Tài liệu này như một buổi training nội bộ thực tế ở chốn kiếm cơm của tôi để các anh em trong team upgrade vị trí. Mong mọi người có thêm góc nhìn thực tế.

Một hệ thống chạy được không khó. Nhưng Khó là deploy liên tục mà đảm bảo hệ thống, vừa giữ được tốc độ cho team, vừa giảm blast radius khi có lỗi. Multi-environment (dev/staging/prod) và multi-cluster là cách phổ biến để giải bài toán đó nhưng mà nếu tách sai, chúng ta sẽ rơi vào một trong hai cực:

• Quá chung => sự cố lan rộng, staging không giống prod, deploy lên prod mới lộ vấn đề.
• Quá riêng => vận hành nặng, chi phí cao, mỗi env một kiểu, tốc độ giảm vì thủ tục và độ phức tạp.

Bài viết này tôi (người “vẽ” quèn) chia sẻ như là một khung thiết kế để chọn mô hình phù hợp và triển khai ra được.

1. Mục tiêu thiết kế (đặt từ đầu cho khỏi cãi nhau)

Với cá nhân tôi thì một chiến lược dev~staging~prod tốt thường cần đạt 6 mục tiêu:

1. Blast radius nhỏ: dev hỏng không kéo staging/prod chết theo.
2. Environment parity hợp lý: staging đủ giống prod để phát hiện rủi ro sớm.
3. Promotion rõ ràng: build một lần, deploy nhiều nơi, có gate và rollback.
4. Bảo vệ dữ liệu: prod data không lạc trôi sang dev, audit được.
5. Cost/ops cân bằng: tách vừa đủ để giảm rủi ro nhưng không chết vì vận hành.
6. Tự phục vụ (self-service): dev có thể deploy/test nhanh mà không cần xin phép kiểu ticket (sự linh hoạt này cực kỳ cần thiết).

2. Các tiêu chí cốt lõi quan trọng (đừng chọn mô hình chỉ vì trend)

Trước khi nói mô hình, hãy trả lời 7 câu hỏi:

• Rủi ro chấp nhận được: downtime prod có đắt không? (SLO/khách hàng/tiền)
• Quy mô team & tốc độ release: 2 team hay 20 team? deploy/ngày bao nhiêu lần?
• Compliance: có yêu cầu tách account/project/VPC không? audit bắt buộc?
• Data sensitivity: dữ liệu prod có PII/financial không? có được copy sang staging không?
• Platform maturity: đã có GitOps/CI chuẩn chưa? observability đủ chưa?
• Network constraints: có egress chặt, private connectivity, multi-region không?
• Cost envelope: có budget để vận hành nhiều cluster không?

Tuy nhiên, chỗ này linh hoạt tùy vào bài toán nhé, không anh/chị/em nhìn vào câu từ tôi nói rồi có khi bài toán không phức tạp cũng phải chuẩn chỉ đầy đủ thì có thể chưa cần thiết, còn chắc chắn rồi gì mà bằng việc đầy đủ chuyên nghiệp rèn luyện thói quen luôn.

3. 5 mô hình phổ biến (và khi nào nên dùng)

Model A: 1 cluster, tách bằng namespace (dev/staging/prod chung 1 cụm)

• Ưu: rẻ, dễ vận hành, setup nhanh.
• Nhược: blast radius lớn (CoreDNS/CNI/cluster issue là ăn đủ), noisy neighbor, RBAC dễ hở, staging/prod dễ bị đụng nhầm.
• Hợp khi: startup rất sớm, 1~2 team, hệ thống chưa critical.

Model B: 1 cluster/1 environment (dev cluster, staging cluster, prod cluster)

• Ưu: isolation tốt, RBAC/compliance rõ, staging giống prod hơn.
• Nhược: vận hành nặng hơn, cần chuẩn hoá để tránh mỗi cluster một kiểu.
• Hợp khi: đã có prod quan trọng, deploy thường xuyên, team ≥ 2~3.

Model C: Shared dev, dedicated staging + prod (mô hình default cho nhiều công ty)

• Ưu: dev nhanh (dùng chung), staging/prod an toàn hơn, cost hợp lý.
• Nhược: dev vẫn có noisy neighbor, cần quota/limit range/priority class nghiêm túc.
• Hợp khi: muốn cân bằng tốc độ & an toàn.

Model D: Multi-prod clusters (theo region/tenant) + staging riêng

• Ưu: HA, giảm blast radius theo region, hỗ trợ DR.
• Nhược: phức tạp release/observability, cần traffic management rõ ràng.
• Hợp khi: hệ thống lớn, yêu cầu uptime cao, multi-region.

