知识花园

最近更新

平台工程:把开发者体验当产品来建

36分钟阅读

平台工程:把开发者体验当产品来建

一、引言

前四篇建立了一套完整的云原生工具链:容器打包、Kubernetes 编排、IaC 代码化、GitOps 声明式交付。这套工具链是行业十年进步的结晶。但它带来了一个新问题,而且这个问题在两个完全不同的尺度上同时存在。

对于一个在大公司里的工程师:要部署一个新服务,需要先理解 Dockerfile 写法、K8s 的 Deployment / Service / Ingress / ConfigMap / Secret / HPA、Helm 或 Kustomize 的用法、ArgoCD 的配置方式、团队的 Terraform 模块、服务网格的 mTLS 怎么接入……每一项都是合理的,加在一起是难以承受的。

对于一个独立开发者:一个人同时扛着产品构思、写代码、配基础设施、做运营。没有时间也没有精力去深入每一层工具链。但服务要上线,基础设施要稳,成本要可控——问题一个都没少。

认知负担(cognitive load)是这两个处境的共同敌人。 平台工程就是对这个敌人的系统性回答。

二、为什么:认知负担是交付速度的真正敌人

工具链的复杂性税

每一层云原生工具解决了一个真实问题,但每一层也带来了新的学习成本、新的运维负担、新的故障模式。

容器解决了环境一致性,但带来了镜像管理、Registry 维护、层缓存策略。Kubernetes 解决了编排,但带来了几百个 YAML 字段、CNI / CSI / CRI 的运维复杂性。IaC 解决了基础设施可重现性,但带来了 state 文件管理、provider 版本锁定、模块依赖。GitOps 解决了交付纪律,但带来了 App Repo 和 Config Repo 的管理、ArgoCD 的维护、sync 失败的排查……

这些复杂性是真实的,不是工程师不够努力。问题在于,这些复杂性被分发给了每一个应用开发者,而不是被某一层集中吸收。

DevOps 的副作用

DevOps 文化说”你构建,你运维”——开发者应该对自己的服务负全责,从代码到生产。方向是对的:责任和权限对齐,减少交接成本,加快反馈循环。

但它的副作用是:每个团队都在重复解决同一批基础设施问题。团队 A 搭了一套 CI/CD 流水线,团队 B 再搭一套,团队 C 再搭一套——逻辑几乎相同,错误几乎相同,维护成本三倍。更隐蔽的问题是,每个团队的”解法质量”取决于那个团队里恰好有没有一个懂基础设施的人。

核心判断

平台工程的核心判断只有一句话:平台的存在是为了吸收复杂性,而不是分发复杂性。

让每个开发者都成为基础设施专家,既不现实,也不必要。有人需要深入理解底层——平台工程师。其他人需要的是一条阻力最小的正确路径——黄金路径。

这个判断在两个尺度上都成立,但实现方式不同。个人开发者用现成的托管平台,组织则需要内化这一层、自己来建。

三、哲学框架:产品思维与黄金路径

平台即产品

“平台即产品”是平台工程最核心的哲学转变,但它的含义比听起来更深。

产品有用户,产品团队需要知道用户是谁、他们的工作流是什么、哪里有摩擦、什么让他们满意。用户调研不是”收集需求”,是持续理解用户在什么场景下遭遇了什么问题。 一个从不和应用开发者交流的平台团队,不管技术选型多精准,最终都会建出一个没人用的平台。

成功的度量方式也因此不同。项目的成功是”按时交付”,产品的成功是”用户在用,而且用起来越来越顺”。平台的真实成功指标不是”我们部署了 Backstage”,是”应用团队用平台部署新服务的时间从两天缩短到了二十分钟”。

黄金路径

黄金路径(Golden Path,也叫 Paved Road)是产品思维在平台上的具体落地。它的定义是:为最常见的需求提供一条阻力最小、同时也是最正确的路径。

几个关键修饰:

