TECH PLAY

キャディ株式会社

キャディ株式会社 の技術ブログ

234

※本記事は、 技術評論社 「Software Design」(2023年8月号) に寄稿した連載記事「 Google Cloudで実践するSREプ ラク ティス」からの転載です。発行元からの許可を得て掲載しております。 はじめに 前回 はTerraformと GitHub Actionsで実践するインフラCI/CDのCI部分について解説しました。今回はその続きとなるCD部分、デプロイについて扱います。また、運用をよりスケールさせるために検討すべき観点やキャディでの事例についても紹介します。 terraform applyの実行 前回はPull request(PR)に対して terraform plan を実行し、どのようなリソース変更が予定されているのかチェックしました。今回は、PRがマージされたら terraform apply を実行し、リソース変更が適用されるようなパイプラインを構築してみましょう。 リスト1はmainブランチへのプッシュをトリガーに terraform apply を実行し、apply結果をPRコメントとして投稿するワークフロー定義です。サンプルを実行するとCompute インスタンス が作成されるので、費用を抑えたい方はサービスアカウントなど無料で作成できる別のリソースに置き換えてください。 ▼リスト1 . github /workflows/terraform_ci.yml name: Terraform Apply on: push: # ① branches: - main jobs: terraform_apply: runs-on: ubuntu-latest permissions: contents: read id-token: write pull-requests: write steps: - uses: actions/checkout@v3 - uses: hashicorp/setup-terraform@v2 - uses: google-github-actions/auth@v1 with: workload_identity_provider: projects/(…略…)/providers/github-provider service_account: my-github-actions@(…略…).com - run: terraform init working-directory: ./terraform/environments/dev - id: apply run: terraform apply -no-color -auto-approve working-directory: ./terraform/environments/dev continue-on-error: true - uses: actions/github-script@v6 # ② with: github-token: ${{ secrets.GITHUB_TOKEN }} script: | const output = `Terraform Apply: \`${{ steps.apply.outcome }}\` <details><summary>Show apply</summary> \`\`\` ${{ steps.apply.outputs.stdout }} \`\`\` </details>` const { data } = await github.rest.repos.listPullRequestsAssociatedWithCommit({ owner: context.repo.owner, repo: context.repo.repo, commit_sha: context.sha }); const pr_number = data?.[0]?.number; if (pr_number) { github.rest.issues.createComment({ issue_number: pr_number, owner: context.repo.owner, repo: context.repo.repo, body: output }) } ①でPRがマージされ、mainブランチに取り込まれたプッシュイベントをトリガーにワークフローが実行されます。 ②でこのワークフローはmainブランチ上で実行されますが、マージ元のPRにapply結果をコメントで投稿しています。何をしようとして(plan)、結果どうなったか(apply)が1つのPRにまとまり証跡の見通しが良くなります(図1)。 ▼図1 apply結果のコメント投稿 複数環境対応 プロダクトを運用するうえで、開発用(dev)・商用(prod)など目的ごとに環境を分離することは非常に重要です。環境を分離することでセキュリティリスクを軽減したり、厳格な権限管理ができたりします。また、開発中に誤って商用環境を操作してしまうといった人的ミスの予防にもつながります。 環境分離の境界は Google Cloudプロジェクトや VPC ネットワークなどさまざまですが、キャディでは環境ごとにプロジェクトを分離しています。1つのプロダクトを1つのIaC リポジトリ で複数環境へデプロイする方法について、キャディでの事例をもとに解説します。環境ごとの差分をどのようにTerraformで扱うか、各環境へのデプロイをどのように GitHub Actionsで実現するのか、それぞれ見ていきましょう。 tfファイルの構成 環境ごとにワーキング ディレクト リを作成し、ステートを分離する手法がプ ラク ティス 1 として知られています。前回の例をもとにしてprod環境用のリソース定義を作成すると、リスト2のようになります。 ▼リスト2 terraform/environments/prod/main.tf terraform { backend "gcs" { bucket = "my-tfstate-prod-<<SUFFIX>>" # ① } } provider "google" { project = "<<プロジェクトID>>" region = "asia-northeast1" zone = "asia-northeast1-b" } module "vm" { # ② source = "../../modules/vm" name = "my-vm-prod" } ①で、tfstateを保管するバックエンドの バケット についても、プロジェクトごとに分離すると構成がシンプルになります。一方で、tfstateを1つの バケット に集約して厳格に集中管理したいというケースも考えられますので、自分たちに合った方法を選択しましょう。 ②で、ワーキング ディレクト リをただ分割してしまうと、環境ごとに似たような内容のコードが増え冗長になります。共 通化 や再利用が可能なリソース定義はモジュール化し、各環境からはモジュールとして利用することで、コードの記述量が減りメンテナンスしやすくなります。 インスタンス 名やマシンタイプなど、環境ごとに異なるパラメータはモジュールの変数として定義し、外部から変更可能な余地を与えます。 ワークフロー定義 prod 環境へ terraform apply を実行するワークフローはリスト3のようになります。dev環境向けのワークフローから変更がない箇所は省略しています。 ▼リスト3 . github /workflows/terraform_apply_prod.yml name: Terraform Apply Prod on: push: branches: - production # ① jobs: terraform_apply: # 略 steps: # 略 - uses: google-github-actions/auth@v1 with: # ② workload_identity_provider: projects/(…略…)/providers/github-provider service_account: my-github-actions@(…略…).com - run: terraform init working-directory: ./terraform/environments/prod # ③ - id: apply run: terraform apply -no-color -auto-approve working-directory: ./terraform/environments/prod continue-on-error: true - uses: actions/github-script@v6 # 略 ①は適用するタイミングをdev環境とずらすために、ワークフローのトリガーはproductionブランチへのマージとしています。ブランチ戦略の詳細については後述します。 ②はdev環境とprod環境でプロジェクトが異なる場合、prod環境用の値に置き換えます。 Workload Identity連携、サービスアカウントの作成については前回を参照してください。 ③はterraformを実行する際にはprod用のワーキング ディレクト リを指定します。 これでmainブランチをマージするとdev環境向けの変更が、productionブランチをマージするとprod環境向けの変更がそれぞれ適用されるようになりました。 なお、 terraform plan を実行する terraform_ci.yml についても修正内容は同じです。 ここまでのファイル構成は図2のとおりです。 ▼図2 プロジェクトIaC リポジトリ の構成 . ├── .github │ └── workflows │ ├── terraform_apply.yml │ ├── terraform_apply_prod.yml │ ├── terraform_ci.yml │ └── terraform_ci_prod.yml └── terraform ├── environments │ ├── dev │ │ └── main.tf │ └── prod │ └── main.tf └── modules └── vm └── main.tf リポジトリ のブランチ戦略 プロダクト運用では、開発環境で検証したあとに商用など後続環境へのデプロイが行われます。ワーキング ディレクト リ分離により各環境を管理している場合、mainブランチ1本だけではデプロイサイクルの管理が難しくなります。 デプロイサイクルをずらすために、人間が環境ごとにPRを作成し、個別に適用するという手間が発生してしまいます。また、全環境から参照されているモジュールを変更した場合、dev環境だけ先に適用するといったタイミングの調整難度はより高くなります。 この解決策の1つとして、環境ごとにブランチを分離し、ワークフローの実行タイミングをずらす方法があります。mainブランチが変更されたらdev環境へデプロイし、productionブランチが変更されたらprod環境へデプロイするという具合です。具体的な運用サイクルは図3のようになります。 ▼図3 ブランチ戦略 この運用では、修正した環境( terraform/environments/* )に関わらず、mainブランチに対してPRを作成します。 PRをトリガーに terraform plan が実行され、マージするとdev環境に対して terraform apply が実行されます。 このとき、prod環境への適用はまだ行われていません。 dev環境で動作確認を行い問題ないことを確認したら、productionブランチに対してmainブランチの変更を含んだPRを作成します。単純な場合には「base: production, compare: main」としてPRを作成します。ここでもPRをトリガーに terraform plan が実行され、マージすると今度はprod環境に対して terraform apply が実行されます(図4)。 ▼図4 prod環境へ適用するPR [Column] Terraform Workspace 複数環境を管理する別の手段として、Terraform Workspace 2 があります。 Workspaceは、ステートを管理する1つのバックエンド上で複数の独立したステートを保持できる機能です。本稿で解説したワーキング ディレクト リ分割の方法と比べて、コードの記述量は少なくなります。 しかし、Workspaceは次の ユースケース を想定した機能となっています。 ・バックエンドや認証方法が変わらない環境での利用 ・環境を複製し、一時的な検証用途としての利用 環境ごとにtfstate用の バケット を分離している場合や、リソース定義に違いのある場合には、ワーキング ディレクト リによる分離のほうが管理は容易です。「開発環境は費用を抑えるためにデータベースは1 インスタンス だけだが、商用環境ではリードレプリカ用の インスタンス を追加で構築する」といった環境差分にも容易に対応できます。 一方でコードの記述量は増えてしまうので、 ユースケース 3 を確認し、自分たちに合った管理方法を選択しましょう。 ワークフローの統合 これまでは、簡単のためにCI/CDのワークフローを個別の環境ごとに作成してきました。ここではワークフロー terraform_apply.yml を例に、よりDRYに記述する方法について解説します。 terraform_apply.yml, terraform_apply_prod.yml を1つのワークフローに統合してみましょう。 環境ごとに変わる値は次のとおりです。 ・トリガーとなるベースブランチ ・ Google Cloud認証用のパラメータ ・Terraformのワーキング ディレクト リ これらのうち、 google-github-actions/auth の入力パラメータ、Terraformのワーキング ディレクト リについては、ベースブランチ名によって値を切り替えられれば良さそうです。 また今まで workload_identity_provider , service_account はハードコードしていましたが、 GitHub Actionsシークレットも活用してみましょう。 GitHub Actionsシークレットは、機密性の高いデータを管理するための機能です。 ワークフローからは 環境変数 として参照できます。 図5のように環境名の プレフィックス を付け、Workload Identityプロバイダとサービスアカウントをシークレットに登録します。 ▼図5 Actionsシークレット 環境差分を吸収した、統合後のワークフローはリスト4のようになります。 ▼リスト4 . github /workflows/terraform_apply.yml name: Terraform Apply on: push: # ① branches: - main - production jobs: terraform_apply: # 略 steps: - uses: actions/checkout@v3 - uses: hashicorp/setup-terraform@v2 - id: get_env # ② shell: bash run: | case ${{ github.ref_name }} in production ) echo 'env=prod' >> $GITHUB_OUTPUT echo 'upper_case_env=PROD' >> $GITHUB_OUTPUT ;; * ) echo 'env=dev' >> $GITHUB_OUTPUT echo 'upper_case_env=DEV' >> $GITHUB_OUTPUT ;; esac - uses: google-github-actions/auth@v1 with: # ③ workload_identity_provider: ${{ secrets[format('{0}_GCP_WI_PROVIDER', steps.get_env.outputs.upper_case_env)] }} service_account: ${{ secrets[format('{0}_GCP_WI_SERVICE_ACCOUNT', steps.get_env.outputs.upper_case_env)] }} - run: terraform init working-directory: ./terraform/environments/${{ steps.get_env.outputs.env }} # ④ - id: apply run: terraform apply -no-color -auto-approve working-directory: ./terraform/environments/${{ steps.get_env.outputs.env }} continue-on-error: true ①はmainまたはproductionブランチへのプッシュイベントをトリガーに、このワークフローが実行されます。 ②はブランチ名を参照し、対応する環境名をステップの出力パラメータとして設定します。 ③は環境名プレフィクスを追加した文字列( DEV_GCP_WI_PROVIDER )を作成し、シークレット( secrets.DEV_GCP_WI_PROVIDER )を参照します。 ④では環境名に対応したワーキング ディレクト リを指定します。 これで、CDのワークフローファイルを1つに統合できました。今後ステージング環境など環境が追加された場合にも数行の修正で対応できます。CIのワークフローを修正する際には {{ github.ref_name }} を ${{ github.base_ref }} に置き換えてください。 今回は GitHub Actionsシークレットを取り扱いましたが、 GitHub の契約プランによってはEnvironmentsのシークレット機能が利用できます。 GitHub のEnvironmentsはデプロイ先の環境ごとに、ブランチ保護ルールやシークレット、変数を管理できます。これによりmainブランチでは GCP_WI_PROVIDER=AAA 、productionブランチでは GCP_WI_PROVIDER=BBB といった値の切り替えが容易に実現できます。 [Column] Matrix strategyの活用 今回紹介したブランチ戦略では、各環境に対応するブランチへのPRやプッシュをトリガーにCI/CDが実行されます。この場合、prod環境に対するCI ( terraform plan ) を実行するには、一度mainブランチへマージしなければなりません。 しかし、より早く間違いを検知するために、mainブランチへのPR上でdev/prod両環境に対してCIを実行したくなります。この課題はMatrix strategy 4 を活用することで解決できます。 Matrix strategyは、dev/prodなどのバリエーションを変数で定義し、その値ごとにジョブを複数実行できる機能です。たとえば、前回紹介した terraform_ci.yml ではリストAのように修正します。 ▼リストA . github /workflows/terraform_ci.yml jobs: terraform_ci: # 略 strategy: # ① matrix: environment: [main, production] steps: # 略 - id: get_env shell: bash run: | case ${{ matrix.environment }} in # ② production ) # 略 ①で並列実行のための変数を定義します。ここでは各環境に対応するベースブランチ名を与えています。 ②でブランチ名から環境名を解決する get_env ステップ内で、 ${{ github.base_ref }} の代わりに マトリックス の値 ${{ matrix.environment }} を与えます。 これで、mainブランチに対してPRが作成された際に、dev/prod各環境に対する terraform plan を確認できます。 組織アカウントの横断管理 企業として Google Cloudを利用している場合、組織リソース配下で複数プロダクト、プロジェクトを管理することになります。しかし、管理下の全プロジェクトに対して前回の事前準備で触れた作業を実施するのは非常に手間がかかり、運用がスケールしません。 この課題に関するキャディでの取り組み事例を簡単に紹介します。 キャディでは組織リソースに対してもIaCを行い、プロジェクトの横断的な構成管理やガバナンス強化を実施しています。IaC用の GitHub リポジトリ は責務ごとに分離していますが、おもに2種の リポジトリ から構成されます。 一つは本稿で解説してきた、プロダクトにひも付くIaC リポジトリ です(以下product-repo)。 product-repoはプロダクトごとに作成され、対応する Google Cloudプロジェクトに関連するリソースを管理します。 そしてもう一つは組織全体を管理するIaC リポジトリ です(以下org-repo)。org-repoでは横断的に設定したい項目や、フォルダに対するIAM設定を管理しています。 具体的には、org-repoで次のようなリソースを管理しています。 ・tfstate用のStorage バケット 作成 ・ GitHub ActionsでTerraformを実行するためのセットアップ作業 ・Workload Identityプール、プロバイダ作成 ・サービスアカウント作成 ・ product-repoに GitHub Actionsシークレット登録 5 ・組織ポリシーの管理 ・セキュリティ基盤向けのLogging転送設定 新規プロダクトが作成された際には、product-repoとプロジェクトの対応関係をorg-repoに追加します。org-repo上のワークフローによって、 GitHub ActionsでTerraformを実行するための各種セットアップが行われます。セットアップを自動化することで、product-repoのCI/CD環境をすばやく開発者へ提供できます(図6)。 このような取り組みを通してキャディでは運用のスケーラビリティ向上を目指しています。 ▼図6 横断管理の アーキテクチャ おわりに 前回から2回にわたりTerraformと GitHub  Actionsを組み合わせたIaCのCI/CDパイプラインについて紹介しました。手作業によるミスをなくしつつ、安全にすばやくリリースするためにIaCとCI/CDは欠かせない要素です。本稿がみなさんの運用負荷を下げるヒントになれば幸いです。 次回はRenovateを用いたライブラリの自動更新について紹介します。 https://cloud.google.com/docs/terraform/best-practices-for-terraform  ↩︎ https://developer.hashicorp.com/terraform/language/state/workspaces  ↩︎ https://developer.hashicorp.com/terraform/cli/workspaces  ↩︎ https://docs.github.com/en/actions/using-jobs/using-a-matrix-for-your-jobs  ↩︎ https://github.com/integrations/terraform-provider-github  ↩︎
こんにちは、キャディでエンジニアやエンジニア リングマ ネージャをやっている高藤です。 久しぶりのTechブログへの投稿です。 今回はタイトルにあるようにCADDiで4年働く上で起きた事をエンジニア視点でまとめつつ、これから何をしようとしているのか私自身の思いを込めて書いてみようかなと思います。 4年前のあのころ 私は2019年2月に入社し、4年強の期間CADDiで働いてきました。私が当時CADDiに興味を持ったのは、単純に面白い経歴のCEOとCTOがなぜ日本で起業したのかという興味と私自身が成長できる環境で働きたいという2点でした。 正直な話、CADDiが対象とする、製造業 ドメイン への興味は全くありませんでした。 当時のCADDiではWebから 流入 するたくさんの顧客に対して見積を自動で行い、見積頂いた顧客からくる製造依頼に対して製品を納品していました。これらの業務は当時フォーカスをしていた3D CADからの自動見積を行う技術や頂いた図面から見積に必要な入力を人力で抜き出し、社内の見積ロジックを使ってコストを算出するオペレーションを通じて実現していました。 まだまだ、複雑なオペレーションを人力で行っている状況も多く、 流入 する顧客数の増加に伴い、複雑なオペレーションを支えるための仕組みが社内で必要とされているタイミングでもありました。 当時私達が採用していた技術をまとめると以下のものがありました。 3D CADを解析して見積に必要な入力値を解析する C++ で記述された アルゴリズム 入力値から製造コストを算出する C++ で記述されたロジック 製造コストを算出するための Excel で記述された計算モデル 3D CADをアップロードし見積/製造依頼ができるWebアプリケーション 受発注管理の課題から生まれたKleinというプロダクト 当時の受発注の仕組は社内で用意された Salesforce を軸にオペレーションを構築していました。しかし事業のスケールを見据え、より大量の トランザクション に耐えるオペレーションを実現するため、2つの大きなプロダクトを開発する決断をしました。 1つは顧客からの見積リードタイムを減らすため見積ロジックを担うQuipuと呼ばれるプロダクト。もう1つは受発注管理を行うKleinというプロダクトです。私は後者のKleinというプロダクトの開発に携わってきました。どんなプロダクトなのかは弊社白井の 記事 を見てもらったほうがわかりやすいかと思います。 また技術面としても開発言語をRustにするなどいくつかの大きな決定を行いました。当時Rustを選択した経緯などは 別の記事 でまとめてありますが、今ふりかえると自分でもよく決断したなと思ったりもします。Kleinの開発を通して私達が学んだことは大きく2点あると思います。 ドメイン 駆動設計 Kleinの開発を通じて最も学んだことは「 ドメイン 駆動設計」を採用した事です。当時の開発チームはプロダクトマネージャーの白井も含め製造業出身のメンバーがおらず、 ドメイン ナレッジが全くない状態からのスタートでした。 私達は「どのような業務プロセスにしたいのか」「どのような課題を解きたいのか」を明らかにしないと前にも進めない状態でした。またCADDiの成長に伴いプロダクトに求められることも変わると予測していたため、プロダクトの中核部分である ドメイン はその時に見えている範囲で正しく設計したいという判断を行いました。 一言に ドメイン 駆動設計と聞くと、エンジニア視点ではどのように実装するのかという部分に目が行きがちですが、その本質は開発対象となる ドメイン についてどれだけ理解している状態で開発できるかが重要です。そこで、 ドメイン エキスパートとチームで徹底的に議論を行い、プロダクトの設計にあたりました。 具体的には毎日昼食時にはチームと ドメイン エキスパートである業務担当者を招き、徹底的に ヒアリ ングとホワイトボード上での モデリング 繰り返しました。これらのプロセスを通じて ユビキタス 言語の構築したことで、エンジニア自身が現場で起きていることをクリアに理解でき、同じ言葉を使って議論できるようになったことが大きな学びでした。 新しい技術の採用 前述したRust以外にも 通信プロトコル としてのgRPC/GraphQLの採用を行いました。これらの新しい技術の採用過程には、解きたい課題に使う技術が合致しているかという問いだけでなく、新しい技術を使ってみたいという感情的な理由もあったかなとも思っています。それらの決断に対して「だめだったら考え直せばいいじゃん」「学べば良いでしょ」という開発組織の空気感があったことも支えになったと思っています。初めて利用する技術については我々の無知故にハマった数々の落とし穴など数え切れないような失敗も経験しましたが、ここで得た知見は現在でも資産になっています。 おや、CADDiのようすが 前述のKleinの開発と前後してCADDiが大きく方針を変えたのもこの頃でした。前述したとおり、当時のCADDiはWebからの受注を主としており、事業の成長としてもより多くの顧客からWebを通じて取引が発生する事を計画をしておりました。 しかしいくつかの理由からこの方針を変更することになりました。一言でまとめると以下のようなことだったかと思います。 「顧客の要求が顧客毎に異なりCADDiとして標準化した要求としてまとめることが難しかった」 これは品質などに対する要求が顧客毎に異なること、そのような品質を業界や用途向けに統一的に定義し、それを顧客に提示し受け入れてもらうことがが難しかったということになります。当たり前ではありますが、1スタートアップの小さい会社が標準化された仕様を作り上げたとしてもそれを受け入れてもらう交渉力はなかったと思います。 そこで、CADDiは顧客を徹底的に絞る決断をしました。今までは顧客が持つ装置の一部分の部品に対する調達依頼を受けていましたが、この方針転換により、装置一式などより大きい単位で依頼を受けることになりました。この変更によりプロダクト開発側としても様々な点で考慮が必要になりました。 プロダクトに求められる要件の変化 当初、顧客との取引においてCADDiが調達を行う製品数は20製品ほどが多く、プロダクトの設計においても20製品程度の納品を行う案件を大量に処理するオペレーションを想定していました。しかしこの方針転換の実施後、1回の取引で1,000製品を超える取引が発生するようになりました。 Kleinなどオペレーションを担うプロダクトは小さい案件を大量に処理することから、大きな案件を問題なく完遂するための大量の製品に対する操作が必要になるなど、当初想定していた機能ではオペレーションを支えきれないことがわかりました。 これらの問題を解決するためにプロダクトに対して一括で処理を行う機能の提供を行ったりなど、大きな案件を処理する上で必要な機能の追加や大量の処理を行った際のパフォーマンスを改善することを行ってきました。 より深い ドメイン ナレッジの獲得 大きな意思決定ではありましたが、より顧客にフォーカスし特定の業界における産業装置に対する知見を獲得することができました。また大きな調達プロジェクトにおいて、どんな事が発生するのかなど数え切れないほど学びを得ることができました。 これらの新しい ドメイン ナレッジは単純に既存プロダクトの改修だけには留まらず、新しいプロダクトの種にもなったと思っています。 CADDiにおける生産管理プロダクト 前述の大きな転換を行いながらも、CADDiは大きく成長してきました。私が入社した4年前を考えると比較にできないくらい大きい案件の調達を行っています。また、当初のCADDiでは基本的には受注生産を行ったオペレーションを行っていましたが、案件の規模が大きくなるにつれ、見込み生産を行い在庫を持つような取引も発生しています。 私が当初開発を行ったKleinでは受注生産モデルとして設計していたこともあり、こういった事業の成長に対してモデル自体を刷新する必要もでてきました。こちらは既存のKleinというプロダクトを改修する判断ではなく、根本からモデルを刷新するためプロダクトのリプレイスを実施しました。 顧客との取引を重ねることで製造業における図面管理の難しさに気づきました。現在CADDiが提供している SaaS プロダクト「CADDi DRAWER」の原型となる図面管理プロダクトの開発も行い図面の世代管理や図面を介したコミュニケーションの改善を行ったりしています。 また、単純に受発注だけの管理だけでなく、製造を引き受けていただく加工会社様とのコミュニケーションを円滑にするためのプロダクトや倉庫での在庫管理や倉庫内オペレーションを支援するためのプロダクトを開発してきました。このように事業拡大と共に必要な課題を様々なプロダクトを開発・運用することで解決してきました。 これらの開発を通じて得たナレッジはエンジニアだけでなくCADDiの資産になっています。他方でCADDiの生産管理プロセスにおいてCADDi独自のナレッジや解決させるためのHowになっている部分と多くの企業と同様のアプローチで課題解決を行っている部分が出てきていることも事実です。 サプライチェーン のデータを資産化する ここまで、今のCADDiのプロダクトの開発とその開発や課題を解決することで得たナレッジについての話をしてきました。私は現在「CADDi DRAWER」というCADDi初の SaaS プロダクトの開発を行っています。CADDi DRAWERについては以下の2つの記事をみてもらったほうが良いかなと思います。 CADDi DRAWERで何をしたいのか?/創業6年目からの新しい挑戦 プロダクトが何かを変える瞬間に立ち会うこと この新しいプロダクトはCADDiで私達が経験した課題やその解決方法から生み出されたプロダクトです。現在は主に「図面」という製造業における重要なデータを取り扱っています。しかし製造業においては、図面以外にも様々なプロセスから情報が発生しています。それらはデータとしては存在しているのですが、資産として扱える状態ではないと考えています。 今後CADDi DRAWERには製造の各プロセスに関するより多くの情報をが蓄積され、それら情報から課題発見や意思決定を促すプラットフォーム基盤になると考えています。これらは私達が受発注プラットフォーム事業を行ってきたからこそ実現できることだと思っています。もちろん解くべき課題も多く、技術面だけでなく大きくなってきたCADDiの開発組織がより生産的に活動できるようにするにはどうしたら良いのかなど多くのことに取り組まないといけない状況です。 さて、なぜ私は働いているのだろうか? 製造業という未知の領域にCADDiのエンジニアとして飛び込んで、4年と少し働いてきました。製造業における課題を少しづつではありますが見てきたつもりです。最後になぜCADDiにいるのかをまとめて終わりにしようと思います。 記事の冒頭で記載したとおり、当初、製造業という ドメイン 自体への興味はありませんでした。4年間濃い経験を過ごすことができた結果、製造業という産業自体の課題をエンジニアとして解決してみたいと思うようになりました。 私が今後CADDiを通してやりたいのは「製造プロセスの中で標準的な プロトコル を定める」ことです。CADDiへ飛び込む前は製造において図面さえあれば顧客が望むものは製造できると考えていました。その意味で図面は1つの標準 プロトコル だと捉えていました。ですが製造業の中で働く中で、図面だけでは顧客が望んでいるものを納品できないという現実が見えてきました。 顧客が望むものを納品するためには図面を元にした要求事項の確認が必要であったり、なかには図面で表現できていないことや過去の商習慣から生まれた 暗黙知 など、取引において図面以外のコンテキストが必要になります。このような標準でない プロトコル をCADDiが取引に参加することで標準化を促したり定義できると考えています。これは今まで行ってきた受発注プラットフォームや「CADDi DRAWER」どちらを通じても実現できるだろうと考えています。 こうした産業への インパク トを起こせる仕事というのもなかなか無いと思っています。このようなチャレンジをできるCADDiだからこそ面白いと改めて実感しています。 (なお、この4年間は、本当にきついと感じることは何度もありました。ですが良い仲間に出会えお互いを支えられる関係でここまで仕事ができました。本当に感謝しています。) 本記事を読んで、CADDiのミッションやプロダクト組織に少しでも興味を持ってくださった方。お気軽にカジュアル面談でお話ししませんか。 https://open.talentio.com/r/1/c/caddi-jp-recruit/pages/78398 プロダクトマネージャ、ソフトウェアエンジニア、セキュリティエンジニア等、様々なポジションを募集しています。 https://open.talentio.com/r/1/c/caddi-jp-recruit/homes/4139?group_ids=8633 ご連絡お待ちしています。
