DevOps
& SRE.

Self-service que o dev usa. Sem ticket de infra.

Plataforma interna de desenvolvedor não é Backstage instalado. É um conjunto pequeno de golden paths que cobre 80% do que o time precisa fazer toda semana — provisão de serviço, deploy, observabilidade, secret rotation — com defaults seguros e fuga prevista para os outros 20%.

• 01

  Catálogo & ownership claro

  Backstage ou Port com inventário vivo dos serviços. Quem mantém, em qual SLO, com qual on-call. Atualiza sozinho a partir do Git — não fica desatualizado.

• 02

  Golden paths que viram template

  Novo serviço HTTP, novo job batch, nova função stream. Cookiecutter + workflow + dashboards prontos. Day-zero tem CI verde, deploy em staging e métrica chegando.

• 03

  Self-service guardrails

  Provisão de bucket, fila, banco efêmero, ambiente de PR. Por API, com policy. Sem abrir Jira de infra para nada do dia-a-dia.

• 04

  Secret & credential management

  Vault, Doppler, AWS Secrets, OCI Vault. Rotação automática, audit trail, OIDC para CI/CD. Senha em variável de ambiente é cheiro de sistema antigo — a gente arruma.

• 05

  Métricas DORA reais

  Lead time, deploy frequency, change failure rate, MTTR. Coletadas do pipeline real, não preenchidas em planilha. Fica visível pra todo mundo.

• 06

  Documentação que o dev lê

  Markdown ao lado do código, exemplos copiáveis, ADR para decisões. Confluence intransitável não conta como documentação.

Deploy contínuo com canary. Rollback que dispara sozinho.

Pipeline não é "Jenkins com 28 plugins". É contrato versionado entre dev e operação: o que entra em produção, em que velocidade, com qual rede de proteção. GitOps resolve a parte fácil — declarativo, reconciliação. A parte difícil é o que fazer quando o canary degrada o p95.

• 01

  Trunk-based + branch-by-flag

  Branches longos morrem em dia 5. Feature flag (Unleash, LaunchDarkly, ConfigCat) faz o resto. Deploy desacopla de release — quem libera é o produto, não o pipeline.

• 02

  Canary que mede o que importa

  Análise automática contra Prometheus: latency p95, error rate, saturation, métrica de negócio. Se piorou, rollback. Sem humano no loop para o caminho feliz.

• 03

  Promotion entre ambientes

  Mesmo artefato (mesmo SHA) percorre dev → staging → prod. Sem rebuild. Sem "funciona em homolog mas em prod não".

• 04

  Supply chain assinado

  Build em runner efêmero, imagem assinada com cosign, SBOM gerado, política de admission no cluster. Quem deployou, com qual SHA, em qual hora — auditável.

• 05

  Database migration coordenada

  Schema migration entra antes do código que depende, em backward-compatible. Nunca quebra deploy por causa de banco. Para casos difíceis, integramos com a prática de Dados.

Quando faz sentido. Quando não, a gente diz.

Kubernetes resolve um problema específico: orquestrar muitos serviços com requisitos de scheduling não-triviais. Para 4 microsserviços e um job, ECS Fargate ou Cloud Run é melhor escolha — e a gente fala isso. Quando o caso pede K8s, a gente opera com a régua dos times que sustentam isso há 8+ anos.

• 01

  Managed quando dá

  EKS, AKS, OKE, GKE. Self-hosted só quando regulação ou ar-gapped exige. Operar control plane não é hobby — é custo.

• 02

  Multi-cluster, não multi-tenant fingido

  Cluster por blast radius, não por time. Argo CD ou Rancher para gestão. Service mesh só quando o problema dele aparece.

• 03

  Service mesh quando cabe

  Istio, Linkerd, Cilium. Mutual TLS, policy de tráfego, observabilidade L7. Não instala porque é tendência — instala se mTLS é requisito ou tráfego inter-serviço justifica.

• 04

  Autoscaling honesto

  HPA por métrica de negócio (RPS, queue depth) — não só CPU. KEDA para event-driven. Cluster autoscaler com node pools por classe.

• 05

  Resource governance

  Requests/limits que correspondem ao que o serviço usa. PriorityClass, PDB, QoS. OOMKill às 3h tem causa raiz, não fica como ruído.

• 06

  Upgrade sem terror

  Versão N-1 sempre. Plano de upgrade testado em cluster de staging. Operadores com compatibilidade verificada antes de mexer.

Tudo que existe foi declarado. Tudo que muda passa por PR.