  • 阻力最小:走这条路,一切都预先配好,不需要做额外决策
  • 最正确:这条路符合安全规范、成本效率、可观测性要求——不是随便一条路,是经过平台团队验证的最佳实践
  • 不是强制:开发者可以偏离黄金路径,但偏离意味着他需要自己承担额外复杂度

黄金路径的设计哲学:让正确的事情变成最容易的事情。 当正确的做法也是最省力的做法,合规和效率就不再是矛盾。

认知负担的三种类型

Team Topologies 把认知负担分成三类,这个框架帮助平台团队判断该在哪里下功夫:

内在负担(Intrinsic Cognitive Load):任务本身的复杂度,无法消除。写业务逻辑需要理解业务领域,这部分复杂度属于开发者,平台消除不了。

外在负担(Extraneous Cognitive Load):工具和流程强加给开发者的额外认知,和任务本身无关。“这个 Deployment 的 liveness probe 该怎么配”、“ArgoCD 的 Application 资源该放在哪个目录”——这些不是业务问题,是平台问题。这部分是平台应该消除的。

相关负担(Germane Cognitive Load):需要理解的背景知识,用于建立更深的能力。理解 K8s 的控制循环不是必须的,但理解了之后,开发者能更好地排查问题。这部分平台应该降低,但不应该完全屏蔽——过度屏蔽会让开发者在出问题时完全束手无策。

四、个人维度:云平台即现成的黄金路径

独立开发者的处境

一个独立开发者(indie developer)或小团队,面对的是一种特殊的资源约束:时间是最稀缺的资源,而几乎所有资源都要从时间里挤

产品设计、用户调研、写代码、测试、上线、运营、客户支持——每一件事都压在同一个人或极小的团队身上。花在配基础设施上的每一个小时,都是没有花在产品和用户身上的代价。

但基础设施的需求是真实的:服务要全球可访问,要有 TLS,要能应对流量峰值,要有数据库,要有存储,要能部署新版本……这些和大公司面对的问题没有本质区别,只是没有专门的团队来处理。

现代云平台即预建的 IDP

这正是过去五年里涌现的一批云平台真正在做的事:把 IDP 的能力打包成商业产品,让个人开发者不需要自建平台就能获得平台的红利。

Cloudflare

Cloudflare 的产品组合已经构成了一套完整的应用基础设施:

  • Workers:基于 V8 引擎的边缘计算,代码运行在全球 300+ 个数据中心,冷启动毫秒级,不需要管理服务器
  • D1:基于 SQLite 的边缘数据库,SQL 接口,数据自动复制到边缘
  • R2:兼容 S3 接口的对象存储,没有出口费用(S3 最让人头疼的成本之一)
  • Pages:前端托管,push 即部署,自动 CDN 和 TLS

一套 Cloudflare 工具链,可以支撑一个完整的全栈应用——从前端到后端逻辑到数据库到存储,全部无服务器,全部边缘部署,全部零运维。这是个人开发者能获得的最完整的”黄金路径”之一。

Vercel / Netlify

前端优先的黄金路径。git push 即部署,Preview URL 自动生成,性能优化(CDN、Image Optimization、Edge Functions)默认做好。Vercel 和 Next.js 的深度集成使它成为 React 生态的事实标准部署平台。

对于前端为主的产品,Vercel 把从代码到用户之间的所有基础设施决策都替你做了——你只需要关心应用代码。

Supabase / Neon / PlanetScale

托管数据库的黄金路径。不需要管 PostgreSQL 的安装、备份、主从复制、连接池——声明 schema,拿到连接字符串,开始写 SQL。

Supabase 走得更远:托管 PostgreSQL + 实时订阅 + 认证 + 存储 + Edge Functions,几乎是一个完整的 BaaS(Backend as a Service)。对于需要快速验证产品想法的独立开发者,Supabase 把”后端基础设施”这整个问题打包成了几行配置。

Railway / Render

全栈托管的黄金路径。连 Dockerfile 都不需要,连接 GitHub 仓库,选择语言,Railway 自动检测、构建、部署。数据库、Redis、定时任务——一个控制台全部搞定。