MLOps Team Tech Lead の西原です。以前の Tech Blog で Pants を使った Python モノレポ移行への取り組みについて紹介しました。日々の業務で得た知見を Python コミュニティに共有できるといいなと思い、 PyCon APAC 2023 に「Pants ではじめる Python モノレポ」というタイトルで CfP を提出し採択されました。この記事では、PyCon APAC 発表に向けての整理も兼ねて、Pants を使ったモノレポの管理・運用を効率的に行うための取り組みを一部紹介します。 TL;DR CI の待ち時間を短縮する リモートキャッシュの活用 テストの分散実行による効率化 モノレポ内の依存を集約管理 依存管理を集約する背景 依存関係の更新 poetry up pip-compile 依存関係の集約 pex による Python 環境のパッケージング pex とは Pants による pex の構築 pex を用いたコンテナイメージの構築 プロジェクトの依存関係を制御する:Pants の visibility 機能の活用 まとめ link TL;DR リモートキャッシュでテスト時間を 1/12 に短縮 テストの分割実行で CI の待ち時間短縮 依存の集約管理でビルドの堅牢性向上 pex を使った Python コードのパッケージング シンプルなビルドプロセス コンテナイメージの軽量化 依存禁止ルールを設け、意図しない依存関係形成の防止 CI の待ち時間を短縮する リポジトリ のサイズが大きくなると、依存が増え CI の待ち時間が長くなります。CI の待ち時間が長くなれば開発業務の ボトルネック になり、開発スピードが低下します。この状況は開発体験を損ないますが、リモートキャッシュの活用やテストの分割実行をすることで CI の待ち時間を短縮できます。 リモートキャッシュの活用 Pants は Remote Execution API (REAPI)による リモートキャッシュを サポート しています。これにより、個々の開発マシンのローカルキャッシュだけでなく、異なる開発マシン間でキャッシュを共有できます。リモートキャッシュを参照することで一度実行済みのコードやテストの結果を再利用できるため、CI の待ち時間を短縮できます。REAPI をサポートした self-hosted の OSS やマネージドサービスがいくつかありますが、私たちのモノレポでは bazel-remote-cache を使って検証を進めています。Bazel Remote Cache は、ローカル ディスク、S3、GCS、Azure Blob ストレージ をサポートしています。REAPI 用のサーバを建てる必要がなく、Docker コンテナ 1 つだけで動作するため簡単に導入できます。Pants の公式 リポジトリ には、S3 を用いて リモートキャッシュを有効にする 例 が存在します。これを参考に、GCS 用の setup を行い、検証を進めました。 リモートキャッシュを有効にするためには、 pants.toml または .pants.rc ファイルに以下のような設定を追加します。 [GLOBAL] remote_cache_read = true remote_cache_write = true remote_store_address = "grpc://localhost:9092" GCS を使った リモートキャッシュ setup の例が次になります。リモートキャッシュを格納する GCS の バケット を事前に作成し、作成済みの bucket を --gcs_proxy.bucket オプションで指定します。 mkdir -p ~/bazel-remote docker run -u 1000:1000 -v ~/bazel-remote:/data -p 9092:9092 buchgr/bazel-remote-cache -d --max_size 10 --gcs_proxy.bucket=foo_bar_remote_cache_example_bucket --gcs_proxy.use_default_credentials=true 上記の setup を行った状態で、2 万行のコードに対してテストを実行し、キャッシュの有無で処理時間に差が出るかを確認しました。結果として、キャッシュがない状態で 12分50秒 かかっていたテストが、リモートキャッシュに full hit すると 59秒 で終了することが確認できました。 私たちのモノレポでは pre-commit hook などを活用し、コードが GitHub に push される前に個々の開発環境でテストが実行されるように努めています。これらのテストは CI でも実行されているので、ほとんどの場合で同じテストが 2 度実行されることになります。リモートキャッシュを使うと開発環境でのテスト結果を CI での実行時に参照できるので、CI の待ち時間を大幅に短縮できます。 テストの分散実行による効率化 Pants では、テストを複数の shard(分割単位)に分けて実行できます。CI 環境でこの機能を活用すると複数のマシンで分散してテストを実行でき、CI の待ち時間を短縮できます。以下に、テストを 2 つの shard に分割して実行するコード例を示します。 pants test --shard=0/2 :: pants test --shard=1/2 :: Pants の公式 リポジトリ では、 GitHub Actions を使用して shard に分割したテストを複数のマシンで実行しています。 こちらの例 では、10 台のマシンでテストを並列実行し、1 つのジョブが 10 分程度で完了しています。 リモートキャッシュの実験でも使った 2 万行のコードに対して pants test --shard=1/10 を実行してみました。キャッシュヒットがない状態でも 58 秒でテストを終了することが確認できました。開発規模が拡大し、依存するテストが増えた場合でも shard 数を増やして複数のマシンで並列分散することで CI の待ち時間を短縮できます。 モノレポ内の依存を集約管理 依存管理を集約する背景 以前の Tech Blog では、私たちが リポジトリ 内の各プロジェクトごとで依存ライブラリを管理していることを紹介しました。しかし、そのアプローチを続けるうえで 2 つの問題がありました。これらの問題に対処するために、 リポジトリ 内の依存管理を集約することにしました。 最初の問題は Diamond Dependencies です。これは下の図のように liba と libb が libbase に依存している場合、 liba が使う libbase のバージョンと libb が使う libbase のバージョンが異なると、ビルドに失敗する場合があるというものです。私たちが使ってるライブラリの例だと PyTorch や pydantic 、 Kubeflow pipeline 、 pandas などで最近メジャーアップデートがありました。モノレポではコードの参照が容易にできますが、それぞれのコードで依存しているライブラリのバージョンが異なるとビルドに失敗することがあります。任意のライブラリに対して 1 つのバージョンを使用することでビルドの堅牢性を高め、失敗することを防ぐことができます。これは書籍『Software Engineering at Google 』の Build Systems and Build Philosophy の章で"One-Version Rule"として紹介されています。 図 : Diamond Dependencies の例。引用: Diamond Dependencies 2 つ目の問題は、依存関係のバージョン更新にかかる 工数 が増えてきたことです。モノレポを運用する上で、次の理由から依存関係の更新をなるべく高頻度で行うようにしています。 開発が落ち着いてるから何もいじらないという選択肢もあるが、そのまま塩漬けになり久しぶりに触ってみた時に動かない可能性がある 頻繁に更新することで CI やビルドが動くのである程度動作確認できる 依存してるライブラリが更新されると互換性がなくて動かないということが起こり得るが、どのバージョンまでなら動くのかを把握するために高頻度に更新したい 更新サイクルが長く、1 回の更新で多くを変更して問題が起きた場合に何が原因なのか問題の特定に時間がかかる セキュリティ的にハイリスクな問題は放置できない 通常新しいバージョンは新機能の追加やバグ修正がされてるので私たちにとってプラス これまで、各プロジェクトごとに poetry を使って依存関係を管理していました。poetry を使っている場合は、 poetry lock コマンドを実行すると依存が壊れない範囲で最新バージョンを poetry.lock ファイルに記述してくれます。しかし、私たちの環境では poetry.lock ファイルを使って依存管理をしないため別の方法で依存関係の管理をする必要があります(後述)。poetry で管理しているライブラリバージョンをまとめて更新するために poetry up の プラグイン を使っていました。poetry には poetry update <lib> コマンドで個別のライブラリを更新する機能がありますが poetry up を使うことでライブラリ個別にではなく、一括で依存関係を更新できます。依存関係の更新を行う際は、都度プロジェクトで使う Python バージョンに切り替えて poetry up コマンドを実行して依存関係の更新を行っていました。Diamond Dependencies の問題になりそうなところは個別にバージョンを揃えていました。 リポジトリ で管理するプロジェクトが増えてくると、それぞれのプロジェクトで依存しているライブラリのバージョンを揃えつつ更新する作業が大変になってきました。 これらの問題を解決し、依存管理の 工数 を下げるために リポジトリ 内の依存管理を集約することにしました。 依存関係の更新 依存関係を集約する上で考慮するした点は、集約した依存関係のバージョンをどう更新していくかです。Pants で Python ライブラリの依存関係を管理するにあたって、次の 4 つの形式 がサポートされています。 requirements.txt ファイル poetry 形式の pyproject.toml ファイル PEP621 形式の pyproject.toml ファイル pipenv 形式の Pipfile.lock ファイル Pants にも lock ファイル生成の機能があり、上記の形式に従って管理すれば、依存が壊れない範囲の最新バージョンで依存関係の管理をしてくれます。しかし、この lock ファイルは人が読んで理解しやすい形式ではありません。 デバッグ 時など、使用しているバージョンを特定する場面を考えると人から見ても分かりやすい形式で管理するのが望ましいと考えました。 そこで、人からも読める形式であり、"One-Version Rule"を実現できるように poetry up を使う方法と pip-compile を使う 2 つの方法を検討しました。 poetry up poetry up は先にも紹介した通り、poetry 管理の依存関係を一括で更新するための プラグイン です。poetry up を使って更新する手順は次のように考えました。 モノレポで使うライブラリをバージョン指定せずに pyproject.toml に記述。バージョンを指定しない理由は、新規追加した際と poetry up を実行した際に既存のライブラリとバージョンが競合することがあるため。依存が多いモノレポでは競合が起きやすく、都度解決するのは大変。 poetry up --no-install を実行して poetry.lock を更新。私たちのモノレポでは 3 桁の サードパーティ ライブラリに依存しており、毎回インストールを行うと時間がかかるため、 --no-install をつけることで依存関係の更新だけ行い、意図しないインストールは行わない。 pyproject.toml にはバージョンを記述していないため、 poetry export --without-hashes -f requirements.txt --output requirements.txt を実行してバージョンが記載された requirements.txt を生成 requirements.txt を Pants の依存関係に追加 pip-compile pip-compile は requirements.txt 形式、または PEP621 形式の pyproject.toml の依存関係を更新して requirements.txt に出力するツールです。 pip-compile を使って更新する手順は次のように考えました。 バージョンを指定せずに requirements.in にライブラリを記述。バージョンを指定しない理由は、poetry up の時と同様に新規追加時のバージョンの競合を避けるため。 pip-compile --output-file requirements.txt requirements.in を実行してライブラリのバージョンが記載された requirements.txt を生成 requirements.txt を Pants の依存関係に追加 これら 2 つの方法を検討した結果、依存関係のライブラリバージョンを管理するだけであれば pip-compile を使う方がシンプルにできそうだったためこちらを採用しました。 requirements.in にバージョンを指定せずにライブラリを記述することで、pip-compile 時に依存関係が衝突しない範囲で最新のバージョンに更新されます。一部、バージョンが更新されるとテストや静的解析が失敗する場合においては、明示的にバージョンを指定して固定するようにしています。 余談:依存関係を集約した当初だと rye がまだリリースされてませんでしたが、この記事を書きながら rye を使う方法も考えてみました。大まかな手順は poetry の時と同様になりますが、 --no-install のようなオプションをつけなくてもデフォルトの挙動として依存関係をインストールしないのが良い点だと思います。rye の裏側で pip-compile を使っており、 rye lock コマンドを使うと、他の手法と同様に requirements.txt 形式でバージョンが記載されたファイルが出力できます。このファイルを Pants の依存に加えれば依存の集約管理ができそうです。ただ、rye で pip-tools を消す 動き があるので rye の機能を直接使わずに、pip-compile などを間に入れるのが良いのではないかと思います。私たちのモノレポではすでに requirements.in と pip-compile でうまくいってるため リポジトリ 内で rye を使う場面がありませんが Python 環境構築を pyenv から rye に切り替えたりと他の場面で活用しています。 依存関係の集約 依存関係を集約した後の更新方法が決まったので、次は リポジトリ 内の依存関係を集約していきます。 pants peek --filter-target-type=python_requirement :: コマンドを実行すると リポジトリ 内の Python ライブラリの依存関係を確認できます。 json で出力されるので、次のように jq コマンドを使って整形し、 requirements.in に記述します。 pants peek --filter-target-type=python_requirement :: | jq ' [ .[].requirements ] | flatten | unique | .[] ' -r > requirements.in 集約した requirements.in にライブラリのバージョンが記載されていますが、先にも記載した通り新規追加時に依存のコンフリクトを避けるためにバージョンを削除します。その後、上記の pip-compile の手順を実行して依存関係の集約は完了です。 依存管理を集約する前は手作業も多く、依存関係の更新作業に数時間かかることもありました。集約後はコマンド 1 つ実行すると数分で依存関係の更新ができ、Diamond Dependencies の問題を解決するための"One-Version Rule"も実現できました。今後は原則として リポジトリ 内で使われているライブラリは集約管理していきます。 リポジトリ 全体で使ってるバージョンと異なるバージョンを使う必要がある場合は、これまでのように個別で管理もできるのでそのように対応する予定です。 pex による Python 環境のパッケージング pex とは Pants は、 pex 形式の Python 仮想環境を構築できます。pex ファイルは、 サードパーティ のパッケージを含めた Python 仮想環境を zip 形式でパッケージングした実行ファイルです。これにより、必要なライブラリや依存関係を含んだ環境を 1 つのファイルにまとめることが可能となります。 Python インタープリタ が存在する環境であれば、pex ファイルを実行することで、それぞれ独立した仮想環境上でコードが実行されます。また、pex の仮想環境内のパッケージのみを使用するか、システムの Python 環境に存在するパッケージも利用するかは pex の設定で選ぶことができます。 以下に pex の使用例を示します。まず、pex コマンドを実行する際に必要なパッケージを指定します。すると、指定したパッケージとその依存関係を含む pex ファイルが生成されます。生成された pex ファイルを実行すると、 Python インタープリタ が起動し、ファイルに含まれるパッケージを使ってコードを実行できます。 $ pip install pex # pex をインストール $ pex pydantic pip -o demo.pex # pydantic と pip を含む pex ファイルを作成 $ ./demo.pex -m pip list # pex ファイル内のパッケージを確認 Package Version ----------------- ------- annotated-types 0 . 5 . 0 pip 23 . 2 . 1 pydantic 2 . 3 . 0 pydantic_core 2 . 6 . 3 typing_extensions 4 . 7 . 1 $ ./demo.pex # pex ファイル内の Python インタプリタを実行 Python 3 . 11 . 3 ( main, Apr 7 2023 , 20:13:31 ) [ Clang 14 . 0 . 0 (clang-1400. 0 . 29 . 202 ) ] on darwin Type " help " , " copyright " , " credits " or " license " for more information. ( InteractiveConsole ) & gt ;& gt ;& gt ; import pydantic & gt ;& gt ;& gt ; pydantic.VERSION ' 2.3.0 ' $ unzip -l ./demo.pex # pex ファイルの中身を確認 # 省略 Pants による pex の構築 Pants を使って pex ファイルを構築すると、Pants が必要な サードパーティ のパッケージと自作のコードの依存関係を自動的に検知し pex ファイルを構築してくれます。どの サードパーティ パッケージと自作のコードを含めるかを、ほとんどの場合において明示的に指定する必要がありません。特定の場合には明示的な指定が必要になるかもしれませんが、基本的に Pants が最適な依存関係を推測してくれるので、開発者はシンプルで効率的なビルドプロセスを実現できます。 Pants を使って pex を構築する例が次になります。main.py を実行すると、pydantic のバージョンが表示されます。 # dir構成 . ├── BUILD ├── lib │ ├── BUILD │ └── foo.py ├── main.py └── pants.toml # lib/foo.py import pydantic def get_pydantic_version (): return pydantic.VERSION # main.py from lib.foo import get_pydantic_version if __name__ == '__main__' : print (f "pydantic {get_pydantic_version()}" ) # lib/BUILD python_requirement( name= "pydantic" , requirements=[ "pydantic" ] ) python_sources() # BUILD python_sources() pex_binary( name= "pex-demo" , entry_point= "main.py" , ) # pants.toml [GLOBAL] pants_version = "2.17.0" backend_packages = [ "pants.backend.python", ] $ pants run main.py # pex ファイルを作成せずに実行 pydantic 2 . 3 . 0 $ pants package :pex-demo # pex ファイルを作成 05:07:12. 53 [ INFO ] Completed: Building pex-demo.pex with 1 requirement: pydantic 05:07:12. 53 [ INFO ] Wrote dist/pex-demo.pex $ ./dist/pex-demo.pex # pex ファイルの実行 pydantic 2 . 3 . 0 このように Pants を使って pex ファイルを構築することで、Pants が依存関係を自動的に検知して pex ファイルにパッケージングしてくれます。パッケージングの際に開発者は自作のコードと サードパーティ のパッケージの依存を意識する必要がありません。上記の例では、main.py から lib/foo.py をインポートしています。lib/foo.py からインポートされている pydantic が自動的に検知され、これらが pex ファイルに含まれています。 pex を用いたコンテナイメージの構築 pex を使うとポータビリティが高まり、コンテナイメージの構築もシンプルになります。pex を使わない場合、コードを参照するために Dockerfile 内で各ファイルや ディレクト リを都度 COPY する必要があります。依存するファイルが増えるほど、Dockerfile の記述が大変になります。以下にその例を示します。 FROM python:3.11-slim COPY requirements.txt . RUN pip install pydantic==2.3.0 COPY lib/foo.py lib/foo.py # 依存するファイルが増えるほど COPY の記述が大変になる COPY main.py main.py CMD ["python", "main.py"] 一方、pex ファイルを使用する場合はそのファイルを COPY するだけでアプリケーションを実行できます。これにより、 リポジトリ 内の様々な場所から関連するコードを集める作業が不要となり、Dockerfile の記述をシンプルにできます。 FROM python:3.11-slim COPY pex-demo.pex pex-demo.pex CMD ["./pex-demo.pex"] pex をコンテナ環境で使用することで、ポータビリティを向上させるだけでなく、コンテナイメージのサイズの削減がしやすくなります。イメージサイズを小さくすることで、コールドスタートの時間を短縮したり、スケールアウトの速度を改善できます。コンテナイメージを構築する際にイメージサイズを小さくする tips は様々あります。 Python では、依存ライブラリのインストールのキャッシュを無効化・削除したり、multi-stage build で venv を COPY するなどしてイメージサイズを小さくできます。pex を使うと、これらの知識を必要とせずにイメージサイズを小さくできます。 こちらの記事 では venv を使った multi-stage build 時のイメージサイズと pex を使った時のイメージサイズが比較しており、pex の利用でコンテナイメージを小さく保てることがわかります。 image size multi-stage build なし・キャッシュ削除なし 1.29GB venv を使った multi-stage build 66MB pex 47.2MB 引用: Docker build for Python 実際にチームでは、pex を用いたコンテナイメージを Vertex AI Pipeline で構築した 機械学習 パイプラインや Vertex AI Endpoint のサービングの場面で積極的に活用しています。 プロジェクトの依存関係を制御する:Pants の visibility 機能の活用 コードベース内で不適切な依存関係が形成されるとコードの修正や追加が難しくなったり、バグの原因になります。この章では依存関係を適切に管理するために役立つ、Pants の visibility 機能についてご紹介します。 Pants の visibility は、 API やモジュールの依存許可や禁止をコン トロール する機能です。これを活用することで、特定の API やモジュールを他のコードから隠蔽したり、公開範囲を制限することが可能となります。これにより、意図しない依存関係の形成を防止できます。 開発プロセス の中には、一時的な実装のためのコード(以下「sandbox コード」と呼びます)を作成する場面があります。これらの sandbox コードが参照されると、そのコードの改変や廃止が困難になったり、バグの原因になることがあります。 このような問題を未然に防ぐため、私たちのモノレポでは「他からの依存禁止ルール」を適用した sandbox ディレクト リを設け、一時的なコードや試験的な実装をそこに配置しています。これにより、sandbox ディレクト リ内のコードは他のコードから切り離され、安全に共有・開発することが可能となります。 依存禁止ルールが適用された ディレクト リのコードを参照しようとすると、次のようなエラーメッセージが表示され、ルールが適用されてることが確認できます。 $ pants test projects/foo/:: 10:57:00. 07 [ INFO ] Initialization options changed: reinitializing scheduler... 10:57:15. 32 [ INFO ] Scheduler initialized. 10:57:19. 34 [ ERROR ] 1 Exception encountered: Engine traceback: in ` test ` goal DependencyRuleActionDeniedError: projects/foo/tests/test_main.py has 1 dependency violation: * BUILD [! projects/sandbox/** ] -> projects/sandbox : DENY python_tests projects/foo/tests/test_main.py -> python_sources projects/sandbox:src コードベースで何でもかんでも公開して参照できる状態すると、知らぬ間に複雑な依存関係が形成されてメンテナンスが大変になることが想定できます。『 Software Engineering at Google 』の書籍にも書かれているように公開するターゲットを最小限に止め、依存関係が複雑にならないように心がけています。 まとめ ここまでモノレポのメリットを活かしながら、開発効率を高めるための様々な取り組みについて紹介しました。Pants による依存関係管理、pex ファイルの活用、CI の待ち時間の短縮、依存関係の集約管理による効率化を行いました。これらの取り組みによって、モノレポでの開発効率を高めることができました。今後もモノレポの改善を続けながら、事業に素早く貢献できるようにしていきます。 link YOUTRUST (9/25 まで) CADDi Tech 機械学習エンジニア求人
※本記事は、 技術評論社 「Software Design」(2023年7月号) に寄稿した連載記事「 Google Cloudで実践するSREプ ラク ティス」からの転載です。発行元からの許可を得て掲載しております。 はじめに 前回 はTerraformの基本的な概念とステート管理について解説しました。 今回からは 2 回にわたり、Infrastructure as Code(IaC)のCI/CD( 継続的インテグレーション /継続的デリバリ)パイプラインについて紹介します(図1)。 ▼図1 CADDiのスタックにおける今回の位置付け Google Cloudプロジェクトのインフラ構成をTerraformで定義し、 GitHub Actionsでデプロイするまでを目標とし、前半となる今回は事前備とインフラCIについて焦点を当てていきます。後半となる次回では、インフラCDについて触れつつ、運用をよりスケールさせるためにキャディで取り組んでいる事例について紹介予定です。 IaCとCI/CD 本連載第2回(本誌2023年5月号)では、IaC化によってLinterによる自動チェックや再現性の担保など、さまざまなメリットが得られることを解説しました。今回はIaCの管理・デプロイについて考えてみましょう。 一般に、作業者のPCなどローカル環境でTerraformを実行するときには、次のような課題が生じます。 作業者以外が自動チェックの実行結果を確認できない 実行に必要なシークレットが作業者PCに保管されてしまう 誰がいつデプロイしたのか証跡を残しづらい Terraform plan/applyの実行ログが残らない 手動オペレーションのため作業者のリソースに依存してしまう アプリケーション開発の領域において、CI/CDはすでに一般的なプ ラク ティスとなっています。Pull request(PR)に対してLinterやテストを実行し、問題がなければmainブランチへマージ、アプリケーションコンテナのビルド、デプロイが自動実行されます。 インフラ領域においても、IaC化することで、このプロセスを実現できます。また、 GitHub Actionsなどを活用してCI/CDパイプラインを構築することで、先ほどの課題を解消・軽減できます。 GitHub Actions概要 GitHub Actionsは、タスク実行やワークフローを自動化するCI/CDサービスです。 GitHub でホストされている リポジトリ であれば設定ファイルを設置するだけで利用でき、セットアップも容易です。 ここでは、本連載を理解する上で必要となる知識について簡単に解説します。 理解をより深めたい方は、公式ドキュメント 1 や本誌のバックナンバー Software Design 2022年2月号 2 を参考にしてください。 ワークフローは GitHub リポジトリ 内の .github/workflows ディレクト リ配下に YAML 形式のファイルとして定義します。これらが、記述内容に従ってプッシュなど特定のイベントをトリガーに実行されます。 リスト1はPRをトリガーとしてTerraform組み込みのフォーマッタである terraform fmt を実行する例です。 以下はPRをトリガーとしてTerraform組み込みのフォーマッタである を実行する例です。 ▼リスト1 . github /workflows/terraform_ci.yml name: Terraform CI on: pull_request: branches: - main jobs: tf_version: runs-on: ubuntu-latest permissions: contents: read steps: - uses: actions/checkout@v3 - uses: hashicorp/setup-terraform@v2 - run: terraform fmt -check -no-color -recursive working-directory: ./terraform ワークフローは名前( name )、トリガー( on )、ジョブ( job )などから構成されます。 onではワークフローをトリガーするイベントを定義します。ここではmainブランチに対するPR関連のアクティビティをトリガー条件としています。 ジョブは、処理タスクを表現する複数のステップから構成されます。ステップでは、shellのコマンド実行や、「アクション」と呼ばれる再利用可能な コンポーネント が利用できます。 リスト1の例では actions/checkout 3 でPR元ブランチのコードをワークフローランナー上に展開し、 hashicorp/setup-terraform 4 でterraformコマンドを利用するためのセットアップを実施しています。 最後に terraform fmt コマンドを実行しフォーマットのチェックを行っています。 このように、 GitHub Actionsでは、アクションを活用しつつ、CI/CDパイプラインで実施すべき処理を YAML ファイルに記述します。雰囲気をつかんでいただけたでしょうか。 事前準備 ここからは Google Cloudも含めたCI/CDパイプラインの具体的な構築方法を解説していきます。まずはワークフロー実行に必要なリソースを事前に作成します。 はじめに、Terraformのtfstateを保管するためのStorage バケット を作成します(図2)。前回でも紹介したように、ステートが複数環境から参照されるときには、tfstateをローカルではなくリモートのオブジェクトストレージなどに保管する必要があります。 ▼図2 tfstate用 バケット 作成 $ gcloud storage buckets create \ gs://my-tfstate-dev-${RANDOM} \ --location=asia-northeast1 \ --uniform-bucket-level-access なお、 Google Cloud Storageの バケット 名は、グローバルに一意でなくてはならないため、 バケット 名にランダム値を追加しています。 次に、Terraformを実行するためのサービスアカウントを作成し、必要な権限を付与します(図3)。 ${PROJECT_ID} は対象の Google CloudプロジェクトIDに置き換えてください。今回は編集者ロールを付与しますが、実際は必要に応じた最小限の権限とするのが適切です。 ▼図3 サービスアカウント作成 $ gcloud iam service-accounts create my-github-actions $ gcloud projects add-iam-policy-binding ${PROJECT_ID} \ --member="serviceAccount:my-github-actions@${PROJECT_ID}.iam.gserviceaccount.com" \ --role="roles/editor" 最後に、サンプルのtfファイル(リスト2、3)を用意します。 VPC ネットワークを構築済みの既存プロジェクトに対してCompute インスタンス を作成します。のちの説明のために、対象のプロジェクトは便宜上開発(dev)環境として扱います。 ▼リスト2 terraform/modules/ vm /main.tf variable "name" { type = string } resource "google_compute_instance" "default" { name = var.name machine_type = "e2-micro" boot_disk { initialize_params { image = "debian-cloud/debian-11" size = 10 } } network_interface { network = "default" } } ▼リスト3 terraform/environments/dev/main.tf terraform { backend "gcs" { bucket = "my-tfstate-dev-<<SUFFIX>>" } } provider "google" { project = "<<プロジェクトID>>" region = "asia-northeast1" zone = "asia-northeast1-b" } module "vm" { source = "../../modules/vm" # ① name = "my-vm" } 再利用しやすくするためCompute インスタンス のリソース定義はモジュール化しています。 モジュールは複数のtfファイルを含んだ ディレクト リで、1のようにモジュール ディレクト リのパスを指定して利用します。 このtfファイルを利用して GitHub Actions上でTerraformを実行してみましょう。 [Column] IaC するもの/しないもの IaCは再現性や監査など多く点でメリットがあります。しかし、手動オペレーションをすべて禁止してしまうと、かえって作業が煩雑になったりセキュリティリスクが高まったりするケースもあります。そのような場合には、柔軟に手動オペレーションを許容することも選択肢の1つです。 キャディでは、実施頻度が低く強い権限を要する一部の作業は手動で行っています。 Google CloudではプロジェクトやCloud API について、IaCの可否を事前に検討しておけると後の管理がスムーズになります。 IaC化しているリソース、IaC化していないリソースはドキュメントで明文化しておくことをお勧めします。明文化しておくことで開発者が意図せずリソースを手動で編集してしまい、IaCで定義した状態から乖かい離してしまうといった事故の予防につながります。 認証方法 Terraformから Google Cloud上のリソースを操作するには、認証が必要です。 GitHub Actionsでは google-github-actions/auth 5 アクションが次の2種類の認証方法を提供しています。 ・サービスアカウントキーを利用する方法 ・Workload Identity連携を利用する方法 サービスアカウントキーを利用する方法 サービスアカウントのキーファイルを生成し、 GitHub Actionsのシークレットへ登録します(図4)。シークレットは機密性の高いデータを管理するための機能で、ワークフローからは 環境変数 として参照できます(図5)。 ▼図4 サービスアカウントキー作成 $ gcloud iam service-accounts keys create gsa-key.json \ --iam-account=my-github-actions@${PROJECT_ID}.iam.gserviceaccount.com ▼図5 Actionsシークレット ワークフローでは、 credentials_json でアクションに対してサービスアカウントキーを与え、認証します(リスト4)。 ${{ secrets.DEV_GCP_SA_KEY }} が、 DEV_GCP_SA_KEY という名前で登録したシークレットの内容を参照する部分です。 ▼リスト4 サービスアカウントキーでの認証 - uses: google-github-actions/auth@v1 with: credentials_json: '${{ secrets.DEV_GCP_SA_KEY }}' この方法はシンプルですが、セキュリティ面で好ましい方法ではありません。このキーは有効期限がなく、漏洩した際にはキーを使用している全環境でローテーション作業が発生します。 そこで、よりセキュアな手法として、Workload Identity連携を利用した方式が推奨されています。 Workload Identity連携 を利用する方法 Google Cloud の Workload Identity 連携は、 GitHub など外部IDプロバイダ(IdP)の認証情報をもとに、 Google Cloudリソースへのアクセス制御を行うサービスです。外部IdPで発行された トーク ンを検証し、対象サービスアカウントの権限を借用することで、サービスアカウントキーを使用することなく認証ができます(図6)。 ▼図6 Workload Identity連携イメージ GitHub Actions は OpenID Connect(OIDC) トーク ンを利用した認証をサポートしているので、ワークフローで短命なOIDC トーク ンを生成し、ID連携に利用できます。 