus. Même de petits changements comme renommer un champ, durcir une validation ou modifier une valeur d'énumération peuvent provoquer des erreurs en production.
Les applications mobiles augmentent les enjeux parce que les anciennes versions restent en circulation. Certains utilisateurs mettent à jour en quelques minutes, d'autres en semaines. Cela signifie que votre backend doit servir plusieurs générations de clients en même temps. Si vous publiez un changement d'API qui fonctionne uniquement avec la dernière app, vous pouvez casser le paiement, l'onboarding ou la synchronisation en arrière-plan pour une partie des utilisateurs sans vous en rendre compte immédiatement.
« Risque de downtime » ne signifie pas seulement le site indisponible. Dans les systèmes réels, cela se manifeste souvent par des pannes partielles :
C'est pourquoi les équipes comparent blue-green vs canary : l'objectif est de réduire le rayon d'impact quand les changements ne sont pas parfaitement compatibles.
Quand on compare blue-green vs canary, la question centrale est généralement : préférez-vous une bascule globale et contrôlée, ou un test prudent et progressif ?
Blue-green signifie faire tourner deux environnements complets en parallèle. « Blue » est la version actuelle qui sert les utilisateurs. « Green » est la nouvelle version, déployée et testée en parallèle. Quand vous êtes prêts, vous basculez le trafic de blue vers green.
Cette approche est excellente pour la prévisibilité. Vous pouvez valider la nouvelle version avec des réglages proches de la production avant qu'elle ne serve de vrais utilisateurs, puis faire une seule coupure propre.
Le rollback est aussi simple : si quelque chose casse après la bascule, renvoyez le trafic vers blue. C'est proche d'un retour instantané, mais les caches, les jobs en arrière-plan et les changements de données peuvent compliquer la récupération.
Canary signifie que la nouvelle version est active pour une petite fraction d'utilisateurs ou de requêtes au début. Si tout va bien, vous augmentez ce pourcentage par paliers jusqu'à couvrir tout le trafic.
Canary est préférable quand vous craignez des comportements inconnus sous trafic réel. Vous pouvez attraper les problèmes tôt, avant que la majorité des utilisateurs en soit affectée.
Le rollback consiste à réduire le pourcentage canary à zéro (ou à cesser le routage vers la nouvelle version). C'est généralement rapide, mais pas toujours propre, car certains utilisateurs ont peut-être déjà créé des données ou un état que les deux versions doivent gérer.
Une façon simple de retenir les différences :
Exemple : si vous publiez une API qui renvoie parfois un nouveau champ, un canary vous aide à voir si d'anciens clients plantent en recevant des données inattendues. Si le changement nécessite de renommer une colonne que l'ancien code ne sait pas gérer, blue-green ne vous sauvera que si la migration du schéma est conçue pour supporter les deux versions.
Un déploiement de code est en général facile à rollbacker. Si la nouvelle version se comporte mal, vous redéployez l'ancienne build et vous retrouvez la situation précédente.
Un changement de base de données est différent parce qu'il transforme la forme des données. Une fois que des lignes sont réécrites, des colonnes supprimées ou des contraintes durcies, revenir en arrière n'est rarement instantané. Même si vous rollbackez le code applicatif, il pourrait ne pas comprendre le nouveau schéma.
C'est pourquoi le risque de downtime lors d'une migration de schéma dépend moins de la méthode de déploiement et plus de la manière dont la migration est conçue.
Les migrations les plus sûres fonctionnent pendant que les anciennes et nouvelles versions tournent simultanément. Le modèle est simple : faites d'abord un changement qu'on peut ignorer, mettez à jour le code pour l'utiliser, puis nettoyez plus tard.
Une séquence commune « étendre-puis-réduire » ressemble à ceci :
Les migrations « big bang » combinent les étapes les plus risquées dans une seule release : verrous longs, backfills lourds et code qui suppose que le nouveau schéma est déjà présent partout.
Les clients mobiles peuvent rester sur d'anciennes versions pendant des semaines. Votre backend doit continuer d'accepter d'anciennes requêtes et de produire d'anciennes réponses pendant que la base évolue.
Si une ancienne app envoie une requête sans un nouveau champ, votre serveur ne peut pas soudainement rendre ce champ obligatoire dans la base. Vous avez besoin d'une période où les deux comportements fonctionnent.
Le choix le plus sûr dépend moins de l'outil de déploiement que d'une question : les anciennes et nouvelles versions de l'app peuvent-elles fonctionner correctement sur le même schéma de base de données pendant un certain temps ?