Infrastructure as code não é sobre a ferramenta — é sobre o hábito. Mudança de produção entra por pull request, com plan visível, revisão por alguém que entende, e aplicação em janela. Console é para diagnóstico, não para mudança.

• 01

  State seguro & auditável

  Remote state com lock, criptografia at-rest, audit log de quem aplicou o quê. Drift detection rodando diário.

• 02

  Módulos versionados

  Registry interno, semver, changelog. Dev consome v1.4.2, não main. Refatoração não quebra ambiente.

• 03

  Plan obrigatório no PR

  Bot posta o diff de infra no comentário. Reviewer vê o que vai mudar antes de aprovar. Apply só em main, com janela.

• 04

  Reaplicável em qualquer região

  Mesmo código provisiona na us-east-1 e na sa-east-1. Sem hard-code, sem dado regional disperso. DR vira exercício real, não plano em PDF.

Conta de cloud previsível. Sem reserva no escuro.

FinOps não é planilha de fim de mês com gráfico vermelho. É hábito diário com três frentes: visibilidade (cada dólar com dono e produto), otimização (rightsizing, savings plan, descomissionamento) e governança (orçamento por equipe, alerta antes de estourar). A meta é o time de produto tomar decisão técnica sabendo o custo dela — em PR, não em retrospectiva trimestral.

• 01

  Visibilidade granular & tagging

  Tag policy aplicada por OPA antes de provisionar. Custo por equipe, por produto, por ambiente. Showback mensal automático — cada gestor recebe o que sua área consumiu, sem pedir.

• 02

  Custo de Kubernetes resolvido

  OpenCost ou KubeCost agregando uso real por namespace e label. Workload compartilhado é rateado por CPU·hora e GB-mês — não dividido na unha em planilha.

• 03

  Rightsizing contínuo

  Recomendação semanal por workload: instância superdimensionada, volume gp2 que vira gp3, RDS com IOPS provisionado ocioso. Implementação por PR, com aprovação do dono.

• 04

  Savings Plans & Reservations

  Cobertura calculada com base na linha de base real, não em estimativa do vendor. Compromisso parcial (60–70% da base), spot/preemptive para picos. Recompra automatizada.

• 05

  Orçamento & alerta proativo

  Budget por equipe com alerta em 50/75/90/100%. Anomaly detection (Cost Explorer, Cloud Billing, OCI Cost Analysis) avisa antes do humano notar.

• 06

  Custo no PR

  Infracost no pipeline. Mudança de Terraform mostra +US$ 412/mês no comentário antes do merge. Decisão arquitetural sai informada — não em ticket de surpresa.

• 07

  Descomissionamento ativo

  Snapshot órfão, EBS desanexado, IP elástico parado, ambiente de staging esquecido. Auditoria mensal corta gordura — em média 11–18% da fatura nos primeiros 3 meses.

Self-service the dev actually uses. No infra ticket.

An internal developer platform isn't "Backstage installed". It is a small set of golden paths covering 80% of what the team does every week — service provisioning, deploy, observability, secret rotation — with safe defaults and a known escape hatch for the other 20%.

• 01

  Catalog & clear ownership

  Backstage or Port with a live inventory of services. Who maintains, on which SLO, with which on-call. Updates itself from Git — it does not go stale.

• 02

  Golden paths that become templates

  New HTTP service, new batch job, new stream function. Cookiecutter + workflow + dashboards ready. Day-zero ships green CI, staging deploy, and metrics flowing.

• 03

  Self-service guardrails

  Bucket, queue, ephemeral database, PR environment — provisioned via API, with policy. No daily Jira tickets to infra.

• 04

  Secret & credential management

  Vault, Doppler, AWS Secrets, OCI Vault. Automatic rotation, audit trail, OIDC for CI/CD. Passwords in environment variables smell like a legacy system — we fix that.

• 05

  Real DORA metrics

  Lead time, deploy frequency, change failure rate, MTTR. Collected from the real pipeline, not typed into a spreadsheet. Visible to everyone.

• 06

  Docs developers actually read

  Markdown next to the code, copyable examples, ADRs for decisions. Impassable Confluence does not count as documentation.

Continuous canary deploy. Rollback that fires on its own.

A pipeline isn't "Jenkins with 28 plugins". It is a versioned contract between dev and ops: what reaches production, how fast, with which safety net. GitOps handles the easy part — declarative, reconciliation. The hard part is what to do when the canary degrades p95.

• 01

  Trunk-based + branch-by-flag

  Long-lived branches die on day 5. Feature flags (Unleash, LaunchDarkly, ConfigCat) do the rest. Deploy decouples from release — the product decides what ships, not the pipeline.