GitHub Actionsは OpenID Connect(OIDC) トーク ンを利用した認証をサポートしているので、ワークフローで短命なOIDC トーク ンを生成し、ID連携に利用できます。 6 先ほどのサービスアカウントキーと異なりOIDC トーク ンは数時間程度で失効するため、セキュリティリスクを軽減できます。 Workload Identity連携はプールとプロバイダから構成されます。プールは外部IdPにより発行されたIDを管理し、プロバイダは Google Cloudと外部IdPにおける属性情報の対応を管理します。 まず、 GitHub Actionsで利用するプールとプロバイダを作成します(図7、8)。 ▼図7 プールの作成 $ gcloud iam workload-identity-pools \ create my-github-actions \ --location=global ▼図8 プロバイダの作成 $ gcloud iam workload-identity-pools providers create-oidc github-provider \ --location=global \ --workload-identity-pool=my-github-actions \ --issuer-uri=https://token.actions.githubusercontent.com \ --attribute-mapping="google.subject=assertion.sub,attribute.actor=assertion.actor,attribute.aud=assertion.aud,attribute.repository=assertion.repository" これでOIDC トーク ンを検証する準備ができました。 次に、 my-github-actions Workload Identityユーザーロールをmy- github -actionsアカウントに付与し、外部からのアカウント権限借用を許可します(図9)。 ▼図9 サービスアカウントの権限借用許可 $ gcloud iam service-accounts add-iam-policy-binding my-github-actions@${PROJECT_ID}.iam.gserviceaccount.com \ --role=roles/iam.workloadIdentityUser \ --member="principalSet://iam.googleapis.com/projects/${PROJECT_NUM}/locations/global/workloadIdentityPools/my-github-actions/*" これで、ワークフローから my-github-actions サービスアカウントを使用して Google Cloudリソースを操作できます。 ワークフローではリスト5のように記述します。 ▼リスト5 Workload Identity連携での認証 - uses: google-github-actions/auth@v1 with: workload_identity_provider: projects/(…略…)/providers/github-provider service_account: my-github-actions@(…略…).com Terraform planの実行 GitHub ActionsでTerraformを実行するための準備が整いました。PRに対して terraform plan を実行し、どのようなリソース変更が予定されているのかチェックしてみましょう。 plan結果はActionsの実行ログから参照できますが、PRコメントとして投稿されるとレビュー体験がより良くなります。リスト6はPRに対して terraform plan を実行し、plan結果をPRコメントとして投稿するワークフロー定義です。 ▼リスト6 . github /workflows/terraform_ci.yml name: Terraform CI on: pull_request: branches: - main jobs: terraform_ci: runs-on: ubuntu-latest permissions: # ① contents: read id-token: write pull-requests: write steps: - uses: actions/checkout@v3 - uses: hashicorp/setup-terraform@v2 - uses: google-github-actions/auth@v1 with: workload_identity_provider: projects/(…略…)/providers/github-provider service_account: my-github-actions@(…略…).com - run: terraform init working-directory: ./terraform/environments/dev - id: plan run: terraform plan -no-color working-directory: ./terraform/environments/dev continue-on-error: true - uses: actions/github-script@v6 # ② with: github-token: ${{ secrets.GITHUB_TOKEN }} script: | const output = `Terraform Plan: \`${{ steps.plan.outcome }}\` <details><summary>Show plan</summary> \`\`\` ${{ steps.plan.outputs.stdout }} \`\`\` </details>` github.rest.issues.createComment({ issue_number: context.issue.number, owner: context.repo.owner, repo: context.repo.repo, body: output }) ①:このワークフローではOIDC トーク ンの生成やコメント投稿を行うため、 permission で対応する権限を付与します。 ②:plan 結果のコメント投稿には actions/github-script 7 を利用します。これは GitHub API を用いた処理を JavaScript で記述できるアクションです。 hashicorp/setup-terraform 8 アクションのREADMEには github -scriptのサンプルも記載されていますので、参考にしてください。 サンプルのtfファイルを含め、現状 GitHub リポジトリ は図10のファイル構成となっています。 ▼図10 プロジェクトIaC リポジトリ の構成 |-- .github | `-- workflows | `-- terraform_ci.yml `-- terraform |-- environments | `-- dev | `-- main.tf `-- modules `-- vm `-- maint.tf これらのファイルをコミットし、PRを作成するとワークフローが実行され、 terraform plan の結果がコメントに投稿されます。 ▼図11 plan結果のコメント投稿 今回は terraform plan のみですが、コードの品質を高めるためにバリデーション( terraform validate )やフォーマット( terraform fmt )も実行すると良いでしょうtfsec 9 などtfファイルを静的解析し、セキュリティリスクのあるインフラ構成を検知できる OSS もあります。 なお、コメント投稿は actions/github-script を利用しましたが、より見やすい形でコメントするアクションも OSS で公開されています 10 。 おわりに 今回はTerraformと GitHub Actionsを組み合わせたIaCのCIパイプラインについて紹介しました。実運用する際には開発用・商用など複数環境対応や複数プロジェクト管理についても考慮が必要です。 次回はIaCのCDパイプラインに触れつつ、運用をスケールさせるキャディでの取り組みを紹介します。 https://docs.github.com/ja/actions/using-workflows/workflow-syntax-for-github-actions  ↩︎ 本誌2022年2月号第2特集「 GitHub Actionsで簡単・快適 CI/CD」  ↩︎ https://github.com/marketplace/actions/checkout  ↩︎ https://github.com/marketplace/actions/hashicorp-setup-terraform  ↩︎ https://github.com/marketplace/actions/authenticate-to-google-cloud  ↩︎ https://cloud.google.com/blog/ja/products/identity-security/enabling-keyless-authentication-from-github-actions  ↩︎ https://github.com/marketplace/actions/github-script  ↩︎ https://github.com/hashicorp/setup-terraform  ↩︎ https://github.com/aquasecurity/tfsec  ↩︎ https://github.com/suzuki-shunsuke/tfcmt  ↩︎
こんにちは MLエンジニアとMLOpsエンジニアを兼任している押条です。 CADDi の機械学習プロジェクトでは Python がよく使われています。 本番環境にリリースするコードのlinter や formatter、test に関しては、 CI で自動的に適用し運用できていました。 一方、型注釈については開発担当者に一任されており、プロジェクトごとにあるものとないものと混在していました。 採用を強化してチームを拡大していこうという動きもあり、開発に携わる人が増える見込みがあります。 そのような背景から、型注釈による既存コードの可読性の向上の重要性が増してきました。 そこで現行の mypy の設定の読み合わせと mypy 設定の修正を実施しました。 その時の議論の内容と修正後の設定をご紹介しようと思います。 目次 現行ルールがどのようなものか認識合わせする 現在のプロダクションコードを参照しながらルールのスコープを決める 修正後の設定ファイルの紹介 おわりに 現行ルールがどのようなものか認識合わせする まずは現在使用している mypy の設定ファイルの読み合わせをしました。 この設定は MLOps チームのテックリードが厳しめに設定してくれたものでした。 ChatGPT に入力して、説明してもらったのが下記です。 この設定は、`mypy`に関する多くのオプションを含んでいます。各オプションについて簡単に説明し、必要に応じて改善の提案を行います。 1. `allow_redefinition = False`: 同じスコープ内での変数の再定義を禁止します。通常、このような再定義はエラーの原因となります。 2. `allow_untyped_globals = False`: 型注釈がないグローバル変数の使用を禁止します。型情報が不足している場合、予期しないエラーが生じる可能性があります。 3. `check_untyped_defs = True`: 型注釈がない関数やメソッドに対して型チェックを行います。 4. `color_output = True`: エラーメッセージに色を付けて表示します。 5. `disallow_incomplete_defs = True`: 型注釈の一部が欠けている関数やメソッドの定義を禁止します。 6. `disallow_untyped_defs = True`: 型注釈がない関数やメソッドの定義を禁止します。 7. `disallow_untyped_calls = True`: 型注釈がない関数やメソッドの呼び出しを禁止します。 8. `disallow_untyped_decorators = True`: 型注釈がないデコレータの使用を禁止します。 9. `error_summary = True`: エラーメッセージの概要を表示します。 10. `ignore_missing_imports = True`: 型情報がないモジュールのインポートを無視します。多くのサードパーティライブラリは型情報を持っていないため、このオプションが有効になっています。 11. `implicit_reexport = False`: 型注釈がない関数やメソッドの再エクスポートを禁止します。 12. `no_implicit_optional = True`: Optionalの型を明示的に宣言する必要があります。 13. `pretty = True`: エラーメッセージを見やすくフォーマットします。 14. `show_column_numbers = True`: エラーの発生した列番号を表示します。 15. `show_error_codes = True`: エラーコードを表示します。これは、特定のエラーを無視するための設定を行う際に便利です。 16. `show_error_context = True`: エラーメッセージのコンテキストを表示します。 17. `show_traceback = True`: mypyがクラッシュした場合にトレースバックを表示します。 18. `strict = True`: すべてのstrictモード関連のオプションを有効にします。このオプションが有効になっている場合、以下のオプションも自動的に有効になります。 19. `strict_equality = True`: 異なる型同士の等価性の比較を禁止します。 20. `strict_optional = True`: Noneと他の型の混在を許容しないようにします。 21. `warn_no_return = True`: 戻り値がない関数やメソッドでのreturn文の省略に警告します。 22. `warn_redundant_casts = True`: 不要な型変換に警告します。 23. `warn_return_any = True`: `Any`型を返す関数やメソッドに警告します。 24. `warn_unreachable = True`: 到達不能なコードに警告します。 25. `warn_unused_configs = True`: 使用されていないconfigオプションに警告します。 26. `warn_unused_ignores = True`: 使用されていない`# type: ignore`コメントに警告します。 **改善の提案**: 1. `ignore_missing_imports = True`: これはグローバルに適用されるため、可能ならば特定のライブラリにのみこのオプションを適用することをおすすめします。全体的な型の厳格性が低下する可能性があります。 2. `strict = True`: このオプションは多くの他のstrictモード関連のオプションを有効にするため、個別に指定したオプション(例: `strict_equality`, `strict_optional` など)は削除しても良いです。 全体的に、この設定は非常に厳格な型チェックを行うように設定されており、コードの品質を向上させるのに役立ちます。ただし、非常に厳格であるため、既存のコードベースでこれらの設定を有効にすると、多くのエラーが発生する可能性があります。新しいプロジェクトや、既存のプロジェクトでの大規模なリファクタリングを行う際には、これらの設定を検討すると良いでしょう。 warn_redundant_casts = True warn_return_any = True warn_unreachable = True warn_unused_configs = True warn_unused_ignores = True 各オプションの役割が何となくわかるようになりました。 prefix が show_ のオプションや warning_ のオプションのほとんどについては、True で問題なさそうです。 それ以外のオプションについて、1行ずつ確認して必要があれば議論も実施しました。 現在のプロダクションコードを参照しながらルールのスコープを決める オプションの確認を行うにあたって、現在のプロダクションコードに対して無理なく適用できそうかどうかを意識して取り組みました。 それでは順番に見ていきましょう。 allow_redefinition こちらは変数の再定義に関するオプションです。 画像解析の Deep Learning モデル開発の現場では、このようなコードが頻繁に見られると思います。 image : PIL.Image = PIL.Image.open('path_to_image.png') image : np.array = np.array(image) image : torch.Tensor = torch.from_array(image) 再定義が許容されない場合以下のようなコードになりそうです。 image : PIL.Image = PIL.Image.open('path_to_image.png') image_arr : np.array = np.array(image) image_tensor : torch.Tensor = torch.from_array(image_arr) リーダブルコードにも記述があるように変数には適切な名前をつけるのが望ましいですが、幾分冗長に思えます。 後述する設定項目によって、私たちはできるだけ型注釈を省略せずコードを書こうとしています。 その場合、変数に型情報が紐づいているため、変数名に型の情報を持たせなくて良くなります。 redefinition を許可しても可読性が損なわれることはないと判断し、 allow_redefinition = True としました。 allow_untyped_globals こちらは 型注釈のないグローバル変数を許容するかどうかに関するオプションです。 そもそも グローバル変数は使わない方が良いが、定数の場合 Final 型 を使用して意図しない変更を検知するようにしていこうという議論になりました。結論は False です。 check_untyped_defs 型注釈がない関数やメソッドに対して型チェックを行うかどうかに関するオプションです。 型チェックを自動化するために型チェッカを利用しているのでこちらは True です。 disallow_incomplete_defs 我々が記述するコードについては、型注釈を欠損なく書いていきたいです。こちらも True です。 disallow_untyped_defs 型注釈がない関数やメソッドの定義に関するオプションです。こちらも True です。 disallow_untyped_calls 型注釈がない関数やメソッドの呼び出しに関するオプションです。 前述の disallow_untyped_defs = True、disallow_incomplete_defs = True により我々が定義したコードには型注釈がついている状態になっているはずです。 call まで True にしてしまうとサードパーティライブラリにもルールが適用されてしまいます。 厳しすぎるため、我々のルールでは False にしました。 disallow_untyped_decorators 型注釈がないデコレータに関するオプションです。 True にしてしまうとサードパーティライブラリにもルールが適用されてしまいます。 サードパーティライブラリにはデコレータに型がついていない場合があります。 厳しすぎるため、我々のルールでは False にしました。 ignore_missing_imports = True : 型情報がないモジュールのインポートを無視します。多くのサードパーティライブラリは型情報を持っていないため、このオプションが有効になっています。 True で良さそうです。 implicit_reexport = False : 型注釈がない関数やメソッドの再エクスポートを禁止します。 我々は型注釈のない関数を定義しないので False です。 no_implicit_optional = True : Optionalの型を明示的に宣言する必要があります。 True で良さそうです。 strict = True : すべてのstrictモード関連のオプションを有効にします。このオプションが有効になっている場合、以下のオプションも自動的に有効になります。 strict_equality と strict_optional を明示的に True にしているため strict オプションは削除で良さそうです。 warn_no_return 戻り値がない関数やメソッドでのreturn文の省略に対する警告についてのオプションです。 ↓ このようなコードはエラーにしてほしいため True に設定します。 def example_function(value: int) -> int: if value > 0: return value # ここに戻り値の記述がない warn_unused_ignores 使用されていない # type: ignore コメントへの警告に関するオプションです。 基本的に True にすべきですが、我々が採用しているビルドシステムとの相性が悪く、一時的に False としています。 修正後の設定ファイルの紹介 議論の結果出来上がった設定ファイルは次のようなものになりました。 [mypy] allow_redefinition = True allow_untyped_globals = False check_untyped_defs = True color_output = True disallow_incomplete_defs = True disallow_untyped_calls = False disallow_untyped_decorators = False disallow_untyped_defs = True error_summary = True ignore_missing_imports = True implicit_reexport = True namespace_packages = True no_implicit_optional = True pretty = True show_column_numbers = True show_error_codes = True show_error_context = True show_traceback = True strict = True warn_no_return = True warn_redundant_casts = True warn_return_any = True warn_unreachable = True warn_unused_configs = True warn_unused_ignores = False おわりに チームで mypy 設定ファイルの読み合わせを実施しました。 今回ご紹介した取り組み以外にも、python typing や pydantic などの型注釈に関するドキュメントの読み合わせなど、チーム全体で知識を底上げしたり知見を共有したりする取り組みを進めています。このような取り組みによって、より安全で高速な開発を推進していきます。 我々と一緒に開発を推進してくださるメンバーを募集しています。興味のある方、是非気軽にご連絡ください! エンジニア向けサイト カジュアル面談 機械学習エンジニアの求人 The post mypy 設定ファイルの読み合わせと修正を実施しました appeared first on CADDi Tech Blog .
※本記事は、技術評論社 「Software Design」(2023年6月号) に寄稿した連載記事「Google Cloudで実践するSREプラクティス」からの転載です。発行元からの許可を得て掲載しております。 はじめに 前回はIaCの考え方や必要性と、筆者らが採用しているTerraformの特徴について紹介しました。今回は今後紹介するプラクティスの前提となるTerraformに触れたことのない方のために、その基本を簡単に紹介します 1 。 ここで紹介できない事項やTerraformのインストール方法については、HashiCorp 社やGoogleCloudのチュートリアル 2 を参考にしてください。ぜひそちらも併せてご覧ください。 Terraformの基本コンセプト Terraformの基本コンセプトは図1のようになっています。 ▼図1 Terraformのコンセプト コードとして表現するインフラの状態は、Terraform Languageと呼ばれる独自の設定言語で記述し、拡張子 *.tf のファイルとして保存します。 なおドキュメント 3 によると、「Terraform Language は、HCL(HashCorp Configuration Language)と呼ばれるHashiCorp社の独自の言語がベースになっている」と説明されています。 しかし、Terraformの設定言語を一般化してHashiCorp社のほかの製品でも使えるようにしたものがHCLですので、「Terraform Language≒HCL」ととらえても差し支えはないでしょう。 Terraformの実体は単一のバイナリファイルで、 terraform plan 、 terraform apply などのさまざまな機能がサブコマンドとして提供されています。前回も触れたように、クラウドサービスごとの処理はプロバイダ(Provider)と呼ばれるプラグインに分離されています。どのプロバイダを利用するかは、tfファイル内に記述します 4 。 Terraformがtfファイルの記述に従ってプロバイダを自動ダウンロードするので、利用者がプロバイダのインストールを意識する必要はありません。 ステート Terraformを理解するうえで重要なのが、ステート(State)です。tfファイルには、Terraformで管理したいクラウドサービス上のリソースたとえばVPC(Virtual Private Cloud)やVM(Virtual Machine)インスタンスなどを記述します。これらリソースの実際の状態と、tfファイル上の記述との対応を保持しているのがステートです。 ステートの実体は *.tfstate という拡張子のJSONファイルで、Terraformが処理を実行するたびに更新されます。本連載では、このファイルを「tfstateファイル」と呼びます。 バックエンド Terraformにおけるバックエンドとは、tfstateファイルの保存先のことです。バックエンドを切り替えることで、さまざまな方法でtfstateファイルを管理できます。 デフォルトのバックエンドは local で、tfstateファイルをローカルストレージに保存します。 Terraformの学習時や個人で使用するときは、これで十分でしょう。 チームでインフラを管理するときは、tfstateファイルを共有しなければなりません。このためgcs やs3といったバックエンド 5 を使って、オブジェクトストレージ上に配置することが一般的です。筆者らもgcsバックエンドを使ってGCS(Google Cloud Storage)のバケット上でtfstateファイルを管理しています。 Terraform Languageの基本 ブロック Terraform Languageでは、クラウド上のリソースをブロックと呼ばれる固まりで記述します。ブロックの文法はリスト1のようになっています。たとえば、Google Cloud上で my-network という名前のVPCネットワークを作成するにはリスト2のように記述します。 ▼リスト1 ブロックの文法 resource "google_compute_network" "my_network" { name = "my-network" } ▼リスト2 my-networkというVPCネットワークを作成 resource "google_compute_network" "my_network" { name = "my-network" } ブロックタイプには、表1に示すようなものがあります。 今回は、主要なブロックタイプについてTerraformの使い方の流れに沿って紹介します 6 。 ▼表1 おもなブロックタイプ ブロックタイプ 説明 provider プロバイダの設定を記述する resource クラウドサービス上のリソースを定義する locals リソース内で使用する変数を定義する variable 外部から設定可能な変数を定義する output リソースやモジュールの出力を定義する module 他のモジュールの読み込みを指示する data Terraformが管理しないリソースの参照を定義する resource ブロック resourceブロックはTerraformの主役とも言えるブロックで、クラウド上のリソース定義を表します。resourceブロックでは2つのブロックラベルを指定し、1つめがリソースの種類(リソースタイプ)、2つめがTerraform内でのリソースの識別名を表します。リソースタイプは、プロバイダによってあらかじめ定義されているもので、プロバイダのドキュメントに記載されています 7 。 リスト3の例は、GoogleCloudのプロバイダが提供するgoogle_compute_networkというリソースを使ってVPCネットワークを定義しています。 ▼リスト3 google_compute_networkを使ってVPCネットワークを定義 resource "google_compute_network" "vpc_network" { name = "terraform-network" } vpc_network がTerraform上の識別名で、互いのリソースを参照するときなどはこの名前を使用します。識別名は開発者が自由に決めてかまいません。 ブロック内の引数は、プロバイダが提供するリソースの仕様にしたがって指定します。google_compute_networkでは、nameが必須となっており、これでGoogle Cloud上における実際のVPCの名前を指定します。 ドキュメント 8 を参照するとほかにもオプショナルな引数があり、たとえばルーティング・モードや、MTUといったパラメータも指定できることがわかります。 TerraformによるIaCの流れ Terraformを利用するときの流れは図2のとおりです。 init などはそれぞれTerraformコマンドのサブコマンドで、 terraform init のように実行します。 ▼図2 Terraform利用の流れ ここからは、簡単なサンプルを使って操作の流れを説明しましょう。 ここで作成するインフラ構成を図3に示します。Google CloudのVPC(Virtual Private Cloud)の中にサブネットを1つ作成するというものです。 ▼図3 サンプルのインフラ構成 まずサンプルコードの内容を解説してから、Terraform実行の流れを説明します。 サンプルコードの解説 図3のインフラを構築するTerraformのコード( main.tf 9 )をリスト4に示します。 ▼リスト4 main.tf provider "google" { ❶ project = "<<プロジェクトID>>" region = "asia-northeast1" } resource "google_compute_network" "my_network" { ❷ name = "my-network" auto_create_subnetworks = false } resource "google_compute_subnetwork" "my_subnetwork" { ❸ name = "my-subnetwork" ip_cidr_range = "10.2.0.0/16" network = google_compute_network.my_network.id ❹ } tfファイルの構成 リスト4は次の3つのブロックで構成されています。 Google Providerへの指示を記述する provider ブロック (❶) VPCを作る resource ブロック (❷) サブネットを作る resource ブロック (❸) ❶のproviderブロックは、表1で紹介した7つのブロックタイプの1つで、プロバイダ共通の情報を定義しています。 たとえば、Google Cloudのプロバイダでは、Terraformの適用先プロジェクトIDなどを指定します。なお、手元で実行してみたい方は、 プロジェクトID の部分をご自分のGoogleCloudのプロジェクトIDに変更してください。 リソース間の参照 リスト4❹では、ほかのリソースの属性を参照しています。たとえば、リスト4❸のサブネットワークは、❷で定義したVPC内に作成します。 google_compute_subnetwork リソースでは、 network 引数でサブネットの所属するVPCを指定します。VPCはリスト4❷の my_network リソースで定義しているので、これを参照します。 Terraformでは、 リソースタイプ.識別子.リソースの属性 という形式で参照できるので google_compute_network.my_network.id と記述しています。なお、ここで id という属性は my_network に記述されていませんが、これはプロバイダが内部で自動生成する属性です。 ブロックの記述順は自由 Terraform Languageは宣言的ですので、各ブロックの記述順は自由です。リスト4におけるVPCとサブネットのようにリソース間の依存関係がある場合、Terraformは依存関係を自動解析して適用順を決定します。 また、ここでは説明を割愛しますが depends_on 10 で依存関係の明示もできます。 init Terraformの初回実行時には、tfファイルのあるディレクトリ 11 上で terraform init を実行して初期化します。Terraformはtfファイルの内容をチェックし、必要なプロバイダやモジュールのダウンロード、バックエンドの初期化などを行います。 「モジュール」の詳細は今回割愛しますが、Terraformにおけるコードのカプセル化や再利用の単位です。関連するリソースをまとめてモジュール化し、variableやoutputブロックで入出を定義できます。自身のコードをモジュールで分割したり、インターネットに公開されたモジュールを利用したりできます。 なお、Google Cloudのプロバイダを使用する際 、Terraform は Application Default Credential(ADC) 12 を使って認証をするので、次のように gcloud コマンドで事前にログインしておく必要があります。 $ gcloud auth application-default login $ terraform init TerraformがダウンロードしたProviderやモジュールは、ワーキングディレクトリの .terraform という隠しディレクトリに保存されます。 plan Terraformを使ううえで最も重要なのが plan と次項で解説する apply です。 plan では、 apply でtfファイルの記述内容をターゲットに適用するときの実行計画を表示します。追加、変更、削除されるリソースや、具体的な変更内容が表示されるので、 apply の実行時に、インフラが受ける影響を事前に確認できます。 リソース追加の例 具体例で確認してみましょう。たとえば、新規リソースを作成するときは、図4のように新しく作成される項目が + 記号で示されます(図4は、先ほどのサンプルで新しいVPCが作られるときのplan出力例です)。 ▼図4 新しいVPCが作られるときのplan出力例 Terraform will perform the following actions: # google_compute_network.my_network will be created + resource "google_compute_network" "my_network" { (…省略…) + name = "my-network" + project = (known after apply) (…省略…) Plan: 2 to add, 0 to change, 0 to destroy. リソース変更の例 次に、一度作成したサブネットのオプションを変更するケースを考えます。main.tfにリスト5の❶の部分を追加してから、planを実行してみます(出力例は図5)。 ▼図5 変更後のplan出力例 # google_compute_subnetwork.my_subnetwork will be updated in-place ~ resource "google_compute_subnetwork" "my_subnetwork" { ❶ id = "projects/xxxx/regions/asia-northeast1/subnetworks/my-subnetwork" name = "my-subnetwork" ~ private_ip_google_access = false -> true ❷ # (11 unchanged attributes hidden) } Plan: 0 to add, 1 to change, 0 to destroy. 今回はすでに存在するリソース( my_subnetwork というサブネット)に対して変更が加わるため、2のように変更箇所 ~ 記号で示されます。 ▼リスト5 main.tfへの追加部分 resource "google_compute_subnetwork" "my_subnetwork" { name = "my-subnetwork" (…省略…) private_ip_google_access = true ❶ } ここでの例示は割愛しますが、リソースの削除や作りなおしを伴う変更の場合も、同様にplanで表示されます。 また、 plan はクラウド上のリソースの状態とステートの比較も行います。このため、Terraform以外の手段でインフラの状態を変更した結果、ステートとの食い違いが発生したときも、 plan によって検知できます。 