Model E: Per-team dev clusters (mỗi team/nhóm có dev cluster riêng)

• Ưu: tự chủ mạnh, test đúng sân nhà, giảm đụng nhau.
• Nhược: cost cao, nếu không có template/golden path thì drift rất nhanh.
• Hợp khi: tổ chức lớn, platform team mạnh, đã có automation/golden path.

4. Khuyến nghị kiến trúc tham chiếu (phù hợp mà không quá nặng)

Nếu bạn chưa có ràng buộc đặc biệt, tôi hay recommend:

• 1 shared dev cluster (đa namespace theo team/service, có quota + limit range + policy)
• 1 staging cluster (cấu hình gần prod, có canary, có test e2e/perf)
• prod: 1~2 clusters (tuỳ yêu cầu HA, ít nhất tách khỏi dev/staging)

Hình dung nhanh:

          CI (build once)
              |
          Image digest
              |
           GitOps PR
              |
   +----------+-----------+
   |                      |
Dev cluster           Staging cluster
(shared)              (prod-like)
   |                      |
fast feedback         gates: e2e/perf
   |                      |
   +----------+-----------+
              |
           Promote
              |
          Prod cluster(s)
       (isolation + HA)

5. Promotion model: Build once, promote many (để staging thật sự có ý nghĩa)

Ba nguyên tắc:

1. Immutable artifacts: prod deploy bằng digest/tag bất biến (vd sha256:...), không deploy bằng latest.
2. Promotion qua Git: dev -> staging -> prod là PR/commit (GitOps), có review + checks.
3. Config tách khỏi image: image giống nhau giữa env, khác nhau nằm ở config/secret/values.

Thực tế hay fail vì: dev build image A, staging build image B, prod build image C -> staging pass không nói lên gì.

6. Tách config/secrets đúng cách (để không lộ prod và không drift)

Cấu trúc repo (gợi ý)

• base/ (deployment/service/hpa chuẩn)
• overlays/dev, overlays/staging, overlays/prod (values/patch khác nhau)

Secrets

• Mỗi env một secret store (Vault path / cloud secret manager / KMS key riêng)
• Không commit secret, dùng External Secrets hoặc sealed secrets (tuỳ lựa chọn)
• Rotation có kế hoạch: staging test rotation trước, rồi mới lên prod

7. Data strategy: staging giống nhưng không được bừa

Quy tắc tôi hay áp:

• Dev: dữ liệu synthetic/mocked, ưu tiên tốc độ
• Staging: dữ liệu gần giống prod về shape/volume nhưng đã anonymize hoặc dataset riêng
• Prod: data thật, access cực chặt

Anti-pattern cực phổ biến: copy full prod DB sang staging/dev cho tiện debug -> sớm muộn cũng dính rủi ro bảo mật.

8. Governance tối thiểu để dev nhanh mà không phá nhau

Nếu dùng shared dev cluster, 4 thứ nên có từ sớm:

• Resource quota + LimitRange theo namespace/team
• Pod Security baseline (non-root, read-only FS nếu được, drop capabilities)
• Network policy tối thiểu (ít nhất chặn traffic lung tung giữa namespaces)
• Admission policies cho các rule đau thương (no :latest, bắt buộc requests/limits, cấm privileged…)

9. Checklist chọn mô hình nhanh (ra quyết định trong 15 phút)

Chọn Model A nếu:

• 1 team, prod chưa critical, budget ít, cần chạy nhanh để học.

Chọn Model C nếu:

• bắt đầu có nhiều team/service, deploy thường xuyên, muốn cân bằng.

Chọn Model B/D nếu:

• compliance/dữ liệu nhạy cảm, yêu cầu uptime cao, cần isolation rõ.

Chọn Model E nếu:

• platform team đủ mạnh + automation tốt + cần tự chủ rất cao.

Đến đây, bạn theo dõi kỹ là bài toán cũng khá rõ ràng rồi đấy nhỉ

10) Những lỗi kinh điển hay gặp

• Staging không giống prod (khác ingress, khác policy, khác autoscaling) -> staging xanh nhưng prod đỏ.
• Mỗi cluster một kiểu (không template/golden path) -> drift, nâng cấp mệt.
• Promotion không rõ -> deploy thủ công, không audit được ai đưa cái gì lên prod.
• Dev chung nhưng không quota/policy -> noisy neighbor, ai cũng ghét dev cluster.

Thêm tí PR trá hình là State of DevOps VietNam 2026, một lần trong năm để bạn góp ý trực tiếp vào dữ liệu cộng đồng, giúp chúng ta cùng nhau phát triển. Bạn có thể chia sẻ mong muốn và sắp tới có thể tôi sẽ góp mặt trong vài chương trình chia sẻ kinh nghiệm thực tế, như thế tôi cũng hiểu mong muốn của bạn hơn để chia sẻ. Và tôi cũng muốn giao lưu cùng các chuyên gia khác để học hỏi.