Si la réponse est oui, blue-green est souvent l'option la moins sujette à downtime. Vous pouvez préparer le changement de base, garder le trafic sur l'ancien stack, puis basculer d'un coup vers le nouveau. Si quelque chose cloche, vous revenez rapidement.
Blue-green échoue toutefois lorsque la nouvelle app exige le nouveau schéma immédiatement. Exemples courants : suppression ou renommage d'une colonne que l'ancienne version lit, ou ajout d'une contrainte NOT NULL avant que l'app n'écrive la valeur. Dans ces cas, le rollback peut être dangereux car la base est déjà incompatible.
Canary est préférable quand vous avez besoin d'apprendre de la production de manière contrôlée. Une petite fraction du trafic touche la nouvelle version en premier, ce qui vous aide à repérer des cas limites comme des index manquants, des schémas de requête imprévus ou des jobs d'arrière-plan se comportant différemment sous charge réelle. Le compromis est que vous devez maintenir les deux versions compatibles en parallèle, ce qui implique généralement des changements de schéma rétrocompatibles.
Supposons que vous ajoutiez un nouveau champ à une table orders. Une voie sûre : ajouter la colonne nullable, déployer l'app qui l'écrit, backfiller les anciennes lignes, puis appliquer les contraintes plus tard. Dans ce cas, blue-green vous permet une coupure propre, et canary vous donne un avertissement précoce si un chemin de code suppose encore l'ancienne forme.
Les utilisateurs web rafraîchissent la page. Les utilisateurs mobiles ne le font pas.
Sur iOS et Android, des personnes restent sur d'anciennes versions pendant des semaines ou des mois. Certaines n'actualisent jamais tant que l'app n'impose pas la mise à jour, et d'autres appareils restent hors ligne longtemps. Donc votre client « ancien » appelle toujours vos API bien après que vous ayez livré un nouveau backend. Les anciens clients deviennent des tests permanents de votre compatibilité ascendante.
Cela déplace l'objectif de « déployer sans downtime » vers « maintenir plusieurs générations de clients fonctionnelles en parallèle ». En pratique, le mobile vous pousse souvent vers une pensée de type canary pour les API, même si vous utilisez blue-green pour l'infrastructure.
La plupart du temps, vous voudrez des changements rétrocompatibles parce qu'ils laissent anciens et nouveaux apps partager les mêmes endpoints.
Exemples rétrocompatibles : ajouter des champs, accepter à la fois d'anciens et nouveaux formats de payload, garder les champs de réponse existants, et éviter de changer le sens d'un champ.
Le versionnement d'API devient utile quand le comportement doit changer (pas seulement ajouter des données), ou quand il faut supprimer ou renommer des champs.
Exemple : ajouter un champ optionnel marketing_opt_in est généralement sûr. Changer la façon dont price est calculé généralement ne l'est pas.
Si vous devez imposer un changement incompatible, traitez la fin du support comme une décision produit. Une fenêtre de dépréciation utile se mesure par « utilisateurs actifs encore sur de vieilles versions », pas par des jours calendaire.
Séquence pratique :
Quand vous changez une API et une base de données en même temps, le plan le plus sûr est souvent en deux ou trois étapes. Chaque étape doit être sûre à déployer seule, même si des utilisateurs gardent une ancienne app pendant des semaines.
Commencez par un changement additif en base. Ajoutez des colonnes ou tables, évitez de renommer ou supprimer quoi que ce soit, autorisez les nulls si besoin, et utilisez des valeurs par défaut pour que l'ancien code ne rencontre pas de contraintes soudaines.
Ensuite, publiez du code applicatif qui tolère les deux formes. Les lectures doivent accepter « champ manquant » et « champ présent ». Les écritures doivent continuer d'alimenter l'ancien champ pour l'instant, et optionnellement écrire le nouveau aussi.
Séquence typique :
Les backfills ratent le plus souvent parce qu'ils sont traités comme un simple script. Exécutez-les graduellement, surveillez la charge et vérifiez les résultats. Si le nouveau comportement a besoin d'un index, ajoutez-le avant de changer les lectures ou écritures, pas après.
Exemple : vous ajoutez phone_country_code pour améliorer le formatage. Ajoutez d'abord la colonne (nullable), mettez à jour l'API pour l'accepter tout en restant fonctionnel si elle est absente, backfillez depuis les numéros existants, puis commencez à l'écrire pour les nouvelles inscriptions. Des semaines plus tard, quand les anciennes apps auront disparu, supprimez le chemin de parsing legacy.