さらに、 plan はTerraformのコードをリファクタリングしたときや、プロバイダのバージョンを更新したときなど、既存のインフラに影響が出ないことを確認する手段としても重要です。 リファクタリングの内容によっては、クラウド上のリソースが一度削除されてから再作成されたり、プロバイダの仕様変更によって既存のリソースが影響を受けたりすることもあります。 このようなことでインフラに意図しない影響を与えないためにも、 plan による差分チェックはとても重要です。 apply apply は、tfファイルの記述に従って、クラウド上のリソースを実際に変更します。前述の plan を実行しなくても apply は可能ですが、運用中のシステムに対して apply をかける前には、planによる影響のチェックがほぼ必須となるでしょう。キャディでは、GitHub上でPull requestが作られたときに plan を自動実行して差分を確認できるようにしています(次回詳しく紹介します)。 destroy destroy は、Terraformが管理するすべてのリソースを実際のインフラから削除します。tfファイル上で一部のリソースを削除した場合は apply で削除されますので、運用中のインフラに対して destroy を使用することはほとんどありません。検証時や開発環境などで「Terraformから作成したリソースをすべて削除したい」といった場面で使用することがほとんどでしょう。 ステートの裏側 最後に、Terraformを利用するうえで注意すべきステートについて解説します。ステートはTerraformの特徴的な概念であり、実運用中のクラウドインフラをTerafformで管理する際には、そのしくみをしっかり理解しておく必要があります。そうしないと、apply時に予期せぬ影響を与える危険があり、インフラの安定性を損ねるリスクがあるためです。 冒頭でも説明したとおり、ステートはTerraformの管理対象リソースの状態を保持するJSON形式のファイルです。terraformコマンドには、ステートを参照する機能もあります。 たとえば、前述のmain.cfをapplyしたあとのステートを表示するには、 state list コマンドを実行します 13 。 図6のように main.tf に記述した3つのリソースが表示されました。 ▼図6 state listの実行結果 $ terraform state list google_compute_instance.terraform_test google_compute_network.my_network google_compute_subnetwork.my_subnetwork リソースの詳細を表示するには、 state show コマンドを実行します(図7)。出力を見ると、purposeなどtfファイルには書かれていない情報もありますね。これは、Terraformがクラウド上のリソースから読み取った状態です。 ▼図7 satate showの実行結果 $ terraform state show google_compute_network.my_network # google_compute_subnetwork.my_subnetwork: resource "google_compute_subnetwork" "my_subnetwork" { name = "my-subnetwork" gateway_address = "10.2.0.1" ip_cidr_range = "10.2.0.0/16" purpose = "PRIVATE" (…省略…) } importによるドリフトの調整 ここで、ステートを意識すべき運用の実例を紹介します。 何らかの原因で発生するtfファイルとステート、クラウド上のリソース実体にズレが発生してしまうことをドリフトと呼びます。たとえば、tfファイル上の変更がapplyされていない状態もドリフトですが、このようなケースはapplyで解消できます。 一方で、Terraformで自動解決できないドリフトもあり、これはステートを意識した手作業の修正が必要です。その一例を紹介しましょう。たとえば、何らかの事情でクラウド上のリソースを先に手作業で作成してしまい、後追いでTerraformで定義したいようなケースです(図8)。 ▼図8 ドリフトの発生例 手作業で作ったリソースはTerraformの管理外であるため、このままapplyすると名前が衝突して作成できず、実体を削除しなければapplyできません。実体を削除せずに、コードと一致させるにはどうしたらよいでしょうか。 具体例で考えてみましょう。たとえば、図3とリスト4の状態に対して、手作業で新しいサブネット my-subnetwork2 を作成し、その後tfファイルにリスト6のような定義を追加したとします。 ▼リスト6 新しいサブネット作成後にtfファイルへ追加 resource "google_compute_subnetwork" "my_subnetwork2" { name = "my-subnetwork2" ip_cidr_range = "10.3.0.0/16" network = google_compute_network.my_network.id } この状態でplanを実行すると、createの差分が表示されます。tfファイル上のリソース記述はステートに反映されておらず、クラウド上に作成したサブネットはTerraform管理外であるためです(図8)。このままapplyすると、同じ名前のサブネットがすでに存在しているのでエラーになります(図9)。 ▼図9 applyでエラーになった google_compute_subnetwork.my_subnetwork2: Creating... ╷ │ Error: Error creating Subnetwork: googleapi: Error 409: The resource 'projects/xxxx/regions/asia-northeast1/subnetworks/my-subnetwork2' already exists, alreadyExists (…省略…) この状態を解消するために、 terraform import コマンドを使用します。図10の例では、クラウド上の my-subnetwork2 の状態を、ステート上の google_compute_subnetwork.my_subnetwork2 として取りこみます。 ▼図10 terraform importを実行 $ terraform import google_compute_subnetwork.my_subnetwork2 my-subnetwork2 これでtfファイル、ステート、実体がすべて一致するためplanを実行しても差分が発生しなくなります。手作業で作成したサブネットは、無事Terraformの管理下となりました。 Terraformには、これ以外にもステートの状態を編集するコマンドがいくつかあり、それらを活用することで柔軟な運用が可能です 14 。 セキュリティ上の注意 tfstateファイルには、リソースの設定値が含まれるので、取り扱いに注意が必要です。たとえば、TerraformでCloudSQL(GoogleCloudにおけるリレーショナルデータベース)のアカウントを設定するようなケースでは、アカウントのパスワードがtfstateファイルに保存されます。 リモートバックエンドでステート管理する場合は、関係者以外が参照できないようにアクセス権限を適切に設定してください。 また、Terraformにはtfstateファイルを暗号化する機能もあり、これを利用するのが最も確実です。筆者らも暗号化を進めているところです。 まとめ 今回は、Terraformの概念と基本的な使い方、また実運用時に注意すべきステートの扱い方法を中心に紹介しました。次回はGitHub ctions上でTerraformを実行し、Google Cloud上のインフラを自動デプロイするCI/CDパイプラインの構築事例を紹介予定です。 Terraformについては、本誌2022年1月号「TerraformではじめるAWS構成管理」や、『WEB+DBPRESS』Vol.128の「ゼロから学ぶTerraformでも詳しく紹介されています。  ↩︎ HashiCorp 社 https://developer.hashicorp.com/terraform/tutorials Google Cloud https://cloud.google.com/docs/terraform?hl=ja  ↩︎ https://developer.hashicorp.com/terraform/language  ↩︎ 明示しなくてもTerraformが自動判別してくれますが、プロバイダのバージョンを指定する場合は記述する必要があります。  ↩︎ Terraformがサポートするバックエンドは次のページで紹介されています。 https://developer.hashicorp.com/terraform/language/settings/backends/configuration#available-backends  ↩︎ 各ブロックタイプの説明は次のページで紹介されています。 https://developer.hashicorp.com/terraform/language  ↩︎ GoogleCloudPlatformProviderであれば次のページに記載されています。 https://registry.terraform.io/providers/hashicorp/google/latest/docs  ↩︎ https://registry.terraform.io/providers/hashicorp/google/latest/docs/resources/compute_network  ↩︎ ここでは main.tf という名前にしていますが、拡張子を .tf とする以外の決まりはありません。ファイルの分割も自由で、実行時のカレントディレクトリ配下のtfファイルがすべて処理対象になります。  ↩︎ https://developer.hashicorp.com/terraform/language/meta-arguments/depends_on  ↩︎ ワーキングディレクトリと呼びます。  ↩︎ ADCは、アプリケーションがGoogleCloudへアクセスするときに利用する標準的な認証のしくみです。 https://cloud.google.com/docs/authentication/application-default-credentials?hl=ja  ↩︎ リスト4ではバックエンドを指定していないので、一度applyを実行するとローカルに terraform.tfstate という名前でtfstateファイルができているはずです。  ↩︎ statemv 、 staterm など。詳細は次のページで解説されています。 https://developer.hashicorp.com/terraform/cli/state  ↩︎
こんにちは、DRAWER Enabling QAチームの猿渡です。 この記事ではDRAWER QAチームで進めているE2Eテスト自動化についてご紹介します。 課題 CADDi DRAWERにはQAチームがあります。品質保証業務は、開発エンジニアや外部パートナーなど様々な方と連携し行っています。 現在QAが行っているテストは、システム全体をスコープにしたエンドツーエンド(E2E)テストです。。 CADDi DRAWERでは、DRAWER Product Testing Guidelineにより、以下のテストカテゴリを定義しており、E2Eテストでは、Test Size: Largeの「Story Tests」と「Scenario Tests」のCategoryに対して ソフトウェアテスト ライフサイクル(STLC)を行っています。 [DRAWER Product Testing Guideline] Category Test Size Description Run Timing Quality Unit Tests Small 依存はStubする。そのDomainやDomain Service、Use Caseの振る舞いが正常なのか検証する。 Local, CI 内部品質 Integration Tests Medium コンポーネント が外部に依存するDBや外部サービスといった別 コンポーネント との結合をテストする。 Local, CI 内部品質 Component Tests Small 外部依存はStubする。そのService単体として振る舞いが正常に行われているかどうか検証する。 Local, CI 内部品質 Scenario-Based Integration Tests Medium システム全体としてシナリオテストが満たせるかどうか API のみで検証する。つまり、Scenario Test から UI 操作を除いたもの。Stubは使わない。 CI 内部品質 Story Tests Large 開発機能の受入条件が満たされているのか検証する。 Before Release 外部品質 Scenario Tests Large ユーザーの代表的な操作シナリオを定義して リグレッション が発生していないかUIから操作して検証する。 Before Release 外部品質 今のE2Eテストは全て手動テストで実行していることで、今後「E2Eテストがリリースの ボトルネック になることによる、顧客に対する価値提供が遅れ」が顕在化することが想定されます。 CADDi DRAWERの開発チームは、事業の急成長に合わせて拡大し、開発生産性も向上しています。ソフトウェア開発ライフサイクルの高速化に合わせて、 ソフトウェアテスト ライフサイクルも同期させる必要があります。 早くソフトウェアが価値を生み出すために、一定のQuality Gateとして機能しているE2Eテストを高速化させ、顧客への価値提供のリードタイムを短くすることが重要です。 さらに、将来的には、マイクロサービスでのE2Eテストによる品質保証にも課題があると考えます。今まで通りにシステム全体に対するE2Eテストでは、テストがフェールすると、その原因となった問題が解決されるまで、すべてのマイクロサービスのリリースがブロックされてしまいます。マイクロサービスが ユーザーインターフェース を持っている場合のE2Eテストの扱いについては今後のテーマと捉えていますが、独立的なE2Eテストが必要になるのではと考えています。 目指すは『テストピラミッド』のようなShift Leftされた状態を思い描きながら、まずは、ピラミッドを登りながら改善を進めるのではなく、ピラミッドの頂上から改善を進め、「リードタイムの短縮」「マイクロサービスでの独立したE2Eテスト」をGoalとし、E2Eテストをできるだけ自動化することへの取り組みを始めました。 E2Eテスト自動化に向けて QAチームが所属するEnablingチームには、ArchitectureチームとSREチームがいます。特にE2E自動化のCI/CDなど環境構築はSREチームと協力しながら進めています。 E2Eテスト導入のROIとテスト戦略 E2Eテスト導入のROIとして、ローコード系有償ツールを導入した場合の試算をしました。ただし、自動化によって得られる継続的な価値(Delivery高速化の価値など)を数値化することは難しかったので、金銭コスト、時間コストで効果測定しました。 To-BeのE2Eテスト戦略として、手動テストと自動テストの役割を決めました。自動テストの担当はテスト自動化アーキテクトをメインとしたエンジニア(SDET)が担当、手動テストはテストエンジニア(TE)が担当することでハイブリッドなSTLCとし、品質面で品質保証エンジニア(QA)が伴走する形を考えています。 Category テスト担当 品質担当 手動テスト Story Tests: Functional Tests Test Engineer(TE) Quality Assurance Engineer(QA) 自動テスト Scenario Tests: Functional Regression Test Software Development Engineer in Test(SDET) Quality Assurance Engineer(QA) 自動テスト Scenario Tests: Visual Regression Test Software Development Engineer in Test(SDET) Quality Assurance Engineer(QA) 自動化ツール選定 と実行環境 選定はローコード系と オープンソース 系で行いました。費用、学習コスト、汎用性、拡張性、コーディングスキルの観点でPros/Consを整理した結果、 オープンソース のPlaywrightを採用しています。詳細は、次項に記載します。 上記のテスト戦略から、まずは「Visual Regression Test」の自動化から取り掛かることにしました。 Playwright + reg-suitで実践するVRT E2Eテストの自動化を、CI/CDのパイプラインを利用して開発のサイクルに組み込む方針で実装を検討してみました。 上述の通りツールはPlaywrightを採用しており、Playwright単体でもVRTは実現できますが、reg-suitというツールを組み合わせるとより高機能なレポートを生成することができます。 (インストールやセットアップについては今回の記事では扱いません) なぜreg-suitを採用したのか? VRTをするためにシンプルかつ十分なUIが用意されている シンプルにファイル名での比較をするので利用に際しての難易度が低く、合わせて利用するツールの自由度が高い 外部ストレージへの保存がデフォルトで搭載されており、データのポータビリティ性が高い 実装方針 CADDi DRAWERの開発チームではgit tagを利用したリリースフローを採用しており、tag間の差分でVRTを実行する方針とします。 reg-suitには reg-simple-keygen-plugin という プラグイン があり、任意のKeyを利用して比較を行うことができます。この プラグイン のKeyをtagにすることによりtag間の比較を行います。 処理の流れとしては以下のようになります。 1. regconfig. json で設定されているactualDirに画像ファイルを出力する(playwrightのscreenshot機能を利用) 2. regconfig. json に直前のtagと現在のtagを比較するように設定する 3. reg-suitを実行してレポートを作成する git tagベースのVRTの実装 regconfig. json は以下のようになります。 { "core": { "workingDir": ".reg", "actualDir": "directory_contains_actual_images", "thresholdRate": 0, "ximgdiff": { "invocationType": "client" } }, "plugins": { "reg-simple-keygen-plugin": { "expectedKey": "EXPECTED", "actualKey": "ACTUAL" }, "reg-notify-slack-plugin": { "webhookUrl": "<slack incoming webhook url>" }, "reg-publish-gcs-plugin": { "bucketName": "<your bucker name>" } } } expectedKeyとactualKeyは GitHub Actionsの中で直前のtagと現在のtagで置換します。 GitHub Actionsのworkflowは以下のようになります。 name: VRT on: push: tags: - 'v*' jobs: tag_push: runs-on: ubuntu-latest permissions: contents: read id-token: write steps: - id: 'auth' name: 'Authenticate to Google Cloud' uses: 'google-github-actions/auth@v0.4.0' with: project_id: ${{ secrets.GCP_PROJECT_ID }} service_account: ${{ secrets.GCP_WIF_SERVICE_ACCOUNT }} workload_identity_provider: ${{ secrets.GCP_WIF_PROVIDER }} - name: Checkout main branch uses: actions/checkout@v3 with: ref: main fetch-depth: 0 - name: Use Node.js uses: actions/setup-node@v1 with: node-version: "18.x" - name: Run npm install run: | npm ci - name: Install Playwright Browsers run: npx playwright install --with-deps - name: Run playwright run: | npx playwright test - name: Replace reg-suit tag run: | sed -i "s/EXPECTED/$(git tag | tail -2 | head -1)/g" regconfig.json sed -i "s/ACTUAL/$(git tag | tail -1)/g" regconfig.json - name: Run reg-suit run: | npx reg-suit run git tagがpushされるタイミングで実行されます。 reg-suitを実行する際にGCSへの読み取りと書き込みが発生するため、 GitHub Actions内でGCSにアクセスするためにWorkload Identity連携を利用してアクセスできるように設定してあります。 実装方針に則りVRT関連の処理は以下の3 stepになります 1. playwrightを実行してscreenshotを取得する( Run Playwright ) 2. regconfig. json の書き換え、expectedKeyとactualKeyをgit tagで置換する( Replace reg-suit key ) 3. reg-suitを実行してレポートを出力する( Run reg-suit ) 実行が完了すると以下のようなslack通知とVRTのレポートが作成されます(サンプルの スクリーンショット )。 ! 今後の課題 git tagを利用してのVRTを構築しましたが、実際のところアプリケーションのデプロイはArgoCDでのimage tagの書き換えを起点として実行されます。 なので GitHub ActionsのTriggerを利用した実行ではなく、GKEにある該当Deploymentに対するArgoCDでのSyncオペレーションを起点として実行される仕組みが必要になります。 もう1点レポートはGCSに保存されるようになっていますが、レポートを閲覧するためには Bucket を公開設定にする必要がありセキュリティの懸念があります。キャディではCloudflareを利用しているため、Cloudflare Access を利用することで特定のユーザーのみのアクセスに制限するなどの対策を今後実施していく必要があります。 今後のE2Eテスト自動化 Visual Regression TestのSTLCへの組込み後、Functional Regression Testの自動化を試みる予定にしています。CADDi DRAWERでは機能拡張が継続的に行われて、合わせて リグレッション テストもスケールしています。この増加に対処できるように機能テストの自動化が必須であると考えています。複雑度が高く、探索的テストが効果的なものは手動テスト、それに対して複雑度の低いテストは自動化を進める方針です。 E2Eテストでは手動と自動のハイブリッドなテストでプロダクト品質の管理を行いたいと考えています。 QAはチーム立ち上げ期で、不確実性の多い環境の中でQAエンジニアとして組織やプロダクト・サービス品質の向上に取り組んでいます。ソフトウェア品質保証、テストエンジニアリング、テスト自動化のご経験のある方、カジュアル面談もやっていますのでぜひお気軽にご連絡ください。 エンジニア向け採用サイト https://recruit.caddi.tech/ 求人一覧 https://open.talentio.com/r/1/c/caddi-jp-recruit/homes/4139 参考文献 https://www.oreilly.com/library/view/software-engineering-at/9781492082781/ https://www.infoq.com/jp/news/2021/02/end-to-end-testing-microservices/ reg-viz/reg-suit: Visual Regression Testing tool
 みなさんはじめまして。CADDiで図面解析チームのテックリードをしている稲葉です。今日は、我々のチームがどういった図面解析の機械学習モデルをどのように開発しているのか、それをどのように改善しようとしているかを紹介したいと思います。 目次 どういう図面解析が必要なのか CADDiの機械学習モデル開発の流れ 継続的な機械学習モデルの改善に向けて おわりに どういう図面解析が必要なのか  CADDiでは図面活用SaaSであるCADDi DRAWERを提供しています(DRAWERの詳細に関しては こちら )。図面はどういうものが作りたいかを示した設計図なわけですが、PNG画像やPDFなど2次元図面画像で保管されており、構造化されていないデータである事が多いです。作りたいものが何を素材としているか、どのように加工すべきかなどが画像になっているため、人の目では分かってもコンピュータ上では管理し易い状態になっていません。そのため特定の図面を自動で探し出すのは難しく、ベテランの記憶や勘に頼っていたりします。そこで、DRAWERでは検索・活用し易くするため図面画像から重要な項目を認識して構造化する解析処理が行われています。また、認識する対象範囲もさらに広げることが望まれています。  現状では、どういう認識モデルを開発しているかというと、 類似特徴抽出 形状など OCR 全文字列 表題欄(図面番号や名称など) 寸法 記号検出 溶接記号など などといったものです(図1)。図面解析だけでもかなり多いですね。さらに、図1に示した例のような図面ばかりではなく、一度紙に印刷されたものをスキャンして画像として取り込まれた図面もありますし、手書きの図面もあります。また、図面の描き方やフォーマットはお客様に依っても様々です。もちろん画像処理・アルゴリズムで解ける部分もあるのですが、機械学習の方が向いているタスクや機械学習に頼らざるを得ないタスクも多いです。 図1. 図面解析の例 CADDiの機械学習モデル開発の流れ  CADDiでの機械学習モデル開発の流れの話を紹介したいと思います。みなさんにとっては釈迦に説法の部分もあると思いますし、これが一番良い開発フローだ!と思っているわけでもないのですが、CADDiならではの部分もあると思いますのでお付き合いください。  世の中で機械学習モデル開発の流れは色々なところで語られているのですが、自分はUberさんの機械学習開発プロセスの概念図(図2)がしっくり来ているのでこれをベースに各工程でどういうアウトプットを定義しているかを紹介していきます。全体の大きな改善ループに加え、PoCフェーズの試行錯誤が表されています。 図2. 機械学習モデル開発の流れの例 ( ML Engineering Lessons Uber Learned from Running ML at Scale より引用) 1. Define 1-1. 問題設定  このステップでのアウトプットはPRD: Product Requirements DocumentとDesign Docです。プロジェクトを始める際は、主にプロダクトマネージャらが下記に示す項目を含んだPRDを書いてくれています。 背景 スコープ(やること、やらないこと) ターゲットユーザ ユースケース 機能要件 非機能要件 リリーススケジュール  そして、このPRDを叩き台として関係する開発チームが合同で読み合わせを行い、詳細を具体化したり、懸念点を洗い出したり、機械学習でやるべきなのかどうかも含めて議論します。また、機械学習に限らないですが認識モデルを作る際は、入出力の定義・評価方法・目標値も大事になります。図面特有の記号などはJIS規格で種類や補助記号(図3に記号例を示します)が定められているのですが、いきなり全ての記号に対応しようとするとアノテーション工数が増大しリリースに時間がかかってしまうため、今必要とされているスコープに合わせて調節することもあります。機械学習はやってみないと・実際にデータを見てみないと性能がどれくらい出るかを見積もるのは難しいですが、評価方法や目標値もユースケースに合わせて仮置きではありますが決めています。  ここで話し合った内容を基に、 こちらのml-design-docフォーマット から必要な部分を抜粋し、Design Docを書いています。後のステップを進める中で、ここで決定した内容に追加・修正をすることはもちろんあります。 図3. 表面粗さJIS記号の例( 表面粗さと溶接を図面で指示するJIS記号 より引用) 1-2. アノテーション定義  このステップでのアウトプットはアノテーション定義書・作業マニュアルです。図面という特殊ドメインの画像タスクですので、オープンデータセットをそのまま活用できることは少なく(もちろん事前学習に使うことはできます)、人間による正解値(アノテーション)が必要なことがほとんどです。実際に図面を見つつ決まったスコープに従ってアノテーションの実例や例外ケースなどをまとめていきます。このようなアノテーション定義はドメイン知識がかなり必要なところなので、実際に図面からモノを作る CADDi MANUFACTURING事業 で培った経験を持つ方のお力を借りています。最近では、ドメイン知識をカバーし、アノテーションのQuality, Cost, and Delivery: QCDを高める役割を持ってくれるAnnotation Opsチームが発足したため、とても進め易くなりました。 2. Prototype 2-1. データセット作成  このステップでのアウトプットは入力データと出力したいアノテーションのセットから成るデータセットです。お客様から預かっている大量の図面データをサンプリングして、アノテーション定義に従ってアノテーションしていきます。Annotation OpsにアノテーションのQCDを管理してもらっていると先ほど述べましたが、それぞれで実施している取り組みを紹介します。  まず、Qualityに関してはオンボーディング、Q&A、二段階承認フロー、抜き取り検査を実施しています。オンボーディングでは、実際にアノテータさんにアノテーションタスクの例題をいくつか実施してもらい、想定するアノテーションができるようになるまで練習していただいています。Q&Aでは、アノテータさんからアノテーションの判断に困った際の質問・回答をアノテーション定義書・作業マニュアルとして更新し、できる限りアノテータさん毎にブレが生じないように、アノテーションに迷いが生じないようにしています。質問は基本的にAnnotation Opsのメンバーが対応していますが、認識モデルの学習で問題になりそうなところは機械学習エンジニアと相談して決めています。二段階承認フローは、最初にアノテーションするアノテータさんとは別のアノテータさんがアノテーションをチェックし、修正が必要であればコメントを残し再度アノテーションプロセスに戻すようにしています。抜き取り検査は全て承認が通ったデータをいくつかサンプリングし、Annotation Opsのメンバーが評価しています。この際の良品率をKPIとして追っています。  次に、Costに関してですが、基本的にアノテーション速度を上げるために、プレアノテーションとショートカットキーの利用促進を実施しています。プレアノテーションは、皆さんご存じの通り、既に認識モデルがある場合はその認識モデルの結果を初期アノテーションとして登録することです。ショートカットキーの利用促進は、アノテーションツールにデフォルトで”クラスの切替”や”アノテーション削除”などのショートカットキーが設定されているため、それらをアノテータさんに共有しています。キーボードだけでなく、マウスのボタンにもキーを設定することもできるため試行錯誤しています。  最後に、Deliveryの部分ですが、予実管理を毎日行っています。データセット作成の期日に間に合いそうに無ければ、期日を調整するかアノテータさんのアノテーションと他の作業の工数割合を調整しています。  これらの取り組みはアノテーションツールの選定も重要になります。以前はオープンソースを活用していたこともありましたが、セキュリティ面や上記で示したようなことがプロセスとして組めるかどうかを考慮した結果、 FastLabel さんのツールを利用させていただいています。 2-2. 学習・評価  このステップでのアウトプットは学習・評価コードと評価レポートです。図面解析チームにはkaggle含め経験豊富な機械学習エンジニアが居ますので、バリバリ開発してくれています。実際どういう技術を使っているかや技術スタックは、また別の機会にメンバーから紹介する予定ですのでここでは割愛します。 3. Production 3-1. デプロイ  このステップでのアウトプットはAPIサーバとドキュメント類(モデルカード、テスト結果)です。 ML API基盤 に関しては既にTech Blogに書かれていますので、ぜひ読んでみてください!テストは、PoCの性能が再現できているかの性能テストと想定リクエストでどれくらいのレイテンシ・スループットで処理できるかを見積もる負荷テストを実施しています。PRD作成時に要件を決めていますので、満たせているかどうかを確認しています。 4. Measure 4-1. 監視  デプロイしたWeb APIのレイテンシ・スループットなどは日々監視・ロギングしており、サービス提供に問題が無いかを確認しています。次項で示す機械学習モデルの改善にも関連するのですが、性能面での監視やフィードバックの貰い方の仕組み化も進めているところです。 継続的な機械学習モデルの改善に向けて  ご存じの通り、機械学習モデルは一度作って終わりではありません。新しいお客様に契約いただくことで図面のバリエーションも増えますし、中々現れないレアケースの認識対象もあります。なので、継続的な改善が必要なのですが、そのために”重要なデータを集める仕組み”と”機械学習パイプライン”の構築を考えています。改善ループのイメージを図4に示します。 図4. 機械学習モデルの改善ループ  重要なデータというのは、性能向上に寄与するデータや顧客価値を毀損しているデータのことを指しています。集め方としては下記が考えられます。 能動学習: 不確実性が高いデータを現状のモデルを使ってマイニングする お客様とやりとりがあるCustomer Successチームや実際にデータを処理するOpsチームなど社内全員で課題データを挙げて収集する ユーザであるお客様にDRAWERアプリ内から直接課題データを挙げてもらう これらの内、まずは2の仕組みを作り社内の人間であれば誰でもアノテーションタスクとして登録できるようにして試験運用を開始しました(図5)。DRAWERで登録してある図面画像は一意に定まるIDで管理されていますので、ID群とタスク名と登録した理由を入力して実行するだけでアノテーションツールに登録され、リンク先から実際にアノテーションすることができます。アノテーションツールは FastLabel さんのツールを利用していますが、アノテーションタスクを管理するWebAPIや FastLabel Python SDK が揃っているため、容易にこのようなフローを作ることができました。多くの人間でアノテーション登録をするとノイズになるようなデータが含まれるのでは?という懸念もありますが、データセット化されるためには他のアノテータの承認が必要となるため、アノテーションの品質は担保できると考えています。 図5. アノテーション登録UI  機械学習パイプラインは上記のようにして収集したデータを活用し、定期的に”前処理-学習-評価-デプロイ”を自動実行する仕組みですが、絶賛開発中です。MLOpsチームのメンバーがまた紹介してくれますのでここでは詳細を割愛しますが、機械学習モデルの更新サイクルを高速化するため、また機械学習エンジニアが新しいモデルの開発など得意な領域に注力できるようにするため、開発を進めています。  これらの仕組みを組み合わせることで、お客様などからいただいた課題に迅速に対応してサービス品質を向上させ、より良い顧客体験が産み出せるようにしていきたいと思っています。この辺りの話は今井が Data-centric AI勉強会で話した資料 もありますので、ぜひ目を通していただけると嬉しいです。 おわりに  CADDiの機械学習モデル開発の流れと継続的な機械学習モデルの改善に向けてどのようなことに取り組んでいるかを紹介しました。図面解析は新機能の開発も進んでおり、DRAWERの機能としても増えつつあるのですが、まだまだ必要な機能がありますし、各認識モデルの改善も必要です。また、今回は2次元図面画像解析の話をしたのですが、2次元図面だけでなくもちろん3次元図面(3DCAD)も今後扱えるようにしていきたいと思っています。やりたいことは沢山あるので、ぜひ一緒に開発を推進してくださるメンバーを募集しています。興味のある方、是非気軽にご連絡ください! エンジニア向けサイト https://recruit.caddi.tech カジュアル面談 https://youtrust.jp/recruitment_posts/53ac0bf30d7855e9d45f0ea7fc2be3d3 機械学習エンジニアの求人 https://open.talentio.com/r/1/c/caddi-jp-recruit/pages/79797 The post CADDiの機械学習モデル開発の流れと継続的な改善 appeared first on CADDi Tech Blog .