这些平台在做什么

从技术上看,这些平台在不同层次上替你承担了:

  • 服务器管理和扩缩容
  • TLS 证书的申请和续期
  • CDN 和全球分发
  • 备份和灾难恢复
  • 安全补丁和运行时更新
  • 可观测性的基础配置

本质上,它们把”系统应该处于什么状态”这个复杂的声明,翻译成了”push 代码就够了”。这和组织内部的 IDP 做的事情完全相同,只是实现者是商业公司,而不是内部平台团队。

个人开发者的选型逻辑

面对这么多平台,选型不是”哪个最强”,而是:

冷启动特性:Cloudflare Workers 的冷启动是毫秒级,AWS Lambda 的冷启动可能是秒级。如果你的产品对延迟敏感,这是决定性因素。

定价模型:按请求数、按计算时间、按存储量、按带宽——不同平台的计费维度不同。在流量增长之前,想清楚”哪个维度会先到达瓶颈”。

Vendor lock-in 的深度:使用 Cloudflare Workers 的专有 API(KV、Durable Objects)越深,迁移成本越高。标准接口(S3 兼容、PostgreSQL 协议)的平台迁移相对容易。Lock-in 不是绝对的坏事,但需要有意识地评估。

边界在哪里:每个平台都有它的黄金路径覆盖范围。在路径内,一切顺滑;路径之外,你会撞上限制。在选平台之前,先想清楚你的需求有多大可能落在路径边界之外。

从个人开发者的视角看,问题已经有了答案:选一个合适的托管平台,让它替你承担基础设施复杂性。但这个答案有两个前提——你的需求落在平台的黄金路径之内,且你接受由此带来的约束。

当团队规模增长,这两个前提开始松动。自定义需求增加,合规和数据主权要求出现,成本在规模下失控,已有的存量系统无法全量迁移……这些约束把组织推向了同一个问题的另一种解法:与其购买别人的黄金路径,不如内化这一层,自己来建。

五、组织维度:内部开发者平台(IDP)

为什么组织不能只靠托管平台

托管平台的黄金路径是为通用需求设计的,但组织的需求往往有它的特殊性:

合规与数据主权:金融、医疗、政府行业的数据不能存在第三方平台。GDPR、等保、行业合规要求数据在特定区域、特定基础设施上运行。

定制化深度:业务逻辑与基础设施深度耦合。特定的网络拓扑、特定的安全策略、与内部系统的集成——这些需求超出了托管平台的边界。

成本规模效应:规模足够大时,自建的边际成本低于托管费用。一千台 EC2 的成本,在托管平台上会是另一个数量级。

存量系统:没有组织能一夜之间把所有东西迁移到托管平台。遗留系统、自有数据中心、混合云架构——现实比理想状态复杂得多。

这些约束的共同指向是:组织需要在自己的基础设施上,建出类似托管平台提供的能力。这就是内部开发者平台(Internal Developer Platform,IDP)。

IDP 的四个核心能力层

一个成熟的 IDP 不是单一工具,而是四个能力层的组合。

自服务基础设施

开发者声明”我需要什么”,平台自动配置好相应资源。不需要提工单等待运维审批,不需要自己写 Terraform——声明意图,平台实现。

Crossplane 是这个能力层的核心工具之一:它用 Kubernetes CRD 表达云资源,把 IaC 变成了 API。开发者通过 kubectl apply 一个 PostgreSQLInstance 对象,Crossplane 在后台调用 AWS RDS API 创建数据库,把连接信息注入为 Secret。对开发者来说,数据库就像 K8s 的原生资源一样可以被声明式地请求。

开发者门户:Backstage

CNCF 毕业项目 Backstage(由 Spotify 开源)是目前最主流的开发者门户框架。它解决的问题是:当组织有几十上百个服务时,没有人知道所有服务的状态、依赖、文档、owner 在哪里。

Backstage 的三个核心能力:

  • 软件目录(Software Catalog):所有服务、API、库、基础设施资源在一个地方可见,每个实体有 owner、依赖关系、健康状态
  • TechDocs:文档和代码放在一起,自动发布到 Backstage,文档不再过时
  • Scaffolder 模板:开发者填写几个参数(服务名、语言、团队),平台自动生成代码仓库、CI/CD 配置、K8s manifest、监控配置——从零到一个可部署的服务,几分钟完成

标准化 CI/CD

平台提供预设的流水线模板,开发者不需要知道 GitOps 怎么配置、ArgoCD Application 该怎么写——提交代码,流水线自动测试、构建、更新 Config Repo、触发部署。

这把前四篇建立的整套工具链,封装成了”提交代码”这一个动作。黄金路径的 CI/CD 同时保证了安全扫描、测试覆盖率门槛、镜像签名——正确的事情变成了默认的事情。

统一可观测性

日志、指标、链路追踪默认集成,不需要每个团队单独配置 Prometheus、Loki、Jaeger。新服务加入平台,可观测性自动具备——这是 07-服务网格-流量治理从应用代码中解脱 里零代码侵入思想的可观测性版本。

Score:工作负载规范的标准化尝试

score.dev 是一个值得关注的社区尝试:用一份标准化的工作负载规范(score.yaml)描述应用的需求,由平台负责把这份规范翻译成具体环境的实现。

# score.yaml
apiVersion: score.dev/v1b1
metadata:
  name: web-service
containers:
  web:
    image: myapp:v1
    variables:
      DATABASE_URL: ${resources.db.host}
resources:
  db:
    type: postgres

同一份 score.yaml,部署到 Kubernetes 时翻译成 Deployment + Service + Crossplane PostgreSQLInstance,部署到 Docker Compose 时翻译成 compose.yaml,部署到本地开发环境时翻译成本地配置。开发者只描述意图,平台处理环境差异。

Score 目前仍在演进阶段,但它代表了一个方向:把”工作负载规范”从平台实现里抽离出来,形成标准化接口——就像 OCI 标准化了容器格式一样。

Team Topologies:平台团队的本质是 enabling team

技术建好了,如果组织设计错了,平台还是会失败。Team Topologies 给出了社区目前最广泛接受的组织设计框架。

四种团队类型中,与平台工程最相关的两种:

流式对齐团队(Stream-aligned Team):专注于业务价值流的团队,端到端负责一个产品或服务的交付。他们的目标是快速、安全地向用户交付价值。认知负担越低,他们能跑得越快。

平台团队(Platform Team):本质是 enabling team——它存在的价值是降低流式对齐团队的认知负担,让他们不需要理解底层就能快速交付。

平台团队最常见的失败模式是变成守门人(gatekeeper):每次基础设施变更都需要平台团队审批,每次新服务上线都需要提工单等待。这不是平台,是瓶颈。当平台团队变成审批队列,应用团队会绕过它建自己的影子 IT——这是平台失败的最清晰信号。

平台成功的真实指标:应用团队使用平台的速度,是否比绕过平台自己搭更快?如果绕过平台更快,说明平台的摩擦超过了它的价值。

Conway 定律:平台的边界是组织设计问题

梅尔文·康威在 1967 年的观察至今仍然准确:系统的设计将镜像设计它的组织的沟通结构。

这意味着平台的边界不只是技术决策,是组织决策。如果平台团队和应用团队之间的沟通边界不清晰,平台的架构也会混乱。如果平台团队试图覆盖所有团队的所有需求,它会变成一个什么都能做、什么都做不好的巨型项目。

实践中的应用:平台的范围设计需要回答”哪些复杂性应该由平台承担,哪些应该留给应用团队”。这个边界不是固定的,随着组织规模和成熟度演进。一个 50 人的团队和一个 5000 人的团队,合理的平台边界完全不同。