• 02

  Canary that measures what matters

  Automatic analysis against Prometheus: p95 latency, error rate, saturation, business metric. If it got worse, rollback. No human in the loop on the happy path.

• 03

  Promotion across environments

  Same artifact (same SHA) flows dev → staging → prod. No rebuild. No "it works in staging but not in prod".

• 04

  Signed supply chain

  Build on ephemeral runner, cosign-signed image, generated SBOM, admission policy in the cluster. Who deployed, which SHA, at which time — auditable.

• 05

  Coordinated database migration

  Schema migration lands before dependent code, backward-compatible. Never breaks the deploy because of the database. For hard cases we integrate with the Data practice.

When it makes sense. When it doesn't, we say so.

Kubernetes solves a specific problem: orchestrating many services with non-trivial scheduling requirements. For 4 microservices and one job, ECS Fargate or Cloud Run is the better choice — and we say so. When the case calls for K8s, we operate it with the standards of teams that have run it for 8+ years.

• 01

  Managed when possible

  EKS, AKS, OKE, GKE. Self-hosted only when regulation or air-gapped requires it. Operating the control plane isn't a hobby — it is a cost.

• 02

  Multi-cluster, not fake multi-tenant

  Cluster per blast radius, not per team. Argo CD or Rancher for management. Service mesh only when its problem appears.

• 03

  Service mesh when it fits

  Istio, Linkerd, Cilium. Mutual TLS, traffic policy, L7 observability. Not installed because it is trendy — installed if mTLS is a requirement or inter-service traffic justifies it.

• 04

  Honest autoscaling

  HPA by business metric (RPS, queue depth) — not just CPU. KEDA for event-driven. Cluster autoscaler with node pools per class.

• 05

  Resource governance

  Requests/limits that match what the service uses. PriorityClass, PDB, QoS. OOMKill at 3 a.m. has a root cause — it doesn't become noise.

• 06

  Upgrade without dread

  Always N-1. Upgrade plan tested in a staging cluster. Operators with compatibility verified before touching.

Everything that exists was declared. Everything that changes goes through a PR.

Infrastructure as code isn't about the tool — it is about the habit. Production change enters via pull request, with a visible plan, reviewed by someone who understands it, applied in a window. Console is for diagnosis, not for change.

• 01

  Secure & auditable state

  Remote state with lock, at-rest encryption, audit log of who applied what. Drift detection running daily.

• 02

  Versioned modules

  Internal registry, semver, changelog. Developers consume v1.4.2, not main. Refactoring doesn't break environments.

• 03

  Plan mandatory in the PR

  Bot posts the infra diff in the comment. Reviewer sees what will change before approving. Apply only on main, in a window.

• 04

  Repeatable in any region

  Same code provisions in us-east-1 and sa-east-1. No hard-coding, no scattered regional data. DR becomes a real exercise, not a PDF plan.

A predictable cloud bill. No reservations in the dark.

FinOps isn't an end-of-month spreadsheet with a red chart. It is a daily habit with three fronts: visibility (every dollar with an owner and product), optimization (rightsizing, savings plan, decommissioning), and governance (budget per team, alert before overrun). The goal is for the product team to make technical decisions knowing the cost — in the PR, not in a quarterly retrospective.

• 01

  Granular visibility & tagging

  Tag policy enforced by OPA before provisioning. Cost per team, per product, per environment. Automatic monthly showback — every manager receives what their area consumed, without asking.

• 02

  Kubernetes cost solved

  OpenCost or KubeCost aggregating real usage per namespace and label. Shared workload allocated by CPU·hour and GB-month — not split by hand in a spreadsheet.

• 03

  Continuous rightsizing

  Weekly recommendation per workload: oversized instance, gp2 volume becoming gp3, RDS with provisioned IOPS idle. Implementation via PR, with owner approval.

• 04

  Savings Plans & Reservations

  Coverage calculated from real baseline, not vendor estimate. Partial commitment (60–70% of base), spot/preemptive for peaks. Automated repurchase.

• 05

  Budget & proactive alerts

  Budget per team with alerts at 50/75/90/100%. Anomaly detection (Cost Explorer, Cloud Billing, OCI Cost Analysis) warns before a human notices.

• 06

  Cost in the PR

  Infracost in the pipeline. Terraform change shows +US$ 412/month in the comment before merge. Architectural decisions come out informed — not as a surprise ticket.

• 07

  Active decommissioning

  Orphan snapshot, detached EBS, idle elastic IP, forgotten staging environment. Monthly audit trims fat — on average 11–18% of the bill in the first 3 months.