こんにちは、DRAWER Enabling Architectureチームの刈部です。 この度、弊社はシリーズCの資金調達を実施しました。これを受けTech Blogを盛り上げようというPRの施策に乗っかり本稿に繋がるのですが、なかなか筆が乗らず気づいたら調達の発表から1ヶ月近く経ってしまいました。計画的に生きたい。 content.caddi-inc.com さて、この記事ではDRAWER開発チームにEventStormingを導入した件について、導入時の課題や良かった効果について紹介しようと思います。 EventStormingとは? 本題に入る前にEventStormingに関する簡単な紹介です。 EventStormingとは、ドメインモデリング手法のひとつです。ドメインエキスパートとステークホルダーがビジネスプロセスを協働して整理することを通じて、サブドメインや境界付けられたコンテキストを見つけ出します。 EventStormingでは3つのアクティビティを順に行います。 Big Picture: ビジネスプロセス上の意味のあるイベントを思いつくだけ付箋に書き出して時系列に並べます。 Process Modeling: 書き出されたイベントの発火条件やデータフローを整理します。 Software Design: Aggregateを抽出します。 EventStormingのアクティビティを進め方については 本家の記事 でも抽象的な説明が多いです。私自身正しく理解できている自信がありませんが、個人的にはBPM(Business Process Modeling)とDDD(Domain-Driven Design)を組み合わせたようなものだと簡単に理解しています。 EventStormingを導入した経緯 現在CADDi DRAWERの開発チームでは、事業の急拡大に対しシステムと開発組織をスケーラブルにするためリアーキテクチャを行っています。リアーキテクチャではサービス導入当初から運用されているモノリシックなシステムの分割やコアドメインとなるドメインモデルやデータモデルの整理が含まれています。 まずそれらに仕掛かるために現状のシステムについて整理する必要がありました。下図は同僚が作成した資料になります。 この資料は画面から呼び出されるバックエンドのAPIと図面解析パイプラインなどが、それぞれどのテーブルを参照・更新しているのか整理したものになります。 これにより現状の把握は劇的にしやすくなりました。一方で「これらの操作は誰がどのようなユースケースで行っており、ビジネスプロセス上どのような意味を持つのか」という文脈は理解できません。ビジネスプロセスを整理した上でリアーキテクチャを進めるためにEventStormingを採用しました。 苦戦したこと 実際にEventStormingのアクティビティに取り組んでみると下記の課題にあたりました。 解釈がメンバー間で揃わない EventStormingの各アクティビティについて明確な作法はありません。チームのメンバー同士でCommandやEventの粒度や書き方が異なることが度々ありました。共通言語がより少ないエンジニアと非エンジニアの間では「何を書くか」ではなく「どう書くか」について擦り合わせる時間が多く必要となりました。 例えば「xボタンがクリックされた」や「xが確認された」のようなイベントです。それらはたしかに”発生する出来事”ではありますが、ビジネスプロセスにおける”重要な出来事”ではありません。 既存仕様に引っ張られる EventStormingに限らないですが、ビジネスプロセスにおける”重要な出来事”ではなく今現在のUIやシステムの制約において”発生する出来事”にどうしても引きづられてしまいました。EventStormingのアクティビティに明確な作法がないため、行き詰まった時に既存仕様や既存設計から発想を拡げやすいからです。 異常系の扱い 設計が進んでいくと様々な考慮事項が見えてきました。特に異常系をEventStormingで表現するのは難しく、異常の内容に応じて細かく分岐を書こうとすると本来描きたいビジネスプロセスにノイズが多く発生するほか、矢印だらけの図になり非常に見づらくなってしまいます。 難しいのは異常系のハンドリングそれ自体ではなく(技術的にはもちろん難しいわけですが)、EventStormingによって解像度が上がった時、我々エンジニアは未考慮のものを未考慮のままにして前に進みづらい性格をしているということです。そうするとビジネスプロセスよりも異常系の場合分けに時間を浪費してしまいます。 工夫したこと 身も蓋もないですが、まずはとにかく慣れることに集中しました。EventStormingもDDDも誰がやっても同じ結果になるものではなく、解像度を上げながら対話によってドメインモデルを深化するしかないと割り切りました。正しくEventStormingを行うことよりも、我々の扱っているビジネスプロセスの関心事に集中すると、自然と枝葉が削がれていきました。 また、小さな成功体験を生むためにもまずは正常系のプロセスを1本通すことを優先し、細かい分岐は後回しとしました。 EventStormingは後のアクティビティになるにつれて点と点が結ばれていきます。すると前半に出した付箋にどのような意味を持つのか、または持たないのか答え合わせされていきます。これによりビジネスプロセスの中で本質的に何に関心を持つべきなのか学習が進みます。 下図が実際にチームで行った成果物になります。 これによってチーム内外で同じものを指差してコミュニケーションが取れるようになりました。システム間のI/Fについても貼られたDomainEventを参考に設計しやすいため、開発者間で認識がズレにくいという効果もありました。 そして全体へ... 前述の通りDRAWERは事業の急拡大に応じてチーム数が急増しました。しかし、システム境界やチーム境界が曖昧な部分があり、チーム間に歪みを生み、ディスコミュニケーションが起きていました。 今回のリアーキテクチャを期にビジネスプロセス全体をEventStormingによって整理して、見つけた境界付けられたコンテキストによってシステム設計や組織設計もしようという流れになりました。 良かった点 大まかに境界付けられたコンテキストが見えてきました。それによりチームやシステムの分割の材料になりました。 現状のチームの隙間に存在するEventや認識の違いが表出しました。またシステムに関係する箇所だけではなく、人力のオペレーションの複雑さも表出しました。 全体へ導入する進め方について、結果論ではありますがトップダウンに進めたことは功を奏しました。リソースや開発の優先度の調整が可能なポジションにある人が全体の旗振りをするのはとても効果的でした。 今後の展望 EventStormingによってビジネスプロセスやドメインモデルの解像度が非常に上がりました。チームを越えて認識を揃えられる点や実装に落とし込みやすい点においても非常に強力なフレームワークでした。 一方で、EventStormingの本当の難しさはやって終わりではなく育てていくことにあると思います。 全体最適の共通言語として 組織が大きくなりチームが分割されていくと徐々に意思決定がサイロ化していきます。チーム間で情報が非対称であったりコミュニケーションコストが大きいと、自分達がコントロールしやすい選択をしてしまいます。 そんな時、各チームでの最適な意思決定を行うのではなく今回のEventStormingの成果物に立ち戻れるようにしていきたいです。プロダクトの機能はシステムだけでなくオペレーションも含めて価値であるということを強く意識し、局所最適の積み重ねではなく全体最適を志向し続ける必要があります。 ビジネスプロセスの洗練 また、EventStormingの成果物を定期的に見直して不要なドメインイベントを減らしていきたいと考えています。不要な分岐が減ることはデータやプロセスの標準化に繋がるだけではなく、システムの運用容易性にも繋がり、システムの拡張性や高いアジリティの獲得に繋がると考えています。 定型句になりますが採用についてです。複雑で絡み合ったドメインモデルをソフトウェアに落とし込むことに興味がある方、良い機能を生み出す組織や文化を作ることに興味がある方を募集しています。カジュアル面談もやっていますのでぜひお気軽にご連絡ください。 recruit.caddi.tech open.talentio.com 参考文献 Resources - EventStorming Domain Modeling Made Functional [Book] Practical Process Automation [Book] イベントストーミング入門【ノーカット版】 - YouTube EventStormingでモデリングしてみた | KINTO Tech Blog | キントテックブログ 新しいモデリング手法: EventStorming (イベントストーミング) をはじめるための準備 - yoskhdia’s diary イベントストーミング導入
注意! 2023年8月時点の内容となりますので、参考情報としてご覧ください。現在、 アーキテクチャ を見直し、同等の機能をより効率的に実現できる構成にして随時開発中です。機会が来たら新しい アーキテクチャ の構成を紹介します CADDi Platformグループの前多です。 私たちはCADDiのプロダクト横断の技術課題を解消するための活動をしています。 これまでの活動の詳細は 信頼性を高めるサービス基盤と技術選定 を見てください。 これまでの活動は クラウド インフラや開発環境の整備などが大半でしたが、今後のCADDiのプロダクト開発を発展させるために、プロダクト共通で必要となるサービス基盤の開発にも着手しています。 現在私たちが開発しているのは、CADDiプロダクト全体で利用する想定の認証認可基盤です。 認証認可に関する製品は、 Auth0 などの SaaS をはじめ、他にもさまざまな製品があります。 私たちが開発している認証認可基盤は、これらの製品をただ導入するだけではなく、CADDiの事業形態に合わせて複数の製品や自作のサービスを組み合わせて構築したものです。 この記事では、CADDiのプロダクトの変遷および、独自の認証認可基盤を開発する理由と設計について記します。 なお余談ですが、私たちの認証認可基盤には Notcher というコードネームが付いています。 Notcher というのは切り込みを入れるためのハサミのことです。 かつての日本の鉄道では、紙の切符に駅員の方がハサミで切り込みを入れて、駅のホームに入ることができました。 つまり、切り込みを入れた切符は トーク ンであり、私たちの認証認可基盤も認証の結果として トーク ンを発行することから、コードネームの由来となっています。 CADDiプロダクトの変遷 CADDiの事業は製造業の部品の発注から納品までを 一気通貫 で行う CADDi MANUFACTURING から始まっています。 CADDi が企業から発注を受け、部品の製造をパートナーに依頼し検品との納品までを行うため、製造過程を管理するためのプロダクトを内製しました。 少々古い内容ですが、内製プロダクトについては こちらの記事 などが参考になるでしょう。 その後も私たちは事業の内容や拡大に伴い、いくつかのプロダクトを作っていきました。 そこで、大量に発生する紙の図面と製品を効率よく管理するために、図面にIDを付与し、紙のデータをデジタル化して管理するプロダクトが生まれました。 そのプロダクトを開発した経験から、図面をデジタル化して有効活用するニーズは製造業に広くあるのではという仮説が生まれ、 AIによる類似図面の判定機能を追加して SaaS 化したものが、 CADDi DRAWER です。 ここに来て私たちは、内製プロダクトを SaaS 化し、かつCADDi社内での利用から社外への展開をはじめました。 もちろん上記で触れた以外にもCADDiでは多くのプロダクトがあります。 そして、将来これらのプロダクト群を連携させ、社外にも展開していく構想があります。 そのためには次のような考慮が必要です。 プロダクト群を一貫したユーザー体験で提供する API を統一された方式で公開し、CADDiプロダクト群や サードパーティ のツールとも連携する 社内のプロダクト開発やプロダクト間連携の標準化・効率化・品質担保を推進する この構想を実現するための下地として、認証認可基盤の開発を始めました。 認証認可基盤が必要な理由 CADDi のプロダクトは社内プロダクトから始まったため、社員が使えれば良いということで認証認可は最低限の実装となっていました。 CADDi では社員アカウントは Google Workspaceで管理しています。内製プロダクトの認証は Auth0のSocial Login を使って、 Google Workspaceのアカウントでログインしていました。 社内利用ということもあり、当時は社員のログインだけできればよく、認可の要件はありませんでした。 CADDi DRAWER の認証についても、当時は使い慣れたAuth0で利用者を管理することにしました。 CADDi Drawer専用のAuth0テナントでアカウント管理をしていて、利用者の所属企業などはユーザーの属性として保持しています。 この頃から、あるプロダクトから別プロダクトのデータを取得したいといった要望が出てきます。 しかし人による認証を念頭に置いていたため、 API 間の認証についての検討が十分ではありませんでした。 また、他にも社外提供を前提としたプロダクトの開発が始まったり、 CADDi Drawerでも会社ごとに独立した2FAやパスワードポリシーを設定したり、認可制御をしたいといった要望も出てきました。 拡大し続けるプロダクトについていけるように、今まで劣後してきた認証認可について考え直す必要性が出てきました。 認証認可基盤の設計 新しく認証認可基盤を設計するにあたり次のことを重視して設計しました。 また、OIDC/OAuth2 という認証認可の標準に則ることを前提としています。 マルチテナントのユーザ管理 認証と認可の分離 セキュアな API 間通信 マルチテナントのユーザー管理 これまでのプロダクトの認証は、プロダクトの性質に合わせて複数のAuth0テナントに分散していました。 また、CADDi Drawer ではユーザー属性に所属企業の情報を持たせることでユーザーの所属を設定していました。 この状態のままプロダクトを拡大していくと以下の点で運用しづらくなります。 まず、SSO( シングルサインオン )のような認証機能の使いやすさを大きく損ねます。 プロダクトごとにAuth0テナントのような認証サービスが分かれていると、複数のプロダクトにわたって共通でログインすることができません。 同じIDであってもプロダクトごとにログインをしたりパスワードが分かれてしまったりします。 従来では、認証サービスから Google workspace によるSocial Login によって社員は同じIDが使用できましたが、社外利用のユーザーにとってはそうでありません。 将来のプロダクト増加と利用企業増加に伴う、単一の認証サービスが必要です。 そして、単一の認証サービスであっても利用する企業ごとにユーザーを管理できるマルチテナントの機能も必要です。 現在のCADDi Drawerでは利用企業のユーザー管理はCADDiで実施しています。 将来的には、CADDiのプロダクトを利用する企業自身でユーザー管理を行うことを理想としています。 また、利用企業のセキュリティ基準に合わせた セキュリティポリシー や認証機能を実現することも想定しています。 現在でも企業ごとに、MFAやIP制限といった追加ルールを提供していますが、 さらに SAML や SocialLogin、 パスワードポリシーの設定といった内容を企業ごとに独立して設定したいという要望に対応したいと考えています。 このような背景から、単一システムでマルチテナントに対応するユーザー認証サービスの実現を根幹として、認証認可基盤の設計を進めました。 当初は独自開発を考えていませんでしたが、 OSS 、有償製品、 クラウド のサービスなど広く調査した結果、この要件を完全に満たしコスト的にも満足できるものはありませんでした。 ここでネックとなったのが、 「CADDiのプロダクトを利用するユーザーは、企業の中の一部門の方に限られる」 という背景です。 つまり、利用テナント数は多いがテナント内のユーザー数は決して多くないという想定です。 多くの製品では、テナント数の制約に上限があるか追加コストが必要でした。 また、ユーザー数が増えるほどコストが下がるような恩恵もこの形態では得られません。 そこで、認証サービスについては単一の製品で機能を実現することは諦め、低コストのID管理サービスに自分達で必要な機能を追加するという方針をとっています。 認証と認可の分離 マルチテナントのユーザー認証と同時に検討していたのが、認証と認可の分離です。 一般的にマルチテナントというと、認証認可に関する機能すべてが独立したものとして扱われます。 例えば、署名なOIDC/OAuth2の OSS である Keycloak のマルチテナント機能は、 テナントごとにユーザー管理だけでなく、OIDC/OAuth2クライアントの設定が全て独立するというものです。 CADDiのプロダクトにおけるマルチテナントの要件を検討した結果、すべての設定が独立していてはまずいケースがあることがわかりました。 CADDiにおけるテナントとはプロダクトを利用する企業(顧客やパートナー)です。 マルチテナントとして全ての設定が独立している場合、あるプロダクトはその企業専用のデータを持つことになります。 私たちのプロダクトも各テナントごとに専用の設定でデプロイする必要があります。 (もっと正確に言えば、プロダクトごとに発行したOAuth2クライアントを識別して取り回す必要があります。) また、プロダクトによっては企業間で問い合わや質疑応答をするといったような、単一のプロダクトを複数の企業で使うような形式もありえます。 つまり私たちのプロダクトは利用者がマルチテナントである必要はあるが、プロダクトは複数テナントのユーザーを扱える必要があります。 ここで思い至ったのは、ユーザーの認証とプロダクトの認可を分離するというア イデア です。 プロダクトのログインは単一だが、ログインのプロセス中で利用者が所属テナントを入力してログインします。 プロダクトは認証の結果として、テナントと利用者IDの2つの属性でユーザーを特定します。 似た仕組みとしては Auth0 Organizations がありますが、 私たちの認証認可基盤では企業ごとの独立性を、より高めています。 このような認可・認証の分離を実現するために、 Ory Hydra を認可サービスとして採用しました。 Hydra は OpenID Foundationによって認証された OIDC/OAuth2 の OSS のライブラリです。 特徴的なポイントは OAuth2の機能に特化していて、ログインに関する機能は Pluggableになっていることです。 詳細は Hydraのログインフローのドキュメント を参照してください。 Hydraはログインプロセスの中で設定に記載されたログインエンドポイントを呼び出し、ログインエンドポイントは認証結果をHydraに返します。 Hydraはその結果から、IdToken,AccessTokenを発行し、そのあとはHydraがログインセッションや トーク ンを管理します。 この仕様を守っていれば任意のログイン処理が利用できるため、前述のマルチテナント認証サービスをHydraと組み合わせることで要件を実現しています。 余談ですが、Oryは Kratos というID管理の OSS も提供していて、これらを組み合わせた Ory というIDaaSを展開しています。 残念ながら、このサービスも私たちの想定するマルチテナントの機能はありませんでしたので、今回はHydraの OSS 版を使用しています。 セキュアな API 間通信 最後に API 間通信です。 私たちがプロダクトに実装してきた認証処理は、主に人がログインする前提で設計していたため、プロダクト間で安全に API を呼ぶための仕組みやルールが不足していました。 過去にはブラウザでログインした後に、開発者ツールでアクセス トーク ンを抜き出して curl でAuthorization Header に トーク ンを設定するといったようなことまでしていました。 そのほかに、内部利用を想定していたため、そもそも認証がかかっていない API もあります。 私たちが主に利用している Auth0 にも Mchine to Machine Token (M2M Token) という仕組みがあります。 ただし、M2M Tokenは月間の発行上限が決まっているため、内部利用ならともかく外部公開を前提とすると、想定外の使い方をするクライアントがいた場合、発行上限を迎える可能性が常にあるため、少々使い勝手が悪いものでした。 また、 Auth0は複数のAPIの呼び出しを複数のAudienceとして設定できないという仕様 があるため、 API 連携を拡大していく方針と相性が良くありませんでした。 そこで、まずは API 用のアクセス トーク ンを発行する機能として、前述の Hydraを使用します。 Hydraは Client Credentials Grantによるアクセス トーク ンの発行ができます。 また最近のアップデートによってWebHookでアクセス トーク ンをカスタマイズできるようになったため、任意の属性をクライアントごとに付与できます。 次に、リソースサーバー( API )を管理する仕組みを自作しました。 リソースサーバーにはOAuth2スコープや、WebHookで トーク ンをカスタマイズするための スクリプト を設定できるようにしました。 この仕組みとHydraを連携して、クライアントがアクセス可能なリソースサーバーとスコープを厳密に管理できるようにしています。 最後に、 API 側の実装を簡略化するプ ラク ティスの提供です。 私たちの認証認可基盤はあくまでプロダクトの認証の結果として トーク ンを発行し、それをカスタマイズすることだけです。 プロダクトで行う トーク ンの検証などはプロダクト側の責務ですが、なるべく実装を省力化することも視野に入れています。 私たちはプロダクトを GKEや Cloud Run上で稼働させていて、 GKE ではサービスメッシュを導入し、Cloud Runでは サイドカー コンテナの設定ができるようになりました。 サイドカー コンテナ上で、アクセス トーク ンの検証を実施したり、 API を呼び出した時に サイドカー コンテナで透過的にアクセス トーク ンを発行してリク エス トに付与するといった仕組みを検討・実装しています。 まとめ これまでに解説した内容を図にまとめると次のようになります。 複数テナントのユーザーアカウントを認証する認証サービスと、プロダクトからのOAuth2リク エス トを処理する認可サービス(hydra)があり、 これらを設定するためのAdmin UIがあります。 認証認可基盤を利用するプロダクト(クライアントとリソースサーバー)は、Amdin UI上からクライアントとリソースサーバーの情報を設定しておきます。 認可サービスにOAuth2に従った認証リク エス トを行うことで、その結果としてアクセス トーク ンを得るので、アクセス トーク ンをリソースサーバーへのリク エス トに付与します。 その際、人によるログインであれば認証サービスのログイン処理が行われテナントを特定してログインを実施します。またその場合、ID トーク ンも同時に発行されます。 リソースサーバーでは サイドカー 自身でアクセス トーク ンの検証を行い、問題なければ処理を続行します。 以上が現時点での認証認可基盤の内容です。 認証認可基盤はまだ完成しておらず、今後も次のような機能を実装予定です。 ユーザー管理 API とUIの作成 パスワードポリシーなどのセキュリティ機能 運用監視の向上 また、認証認可基盤の開発がひと段落したら、他にもプロダクト横断の共通機能の開発を継続的に行っていく予定です。 私たちのグループでは以下のような方をお待ちしています。 拡大していくプロダクトの開発を支えたり共 通化 することに興味がある方 認証認可、OIDC/Oauth2に興味がある方 Platform Engineeringに興味がある方 SREに興味がある方 SREに興味がありつつ、開発もしたい方 興味がある方はぜひ一度お話しましょう。 CADDi エンジニア向け採用情報 カジュアル面談お申し込みフォーム
※本記事は、 技術評論社 「Software Design」(2023年5月号) に寄稿した連載記事「 Google Cloudで実践するSREプ ラク ティス」からの転載です。発行元からの許可を得て掲載しております。 はじめに 第1回(本誌2023年4月号)では、キャディにおける Google Cloudを中心としたサービス基盤の全体像を紹介し、信頼性向上のために筆者らが心掛けている技術選定基準について触れました。 今回からは数回にわたって、 Terraform を中心としたIaC(Infrastructure as Code)の実践例を紹介予定です(図1)。 ▼図1 CADDiスタックにおけるTerraformの位置付け 今回は「インフラの信頼性」という側面で考えるIaCの重要性と、 Google Cloudを中心とした クラウド ベースのシステムのIaCにおいて、なぜTerraformとの相性が良いのかを説明します。 クラウド ネイティブにおけるIaCの必要性 システムのインフラをコードとして記述すること、すなわちInfrastructure as Code(IaC)は、すでに当たり前のプ ラク ティスとなりつつあります。たとえば、オンプレミス上のシステムや、 パブリッククラウド 上で Amazon Web Services ( AWS )のEC2など 仮想マシン ( VM )ベースのシステムを構築する際は、Ansibleを使ってIaCを実現する事例が増えてきました。また、 AWS CloudFormationを利用して AWS 上のリソースを作成している方も多いでしょう。 手作業によるインフラ管理の課題とIaCによる解決 AWS 、 Google Cloud、 Microsoft Azureなどの パブリッククラウド は、いずれもWeb上のUIから VM インスタンス を起動するなどの操作が可能で、手軽なことがメリットの1つです。その一方、 クラウド ネイティブな アーキテクチャ で実運用可能なシステムを構築するには、さまざまなサービスを組み合わせる必要があり、膨大な設定が必要となります。 これらをWebUIからいわゆる「ポチポチ」で設定するのは非現実的で、言うまでもなく次のような問題が生じます。 構築作業に時間がかかる 設定内容を記録しにくい 全体の見通しが悪く、レビューしにくい WebUIによるインフラ構築は手軽であるため、学習やコンセプト検証など、試行錯誤が主体の作業とは相性が抜群です。しかし、実運用するシステムを構築・維持するうえでWebUIだけが設定手段となっている場合は、従来のサーバ構築よりも非効率になってしまいます。 また、WebUIでは設定内容の記録が困難なことも大きな問題です。ここから、さまざまな問題が派生します。 通常、システム運用時には、開発環境、テスト環境、本番環境など、複数の環境が必要になります。これらを手作業で同じように構築するのは手間がかかりますし、ミスも発生します。 記録が困難であることからノウハウを残しにくく、インフラの品質も属人的スキルに依存しがちになります。変更管理ができないことから、インフラの変更意図がわかりにくく、障害発生時に元の構成に戻すことも困難でしょう。 設定内容のレビューをするにしても、Web上の管理画面から確認が必要で、大規模なシステムでは確認箇所が広範囲にわたります。このように見通しが悪い状況ではレビュー効率が悪く、問題を適切に見つけることも困難です。 IaCによる解決 そこで必要となるのが、IaCの考え方です。 旧来なら、 シェルスクリプト などでOSの状態を変更したり、設定ファイルを書き換えたりといった手続き的な処理の自動化も、広義のIaCと捉えることもできました。すなわち、「サーバ構築手順書」をそのままプログラム化するような考え方です。 また、主要な クラウド サービスでは、インフラ操作のための CLI コマンドが提供されています。 AWS であれば aws 、 Google Cloudでは gcloud 、 Microsoft Azureなら az といったコマンドです。 WebUIの代わりにこれらの CLI を利用することで、効率や記録の問題はある程度解決できるでしょう。 しかし、 CLI コマンドによる構築は手続き的です。このため、見通しの悪さやレビューのしにくさの改善に対しては、あまり寄与しません。 現代の理想的なIaCとしては、インフラの「状態」を宣言的に記述することが考えられます。ツールによって、記述されたコードの状態と等しくなるように、インフラを自動設定するのです。 インフラの信頼性に寄与するIaC さて、IaCというと「自動化による効率改善」というイメージが強いかもしれません。もちろんこれは大きなメリットであり、「開発」「テスト」「本番」など、複数環境の構築も容易になります。 しかし、筆者らがそれ以上に大きなメリットと捉えているのが、次に挙げるような信頼性向上への寄与です。 レビューしやすくなる ツールによるチェックができる 変更管理ができる 再現性・自動デプロイに繋げられる 再利用化で知見が共有できる プルリク エス トによる相互レビュー IaC化されたコードは GitHub などの ソースコード リポジトリ で管理でき、アプリケーションコードと同じようにプルリク エス トによるレビューが可能になります。これによって、構築や変更前にチェックができ、品質向上につながります。 ツールによる自動チェック さらに、チェックツールを導入することでレビュー自体を半自動化できます。 たとえば、筆者らがIaCツールとして採用しているTerraformでは、 tflint や tfsec といったチェックツールがあります。tflintでは、設定内容の妥当性、 命名規則 、ベストプ ラク ティスに従っているかなど、 プログラミング言語 の静的チェックツールと同じようなチェックが可能です。tfsecでは、セキュリティ上問題となる設定がないかの確認ができます。 このような自動チェックを事前に実施することで、人間によるレビューはより本質的な点に絞ることができ、作業効率と精度の両面に寄与できます。 変更管理が可能 コード リポジトリ で変更管理が可能になることで、構成変更に起因する障害が発生したとき、 ロールバック もしやすくなります。 クラウド ネイティブなシステムでは、アプリケーションとインフラ構成が密接に絡みます。たとえば、アプリケーションが パブリッククラウド の提供するキューイングサービス( AWS ならSQS、 Google CloudならCloud Pub/Subなど)を利用するとします。その場合、アプリケーションコードと、キューを構成するインフラコードのバージョンには整合性が求められるでしょう。 インフラがIaC化されて リポジトリ 上で管理されていれば、アプリケーションとインフラの整合性を取るのが容易になります。 再現性 IaC化の大きなメリットは再現性が得られることですが、これには信頼性向上という側面もあります。たとえば、誤って環境を壊してしまっても元に戻すことができるので、ダウンタイムを最小化できます。 筆者らは過去に、あるプロダクトの開発環境において不注意で Kubernetes ( K8s ) クラスタ を削除してしまったことがありました。幸いにもこれらはIaC化されていたため、比較的短時間で復旧できました。 また、 ディザスタリカバリ 観点でも事業の継続性に寄与します。 再利用化による知見の共有 手作業によるインフラ構築は、ノウハウが担当者の中に閉じがちで 暗黙知 となりやすいです。 TerraformやAnsibleなど、たいていの構成管理ツールでは、コードをモジュール化して再利用する機能が提供されています。ノウハウをモジュール化して再利用することで、インフラの品質向上が望めます。 たとえば、Terraformの Google Cloud向けモジュールでは、管理者がシステムにアクセスするための「踏み台サーバ(Bastion server)」を構築するためのモジュール bastion-host が公開されています。 このモジュールでは、ネットワークや認証のしくみもセットで構築してくれるので、踏み台サーバ構築のノウハウが再利用できる状態と言えます。 IaCのデメリット 一方で、次のような点はIaCのデメリットと捉えられることもあります。 初期構築が大変 変更コストがかかる 初期構築の大変さ 初期構築について、とくに慣れない段階では時間がかかります。筆者らも開発チームからIaCについて相談を受ける際は、開発初期段階では無理にIaC化しなくても良いとアド バイス しています。 IaC化を進めるには、手作業で構築してから、ツールでコード生成するのが1つの方法です。 たとえばTerraformの場合、主要な パブリッククラウド に対応している Terraformer や、 Google Cloudであれば、 gcloud resource-configコマンド といった選択肢があります。 Terrformerは、利用する クラウド サービスに対応するTerraformプロバイダの手動インストールが必要という手間はありますが、さまざまな クラウド からコード生成できる点が魅力的です。 gcloud resource-configは、普段からgcloudコマンドを利用していれば、追加インストールが不要なので、手軽に利用できます。 筆者も現段階では両者を軽く試用した程度ですが、Terraformerの方がTerraformコードをきちんとファイルに分けて出力してくれるため、見通しが良さそうと感じています。 いずれにせよ、自動生成されたコードは土台と割り切ってしまい、それらを参考にしながらコードをきれいにしていく必要はあるでしょう。 また、組織として知見が溜まってくれば、ベースとなるコードを共有することで、イニシャルコストを下げられそうです。筆者らもこの点に関してはまだ手探りの段階です。 変更コスト IaC化されたインフラの変更コストは、信頼性向上との裏返しではあります。インフラのコードをGit リポジトリ で管理し、プルリク エス トをレビューしてから反映するというプロセスは、WebUIから変更するのに比べると手間がかかる印象を持たれるでしょう。 実際のところ、次回以降で説明するようにCI/CDパイプラインを構築することで多くの作業は自動化でき、それほどの手間はかからなくなります。 しかし、とくに慣れないうちは 心理的 ハードルが高くなるのは否めません。たとえば「パフォーマンス調整のために K8s クラスタ 上でノードプールの インスタンス 数を変更する」といったケースでも、プルリク エス トとレビューが必要になります。 一方で、プルリク エス トに変更理由を記載して妥当性をレビューできるのは、インフラの信頼性を保つうえで大きなメリットです。このため、信頼性とアジリティ(機敏性)のバランスが重要です。 キャディのプロダクトにおけるインフラについては、IaCによる管理を基本としつつも、「検証のための一時的な変更などは、開発環境に限ってWebUIからの変更をOKとする」というルールを導入しました。このようにして、信頼性と変更コストのバランスをとっています。 Terraformを採用する理由 筆者らがIaCツールとしてTerraformを採用する大きな理由は、次の2点です。 クラウド サービス上のリソースが扱える さまざまな クラウド サービスに対応している クラウド サービス上のリソースが扱える IaCツールというとAnsibleが有名であり、本誌でもたびたび取り上げられています。しかし、AnsibleとTerraformでは、図2のように位置付けが少し異なります。 ▼図2 AnsibleとTerraformの想定ターゲット Ansibleの想定している主な役割はサーバ設定であり、OSよりも上のレイヤがターゲットです。一方Terraformは、 クラウド 上のリソース作成や設定変更を主な役割と想定しており、Ansibleがカバーするレイヤをメインターゲットとしていません。 AnsibleとTerraformはそれぞれ基本的なしくみも異なります。Ansibleは設定対象のサーバ(マネージドノードと呼ばれる)に SSH でログインして「モジュール」と呼ばれる小さなプログラムを送り込み、そのモジュールがマネージドノードを設定します(図3上)。 一方、Terraformではターゲットとなる クラウド サービスのWeb API を呼び出すことで、リソース作成や変更を実現します(図3下)。 ▼図3 Ansible(上)とTerraform(下)のしくみの違い このような設計思想の違いはありますが、互いの領域が重なっていないわけではありません。 Ansibleでは、 AWS や Google Cloudのリソースを構築するためのモジュールが提供されており、 クラウド サービスのリソース管理もできます。 一方、TerraformでもProvisionersという機能でAnsibleのようなサーバの内部の設定変更も実現できます。 ただし、Terraformに関しては Provisioners のドキュメントによると、あくまでも「最後の手段」と位置付けられていることから、主要な使い方でないことがわかります。 なお、各 クラウド サービスへの対応状況については注意が必要です。 筆者らが利用している Google Cloudについては、Terraformでは Google とHashiCorpのTerraformチームがメンテナンスする公式の Provider が提供されており、頻繁にメンテナンスされています。 一方Ansibleの Google Cloud向けコレクション の開発状況は、 GitHub の履歴を見る限りそれほど開発が活発ではなかったものの、2022年12月からリリース頻度が早くなっており、今後に注目です。 なお、Ansibleにおける「コレクション」とは、一連の機能に関するモジュールの集まりのことです。 幅広い クラウド サービスへの対応 IaCツールを選定する際、まず クラウド サービス固有のツールが選択肢に挙がるでしょう。 「AWS CloudFormation」 や、 「Google Cloud Deployment Manager」 などです。 これらのツールは、当該 クラウド サービスとの高い親和性が利点である一方、幅広い クラウド サービスには対応できないという弱点があります。 Terraformには「Provider」という プラグイン 機構があり、 クラウド サービスの対応はそれぞれの Provider によって実現されています。 Providerは、 Terraform Registry で公開されており、コード内で宣言するだけでTerraformが自動的にProviderをダウンロードしてくれます。このようなしくみから、Providerがあれば、さまざまな クラウド サービスに対応できます。 もちろん、必要に応じてProviderの自作もできます。 また、 AWS 、 Google Cloud、Azureなど主要な パブリッククラウド については、HashiCorp社によるオフィシャルProviderが提供されているため、安心して活用できます。 Google Cloudでは、Terraformの利用に関する 公式ドキュメント も充実しています。 キャディのインフラでは、 Google Cloudを中心としつつも、さまざまなXaaSを組み合わせているため、インフラをコード化するツールとしてTerraformが最適といえるのです。 [Column] Ansibleと比較してTerraformが良い点 筆者自身、キャディへ入社する前はAnsibleを長く利用していました。いささか主観的ですが、双方を使った経験から、Ansibleと比べてTerraformのほうが良いと感じる点を紹介します。なお、筆者が最後にAnsibleを触ったのは2021年秋ごろなので、その後改善されている点があればご了承ください。 純粋に宣言的な書き方ができる Ansibleでは手続き的な書き方ができてしまうので、 YAML でプログラミングをするようなイメージになりがちです。また、コードを書くときにも冪等性を意識した書き方をする必要があり、習熟に時間がかかりました。コードを読み解くのにも慣れが必要です。 一方、Terraformのコードは純粋に宣言的なので、「あるべき姿を記述する」ことに集中でき、コードの可読性も高いです。冪等性は、 クラウド サービスまたは TerraformのProvider内部で担保されるためです。 エラーメッセージが読みやすい Ansibleのエラーは、メッセージを含む JSON が改行なしに出力されるため、読み解くのが非常に困難です。Terraform のエラーは整形されてわかりやすく表示されます(図A)。これはTerraformに限らず、HashiCorp製品全般に言えます。 ▼図A Terraformのエラー表示例 環境の影響を受けない 設計上仕方のないことですが、Ansible自体が Python で動作するため、ホストで実行される Python の影響を受けます。 古いホストでAnsibleを動かす際、Ansibleが要求するバージョンの Python がインストールされていないことがありました。 このため、venv 1 でAnsible用の Python 環境を隔離するといった対応が必要になりました。 TerraformはGo言語で実装されており、ランタイムが不要なバイナリとして提供されるため、このような影響を受けることがありません。 特性の差に対する理解が必要 一方で、TerraformにはState 2 というAnsibleには無い概念があるため、その考え方を理解しないと混乱してしまいます。Stateとは管理対象リソースの状態を保存したファイルのことで、TerraformはStateを中心にコードと実環境の差分をチェックする考え方です。AnsibleはPlaybookの記述内容を正とすることで、冪等性を実現します。 また前述のように、TerraformはOSよりも上のレイヤに対しては使えません。たとえば、 クラウド 上に構築した 仮想マシン の内部を設定したいといった場合は、依然としてAnsibleが有力な選択肢です。このようなケースで クラウド 自体のリソース管理もしたい場合は、すべてをAnsibleで統一するというのも良いかもしれません。 キャディではすべてのアプリケーションをDockerコンテナ化しており、 仮想マシン を使用するケースは踏み台サーバなど限られています。 AnsibleがカバーしているOSよりも上のレイヤはDockerfile として記述できるため、すべてをTerraformでカバーできています。 まとめ 今回はまず、信頼性の高いインフラを運用する基盤となるIaCの考え方を紹介しました。そして、 Google Cloudを中心とした クラウド ネイティブなインフラを構築している弊社にとって、IaCツールとしてTerraformが最適であると判断した理由を解説しました。 今後は GitHub ActionsとTerraformの組合せでインフラのCI/CD実践例を紹介する予定です。次回はまず、Terraformに触れたことがない方向けにTerraformの基本を解説します。お楽しみに。 仮想環境を分離する Python の標準機能です。  ↩︎ Stateについては次回に詳しく解説します。  ↩︎