Vous n'avez pas besoin d'une configuration compliquée pour sécuriser blue-green ou canary. Quelques habitudes réduisent les surprises quand les API et les schémas évoluent à des rythmes différents.
Dual-write signifie écrire les données à la fois dans l'ancien et le nouveau emplacement pendant la transition (par exemple users.full_name et un nouveau users.display_name). Dual-read signifie lire de l'un ou l'autre, en préférant généralement le nouveau et en retombant sur l'ancien.
Cela vous donne du temps pour les mises à jour lentes des clients, mais cela doit rester une passerelle courte. Décidez comment la retirer, suivez quel chemin est utilisé (nouveau vs fallback) et ajoutez des contrôles basiques pour assurer la consistance des écritures.
Les feature flags permettent de déployer du code sans activer le comportement risqué. Cela aide pour blue-green comme pour canary, car vous pouvez séparer « déployer » et « activer ».
Exemple : déployez le support d'un nouveau champ de réponse, mais conservez la forme ancienne tant que vous n'êtes pas prêts. Puis activez pour un petit groupe, observez les erreurs et montez progressivement. Si quelque chose casse, désactivez le flag sans redeployer.
Beaucoup d'incidents de migration ne sont pas vraiment des « problèmes de base de données ». Ce sont des problèmes d'attentes côté client.
Traitez l'API comme une promesse. Évitez de supprimer des champs ou d'en changer le sens. Rendre les champs inconnus optionnels. Les changements additifs (nouveaux champs, nouveaux endpoints) sont généralement sûrs. Les changements cassants devraient attendre une nouvelle version d'API.
Les migrations nécessitent souvent un job de backfill pour copier des données, calculer des valeurs ou nettoyer. Ces jobs doivent être monotones et répétables : sûrs à relancer, capables de retry, faciles à tracer et throttlés pour ne pas provoquer de pics de charge.
La plupart des pannes de migration surviennent quand une release suppose que tout bouge ensemble : tous les services se déploient simultanément, toutes les données sont propres et tous les clients se mettent à jour rapidement. Les systèmes réels ne fonctionnent pas comme ça, surtout pour le mobile.
Schémas d'échec fréquents :
Exemple : vous renommez status en order_status et déployez la nouvelle API. Le web fonctionne. Les anciens clients mobiles envoient encore status, et l'API rejette leurs requêtes, provoquant des échecs de checkout. Si vous avez supprimé la colonne, restaurer le comportement n'est pas instantané.
Un meilleur comportement par défaut : effectuer des changements en petites étapes réversibles, garder les anciens et nouveaux chemins fonctionnels ensemble, et documenter ce que vous ferez si les métriques grimpent (comment rerouter le trafic, quel feature flag désactive le nouveau comportement et comment valider/réparer les données si un backfill échoue).
Juste avant une release, une courte checklist attrape les problèmes qui mènent aux rollbacks nocturnes. Cela compte surtout quand vous changez API et base de données en même temps, et que les mises à jour mobiles sont lentes.
Si vous ajoutez un champ preferred_language, déployez d'abord le changement de base en nullable. Ensuite, publiez le code serveur qui le lit s'il est présent mais ne l'exige pas. Ce n'est qu'après que la majorité du trafic utilise des apps mises à jour que vous pouvez le rendre requis ou retirer l'ancien comportement.
Imaginez que vous ajoutez un champ de profil country, et que le produit veut qu'il soit requis. Cela peut casser à deux endroits : les anciens clients peuvent ne pas l'envoyer, et la base peut rejeter les écritures si vous imposez NOT NULL trop tôt.
Une approche plus sûre est de faire deux changements séparés : d'abord ajouter le champ de façon rétrocompatible, puis imposer le « requis » plus tard, une fois que les clients ont rattrapé leur retard.
Avec blue-green, vous déployez la nouvelle version à côté de l'ancienne. Vous devez quand même que le changement de base soit compatible avec les deux versions.
Flux sûr :
country en nullable)country et utilise un fallbackSi ça casse, basculez en arrière. L'essentiel est que le retour arrière fonctionne seulement si le schéma supporte encore l'ancienne version.
Avec canary, vous exposez le nouveau comportement API à une petite tranche (souvent 1 % à 5 %) et surveillez les erreurs de validation liées aux champs manquants, la latence et les erreurs serveur inattendues.
Surprise fréquente : les anciens clients envoient des mises à jour de profil sans country. Si l'API le traite immédiatement comme requis, vous verrez des 400. Si la base impose NOT NULL, vous pourriez voir des 500.