六、抽象的代价:两个维度的账单

个人维度的代价

Vendor lock-in:使用托管平台的专有 API 越深,迁移成本越高。Cloudflare Durable Objects 的编程模型和 AWS Lambda 完全不同;Supabase 的实时订阅绑定了特定的客户端库。使用标准接口(PostgreSQL 协议、S3 API)的服务可以相对容易迁移,使用平台专有特性的服务则几乎无法低成本迁出。

Lock-in 不是绝对的坏事——平台的差异化特性往往是它最有价值的地方。但在选择深度使用某个平台之前,需要对”这个平台如果明天涨价十倍,或者停止服务,我的迁移成本是多少”有清醒的估算。

定价模型的意外:托管平台让”要多少”变得太容易,于是”花多少”变得太隐蔽。一个没有限制的 Serverless 函数可以在流量峰值时产生数千美元的账单;一个没有预估的数据库查询量可以在月底触发超额费用。声明式的便利和成本可见性是一对天然的张力。

边界撞墙:每个平台都有它覆盖不到的需求。当你的需求超出平台的黄金路径,你面对的不是”稍微绕一下”,往往是”需要回到底层自己解决,而且平台的抽象层还会给你添麻烦”。Cloudflare Workers 的运行时不是完整的 Node.js,某些 npm 包无法运行;Vercel 的 Serverless Functions 有执行时间限制,长任务不能直接跑。

可观测性缺失:托管平台只给你有限的底层可见性。你能看到请求数、错误率、延迟分布——但当底层出了问题,你无法拿到内核级别的诊断信息,无法看完整的网络路径,无法做 profiling。出了奇怪的问题,你只能等平台的状态页更新或提交工单。

组织维度的代价

平台本身需要人维护:IDP 把应用团队从基础设施复杂性中解放出来,但这些复杂性没有消失——它转移到了平台团队。平台有它自己的 toil:Backstage 插件的升级、Crossplane provider 的版本管理、流水线模板的维护、黄金路径的迭代……平台团队需要足够的人力和专业度,才能真正履行”降低他人认知负担”的职责。

黄金路径的边界:路径内的需求零摩擦,路径外的需求会撞上更高的墙。一个需要非标准网络拓扑的服务、一个需要特定 GPU 调度策略的 AI 训练任务、一个需要高度定制化 sidecar 配置的边缘服务——这些需求超出黄金路径覆盖范围,开发者面对的不是”多做一点配置”,而是”需要和平台团队深度协作,或者完全放弃平台的支持”。

调试能力的丧失:平台屏蔽了底层,出了问题时开发者往往看不见底层发生了什么。应用运行正常时,抽象是恩赐;应用行为异常时,抽象是障碍。过度屏蔽的平台会让开发者在排查问题时完全束手无策,然后把所有问题都推给平台团队——反而增加了平台团队的负担。平台应该屏蔽不必要的复杂性,但需要在适当的地方保留”逃生舱口”(escape hatch),让有能力的开发者能深入底层。

影子 IT 的信号:如果应用团队开始在平台之外建自己的工具链——自己配 CI/CD、自己管 Terraform、自己搭 Registry——这不是开发者”不守规矩”,是平台没有解决他们真正的问题。影子 IT 是平台失败最清晰的信号,也是最应该认真对待的用户反馈。

两者的共同本质

个人维度和组织维度的代价,看起来形式不同,但本质是同一件事:你转移了复杂性,但没有消灭它。

复杂性从你这里转移到了平台维护者那里——对个人开发者是 Cloudflare 或 Vercel 的工程团队,对组织是内部平台团队。代价是你对那部分复杂性失去了控制权和可见性。

选择一个平台,就是选择你愿意用控制权换取的那部分便利。 这个权衡没有普遍最优解,只有在特定约束和目标下的最优解。个人开发者在早期用托管平台换速度,在规模增长后评估是否需要更多控制权;组织在初期接受托管平台的约束,在特定需求出现时决定是否内化某一层。