こんにちは。DRAWER SRE の廣岡です。最近は開発チーム内の権限付与方針の整備や、他チームのインフラ構築のサポートなどに取り組んでいます。 さて、キャディではサービス構築のために Google Cloud のマネージドサービスを多く利用しており、そのご縁で先日 Google Cloud 様主催の「Digital Native Leader’s Meetup」という企画に招待いただきました。本稿はこのイベントの参加レポートとなります。少しでもイベントの雰囲気を感じていただけると幸いです。 Digital Native Leader’s Meetup とは 本イベントは、Google Cloud 様が主催するエンジニア向けのネットワーキングイベントです。今回はキャディの窓口担当の方にご紹介いただき、参加いたしました。 第3回となる今回ではデータベースをテーマに、Google Cloud 製品のアップデート情報や、他のユーザー企業様によるサービス利用事例のライトニングトーク、参加者同士のアンカンファレンスが実施されました。これらを通して Google Cloud のサービス利用や、利用シーンにおける知見を交換し、プロダクト開発を加速するのが目的となっています。 会場の様子 会場は Google 渋谷オフィスでのオフライン開催でした。ユーザー企業からは40人程度が参加していたかと思います。軽食やお酒も用意いただいており、カジュアルにお話を聞くことができました。 イベントの内容 イベントのコンテンツとしては以下の通りでした。 - Google Cloud サービスアップデート - ユーザー企業様による Lightning Talk - 参加者によるアンカンファレンス Google Cloud のサービスアップデートについては非公開情報のため、本記事では掲載できないのですが、Google の技術力を感じさせる内容であり、今後のアップデートが楽しみになりました。 ユーザー企業様による Lightning Talk LT では、AlloyDB へのデータベース移行事例や、Cloud Spanner の入門・導入事例の紹介がありました。 AlloyDB はパフォーマンスやスケーラビリティ、可用性に優れたフルマネージドデータベースサービスです。事例紹介ではデータベースの移行サービスである Database Migration Service と合わせた取り組みを紹介いただきました。 データベースの移行といえばかなり慎重を要する作業ですが、これらのマネージドサービスを用いてうまく移行を進められたとのことでした。また実際使ってみたからこそわかるような AlloyDB の良い点や、将来への改善要望なども伺うことができ、非常に参考になりました。 PostgreSQL 向け AlloyDB Database Migration Service | Google Cloud Cloud Spanner は強整合性とグローバルなスケーラビリティ、そして高い可用性を持つフルマネージドデータベースサービスです。LT では Spanner の入門的な内容と、導入事例が紹介されていました。実際に導入した感想としては、やはりスケーラビリティが非常に優れているとのことでした。 個人的に Spanner は大規模サービス向けだと思っていたのですが、小規模にも柔軟にスケールできるというお話があり、意外に感じると共に見識を深めることができました。 Cloud Spanner PostgreSQL 向け AlloyDB - AlloyDB と Google Cloud のそれ以外の PostgreSQL オプションを比較する 参加者によるアンカンファレンス アンカンファレンスでは、各テーブルの参加者でお互いの業務で抱えている悩みや、データベースサービス活用における洞察などを共有、ディスカッションしました。 私は SRE という業務の性質上、データベースを扱うシーンが多いわけではありません。一方で図面活用 SaaS である DRAWER では、大量の図面処理に応じてデータベースへの負荷が高くなるシーンもあり、そういった場合の対策や AlloyDB、Spanner などとの適性についてもディスカッションさせていただきました。 本イベントはデータベースがメインテーマでしたが、私のテーブルでは私と同じ SRE として勤めている方のほかに、プロダクトマネージャーや CTO に近いような立場で開発に関わっている方もおり、さまざまな観点から議論ができました。また Google Cloud の担当者の方も同席いただいていたため、各サービスの疑問点や改善要望などもカジュアルに話すことができ非常に有意義でした。 他にもいろいろな内容がディスカッションされていました。以下に一部を記載します(サービスや事業の特定を避けるために一部修正しています)。 実際 Spanner は使ってみてどうか?冗長性はどのように設定しているか? Spanner はトラフィックの変動にはどれくらい追従できるか? データベースのバックアップ、復旧訓練はどのように実施しているか? データベースのコスト適正化のために実施していることは?、など お互いが関わっているサービスは別々なのですが、データの特性や運用上の悩みなどは共通しているものもあり、純粋にエンジニアのミートアップとしても楽しい時間を過ごすことができました。 終わりに Google Cloud 様主催のネットワーキングイベントである、Digital Native Leader’s Meetup に参加させていただきました。 特にアンカンファレンスでは、実際に使ったからこそ分かるような勘所など、貴重なお話を伺うことができました。データベースのように慎重な選定や運用が求められる領域において、このような先進的な事例を共有いただけるのは非常にありがたいと感じました。 また Google Cloud の皆様の配慮により、快適に聴講やディスカッションに参加できました。ご招待いただき改めてお礼を申し上げます。 本イベントで得られた知識や洞察をもとに、キャディでは引き続き製造業の変革に貢献するようなプロダクト開発を進めていきます。ご興味のある方はぜひお気軽にご連絡いただけると幸いです。 CADDi Tech
※本記事は、 技術評論社 「Software Design」(2023年4月号) に寄稿した連載記事「 Google Cloudで実践するSREプ ラク ティス」からの転載です。発行元からの許可を得て掲載しております。 はじめに キャディ株式会社の前多です。筆者はPlatformグループという部署で、 クラウド インフラの整備や開発組織横断の技術課題の解消に携わっています。 キャディでは製造業向けのビジネスを展開しており、社内外向けに SaaS を含む多くサービスを運用しています。また、事業展開にあわせて常に新たなプロダクトが開発されています。 各サービスには担当の開発チームが組織されていて、開発・運用に責任を負っています。筆者らPlatformグループは、開発チームが自律的にユーザーへの価値提供に集中できることを目標に、SREプ ラク ティスの導入、信頼性の高いサービス基盤やサービス横断の機能開発といった活動をしています。 サービスの開発・運用主体は開発チームであるため、筆者らは個々のサービスに対するインフラ構築やサービス運用、 アーキテクチャ 設計や言語・ライブラリ等の技術選定といった作業を行いません。開発チームがこれらを主体的に進められるよう、サービスの基盤や監視基盤を整えたり、ガイドの作成や啓蒙、SREプ ラク ティスの実践サポートなどが主な役割です。 筆者らPlatform グループと開発チームの関係は次の図のようになります。 詳しくは 弊社のブログ で紹介していますので、興味ある方はぜひ ご覧ください。 現在のキャディは事業成長フェーズにあり、開発組織の拡大に伴い、さまざまな課題が発生しています。このような状況に対応するため、Platformグループでは、少人数でも レバレッジ の効くような戦略的・技術的な解決手法の提供も目指しています。 その取り組みの1つが、高い信頼性と開発組織のスケールへ追従できるサービス基盤の提供です。 この連載では、筆者らが提供するGoogleCloudを中心とした組織横断の基盤について、技術選定の方針と、採用している各種技術要素について解説していきます。 信頼性とは何か 信頼性とは、サービスが一定の条件下で要求された機能を果たす性質であり、サービス利用者が遅延や障害などにより機会損失する度合いを管理していくことです。 ソフトウェアエンジニアリングによってサービスの信頼性を向上させる役割を果たすのが、 Google によって提唱されたSRE(Site Reliability Engineering)です。 書籍『SRE サイトリライアビリティエンジニアリング ― Google の信頼性を支えるエンジニアリングチーム』や、 Google Cloud の SRE ページ では、SREの マインドセット やツールセットについてべられています。 高い信頼性を示すには、信頼性を数値化して計測することが必要です。以前から信頼性の尺度として MTBF ( 平均故障間隔 )、 MTTR (平均復旧時間)といったものがあり、最近ではSREプ ラク ティスの1つとして紹介されたSLI(サービスレベル指標)、SLO(サービスレベル目標)を使うこともあります注4。筆者らもサービスごとにSLI、SLOを定義して監視・運用することを標準化し、開発チームへの導入を始めたところです。 信頼性を高く保つためには、信頼性の可視化だけではなく、サービスの品質を底上げしていくための取り組みも必要です。そのために筆者らが導入している技術要素を次に見ていきます。 コラム : 信頼性の尺度 MTBF ( 平均故障間隔 )はサービスが故障せずに稼働できる平均時間で、長いほど故障がしづらいと言える尺度です。一方 MTTR (平均復旧時間)はサービスが故障から復旧までにかかる平均時間で、短いほど故障から復旧が早いと言える尺度です。 この2つの尺度から MTBF ÷( MTBF + MTTR )を計算すると 稼働率 が得られます。たとえば 稼働率 が99% なら、年間でサービスが停止しているのは約87時間、月間では約7時間です。信頼性を計測する方法の1つとして、目標とする 稼働率 を設定して実際の 稼働率 を計測します。 SLI(サービスレベル指標)とSLO(サービスレベル目標)は、サービスの利用者がサービスを安定して使えているかという観点で設定します。SLIは、サービスの状態を計測して 定量 化した値です。サービスの特性によって独自に決めます。汎用的なものとして、サービスへのリク エス トの遅延時間やエラー率などがあります。 一方でSLOは、サービスが安定して稼働しているかを判断するためのSLIの目標値です。 たとえば「月間のエラー率(SLI)を1%以下にする」といったものです。SLOを満たしていないようであれば、SLOを満たすために改善作業を実施します。 SLIとSLOについて詳しくは、 Google が公開している The Art of SLOs を参照してください。 技術選定の観点 サービス基盤の技術選定に際して筆者らは次の4点を重視しています。 IaC(Infrastructure as Code) 自動化 可観測性(Observability) セキュリティ IaC(Infrastructure as Code) 筆者らが使用する パブリッククラウド や SaaS の構築作業は、可能な限りコード化(IaC)し、CI/CDパイプラインに載せて作業を自動化しています。 API が提供されているツールを選択し、UIが提供されていたとしても手動による変更は原則として行いません。 こうすることで、複数環境の構築や複製が簡単になったり、環境に加えた変更の差分が明確になるといった利点があります。また、コード化によってインフラ構築のノウハウが 形式知 化されるので、属人性の排除や手順書に基づくインフラ構築といった煩雑な作業からの解放につながります。 IaCと次に説明する自動化により、サービス拡大に伴うインフラ構築の負荷を最低限に減らすことができます。 自動化 信頼性を高く保つためには、サービスの品質を上げることが重要です。 そのためには「テストをしてバグを減らす」「最新のライブラリを使う」「新機能や改善を取り込んだサービスを早くリリースする」などの行動が必要です。これらの行動を繰り返すことで品質は向上します。 繰り返しの速度を上げるためには、自動化が欠かせません。 自動化の方法として CI(継続的イングレーション)とCD(継続的デプロイメント)が知られています。 キャディでもこの2つを合わせたCI/CDパイプラインを整備して、サービスのテスト、ビルド、デプロイを繰り返し実行できるようにしています。 また、自動化の推進によって、特定の人しかデプロイができないといったような属人化を減らすことにもつながります。 可観測性(Observability) 信頼性を計測するためには、稼働しているサービスから指標となるデータを取得する必要があります。また、パフォーマンスの劣化やサービス障害に対する調査も、勘に頼ったり場当たり的に行ったりするのではなく、実測値に基づいて行うことが重要です。 そのために、サービスや利用するツールからログやメトリクスなどのデータが取得できること、それらのデータを一元的に収集して分析可能であることを重視します。 セキュリティ キャディでは創業当初からシステムのすべてが パブリッククラウド や SaaS にあるため、社内ネットワークのような閉じたネットワークはありません。また、多くの社員がリモートワークをしています。 そこで、筆者らはゼロトラストネットワークの考え方の基づいてサービスを構築しています。 システムへのリク エス トは、原則として正当性の検証が必要であり、そのための認証認可や監査のしくみの標準化を進めています。 また、 DDoS攻撃 のような脅威からサービスを守るための方法も検討しています。 安定したサービス基盤に使う技術 前述した技術選定の観点をふまえて、キャディのサービスが稼働している環境で実際に使っている技術を端的に紹介します。詳しい内容は今後の連載で掘り下げていきます。 なお、これらのツールは現時点のキャディにマッチしていると考えているものであり、唯一の正解だとは考えていません。必要に応じて見直し、ときにはツールを入れ替えるなどの判断もしていきます。 これから紹介する技術の全体像は次の図を見てださい。必要な要素以外は割愛してあります。 Google Cloud キャディのサービスは、ほぼすべてがGoogleCloudのインフラ上で動いています。 筆者らがおもに使っている Google Cloudのサービスは次のものです。 Google Kubernetes Engine (GKE / マネージド Kubernetes ) Cloud Run (コンテナベースのPaaS) BigQuery (データ分析基盤) Cloud SQL ( RDBMS ) Vertex AI ( 機械学習 プラットフォーム) Anthos Service Mesh (マネージド サービスメッシュ) Cloud Logging (ログ収集) Cloud Trace(分散トレーシング) 創業間もない2018年当時、サービスをすばやく開発・提供するには パブリッククラウド を使うことが必然でした。 創業当時の社員にGoogleCloudの選定理由を聞いたところ、実は明確な理由があったわけではなく、社員のアカウント管理で Google Workspaceを使っていたから、とりあえず Google Cloudを選択したとのことでた。 また、2018年当時はアプリケーションをコンテナ化してデプロイすることが注目された時期であり、当時の開発メンバーもコンテナ化を検討していました。そのときに Google Cloudの東京リージョンでGKEが開始されたのは、大きな後押しになりました。 もちろん、 Google Cloud以外の パブリッククラウド にも類似のサービスはありますがGoogleCloudを使っていて良かった点をいくつか紹介します。 まずは BigQuery です。キャディでは BigQueryに社内のデータを集約し、開発組織以外の社員もデータを閲覧・分析しています。 データ容量がスケールでき、BigQueryにデータを投入する方法が豊富であるため、データ分析基盤として初期投資が不要で使いやすいことが利点です。 次にCloud Runです。コンテナを基本としたアプリケーションの基盤としてキャディではGKEを使っていますが、小規模のサービスではCloud Runを使う機会も増えています。コンテナ化の知見がそのまま利用できるのに加え、運用監視に必要な可観測性を最初から備えているためです。 さらにAnthos Service Meshも良かった点ですが、これついては後述します。 また、筆者が個人的に気に入っている点は次の2点です。 プロジェクト単位で Google Cloud のサービスをまとめられる IAMによる権限制御ができることです。 多数のキャディのサービスを Google Cloudのプロジェクト単位でまとめることで、効率よく管理できています。 IaCに関する技術 IaCに関しては次の2つを使用しています。 Terraform Argo CD Terraform Terraform は OSS のインフラ構築ツールです。イン フラリ ソースの構成をコードとして記述し、その内容を現在のインフラ構成と比較・検証して差分反映できるため、インフラ構築作業や設定変更を自動化できます。 同様のツールはAnsibleや AWS Cloud Formationなどほかにも存在しますが、Terraformは「Provider」というしくみで拡張できるようになっており、 AWS や Google Cloudなどの パブリッククラウド だけでなく、キャディで採用している SaaS についてもProviderが提供されています。そのため、Terraformのコードでインフラの大半を制御できます。 Argo CD Argo CD は Kubernetes への継続的デリバリーを通じて行うツールです。 Git リポジトリ をソースとしてを継続的デリバリーを行う手法を「GitOps」と呼びます。Argo CDは Kubernetes へのデプロイをGitOpsに沿って行います。 通常、 Kubernetes へのデプロイは、デプロイ内容を記述した マニフェスト ファイル Kubernetes API やkubectlコマンドに指定して実施します。 この作業は、ファイル数が増えると煩雑になるほか、ファイルの変更を追従して Kubernetes に反映することが困難になります。 Argo CDは、git リポジトリ にある マニフェスト ファイルを取得し、 Kubernetes への マニフェスト ファイルの適用状況を可視化します。また、差分検知、履歴管理、 ロールバック 、自動反映といった機能も備えています。 権限制御可能なWeb UIがあるため、Argo CDを通して Kubernetes にデプロイされているサービスの構成を把握したり、管理者のみがArgo CD経由でデプロイ操作をしたりするといった操作もできます。 自動化に関する技術 自動化に関する技術は次の2つを使用します。 GitHub Actions Renovate GitHub Actions GitHub Actions は、 GitHub 上で提供されるCI/CDツールです。 GitHub へのプッシュやプルリク エス トなどのイベントをトリガーとして、任意の処理を実行できます。 キャディでは当初CI/CD基盤としてCircleCIを採用していましたが、現在では GitHub Actionsへの一本化を進めています。その理由は次の3点です。 GitHub との親和性に優れていて ソースコード を外部に渡す必要がない ナレッジや マーケットプレイス による共通処理の豊富 OpenID Connect連携が可能 OpenID Connect連携によって Google Cloudのリソースをクレデンシャルを介することなく扱えます。 これによって、CI/CDパイプラインから安全にTerraformのコマンドが実行できるようになり、インフラ構築の自動化に役立ちます。 筆者らは、プルリク エス トのマージをトリガーとしてTerraformを実行し、インフラ構築作業をCI/CDで行うことを徹底しています。 Renovate Renovate は、依存性の更新を自動化するツールです。 現在のソフトウェア開発では、さまざまなツールやライブラリに依存していますが、それらは絶えずアップデートされています。なかには 脆弱性 の対策によるアップデートもあるため、そのような更新は早めに気づき対応する必要があります。 Renovateは、 GitHub リポジトリ の内容から依存性を抽出し、最新版があればその内容や更新をプルリク エス トとして作成します。 キャディでは100を超える GitHub リポジトリ があり、多くの リポジトリ の依存性の更新チェックを自動化するためにRenovateを導入しています。 可観測性に関する技術 可観測性に関しては次の4つの技術を使います。 Anthos Service Mesh Datadog Cloud Logging Cloud Trace Anthos Service Mesh Anthos Service Meshは Google Cloudが提供するマネージドのサービスメッシュです。 サービスメッシュは、 Kubernetes 上のサービスに アクセスログ やメトリクスといった可観測性を与えたり、ネットワークのセキュリティ向上や 通信制 御といったさまざまな機能を追加したりします。サービスメッシュを導入することで、開発者の作ったサービスに対して、一定品質の可観測性やセキュリティを一律に付与できます。 オープンソース のサービスメッシュとしてはIstioが有名ですが、多くの コンポーネント を連携させる必要があるため、導入や運用の負荷が非常に高いのが難点です。 Anthos Service Meshは、Istioベースでありながら、 Google Cloudによるフルマネージドサービスであるため導入が簡単です。自動バージョンアップなども備えているため、運用負荷が低減できます。 Datadog Datadog は複数の クラウド に対応した運用監視 SaaS です。キャディで実行する大半のサービスのログやメトリクスを収集し運用監視を行っています。SLI/SLOをはじめとした負荷状況・稼働状況の可視化、サービス異常を検知と通知、外形監視によるサービスの死活監視、証明書期限チェックなどに活用しています。 運用監視サービスは多くの製品がありますが、次の点から選定しました。 複数の パブリッククラウド や SaaS に対応して運用監視を一元化できる ログとメトリクスどちらも収集してアラートの対象にできる ダッシュ ボードの可視性や調査時の検索性が良い Cloud LoggingとCloud Trace Cloud Loggingは Google Cloudが提供するログ収集サービスで、Cloud Traceは分散トレーシングのサービスです。 どちらも Google Cloud内部のアプリケーションやインフラの可観測性に関するデータを収集します。 Cloud LoggingのデータはDatadogでも収集しており、Datadogと役割が重複していますが、次のように使い分けています。 Datadog : 検索や可視化に優れるため、リアルタイムログ検索や ダッシュ ボード、アラートの一元化に使用 Cloud Logging : Datadogに収集していない一部のログの参照や、過去のログの検索に使用 (Detadogにすべてのログを集約するとコストがかかり、ログの保存期間にも制約があるため) Cloud Traceは、複数のサービスのパフォーマンスデータを収集して可視化できるため、どのサービスが遅延や障害を起こしているかを調査するのに役立ちます。Datadogにも同様のサービス、 DatadogAPM がありますが、 Cloud Traceのほうが低コストであるためCloudTraceを使っています。 また、監視サービスの Cloud Monitoring もありますが、Datadogと 重複するので積極的には利用していません。 ですが、 Google Cloud Managed Service for Prometheus が登場したことで、より扱いや すくなりメトリクス収集の範囲が広がるという期待があり注目しています。 セキュリティに関する技術 セキュリティに関しては Cloudflare を利用しています。Cloudflareは、インターネット上で提供するサービスに対して、 CDN 、 TLS 、ネットワークセキュリティ、エッジコンピューティングなど、さまざまな機能を提供します。 当初はキャディのWebサイトを動かしていた WordPress の負荷軽減のために CDN を導入する目的で利用を開始しました。 しかし、現在ではセキュリティに関する機能を有効活用するために、すべてのサービスをCloudflareの CDN 経由で公開しています。 利用している機能の一部は次の通りです。 Cloudflare DNS : DNS レコードと TLS 証明書を管理する Cloudflare Access : Cloudflare にホストしているサービスに認証プロキシを設定できる。社内システムへのアクセスを Google Workspaceのアカウントで認証できるようになる Cloudflare WAF : DDos攻撃 や 不正アクセス を検知しアクセスの遮断や通知を行う Cloudflare Workers : Cloudflareのネットワーク内でリク エス トに応じて任意のプログラムを実行できる仕組。重要なデータへのアクセスに対して高度な認証を適用したり、監査ログを取得するために使用したりする まとめ 今回は、信頼性を高めるための技術選定の4つの観点(IaC、自動化、可観測性、セキュリティ)について解説し、それらの観点から現在筆者らが使用している技術について紹介しました。 最初からこれらの観点があったわけではなく、試行錯誤を積み重ねた結果として今の形に型化できました。注力する技術を型化したことにより、技術トレンドに応じて柔軟に使用する技術を組み替えていけると考えています。 次回からは、各技術トピックについて詳しく解説していきます。どれか1つでも興味のある技術があれば幸いです。お楽しみに。
こんにちは、キャディでMLOpsをやっている志水です。機械学習の推論基盤にregression testを追加したところ依存パッケージのアップデート等が楽になり開発者体験がすごくよくなったので、その詳細について書きます。 推論基盤の運用 MLOpsチームでは機械学習モデルの推論API基盤を開発運用していています。こちらに関しての詳細は 以前のTechブログ をご参照ください。 チームで Googleのソフトウェアエンジニアリング本を読んだこと をきっかけに、現在のプロダクトで改良できる部分を議論しました。 図1. 現状のデプロイフローと、起きえるエラーについて議論した図 現状のデプロイフローでは機械学習エンジニアが以下を手動で行っています。 実験時に作成したデータとモデルファイル(.ptファイル)を用意 TorchServe でサーブするためにAPI用のDockerコンテナを作成 dev環境へのデプロイと疎通確認 stg環境へのデプロイと負荷試験 prod環境へのデプロイ ホワイトボードでデプロイフローと既存のテストを整理した結果、機械学習エンジニアが開発時に出した結果と最終的なAPIが同じ結果を出すことを保証するために、手動のテストでカバーしている範囲が多いことがわかりました。 (既存のCIのテストは前処理の違いによる不具合が起きたことで追加したUnit testが大半でした。) 機械学習エンジニアとも相談し、自動化するテストの構成や内容についていくつかのパターンを出しました。 「これからのパッケージアップデートに対して現在と推論が変わらないことを保証る」を目的に、サンプル図面に対して推論を行い、過去の推論結果と比較するregression test 「実験当時の推論結果と、デプロイされたものの精度の一致」を目的に、実験時のデータと推論結果が一致することを確認するテスト 実装の工数やそこから得られるbenefitを天秤にかけ、「これからのパッケージアップデートに対して現在と推論が変わらないことを保証する」ことを目的に、サンプル図面に対して推論を行い、そこで今までの推論結果と同じ結果を返していることを保証するregression test をCIに追加することにしました。 regression testの追加 regression test の構成は サンプル図面とその推論結果を用意し docker-compose.yml で APIを立てて推論リクエストを送り(下記batchプロセス) 返ってきた現在の推論結果が用意しておいた推論結果と一致することを確認する ようにしました。 図2. サンプル図面 このようなサンプル図面に対して、以下のような推論結果を予め用意しています。 図面_id,pred,name WA-20220616-ABC-01/RT-1,9.607873916625977,thickness これをCI内で実行するための docker-compose.yml は以下のようになります。 # docker-compose.yml services: api: build: context: . dockerfile: Dockerfile ports: - "7080:7080" healthcheck: test: ["CMD", "curl", "-f", "http://localhost:7080/ping"] interval: 30s timeout: 10s retries: 5 batch: build: context: . dockerfile: tools/Dockerfile # 中でテストを呼び出す depends_on: api: condition: service_healthy environment: API_PORT: 7080 API_HOST: api CI CIでテストが走ってくれれば、エンジニアが人手で確認することなくデプロイされている推論APIが以前のバージョンと乖離していないことを保証でき、安心できます。 キャディでは複数の機械学習APIを運用しているため paths-filter を活用し、変更があったAPIだけテストが発火するようにしています。 github actions 内では以下のようにシンプルにテストを実行しています。 docker compose build docker compose up api -d docker compose run batch この docker-compose.yml を使ったテストは1つのマシンで複数のプロセスが走るという、Googleのソフトウェアエンジニアリングに登場するmedium size のテストになります。関数ごとのテストはunit testなどのsmall testでカバーします。 small test がたくさんあり、medium(やlarge)のテストがそれより少ない状態がピラミッド型のバランスのいいtest suiteとされています。それを実現するためにsmall testはカバレッジ高くたくさん書いており、regression testのようなmedium sizeのテストはクリティカルな部分のみに書いています。 依存パッケージの更新 我々のチームでは renovate というツールによって依存パッケージのバージョンアップデートを管理しています regression test を導入するまでは、例えばPyTorchにセキュリティパッチがあたりバージョンが上がった場合に、APIを作成した各機械学習エンジニアに想定した結果と精度が変わっていないかを確認してもらう必要があり、手間も時間もかかっていました。 regression test を導入してからはrenovateでパッケージバージョンが上がるPRが上がってきた場合、CI上のregression test通っていれば推論APIの挙動の一貫性についてある程度自信が持てるため、依存関係の更新が高速かつ安全になりました。 当初想定してた以上に開発者としての体験はよく、今後も積極的にテストを開発していくモメンタムがチームに生まれています。 終わりに 今回は推論API基盤に対するregression testの導入に至った経緯と、その具体的な方法について紹介しました。 キャディでは一緒に働く仲間を探しているので、 募集要項 から気になる求人があればご気軽にご連絡いただければ幸いです。 The post 機械学習API基盤にregression test を追加する appeared first on CADDi Tech Blog .
