Я не про свой код, но и не только про мажорное обновление. И я писал про особые случаи - smp это и есть особый случай. Oltp в кластере обновлять так же сложно. Совместимость даже минорных обновлений ни разу официального не видел. Да и я бы не рисковал.

Ну, вообще все промышленные СУБД обещают совместимость между репликами в минорных обновлениях.
В мажорных иногда тоже, но это уже сильно зависит (например, в Pg начали думать про совместимость между мажорными версиями после 10ки, насколько я помню).
А обновление oltp в кластере - это вполне себе обыденность, нет там ничего сверхсложного при нормальной архитектуре и нормальных специалистах, у меня в проектах такое делалось и не раз.
Вот между мажорными версиями без совместимости - там сложнее, иногда приходится просить у бизнеса 15минутную паузу и вписываться в нее.

Так обновление тоже нужно тестировать, конечно, особенно для ответственных систем.
Но вообще весь финтех старается жить в обновлении без останова (или с остановом порядка минут).
Вообще, при наличии нормальных практик HA (локальный резерв, ближний георезерв, дальний георезерв) задачи обновления - это частный случай задач "переключения при сбоях". А так как датацентров с 99.999 не бывает, то переключение при сбое - это достаточно частая реальность, с которой нужно жить.

Нормальное обновление без останова сложной системы - это итеративный многостадийны процесс с кучей сценариев вида:
"развернуть сервис версии n+1, настроить меш по переводу на него тестовых пользователей, прогнать тесты на тестовых пользователях, проверить логи, запросить у админа разрешение продолжить, настроить меш на перевод 1% пользователей, подождать час, проверить логи, запросить у админа разрешения продолжить, перевести 10% пользователей, подождать день" и т.п.
Плюс еще параллельные миграции (в том числе долгосрочные), совместимость разных сервисов, переключения фичафлагов по факту окончания выкладки и так далее.
Рулить этим из ансибла (который сделан в идеологии "привести целевые сервера в соответствие с описанным декларативно идеалом") очень неудобно (хотя, конечно, реально  - но очень не выгодно).
Впрочем, удобных инструментов для сложной выкладки на рынке нет. Что-то можно сделать на грэдле, что-то можно сделать груви-сценариями в Jenkins (с кучей плагинов), но удобной платформы - нет.
Основные проблемы - это "долгосрочные операции" (подождать час, а потом анализировать статистику), событийные модули (а если сработал алерт на прометеусе - откатить выкладку), взаимодействие с оператором (после 10% пользователей такая-то статистика - продолжать или нет).

Я сразу вижу проблемы с АБ-тестированием, почему у вас не реализовали это ввиде отдельной платформы?

При выкладке новых версий на новые сервисы нужно отправлять всех пользователей, вне зависимости от включенных настроек для AB-тестирования.