七、故障剧场:撞上黄金路径的边界

平台工程不像容器或 K8s,没有”kill 一个 pod 看它复活”那种戏剧性的破坏现场。它的”故障”是另一种形态——不是系统崩了,是你撞到了一堵看不见的墙。要把”制度成本”从一个抽象名词变成肌肉记忆,最好的办法就是亲手去顶一次黄金路径的边界。

实验:提一个刚好出界的需求

挑一个你正在用的托管平台(Vercel、Railway、Cloudflare Workers 都行),然后故意提一个落在它黄金路径之外一寸的需求

  • 在 Cloudflare Workers 里 require('fs') 读一个本地文件——运行时不是完整 Node.js,直接报错;
  • 在 Vercel Serverless Function 里跑一个 90 秒的任务——撞上执行时长上限,被强制中断;
  • 在 Railway 上要一个平台没预设的中间件(比如一个冷门的消息队列),或一段非标准的网络拓扑(指定出口 IP、跨区私网互通)——你会发现控制台里根本没有那个开关。

你撞到了什么

走在黄金路径上时,一切顺滑得像没有基础设施存在;可一旦出界,你面对的不是”多配置一点”,而是**“便利的尽头是一堵更高的墙”**——平台的抽象层这时从恩赐变成障碍,它不但帮不了你,还挡在你和底层之间。这一下”咣”的碰壁,正是 抽象的代价最直接的体感:你早先用控制权换来的便利,此刻要在这堵墙上连本带利还回去。

对组织维度,同样的剧场换个舞台:给内部 IDP 提一个黄金路径没覆盖的需求(一个需要特殊 GPU 调度策略的训练任务、一份高度定制的 sidecar 配置),看你是被平台团队的工单队列卡住,还是被迫绕过平台自建影子 IT。撞墙的频率,就是平台边界设计是否还配得上当前组织规模的体检指标。

八、往哪走

两个维度的边界正在模糊

2026 年,个人开发者的工具链和组织的工具链正在向中间靠拢,边界越来越模糊。

Cloudflare 在往应用层走:Durable Objects 提供了有状态的边缘计算,Workflows 支持长时间运行的工作流,AI Gateway 封装了 LLM 调用——这些能力已经接近组织内部平台能提供的复杂度。

托管 K8s 平台在往 Vercel 走:EKS、GKE 的管理控制台越来越像开发者门户,AWS App Runner、Google Cloud Run 在托管 K8s 上建了一层面向应用开发者的抽象,让”部署一个服务”不再需要理解 K8s 的内部机制。

这个收敛趋势意味着:平台工程的思维方式(产品思维、黄金路径、认知负担管理)将成为所有规模的工程团队都需要掌握的能力,而不只是大型组织的专属话题。

平台工程的收敛

社区对”如何建好一个 IDP”正在形成共识:Score 标准化了工作负载规范,Crossplane v2 把云资源 API 化,Backstage 的插件生态不断成熟,CNCF 的 Platforms 白皮书给出了参考架构。

这种收敛意味着:过去每个组织都要”从零发明 IDP”的时代正在过去,未来更多的选择是”在社区收敛的框架上做定制”——就像 K8s 在编排领域做到的事情。

AI 辅助的平台

认知负担转移的下一层正在出现:AI 成为了”平台”的新形态。

自然语言描述需求,AI 生成 Terraform 代码、K8s manifest、Dockerfile——这是把”把正确的事情变成最容易的事情”推向新极限。开发者不需要知道 Crossplane 的 CRD 语法,只需要告诉平台”我需要一个 PostgreSQL 数据库,连接我的 web 服务”,AI 辅助的平台负责翻译和执行。

但认知负担转移的代价在这里同样存在:当 AI 生成了基础设施配置,谁来验证它是安全的?谁来在出问题时理解发生了什么?AI 是新一层抽象,同样适用”每一层抽象都有税”的规律。

这条线的终点:平台工程的核心命题——如何在正确的层次吸收复杂性、让构建者专注于价值——将在 AI 时代变得更重要,而不是更不重要。工具在变,哲学不变。

关联

关系图谱