こんにちは、キャディでMLOps をやっている志水です。昔から本を読むのが好きなので輪読会には以前から興味があり、今回Q(四半期)を通して運営したのでその様子を共有します。 [toc] なぜ輪読会を始めたか ばんくしさんが「Googleのソフトウェアエンジニアリング本はいい本だからみんな読んだ方がいいけど、重い本だから輪読会をやるといいよ」ということを常日頃から言っていました(遡ったら2022/01あたりから言ってました)。やろうやろうとはなっていたもののやっていなくて、1章を読み込んで資料をまとめてTech全員に招待を送って第1回を開催したのが昨年の10月でした。 そこから少しずつ姿を変えて現在に至ります。 輪読会のフォーマット 現在は輪読会を毎週金曜日に開催しており、週ごとに次のフォーマットで進めています。 事前準備: 1. 該当章をあらかじめ各々で読んでおく 2. 読んでいて思ったことや関連するアイデアを Miro (オンラインホワイトボード)に付箋コメントとして書き起こす 当日: 1. 深堀りしたい付箋コメントに 1人 3票,4分で投票する 2. 似ているコメントをグループ化し、グループごとに得票の多いものから議論する 3. 議論後、自分達のチームに何を持ち帰れるかを言語化してみる 4. 必要に応じてworking agreementに加筆、あるいはチーム内で方針を合意する やり始めた頃は、事前に担当者が該当章のまとめを作ってきて、それを全員で聞くようなフォーマットを試したこともありましたが、労力の割に得られるものが少ない感触がありました。毎回会の開催後に+/Δ(プラス/デルタという振り返りの1手法で会自体の良かった点と改善点を挙げていく)を何回か繰り返して現在のフォーマットに落ち着き、いい感じになりました。 こんな感じで意見を出した後に投票し、表が集まったものを中心に議論していきます。 初回は大体1章を読みますが、以降は特に順序を決めず都度投票して来週読む章を決めていきます。次の章より次の本が多く票が集まるようになったら次の本に行くイメージです。本のボリュームにもよりますが、大体3〜7週間で次の本に変わります。 投票の様子 カバーした本 前Qは以下の3つの本を対象に輪読会を実施しました。 Software Engineering at Google https://www.amazon.co.jp/Software-Engineering-Google-Lessons-Programming/dp/1492082791 最初に読んだのは『Googleのソフトウェアエンジニアリング』です。去年の末から読み始め、チームでは9章分をカバーしました。リーダーシップ、テスト、CI/CD等エンジニアリングを広くカバーしていて最高の本でした。実務に直結する指針もたくさんあります。 Team Topologies https://www.amazon.co.jp/Team-Topologies-Organizing-Business-Technology/dp/1942788819 次に読んだのが『チームトポロジー』(通称ちいとぽ)です。チームがソフトウェアを作る、という思想をベースにチームのあり方やチーム間のコミュニケーションのあるべき姿を示していて、チーム運営をしていく上での共通認識や共通言語ができたのがすごくよかったです。またキャディ全体でもTECH組織の組織形態はこの影響を強く受けています。 Designing Data-Intensive Applications https://www.amazon.co.jp/Designing-Data-Intensive-Applications-Reliable-Maintainable/dp/1449373321 前Qの最後は『データ指向アプリケーションデザイン』を読みました。データベース内のデータ構造や分散合意、列指向フォーマットのバイナリ配列、バッチ処理とストリーム処理など、データに関わる仕事をしてきた上でもう一歩踏み込んだ理解を進めてくれる非常にいい本でした。 なぜ輪読会がいいか ここで改めて輪読会の良さを言語化してみます。 実務的なメリットとして一例を挙げると、推論基盤のテストを設計する際に「Google のソフトウェアエンジニアリング」の輪読会が役に立ちました。輪読会以前は開発チームにテストに関する統一的な見解は無かったのですが、輪読会をきっかけに「我々が他チームに提供する機能は何なのか」や「それを担保するにはどうすればよいか」について議論が発展しました。本をベースにした適切なテスト設計について共通の指針をチーム全体が持てたことで、実装もスムーズに進みました。 もう少しふわっとしたところでは、チームの引き出しや共通言語が増えた感触があって、チームの雑談やちょっとした話の中でちいとぽの言葉が出てきたりソフトウェアエンジニアリング本の言葉が出てきているように感じます。 個人的には自分の感じているモヤっとした課題を既に言語化してくれている部分も多く、マネージャーやチームとの1on1のなかで何がやりたいかや何を期待しているかを少しうまく表現できるようになった気がします。 おまけとしてこの輪読会を起点に本全てを読破できるようになり、読書量が増えました。 またチームメンバーからの意見をまとめたところ 自分が普段読まない本や、名著なのは知っているけど読むのが大変な本を読むきっかけになる チームとの議論があることがわかっているので、目が滑らず咀嚼するモチベーションがある のような意見もありました。確かに深く読もうというプレッシャーがあるのはいいことですね。 他チームの輪読会 またこのTechブログを書いている時に、他人のカレンダーを覗いてたところ別のチームでも輪読会をやっていることを発見したので、少しだけお邪魔させていただいて話を聞きました。 山下さんがリードするキャディの別プロダクトのチームでは業務で必要になりそうな知識を先取りして読むように輪読会を運営していて、「ボトムアップDDD」「SQLアンチパターン」などの書籍をカバーし、「チームが同じ言葉で話せるようになる」「レビューがスムーズになる」などのいい影響があったとのことでした。大体1ヶ月に1冊くらいのペースで、全員で意見を書き出して議論するようなフォーマットで、図らずも同じような形式になっているのが面白かったです。輪読会がチームを超えて組織全体に浸透していて本好きの一員としては嬉しい限りです。 終わりに 今回は輪読会の具体的な開催方法とその良さを紹介しました。 キャディでは一緒に働く仲間を探しているので、 募集要項 から気になる求人があればご気軽にご連絡いただければ幸いです。
AI 組織のモノレポ紹介 はじめに こんにちは、西原です。AI Lab の MLOps チームでエンジニアとプロダクトオーナーを兼任しています。私たちは、日々 機械学習 (ML)の成果を素早くシステムに取り入れ、安定した運用を実現するための仕組み作りに取り組んでいます。この一環として 2022 年秋からはモノレポ構成での開発に移行しました。モノレポの採用背景やモノレポでの取り組みについて紹介します。 TL;DR 車輪の再発明 を防ぎ、開発効率を向上することを目的にモノレポへ移行 モノレポのビルドシステム Pants を使って、異なる Python バージョンのプロジェクトを管理 モノレポ移行によって開発効率の向上を実感しており、今後もモノレポの運用と改善を継続していく AI 組織のモノレポ紹介 はじめに TL;DR モノレポの概要 モノレポに移行するまで Pants とは モノレポへの移行 移行方針 アプリケーションコードの移行 インフラコードの移行 モノレポの静的解析設定 トランクベース開発とデプロイ トランクベース開発 デプロイ main 以外のブランチからの実行をブロック run-name を使った概要表示 同時実行制限 モノレポにおける CI 差分テスト テストカバレッジの計測 今後の展望 まとめ 参考 モノレポの概要 モノレポは複数のプロジェクトやアプリケーションの ソースコード 、リソースを分割せずに、全てを 1 つの リポジトリ で管理する開発手法です。プロジェクトやアプリケーションを個別の リポジトリ で管理する方法(poly repo/multi repo)に対して、モノレポを採用することで次のようなことが期待できます。 コード共有が容易になるため、同じ機能を複数のプロジェクトで実装する必要がなくなる コードの品質を統一的に管理できるため、バグやセキュリティの問題を早期に発見できる ビルドやテスト、デプロイなどの自動化が容易になる 開発者が 1 つの リポジトリ に集まることで開発者同士のコミュニケーションが促進され、開発効率やコード品質の向上につながる 対照的に、モノレポを採用するにあたって気をつける点として同じコードベースを複数人で編集することによるコンフリクトへの注意や依存関係の管理、ビルドシステムを使った効率的な設計等があります。 モノレポに移行するまで AI Lab では 2022 年秋まで poly repo で開発していました。poly repo では リポジトリ に関わるメンバーの得意・不得意によって、リンター、フォーマッター、テスト、CI/CD の作り込みに差がありました。 リポジトリ を横断して最低限の仕組みを構築するようにしましたが、当時は Organization 横断の workflow もまだなく、似たような作業の繰り返しで生産的な作業とは思えませんでした。一方で、これらの作業を怠るとメンテナンス性が低下し、継続的な改善・運用が難しくなるため放置もできません。 GitHub のテンプレー トリポジ トリや base となるコンテナイメージの利用による Docker イメージの共 通化 を試みましたが問題を解決できず、モノレポへの移行を検討しました。モノレポに移行することで開発に必要なリソースが全て 1 つの場所に集約され、 リポジトリ に関わる全員が共通の 開発プロセス やツールを使用できます。これによりリンター、フォーマッター、テスト、CI/CD などの開発ツールの統一が容易になり、メンテナンス性や開発効率の向上が期待できます。 モノレポに移行するにあたって依存関係の管理やビルド効率に関する懸念があったため、これらを解決できそうなツール(ビルドシステム)を調査したところ Bazel と Pants が選択肢として挙がりました。最終的に AI Lab の中心的な技術スタックである Python をネイティブでサポートしている Pants を採用することに決めました。 Pants とは Pants(pantsbuild/pants) はあらゆる規模のコードベースに対応できるスケーラブルなビルドシステムで、特にモノレポとの相性が良いです。依存関係解決ツール、テストランナー、リンター、フォーマッター、パッケージャーなど数十の基本ツールをとりまとめ、扱えるようにします。記事執筆時点の Pants v2.15.0 では Python 、Go、 Java 、 Scala 、Shell、Docker をサポートしています。Pants の特徴として、静的解析による依存関係 モデリング 、実行結果のキャッシング、並列実行やリモート実行等があります。 モノレポへの移行 移行方針 モノレポへの移行は Pants のキャッチアップと並行して進めることになりました。AI Lab が抱えている問題を モノレポと Pants が本当に解決できるのか不安があったため、モノレポ移行が失敗した場合に切り戻せるように AI Lab が所有するコードの一部を対象に移行を始めました。AI Lab には主にアプリケーション用、ML モデル作成用、インフラ用のコードがあります。このうち、アプリケーションとインフラのコードは CI/CD が整っており、失敗した場合でも元に戻すことが容易だったためこれらのコードを対象にモノレポ移行を進めました。 アプリケーションコードの移行 移行するアプリケーションは Poetry と Docker を使用して構成されていましたが、アプリケーションごとに異なる Python バージョンを使用していました。Pants の事前調査で Poetry をサポートしていることや、異なる Python バージョンを管理できることがわかっていたため、移行の際は事前の作業なしに ディレクト リ構成含む全てをそのままモノレポに取り込みました。Pants は requirements.txt を使った管理、 pex を使ったコード実行もできますが移行のハードルを下げるために Poetry を使った構成をそのまま引き継ぎました。コード例のように pants.toml の記述を行い、モノレポ移行した各アプリケーションに BUILD ファイルを追加して Pants が動くようにしていきます。 ./pants tailor :: コマンドを使うと BUILD ファイルの追加を補助してくれます。 ./pants test コマンドを実行してテストが通過すればアプリケーションの移行は終わりです。 [GLOBAL] pants_version = "2.15.0" backend_packages = [ "pants.backend.python", ] インフラコードの移行 次にインフラ用コードの移行について紹介します。もともと Terraform で書かれたコードはインフラ用のモノレポで管理されていましたが、今回の移行を機 にアプリケーションと同じ リポジトリ で管理することにしました。 移行前は開発用、検証用、本番用それぞれの tfstate が 1 つあり、その tfstate に複数のアプリケーションが含まれている状態でした。この状態では管理する state の数が増えるにつれて、 plan や apply の実行時間が長くなるだけでなく、追加・変更・削除の際の tfstate の lock により、コンフリクトする恐れがあります。今後アプリケーションが増えると、この状況が開発の ボトルネック になると考え、 リポジトリ 移行のタイミングで 1 つの tfstate で 、環境ごとの 1 アプリケーションを管理するように tfstate を分割をすることにしました。 コードを新しい リポジトリ に集約した後、 terraform state コマンドを使用して tfstate をアプリケーションごとに分割して リポジトリ 移行を終えました。移行後の ディレクト リ構成を簡略化した例が以下になります。 . ├── .github ├── pants ├── pants.ci.toml ├── pants.toml ├── projects │ ├── app_1 │ │ ├── src │ │ │ ├── BUILD │ │ │ └── main.py │ │ ├── BUILD │ │ ├── docker-compose.yaml │ │ ├── Dockerfile │ │ ├── poetry.lock │ │ ├── pyproject.toml │ │ └── tests │ │ ├── BUILD │ │ └── test_main.py │ └── app_N │ ├── src │ │ ├── BUILD │ │ └── main.py │ ├── BUILD │ ├── docker-compose.yaml │ ├── Dockerfile │ ├── poetry.lock │ ├── pyproject.toml │ └── tests │ ├── BUILD │ └── test_main.py └── terraform ├── app_1 │ ├── environments │ │ ├── development │ │ │ └── main.tf │ │ ├── staging │ │ └── ... │ └── modules │ ├── cloud_run.tf │ ├── iam.tf │ └── ... └── app_N ├── environments │ ├── development │ │ └── main.tf │ ├── staging │ └── ... └── modules ├── cloud_run.tf ├── iam.tf └── ... モノレポの静的解析設定 モノレポ移行の当初の目的であったリンター、フォーマッター、テスト、CI/CD の作り込みと全体への適用を行いました。 pants.toml にモノレポで有効にするリンターやフォーマッターの設定を記述します。以下は、Pants で使う静的解析の設定例です。 [GLOBAL] pants_version = "2.15.0" backend_packages = [ "pants.backend.python", "pants.backend.python.lint.black", "pants.backend.python.lint.flake8", "pants.backend.python.lint.isort", "pants.backend.python.lint.pylint", "pants.backend.python.lint.docformatter", "pants.backend.python.lint.bandit", "pants.backend.python.lint.autoflake", "pants.backend.python.lint.pyupgrade", "pants.backend.python.typecheck.mypy", "pants.backend.docker", "pants.backend.docker.lint.hadolint", ] Pants では、 Python 開発で使うリンターやフォーマッターを一通りサポートしており、flake8 extension も利用できます。Pants でサポートしていないツールも、plugin 機能を使って自前でルールを書くことでモノレポに適用できます。Pants の fmt 、 fix 、 lint 、 check コマンドを実行して動作確認できたら静的解析の設定は終わりです。 余談:Pants v2.16 では Ruff の導入が予定されています。Ruff は Rust で書かれた高速な Python リンターであり、Pants の リンター比較実験 からも高速に動作することが期待できます。リンターの実行時間が長いと CI の実行が長くなったり、手元でリンターを実行するハードルも高くなりますが、高速に動作する Ruff によって改善されることを期待しています。 トランクベース開発とデプロイ トランクベース開発 モノレポでは トランクベースの開発 スタイルを採用しており、main ブランチ以外の永続的なブランチを作成しないようにしています。一般に、寿命の長いブランチを作成し、デプロイするタイミングで多数の変更をリリース用ブランチに取り込む手法もあります。この手法ではデプロイの影響範囲が大きくなり、デプロイの失敗率が高くなります。デプロイが失敗すると多数の変更の中から問題を特定することになり、調査にかかる負担が大きくなると考えました。そこでトランクベースの開発スタイルを採用し、小さなパッチを基本とした開発を目指しています。小さなパッチの場合、コードレビューの負荷も低減され、フロー効率も向上すると考えています。トランクベースの開発スタイルを採用することで、小さな単位のパッチを意識することと、main ブランチに積極的に変更を取り込むうえで本番環境に影響を出さない仕組み(feature flag や versioning など)を活用していくことを期待しています。 デプロイ アプリケーションのデプロイや terraform apply は GitHub Actions を使って行うようにしました。 GitHub Actions の workflow ファイルは .github/workflows 配下に置く必要があります( 公式ドキュメント )。1 つの workflow ファイルで 1 つのアプリケーションのみデプロイできるようにするとファイル数が増加し、見通しが悪くなります。ファイルの増加を防ぐために、 workflow_dispatch を使用して単一のファイルから複数のアプリケーションをデプロイできるようにしています。デプロイする際は、実行ブランチ、デプロイする環境、および対象のアプリケーションを選択して実行します。これにより、新しいアプリケーションが増えても、1 つの workflow ファイルで管理できるようになります。 ただし、1 つのファイルに複数のアプリケーションのデプロイ設定を書くとファイルが肥大化し、メンテナンスが難しくなります。メンテナンス性を保つために各アプリケーションごとにデプロイ用の設定ファイルを用意し、workflow 内からそれらのファイルを参照するようにしています。 main 以外のブランチからの実行をブロック 検証環境と本番環境では main ブランチからのみ実行できるようになっており、その他のブランチを指定して実行した場合はブロックされるようにしています。main ブランチは、コードレビューを通過したコードのみを取り込むようになっており、誤操作によって未レビューのコードが本番環境に反映されることを防ぎます。 run-name を使った概要表示 1 つの workflow ファイルから複数のアプリケーションをデプロイする場合、ジョブ実行一覧の画面でどのアプリケーションが誰によって、どの環境に、そしていつデプロイされたかの履歴を確認することが難しくなります。 GitHub Actions の run-name を使用して、実行の概要を表示することで該当するジョブを見つけやすくしました。 同時実行制限 デプロイ時に同じ動作が連続して実行されないように 同時実行を制限 しています。下記のように inputs の値を使って group を設定してみたのですがうまくできず、 こちらのディスカッション にあるように github.event.inputs を使うとうまく group の設定ができました。 name : Deploy Workflow concurrency : # group: ${{ github.workflow }}---${{ inputs.appName }} これだと ${{ inputs.appName }} の値が常に空文字になる group : ${{ github.workflow }}---${{ github.event.inputs.appName }} # こっちだと入力した値が反映される cancel-in-progress : true on : workflow_dispatch : inputs : appName : description : "Name of the App you want to deploy." required : true # 省略 これまで紹介した取り組みをまとめた workflow の例が次のコードになります。 run-name を使った概要表示 同時実行制限 実行ブランチ、デプロイする環境、対象のアプリケーションを選択 main 以外のブランチからの実行をブロック name : Deploy Workflow run-name : Deploy to ${{ inputs.application }} by @${{ github.actor }} # ① concurrency : group : ${{ github.workflow }}---${{ github.event.inputs.application }} # ② cancel-in-progress : true on : workflow_dispatch : inputs : # ③ environment : description : environment type : environment required : true application : type : choice description : application options : - app1 - app2 jobs : deploy : runs-on : ubuntu-latest if : ${{ inputs.environment == 'development' || github.ref_name == 'main' }} # ④ development環境はどのブランチからでも実行できるが、それ以外はmainブランチからのみ実行できる steps : - run : echo "Deploy to ${{ inputs.application }} by @${{ github.actor }}" モノレポにおける CI 差分テスト モノレポ CI の構築において差分検知がポイントだと考えました。モノレポには複数のプロジェクトが存在し、毎回の CI 実行で変更と関係ないプロジェクトまでテストすると時間とお金がかかります。一方で、変更によって影響を受けるコードがテストされなかった場合、コードが壊れていることを検知できず広範囲に影響を及ぼすことがあります 。そして、デプロイと同様にプロジェクトが増えた際に何の工夫もしなければ CI 用の workflow ファイル数が増加していきます。 Pants には差分検知機能があるため、基本的に Pants を使って差分検知します。Docker Compose を使用した ML 推論の regression test や、Terraform など Pants で管理されていないものは paths-filter を使用して差分検知しています。 Pants の差分検知は実行時にオプションを追加するだけで実行できるため導入負荷が低く、Pants を初めて使う人でも簡単に差分実行できます。AI Lab モノレポで全体テストをすると 30 分かかっていましたが、差分実行を導入すると CI の時間が p90 で 3 分になりました。Pants 採用後はできるだけ早く差分実行を導入することをお勧めします。 # origin/mainとの差分を計算するオプション # --changed-since=origin/main --changed-dependees=transitive # origin/mainとの差分をテストする例 ./pants test --changed-since=origin/main --changed-dependees=transitive CI の実行時間を短縮するためにキャッシュの活用にも取り組んでいます。Pants でキャッシュを使って CI を高速化する方法が公式の ドキュメント と サンプルコード で紹介されており、こちらを参考にして AI Lab モノレポでもキャッシュを活用して CI の時間が短くなるように努めています。 先述したとおり CI では差分実行を採用していますが、差分実行だけだと リポジトリ 全体が正常に動作しているか不安もあります。そこで、 リポジトリ 全体のテストを日次で実行して リポジトリ 全体が壊れてないか確認することで、不具合を発見できるようにしました。このように差分実行によって時間と費用を節約し、全体テストによって リポジトリ 全体が正常か確認することで QCD のバランスが取れた CI システムを実現しました。 テスト カバレッジ の計測 Pants には テストカバレッジを計測する機能 があり、 MishaKav/pytest-coverage-comment と組み合わせて カバレッジ をレポートしています。ML 推論の regression test は Pants で管理していないため、この カバレッジ に反映されていませんがモノレポ全体のテスト カバレッジ を計測したところ 86%でした。組織として数値目標は設定していませんが、テストを書いて当たり前の文化が数字として表れていると思います。次の yaml は差分テストを実施した後テスト カバレッジ を Pull Request にコメントする例です。 # 省略 steps : - uses : actions/checkout@v3 - uses : pantsbuild/actions/init-pants@v2 - name : Setup Python uses : actions/setup-python@v4 with : python-version : 3.9 - name : Test run : ./pants --changed-since=origin/main --changed-dependees=transitive test - name : Pytest coverage comment uses : MishaKav/pytest-coverage-comment@<sha> with : pytest-xml-coverage-path : dist/coverage/python/coverage.xml ML モデルの推論は前処理によって結果が変わります。前処理で使っているライブラリに変更があった場合、推論に影響があるかどうかを判断できるように Pants を使ったテストや regression test をしています。モノレポでは renovate を活用して外部ライブラリのバージョン更新をしており、これらのテストが通れば安心して main ブランチへマージできる仕組みになっています。 今後の展望 ここまでモノレポ移行の背景やモノレポでの取り組みについて紹介してきました。モノレポ移行によって開発効率が向上したことを実感していますが、まだまだやりたいことが残っています。今後、検討・検証したいことの一部を紹介します。 ML モデル作成用コードをモノレポで管理 現在はモデル作成用コードは別 リポジトリ で管理している。モデル作成用コードもモノレポで管理することで品質を統一的に管理し、デプロイまでの繋ぎこみをスムーズにしたい 各プロジェクトごとに管理している外部ライブラリをまとめて管理 各プロジェクトごとにやっている外部ライブラリ管理を辞め、 リポジトリ 内で使用している外部ライブラリを一箇所に集約して管理することでメンテナンス性が向上する見込み Pants との相性から Poetry を継続するか、Poetry を辞めて requirements.txt で外部ライブラリを管理するかの判断 (余談: 最近 Poetry 1.4 がリリースされて install が高速になりましたね) コードの依存関係整備 コードがプロジェクト内で完結しているため、レポジトリ内に似たようなコードが存在する 同じことをやっているコードをまとめ、プロジェクト横断で使えるようにする ML の前処理も、一つのコードを使いまわすことで前処理で差分がでることを防ぎ、推論結果を安定させられる見込み custom plugin の作成 モノレポの中で共通の処理を plugin 化して統一のインターフェースで実行できるようにする pex を使った Python 実行 まとめ AI Lab では 車輪の再発明 を避け、開発効率を向上するためにモノレポへ移行しました。モノレポ移行により移行前に抱えていた課題を解消でき、開発効率の向上を実感しています。Pants を使用して Python バージョンの異なるプロジェクトを管理しています。モノレポでは、何か 1 つのプロジェクトが終了しても リポジトリ のメンテナンスが止まることはなく、永続的にメンテナンスすることが前提となります。そのため、開発効率を向上させるための投資がしやすくなりました。ML パイプラインの改善などの他の取り組みと併せて、今以上に事業への価値提供ができるように今後も改善に取り組んでいきます。 参考 Pants monorepo.tools https://www.pantsbuild.org/docs/media https://developer.hashicorp.com/terraform/language/state/locking https://developer.hashicorp.com/terraform/language/settings/backends/gcs
はじめに こんにちは、キャディAILab MLOpsエンジニアの廣岡です。MLOpsエンジニアの業務では、機械学習エンジニア(MLE)の開発したモデルのデプロイ面の協働や、それらを含む機械学習基盤の開発・運用などを担当しています。最近は特にモデルデプロイに伴うチェック内容の自動化や、各ライブラリのアップデートを安全に実施するためのCI/CDの整備などに取り組んでいます。 本稿では、AILabが運用する図面解析ETL基盤、および開発に際して得られた知見や悩みを記載します。読者の方の参考になれば幸いです。 TL;DR 社内オペレーションにおいて、膨大な図面に対する解析とその結果に対するアクセスが必要となっていた 社内のアプリケーションにアップロードされた図面に対して、機械学習を用いた画像解析を実施し、解析結果をデータベースに格納するETL(Extract、Transform、Loadからなるデータ処理)基盤を構築した 結果として、アップロードされた図面群に対して当初目標としていた「30分以内に図面10000枚の解析完了」を達成することができた :tada: 背景 キャディでは業務の中で膨大な量の図面を扱っています。こうした膨大な量の図面を全て人手でチェックするのは大変なため、図面の取り扱いに際するオペレーションを自動化することで、業務効率化や情報抽出の高度化・均一化が期待できます。今回紹介するETL基盤もそうした自動化の一端を担っており、機械学習によって図面からの情報抽出を行います。 本稿で紹介するETL基盤の構築以前から、キャディでは社内向けのML APIをホストするAPI基盤が構築されていました(詳しくは 以前のブログ投稿 をご参照ください)。このAPIを用いることで、社内のアプリケーションから図面に対する機械学習の解析結果を取得することができていました。 一方でこうしたAPIの利用者はエンジニアを想定していたため、非エンジニアからは利用しづらいと言う課題がありました。これに対して、例えばBigQueryのようなストレージに解析結果を格納しておくことで、多くの社員が図面の解析結果にアクセスでき、機械学習の価値を享受できるようになります。こういった背景から、図面情報のETL基盤の開発が検討されました。 ETL基盤の開発にあたっては、「 10000枚の図面データ入力に対して30分以内に解析結果をアクセス可能な状態にする 」という、処理性能の数値目標を定義していました。詳細は割愛しますが、これは図面情報を用いる業務オペレーションから逆算した数値となっています。 プロダクトの開発に際してはDesgin Docという資料をまとめており、開発の基礎としています。上記の開発背景や数値目標の他にも、ユーザーストーリーや機能要件、プロダクトのスコープが意図する要素などを整理して記載しています。これらをチームとして考え合意しておくことで、必要なことにフォーカスし、不要なものを作らないことが期待できます。 ETL基盤のアーキテクチャ ETL基盤の開発前には、インポートされた図面に対して採番(ID付与)を行う図面管理基盤と、MLモデルをホストするAPI基盤がありました。これらを踏まえて以下のようなアーキテクチャのETL基盤を構築しました。 AILabでは基本的にGoogle Cloudのサービスを利用しています。今回のETL基盤の核となっているのは中央のCloud Runにデプロイされるサービスであり、下記の流れで、図面の情報抽出を実施します。 図面管理基盤に図面がインポートされると、Pub/Subトピックにメッセージが発行される Pub/Subからのプッシュサブスクリプションによって、Cloud Runにリクエストが送られる Cloud RunからVertex Endpoint(ML API基盤)にリクエストを送り、図面に対する解析結果を得る 解析結果をCloud SQLに格納する (BigQueryを介してCloud SQLにクエリすることで、解析結果が閲覧できる) またPub/Subメッセージの状態や、Cloud Runのログや各種リソースの動作状況はCloud Monitoringに取り込まれ、処理が問題なく進んでいるかをチェックできるようになっています。 開発時の議論 開発を進める際には、各リソースの動作確認や構成の議論が必要でした。ここではその一部を紹介します。 スケーラビリティ 図面管理基盤への図面のインポートはまとめて行われるため、リクエストの変動が激しくなることが予想されました。Cloud Runを用いることで迅速なスケールアウトが期待でき、リクエスト数に応じたスケーラビリティを獲得できると感じています。 一方でVertex Endpointで提供されるML API基盤は機械学習モデルを搭載しているためか比較的スケールアウトが遅い場合がありました。これをETL基盤の問題と捉えるかは微妙なところですが、「30分以内に10000枚の図面を解析」と言う目標に対しては致命的なほどではありませんでした。しかし今後さらに大量の図面を扱う場合や、高速な処理が求められる場合は改善が必要と感じています。 処理のリトライ 一度に大量の図面に対してETLを実行する場合、ML APIのスケールアウトが間に合わないなどの理由で、一部の図面に対して処理が失敗することが考えられました。 これに対するリトライ処理はPub/Subのリトライ機能を利用しており、処理が成功するまで一定時間リクエストを送り続けます。時間経過に応じてインスタンスのスケールアウトなどが間に合うと処理が成功し、結果がデータベースに格納されます。 解析結果へのアクセス権管理 解析結果はCloud SQLに格納され、ユーザーからはBigQueryを介してクエリを実行し、各図面に対応した解析結果を得られます。 BigQueryへのアクセス権はTerraformを介してIAMによって付与しています。アクセスが必要な際にはMLOpsチームに連絡してもらう運用にしており、これによって解析結果にアクセスできるユーザーやグループを管理しています。 リリースに伴う動作チェック ETL基盤のリリースに際しては、開発環境での疎通確認や、ステージング環境での負荷テストなどを実施しています。特に負荷テストでは、「30分以内に10000枚の図面を解析」の性能指標が達成できているかを確認するため、実際に10000件の図面を投入し、処理性能が問題ない範囲で収まっているかを確認しています。 ML APIの増加に伴う失敗率の増加 本稿のETL基盤では、一つの図面に対して複数のML APIによる解析を実行しており、全て完了した後に結果をデータベースに格納しています。この時Vertex Endpointのスケールアウトなどの要因でAPIのどれか一つでも失敗すると、ETLの実装上一図面に対する解析がまとめて失敗となっていました。リトライ時には、元々成功していたAPIも再度リクエストを送る必要があり、処理時間の増加につながってしまいます。 この課題は暫定的にVertex Endpointの最小インスタンスを増やすことで対応しましたが、APIごとに解析結果を随時保存するように、アーキテクチャと実装を鋭意改善しています。 ユースケースの拡大と社内の認知向上 今回紹介した図面ETL基盤は、社内の非エンジニアの特定オペレーションに際して、大量の図面を効率的に扱うために開発されました。今後実際にオペレーションに組み込まれていく中で、精度や処理性能面のさらなるブラッシュアップができると良いと感じています。 また元々想定していたオペレーション以外にも、ETL基盤による図面情報の提供は、図面を扱う多くのオペレーションに有用であるとも考えています。これに対しては、社内のSlackで宣伝したり、必要に応じて抽出できるデータやデータベースのアクセス方法を紹介する機会を作ったりしています。一方で、さまざまなユースケースが混在するとシステムの要件が複雑になる可能性もあるため、今回のETL基盤が本当に適しているのかはよく見極めて進めたいと考えています。 まとめ 本稿では、キャディ社内でAILabが開発・運用している図面に対するETL基盤を紹介しました。他にもMLOpsチームとしては下記の課題や機能候補なども検討しており、今後さらにブラッシュアップしていきたいと感じています。 API単位でのリトライ Pub/Subなど外部サービスに依存している箇所のテスト バッチ推論への対応 本稿で紹介したETL基盤では、Google Cloudのマネージドサービスを使いながら「30分以内に10000枚の図面を解析」という目標を達成できました。これを用いてキャディのビジネスをさらに加速していきたいと考えています。