Séquence plus sûre :
country en nullable (ou avec une valeur sûre par défaut comme "unknown")country provenant des anciens clientscountry pour les utilisateurs existants en job d'arrière-planAprès la release, documentez ce que les vieux clients peuvent envoyer et ce que le serveur garantit. Ce contrat écrit évite que le même problème réapparaisse lors de la prochaine migration.
Si vous construisez avec AppMaster (appmaster.io), la même discipline de rollout s'applique même si vous pouvez générer backend, web et apps mobiles natives depuis un seul modèle. Utilisez la plateforme pour livrer d'abord des changements de schéma additifs et une logique d'API tolérante, puis durcissez les contraintes une fois l'adoption suffisante.
Quelle est la différence la plus simple entre blue-green et canary ?Blue-green fait tourner deux environnements complets et bascule tout le trafic d'un coup. Canary déploie la nouvelle version à un petit pourcentage d'utilisateurs d'abord, puis augmente progressivement selon ce que montrent les signaux en production.
Quand devrais-je choisir blue-green pour un changement API + base de données ?Choisissez blue-green quand vous voulez une coupure propre et que vous êtes sûr que la nouvelle version est compatible avec le schéma de base de données actuel. C’est particulièrement utile quand le risque principal vient du code applicatif plutôt que d’un comportement inconnu en production.
Quand le canary est-il l'option la plus sûre ?Optez pour canary lorsque vous devez apprendre du trafic réel avant de tout généraliser — par exemple si les motifs de requêtes, les données aux limites ou les jobs en arrière-plan peuvent se comporter différemment en production. Cela réduit le blast radius, mais nécessite une surveillance serrée et une capacité à stopper rapidement le déploiement.
Blue-green ou canary rendent-ils automatiquement les migrations de base de données sûres ?Non. Si le changement de schéma casse la compatibilité (comme supprimer ou renommer une colonne que l'ancien code utilise), blue-green comme canary peuvent échouer. La solution la plus sûre est de concevoir une migration en ligne qui supporte simultanément les anciennes et nouvelles versions.
Pourquoi les mises à jour lentes des apps mobiles rendent-elles les déploiements plus risqués ?Les utilisateurs mobiles peuvent rester sur des versions anciennes pendant des semaines, donc votre backend doit supporter plusieurs générations de clients en même temps. Cela implique souvent de maintenir une compatibilité ascendante plus longue et d'éviter les changements nécessitant une mise à jour immédiate de tous les clients.
Quelle est la façon la plus sûre de déployer un changement de schéma sans downtime ?Commencez par des changements additifs que l'ancien code peut ignorer (colonnes NULL, nouvelles tables). Déployez du code tolerant aux deux formes de données, backfillez progressivement, basculez le comportement, puis supprimez les anciens champs et renforcez les contraintes une fois l'adoption suffisante.
Comment garder mon API compatible pendant une migration ?Listez ce que les anciens clients envoient et attendent en retour, évitez de supprimer des champs ou de changer leur sens. Privilégiez des champs optionnels ajoutés, acceptez les deux formats de requêtes et retardez la validation « obligatoire » jusqu’à ce que l’adoption soit suffisamment élevée.
Qu'est-ce que dual-read et dual-write, et quand les utiliser ?Dual-write écrit temporairement à la fois dans l'ancien et le nouveau champ pendant la transition. Dual-read lit le nouveau champ en retombant sur l'ancien si besoin. Utilisez-les temporairement, suivez quel chemin est utilisé et planifiez un nettoyage clair quand les anciens clients auront disparu.
Comment les feature flags réduisent-ils le risque lors de changements d'API ou de BD ?Les feature flags permettent de déployer du code sans activer immédiatement le comportement risqué. Vous pouvez ainsi séparer « déployer » et « activer », l'activer pour un petit groupe, surveiller et couper rapidement si nécessaire, sans redeploiement complet.
Quelles sont les erreurs courantes de migration qui provoquent des pannes ?Supprimer ou renommer des colonnes trop tôt, imposer NOT NULL avant que les clients n'envoient la valeur, et lancer des migrations verrouillantes en heures de pointe sont des causes fréquentes. Tester uniquement sur des échantillons « propres » au lieu de données réelles provoque aussi des échecs lors des backfills et validations.
27 janv. 2026
8 min
26 janv. 20268 min
21 janv. 20268 minExpérimentez avec AppMaster avec un plan gratuit.
Lorsque vous serez prêt, vous pourrez choisir l'abonnement approprié.