TL;DR Chrome Extension経由で独自に学習したMLモデルを社内配布できるようにしました モデルはユーザのブラウザ上で実行するので余計な通信も発生せず クラウド 代も不要です 背景 こんにちは。CADDi AI Lab MLOpsチームの中村遵介です。普段は 機械学習 エンジニアチームの作るモデルを Vertex Endpointsを使用してAPIとして提供 したり、パイプラインに組み込んで推論結果をデータ提供したりするお仕事をしています。モデルは様々な種類がありますが、一番多いのは図面画像から特定の値を推論したり、何らかのクラスに分類するようなモデルです。 そのような中で「 API 提供するとサーバ代かかるし、ユーザに API 使ってもらうのもちょっと手間があるしなぁ」と考えることがあり、ふと「 Chrome extensionでMLモデルを提供しちゃえば、ユーザはextensionを入れるだけでモデルを使えるようになるし、実行コストもユーザのローカル環境にお任せできるしで Win-Win では?」と思ったので実際にやってみました。 ユーザ体験設計 Chrome extensionは非常に強力で、様々な体験を作ることができます。今回はお試しとして以下のように設計しました。 提供するモデルは、図面画像に書かれている物体の最大寸法値を推論するもの※1 社内で使用している図面画像管理 Webサービス に対して Chrome extensionを提供する 図面画像管理 Webサービス 上に出てくる図面を右クリックすると、「AIで推論する」のようなメニューが出てくる 「AIで推論する」というメニューを選択すると、その場で対象の画像に対してMLモデルで最大寸法値を推論する 推論した最大寸法値は、ブラウザのコンソールに出力する 技術検証の段階なので、提供するMLモデルが1つだけだったり、推論の出力先がブラウ ザコン ソールだったりします。 こちらが実際にできたものの動画です。動画内の Webサービス が社内向け図面管理サービスで、対象図面は社内サンプル図面です ※1 … 最大寸法値推論モデルは、図面に記述された寸法値から、物体の大体の最大サイズを推論します。最大寸法値が直接図面に書かれていないような図面であっても推論可能です。 技術選定 ざっくり以下の技術を選択しました。MLモデルをONNX形式に変換し、それをTypeScriptでロードして実行します。 途中までは、MLモデルはONNXエクスポートしたものをRustでラップしWASMを使ってTypeScript側に関数提供する方法も考えたのですが、TypeScript側にONNXのランタイムが出ていたのでよりシンプルな構成にしました。 MLモデル 学習: PyTorch 推論: ONNX Chrome Extension MLモデルのランタイム: onnxruntime-web 開発自体の言語・ フレームワーク : typescript + webpack 実装 Chrome extensionの マニフェスト Chrome extensionでは マニフェスト と呼ばれる定義ファイルを作成するのですが、今推奨されている書式は Manifest V3 と呼ばれる形式なので、それに則ります。Manifest V2は現在の予定だと2024年でdeprecatedになります( Manifest V2 support timeline ) V2からV3の移行は比較的簡単にできるようです( Migrating to Manifest V3 )。 まず、画像を右クリックした際に出てくるメニューに「AIで推論する」という項目を追加するため、 Chrome のバックグランドで実行する スクリプト ファイルが必要になります。 さらに、今回は図面画像管理 Webサービス の中の画像を取得するため、特定のページの要素( <image> )にアクセスする権限が必要です。そのため、バックグランド実行とは別のコンテンツ スクリプト を作成して、それぞれを マニフェスト に登録する必要があります。 また、コンテンツ スクリプト はMLモデルであるONNXファイルを実行時にロードします。図面管理画像 Webサービス からこのONNXファイルにアクセスしても良いよ、という許可を与える必要があります。 manifest. json は以下のようになります { "name": "Some cool name", "description": "very clear instructions.", "version": "1.0.0", "manifest_version": 3, "action": {}, "background": { "service_worker": "background.js" }, "content_scripts": [ { "matches": [ "https://example.com/*" ], "js": [ "content.js" ] } ], "permissions": [ "activeTab", "tabs", "contextMenus", "scripting" ], "content_security_policy": { "extension_pages": "script-src 'self'; object-src 'self'" }, "web_accessible_resources": [ { "matches": [ "https://example.com/*" ], "resources": [ "model.onnx" ] } ] } バックグラウンドでのメニュー画面追加 実装はTypeScriptで行います。 バックグラウンドで実行して欲しい内容としては、 Chrome で画像を右クリックした際に「AIで推論する」というような内容をメニューに挿入することです。 また、メニューを選択した際は、コンテンツ スクリプト 側に何からの手段で該当の画像を送信する必要があります。このバックグラウンドとコンテンツの間のデータ送信はメッセージ機能で簡単に実現することができます。 chrome.runtime.onInstalled.addListener((): void => { chrome.contextMenus.create({ id: "inference-cnn", title: `AIの結果を見る`, contexts: ["image"] }); }); chrome.contextMenus.onClicked.addListener((info, tab): void => { if (tab?.id && info.srcUrl) { const message = { type: "inference-cnn", imageUrl: info.srcUrl }; chrome.tabs.sendMessage(tab.id, message); } }); 推論処理 これもTypeScriptで記述します。この スクリプト 内でやることは以下の通りです。 バックグラウンド スクリプト から推論開始メッセージを受信する メッセージから画像のURLを取り出す 画像のURLから画像をロードする 画像をロードし終えたら、MLモデルに入力できるように前処理を行い、 Tensor 型にする MLモデルをロードする MLモデルのロードを終えたら、推論する 推論を終えたら、結果を出力する XXXを終えたら、と書いてあるところは実際に処理の終了を待ってあげる必要があります。普段 Python を書いていると非同期処理が出てきた際に一瞬ビクッとしますが(私だけかも)、直列に実行していくだけなのでシンプルにawaitすれば十分です。実際に記述するのはそこまで大変ではありません。 必要な画像の前処理は、グレースケール化とリサイズでした。どちらも画像ライブラリによって差異が大きく、その差分を吸収するのは大変なので結構雑に実装してしまいました。きちんとやるならば、実験時と同等の挙動を示すように前処理を実装する必要があります。 import { InferenceSession, Tensor } from "onnxruntime-web"; const asTensor = (image: HTMLImageElement): Tensor => { const canvas = document.createElement('canvas'); canvas.width = image.width; canvas.height = image.height; const canvasContext = canvas.getContext('2d'); if (canvasContext != null) { canvasContext.imageSmoothingEnabled = true; canvasContext.imageSmoothingQuality = "low"; } // 雑にリサイズして雑にグレースケールにする canvasContext?.drawImage(image, 0, 0, 1024, 1024); const imageData = canvasContext?.getImageData(0, 0, 1024, 1024); const input = new Float32Array(1024 * 1024); for (let i = 0; i < 1024 * 1024 * 4; i += 4) { const r = imageData?.data[i] ?? 0; const g = imageData?.data[i + 1] ?? 0; const b = imageData?.data[i + 2] ?? 0; input[i / 4] = (255 - (r + g + b) / 3) / 255.0; } const tensor = new Tensor('float32', input, [1, 1, 1024, 1024]); return tensor; } const inference = async (tensor: Tensor): Promise<string> => { // モデルの読み込み const modelFilePath = chrome.runtime.getURL('model.onnx') const session = await InferenceSession.create(modelFilePath, { executionProviders: ["webgl"] }) // 推論の実行 const feeds = { 'modelInput': tensor } const outputMap = await session.run(feeds) const outputData = outputMap.modelOutput.data; return `${outputData[0]}` } const run = async (imageUrl: string) => { const image = new Image(); image.crossOrigin = 'anonymous'; image.onload = () => { const tensor = asTensor(image); console.log("Start to inference...") inference(tensor).then((inferenced) => { console.log(`Max size is ${inferenced}.`) }); }; image.src = imageUrl; } chrome.runtime.onMessage.addListener((message, sender, sendResponse): string => { if (message.type == "inference-cnn") { run(message.imageUrl).then(sendResponse); return "OK"; } return "" }) ONNX 図面画像から最大寸法値を推論するMLモデルはPyTorch Lightningを使用して学習されています。そこで、モデル定義ファイルと重みファイルをダウンロードし、そこからONNXファイルへと変換します。変換にはPyTorch Lightningの onnx export関数 を使用しました。 実体はtorchのonnx export関数 なので使い方は難しくありません。 ここで、 Chrome extensionではONNXファイルのランタイムとしてonnxruntime-web を使用していますが、onnxruntime-webで動かせるONNXには制限がある、ということに気をつける必要があります。比較的新しめのモデルだと未対応の関数を使用していたり、またONNX変換時に最適化をしすぎたりするとonnxruntime-webで動かないことがあります。 また、PyTorchからONNXファイルを変換する際、重みの整数型がint64で出力されますが、onnxruntime-webで動かすためにはint32に変換しておく必要があります。変換にはこちらの onnx-typecast を参照させてもらいました。 誤差 画像の前処理を雑に書いたり、ONNX変換をしていたりするので、元の実験時とだいぶ違う挙動になるのかと思いましたが、意外にも誤差は十分に使用可能な範囲で小さく収まってくれました。 まとめ onnxruntime-webやWASMのおかげでちょっとした開発をすればMLモデルを Chrome extensionとして配布できることがわかりました。 とはいえ、 API による提供に対して モデル更新のタイミングがユーザ依存になる ユーザのリソースで計算するため実行が安定しない どのモデルがどの程度ユーザに使用されているかが分からない などの問題はあります。ぱっとお試しで価値検証をしてもらうには良いかもしれませんが、 API をなくせるほどではないなと思いました。 銀の弾丸 は存在しないので、適切なタイミングで適切な価値を提供できるよう精進していきたいものです。
こんにちは。CADDiのAI LabでMLOpsエンジニアをやっている中村遵介です。 MLOpsチームは今から3ヶ月前に立ち上がったばかりの新しいチームなのですが、その前身としてAPI基盤を作っていた時期があったので、そこで得られた知見を書いていこうと思います。 背景 CADDiのAI Labは2021年の12月に立ち上がった今月1才になったばかりの組織です。その若さにも関わらず、日々有用なMLモデルが作成されていっています。 そのような中で、「新しく作ったMLモデルを素早くユーザにデリバリーしたい」という話が上がるようになりました。ここでいうユーザとはCADDi社員や社内システム、公開アプリケーションなどを指します。 そのため、AI Lab内で簡単に使用できるAPI基盤を作成することにしました。具体的には以下の体験を作ることを目指しました。 開発者に提供するAPIデプロイ体験 推論コード部分だけを記述すればAPIサーバのためのDockerイメージを完成できる APIに必要なテストやドキュメントは一定のテンプレートに沿って記述できる CIの中でコードから簡単にAPIをデプロイできる MLモデルのデプロイに必要なテスト類は簡単なCLIを通して実行することができる ユーザに提供するAPI使用体験 APIの使い方やスキーマをドキュメント上で確認できる 特定のエンドポイントに対してHTTPSリクエストを送ることで期待のレスポンスを得ることができる API呼び出しには認可を必要とする 開発したもの 開発したものは大きく次の5つです API基盤の中心であるAPIサーバ(エンドポイント) APIサーバにAPIをデプロイするためのデプロイツール APIの仕様を公開するためのドキュメントツール APIの品質を確認するためのテストツール APIの状態を監視するためのモニタリングツール それぞれについて選定した技術に関してご紹介していこうと思います。 APIサーバ APIサーバ自体はGoogle CloudのVertex AI Endpointsをそのまま使用しました。Vertex AI Endpointsを簡単に説明すると「特定の条件を満たしたDockerコンテナをAPIサーバとしてホスティングするフルマネージドサービス」です。 一般的な使い方としては、 特定の条件を満たしたDockerコンテナをArtifact Registry か Container Registry にアップロードする アップロードしたDockerコンテナを、Vertex AI Model Registryにモデルとしてインポートする インポートしたモデルを、Vertex AI Endpointsにエンドポイントとしてデプロイする と言う流れになります。 我々のチームでVertex AI Endpointsを採択した理由は、大きく2つあります。 1つ目の理由は、GPUを簡単に扱えることです。現在利用しているMLモデルは特に軽量化をしておらず、高速な推論のためにGPUを必要とするものがあります。しかし、CloudRunではGPUを扱うことができず、GKEでは比較的大きめの運用コストを見込む必要があります。 一方で、Vertex AI EndpointsはGPUをアタッチするかどうかを選択するだけで簡単にGPU環境にデプロイ可能です。ただし、デプロイするDockerイメージの中でGPUを使用するコードを書く必要はあり、アタッチできるGPUの種類はデプロイするregionによって異なるため注意が必要です。 2つ目の理由は、Vertex AI Endpointsの要求が少なかったことです。Vertex AI Endpointsは、Vertex AI Model Registryというコンテナ置き場に置いたDockerイメージをデプロイすることでサービングを開始できます。そして、Dockerイメージは以下の要件さえ満たせば自由に実装することができます。(参考 コンテナイメージの要件 ) HTTPサーバが実行されていること ヘルスチェック用のエンドポイントが用意されていること 予測用のエンドポイントが用意されていること リクエストサイズは最大1.5MB以下であること 入出力のスキーマに一定の制約を設けること Vertex AIのカスタムトレーニングを使用してDockerイメージを作成する場合は、自動的に上の要件を満たしたDockerイメージを作成することができます。 また、独自の実験環境でモデルをトレーニングした場合でも、上記の要件を満たすようなDockerイメージを作成すれば、APIサーバとして公開できます。この手軽さからVertex AI EndpointsをAPI基盤に選択しました。 一方で、要求が少ないということは実装の自由度が高いことを意味します。Dockerイメージを作るためには、自分達自身で上記の条件を満たしたAPIサーバを正しく実装する必要があります。 要求される知識や実装コストは決して低くありません。MLモデルをデプロイする際に、ML以外の関心ごとに多くの時間を取られるのは避けたいところです。 そこで、Dockerイメージの作成には敢えて制約をかけ、TorchServeを使用することに決めました。TorchServeはPyTorchでトレーニングしたモデルをHTTPサーバから簡単に提供できるようにするツールです。 モデルの実際の推論処理をHandlerと呼ばれるクラスの中に実装する必要がありますが、それ以外はほとんど手を加える必要がありません。 TorchServeでAPIサーバを起動させるには、前準備として、Torch model archiverというツールを使ってHandlerの定義ファイル(handler.py)とパラメータ(model.pt)を1つのmarと呼ばれるファイルに固める必要があります。 torch-model-archiver \ --model-name ${model-name} \ --version 1.0 \ --serialized-file model.pt \ --handler handler.py \ --extra-files src \ --export-path model-store 固めたmarファイルをTorchServeに渡してあげることでAPIサーバが立ち上がります。APIサーバの細かな挙動は設定ファイル(ts_config.properties)を記述することで制御できます。 torchserve \ --start \ --ts-config=ts_config.properties \ --models ${model-name}.mar \ --model-store model-store 先ほどのVertex AI Model Registryの要件と非常に相性が良く、ヘルスチェックと予測用のエンドポイントが自動で作成されます。入出力のスキーマに関しても一致しています。さらにロギングや動的なバッチ処理など多くの重要な機能を自動で提供してくれます。Vertex AI EndpointsでもHTTPサーバの作成方法の1つとしてTorchServeが挙げられていました(参考リンク: Google Cloud 上の PyTorch: Vertex AI に PyTorch モデルをデプロイする方法 )。 TorchServeは、予め環境が構築されたDocker imageがCPU環境/GPU環境の両方で 公開 されています。 ただし、TorchServeとVertex AI Endpointsを組み合わせるためには以下に気をつける必要があります。 CPU環境/GPU環境の両方で動かすために、それぞれの環境用にptファイル(モデルパラメータ)が必要である APIに設定ファイルや他のPythonスクリプト等の追加ファイルが必要な場合、mar作成時に渡す必要があるが、1つのディレクトリにフラットに再配置されるためファイルパスを2種類記述して切り替えるなどで対応する必要がある 特に2つ目の方は注意が必要です。 torch-model-archiverは渡されたファイルを1つのmarファイルに固め、TorchServeはそれを受け取ってテンポラリディレクトリの中に展開します。この際、元のディレクトリ構成は無視されて全てのファイルがテンポラリディレクトリの直下に展開されます( 参考イシュー )。 複雑な構成の場合は予めディレクトリごとzipに固めるなどの回避策を取るそうですが、我々は数ファイル程度の依存しかなかったため、スクリプトの中でインポート先を動的に切り替えて対応しました。 デプロイツール CI/CD デプロイに関しては初期開発段階は手動で行っていました。開発 、検証、本番の3環境を用意して、それぞれについて権限を持っている人がGoogle Cloudコンソール上もしくはgcloud CLIを通してデプロイを行なっていました。 しかし、多くの先例が示す通り手動デプロイはミスやデプロイサイクルの速度低下に繋がったため、一連の操作を1つのスクリプトにまとめ、CIからデプロイするように変更しました。 デプロイ手段として、スクリプト以外にもterraformがよく選択されます。しかし、Vertex AI Endpoints自体はterraform管理下に置くこともできても、参照先となるVertex AI Model Registryは 2022年12月1日時点 だとterraform記述はできませんでした。 そのため、Vertex AI Endpoints自体もterraform管理下とせず、1つのスクリプトを実行することでDockerイメージビルドからデプロイまでの全ての流れが完了するようにしました。 注意点として、初回のデプロイ時と2回目移行のデプロイではコマンドの中身が異なる箇所があります。Vertex AI Model RegistryとVertex AI Endpointsについては、初回実行時はリソースを作る必要があり、2回目移行は作ったリソースに紐づける形でコンテナやモデルをデプロイしていく必要があります。 # モデル名でVertex AI Model Registry内を検索。存在すればモデルIDが入り、存在しなければ空文字となる model_id= (gcloud ai models list \ --project {project_id} \ --region {region} \ --filter=displayName= {model_name} \ --format="value(name)") # 新規にモデルを作成 if [ -z " {model_id}" ]; then gcloud ai models upload ……. # 既存のモデルに紐づけて新バージョンとして作成 else parent_model= (gcloud ai models describe {model_id} \ --project {project_id} \ --region {region} \ --format="value(name)") gcloud ai models upload ……. –parent-model= {parent_model} fi また、別の注意点としてトラフィック分割の問題が挙げられます。Vertex AI Endpointsでは新しくモデルをデプロイすると、既存モデルへのトラフィックが自動的に0%になり、新規モデルへのトラフィックが100%になります。開発環境や検証環境はデプロイと同時に新規モデルに切り替わっても問題ないのですが、本番環境に関しては安全に倒して、新規モデルへのトラフィックは0%にした状態でデプロイされるようにしました。 # 指定のエンドポイントのトラフィックを取得し、mode_1=割合,model_2=割合のように並べる current_traffic= (gcloud ai endpoints describe {endpoint_id} \ --project= {project_id} \ --region= {region} \ --format=json | jq '.trafficSplit’) formatted_current_traffic= (echo current_traffic | jq 'to_entries[] | .result = (.key|tostring)+ "=" + (.value|tostring)' | jq '.result' -r | tr '\n' ',' | sed -e 's/, /\n/g' ) # 新しいモデルのトラフィック割合を0にして、既存のモデルの割合を変更せずにデプロイ gcloud ai endpoints deploy-model …… –traffic-split=0=0, {formatted_current_traffic} さらなる注意点として、トラフィックが0%になった既存モデルのアンデプロイの自動化が挙げられます。トラフィックを完全に切り替えても、既存モデルは待機状態のままであるため、使用しているリソース分の料金が請求されます。 最初は定期的にモデルを監視して不要なモデルを手動でアンデプロイしていました。現在は使用していないモデルをアンデプロイするワークフローを作成してその作業を自動化しています。 追跡可能性 CIの中でモデルをデプロイしているため、CIのログ上には、いつどのコードを何にデプロイしているかの記録は残っています。しかし、それを目で辿っていくのは困難を極めます。 そこで、Artifact Registryへのpush時にgitのcommit hashをDockerのタグ情報として記録するようにしました。さらに、このcommit hashをVertex AI Model Registry上のモデルのエイリアスにも登録し、現在デプロイされているAPIから、作成したソースコードまでを簡単に辿れるようにしました。 一点気をつけることとして、Vertex AI Model Registryのエイリアスは英小文字始まりで指定する必要があります。ドキュメントに理由は見当たりませんでしたが、commit hashは数字で始まることもあるため、commit-というprefixを付けて回避しました。 Google Cloud コンソールからエイリアスを新規作成しようとした画面。英小文字指定が求められている。 デプロイ戦略 AI Labではモノレポを採用しており、APIのソースコードは全て該当のレポジトリに入っています。レポジトリはmainブランチを1つだけ持っており、開発時はmainから派生しています。そしてmainブランチへのマージで開発環境にデプロイが走るようになっており、mainの最新を反映し続けるようにしています。 また、それ以外にも手元から特定の命名規則に従ったタグをpushすることでもデプロイ可能にしました。これによって開発時に手元からさっと開発環境にデプロイすることが可能です。複雑なブランチルールを持たず、タグpushだけで気軽にデプロイできるためデプロイのハードルはかなり低くなっていると感じています。 検証環境や本番環境へのデプロイも現在はタグpushを採用していますが、mainブランチ以外からのデプロイを避けるため今後はWorkflow dispatchでデプロイするように変更予定です。 ドキュメントツール API基盤が作成されMLモデルをサービングできるようになりましたが、Vertex AI EndpointsはAPIの仕様に関しては面倒を見てくれません。入出力のスキーマはどのようなものなのか、どのカラムにどんな型のどんな値を期待しているのか、返してくれるのか、などは最小限のスキーマ情報を除いてほとんど未知の状態です。 そこで、APIの仕様を手で記述してドキュメントサーバ上に公開することにしました。幸いなことに、特定のGCSバケット上に静的ファイルを置くと簡単に社内ドキュメントサーバにデプロイできる仕組みがCADDi内にありました。我々のAPIドキュメントも同じように、GCS上に仕様を記述したHTMLファイルを置くことで社内公開することにしました。 APIの仕様の記述にはOpenAPIを使用しました。YAMLにAPI情報を記述するのですが、APIの仕様記述に関して一般的なフォーマットであり、HTMLへのコンバートも簡単にできること、複数のYAMLファイルに分割して記述しても簡単にまとめることができること、が大きな選定理由です。OpenAPIに則ったYAMLファイルの管理ディレクトリの構造は以下のように決めました。 これらを swaggerを通して1つの大きなHTMLファイルへと変換しています。 APIの仕様にはVertex AI EndpointsのURL、入出力のスキーマ情報に加えて、入出力の各値の具体的な意味や実際の入出力例を記述するようにしました。というのも、単純なスキーマ情報では文字列型を期待していることはわかっても、実際にそこには画像のbase64エンコードテキストを入力することまでは分からないからです。 テストツール ここまでで「APIを公開する」ということは可能になりましたが、すぐに「公開したAPIが本当に期待したものなのかのテストができていない」という問題に当たりました。 APIが本当に接続できる状態なのか、期待する出力が期待する時間内に返ってくるのか、等は不明なままです。具体的には、以下の内容を保証する必要が出てきました。 ドキュメントに書かれたAPIの型定義と、リクエスト・レスポンスの例に矛盾がない ドキュメントに書かれたAPIのリクエスト例が、実際にリクエスト可能なものである API基盤にデプロイしたモデルと、デプロイしようとした実験時のモデルの挙動が等しい ある程度の高負荷時にも妥当なレスポンス時間で返ってくる そこで、テストツールとして以下の内容をテストするツールを作成しました。 APIのドキュメントとして記述したOpenAPIが正しいフォーマットに沿っているかどうか ドキュメントに書かれたリクエストの例を用いてAPIが疎通できるか APIが、デプロイ前のMLモデルと同じ値を返せているか APIに高負荷をかけてもリクエストが妥当な時間内に返ってくるか OpenAPIのフォーマットテスト OpenAPIとしての記述の正しさの確認にはswaggerを使用しました。しかし、このツールは型の中身についてチェックまではしてくれません。つまり、矛盾するような型定義を書いてもYAMLとして問題がなければチェックを通過してしまいます。そこで、さらに型定義のテストを行うようにしました。具体的には リクエスト・レスポンスの型定義に矛盾がないか リクエスト・レスポンスの具体例が型定義と一致しているか 型の定義はJSON schemaで記述されています。そこで、OpenAPIの型定義部分だけ抜き出して以下の内容をチェックするCLIを用意しました。チェックにはPythonモジュールの jsonschema を使用しました。 これにより、ドキュメントに書かれたAPIの型定義と、リクエスト・レスポンスの例の間に矛盾がないことが保証されました。 APIの疎通テスト Vertex AI Endpointsにデプロイ後、サービングが確かに始まっていることを確認するため、サンプルリクエストを使用した疎通テストを追加しました。これによって、「デプロイしたと思っていたが実は途中で失敗したいた」という問題や、「ドキュメントのサンプルリクエストが実は間違っていた」という問題を消すことができました。 APIの性能テスト MLエンジニアがモデルを作成した時の実行環境・ソースコード・ライブラリバージョンと、APIサーバのそれらを完全一致させるのは非常に難しいです。そのため、「作成したモデルとAPIの出力が一致しない」ということはしばしば起こり得ます。大切なのは、それらの誤差が許容できるレベルに十分小さいのか、もしくは何らかの問題により大きな誤差が発生しているのかを検知することです。 そこで、数十〜数百枚程度の小規模なデータセットに対して、モデル作成時にそれらの推論値をGCSに保存しておき、APIサーバがほぼ同じ出力を返すことを確認する性能テストを追加しました。APIサーバはローカル環境に立ち上げることで、デプロイ前にテストをすることが可能です。 これによって、API上でも期待する精度を出せることが保証できるようになりました。 APIの負荷テスト これまでのテストで、APIが正しくデプロイされたことは保証されましたが、実際に使用に耐えうるレイテンシかどうかまでは確認できていません。そこで、APIドキュメントから使用したサンプルリクエストを使用した負荷テストを追加しました。 負荷テストのツールにはlocustを用いました。テスト実行後にHTMLでレポートが生成されるため、そのレポートを共有することでAPIが高負荷時にも許容できるレイテンシになっていることを保証しています。 API基盤のモニタリングツール 上記の複数のテストを経て、APIをデプロイすることができるようになりました。しかし、本当に大事なのはここからで、デプロイしたAPIを運用していく必要があります。具体的には、API基盤が問題を起こしていないかを監視し続ける必要があります。 監視にはCloud Monitoringを使用しました。Google Cloudで完結すること、Vertex AI Endpointsに対する基本的な監視がデフォルトで用意されていることが理由です。監視項目は以下の内容です。これらをダッシュボード上に用意し、業務時間中は常にサブディスプレイに表示し続けることで「Vertex AI Endpointsが正常に稼働している際にこれらの値がどのような傾向を示すか」というのを追い続けています。 監視をする中で、いくつか分かったことがあります。ここでは4つほどあげたいと思います。 GPUを使用しているAPIは、インスタンスのスケールアップが遅い 現在、CPU使用率が60%を上回ったAPIに関しては、インスタンス数を増やすように設定しています。しかし、実際にCPU使用率が60%を上回ってから、追加のインスタンスが確保されるまで、5-15分ほどがかかることがわかりました。図では5:43頃に閾値を超えていますが、実際にスケールアップしたのは5:52頃になっており、9分ほどかかっています。理由は分かっていませんが、TorchServeを含むDockerイメージのpullに時間がかかっているのかもしれません。 インスタンスのスケールアップ中はAPIのレスポンス速度が急激に低下する CPU使用率が60%を超えてからインスタンスが増加するまで、APIのレスポンス速度が急激に低下します。デプロイしているAPIの多くの普段のレイテンシが大体0.1秒から1.0秒ですが、インスタンススケールアップ中は10-60秒ほどに低下します。また、この間に多くのリクエストに対して503エラーが返るようになります。 現時点では、5XX系のエラーに関しては利用者側にリトライ処理をお願いしています。 GPUのメモリ使用量はほとんど一定である 高負荷時も低負荷時も、GPUのメモリ使用量に大きな変化はなく、リクエストのボトルネックになることはなさそうでした。一方GPU使用率の方は負荷に応じた変動を示しています。 問題発生時にできることはほとんどない Vertex AI Endpointsはフルマネージドサービスであるため、Vertex Modelとそれを動かすインスタンス条件だけを決めれば、あとはよしなにサービングしてくれます。逆に言えば、API基盤として問題が起きたとしてもやれることはほとんどなく、Google Cloud全体の障害かどうかを判断するかくらいです。もちろん精度の問題を検知した場合は、過去バージョンに巻き戻すのような対応がありますが、これも簡単に行うことができます。 とはいえ、まだ運用しはじめて3ヶ月ほどですが、基盤として問題が生じたことはなく安定したサービスだなと感じます。 Vertex EndpointのHuman readableな識別子がない これは地味に辛い問題です。Vertex Endpointは識別子として数値列を使用しています。ユーザ側が指定することもできますし、特に指定しなければ適当な値を割り振られます。しかし、どちらの場合であっても数値列だけを見てどのAPIのものかを判断することは難しいです。そのため、APIには displayName という表示名を与えることができますが、これをCloud Monitoringから確認することができません。現時点ではダッシュボード上のテキストカードに、識別子とdisplayNameの対応を記述することで凌いでいます。 結果 半年前に3ヶ月ほどで作られたAPI基盤ですが、現在も開発や運用が続けられています。 まだ荒削りなとことはありますが、チームが増えた今でもシステム自体は容易に把握することができ、いくつものAPIがMLエンジニア主導でデプロイされていたり、新たにチームにジョインしたMLOpsメンバーが1週間で機能改善の本格的なPRを作成したりしてくれています。 一方、まだテストを自動化しきれていなかったり、スケールアップ時にAPI基盤が不安定になったりする問題があります。 今後は、テストやデプロイメントを改良しつつ、よりユーザに使ってもらいやすいAPI基盤を目指していこうと思います。 最後に MLOPsチームではAPI基盤を皮切りに、ビジネスサイドに提供するためのバッチ推論基盤やデータ管理基盤にも取り組んでいます。今後は再学習基盤やデータ基盤など、より早く広く安全にAIの価値をビジネスに提供するための仕組みを作って行くので、一緒に作っていける仲間を募集しています! CADDi Tech カジュアル面談はこちら MLOpsエンジニアの募集はこちら The post Vertexで3ヶ月で作る運用可能なML API基盤 appeared first on CADDi Tech Blog .
私(寺田 @u_1roh )が携わっているプロジェクトについて。 ここでは「金属加工品の多品種少量生産」という文脈の話をします。具体的には、例えば板金加工や旋盤やフライス盤による機械加工などの受注生産をイメージして下さい。 CAD/CAMの理想と現実 製造業では、CADやCAMといったソフトウェアが使われています。この2つは次の役割分担をしています。 CADは、製品の形状や仕様を定義する。 CAMは、製品仕様を満たす加工プログラムを生成する。 この役割分担の理想を突き詰めると、次のようになるでしょう。 CADは、どんな複雑な形状でも表現できる高い自由度を持ち、実際に用いられる加工法を仮定することなく、製品の仕様を表現する。 CAMは、どんな複雑な形状でも受け入れることができ、寸法公差や幾何公差を反映した加工プログラムを生成できる。 CAD界隈は、この理想に向かって進化を推し進めようとしているようです。しかしこの理想は、実現には相当なハードルがあるのではないかと私は予想しています。実際、3DCADに付与されたPMI(Product Manufacturing Information; 寸法公差や幾何公差などのこと)を下流工程に自動連携するというのは、語られてはいるもののまだ普及しているとはいい難いでしょう。 事実、弊社キャディでは、見積もりの段階で3DCADのデータを受け取ることはほとんどありません。多くのお客様は2D図面(PDF)で見積もり依頼や発注をされます。CAD業界が喧伝する高邁な理想をよそに、 多品種少量生産の現実は「図面」で回っています。 Worse Is Better で現実に向き合う しかし一方で、図面で設計情報を流通させている限り、この業界にブレークスルーをもたらすことは難しいことも事実です。PDFの図面は machine readable ではなく、「画像」という非構造化データです。これを読み取るには人の目が必要になる場面が多く、DXを阻む大きな壁として立ちはだかっています。 この状況を、Worse Is Better の哲学で打開したい、と私は考えています。 「正しいこと」は時として、描かれた理想像は美しくとも、それを実際に実装するコストが途方もなく高く付くことがあります。CAD業界が目指している理想は、まさにこの隘路にはまり込んでいるように私には思えます。少なくとも、彼らの描く理想が多品種少量生産の業界まで「降りて」くるまで長い年月がかかるでしょう。 こういった「正しいこと」の追求に対するアンチテーゼが Worse Is Better の考え方です。t_wada さんのツイートが非常に端的でわかりやすいので引用致します。 Worse Is Better に関する自分の解釈は「設計の正しさ/美しさと実装の単純さが対立する(両立できない)ときは、実装の単純さを選択した方が、たとえそれが漏れのある抽象になったとしても現実の問題を解決し、実装の単純さによって開発参加のハードルが下がり、進化的な強さを獲得できる」というもの — Takuto Wada (@t_wada) April 6, 2018 MO CAD 構想 現在、私のチームでは独自のCADフォーマットを作るプロジェクトに取り組んでいます。 私たちのCADは、数学的な美しさは犠牲にして、形状表現を加工ドメインの特性に合わせて実用上十分な範囲に制限し、代わりに寸法公差や幾何公差といった加工指示を重視したものにする。 下流工程のシステムは、上記のように制限された形状表現のみを受け取るものとすることで、形状認識のアルゴリズム開発の実装コストを低減させる。 このコンセプトを私たちは、Manufacturing Oriented CAD、略して MO CAD と呼んでいます。 MO CADの価値の中核を成すのは、3Dグラフィックスでもモデリング機能でもなく、データモデルです。純粋なCADでもなく、純粋なCAMでもなく、「製造に歩み寄ったCAD」という何とも中途半端な立ち位置のデータモデルを設計する必要があります。数学的な美しさや完全さは犠牲にして、代わりに下流システムの実装のしやすさに配慮し、妥協にまみれたデータモデルを設計しています。お世辞にも美しいとはいい難いものですが、「しかしこのほうが better なんだ」という信念のもとに実装を進めています。 これはつまり、 Domain Specific なデータモデル です。フライス加工品のためには、フライス加工という加工ドメインに特化したデータモデルを作ります。加工ドメインごとにデータモデルが必要になるので一見ハイカロリーに思えますが、実際にはこの割り切りによって下流システムの実装コストが低減されるので、総じて見れば低コストで済むというのが私が持っている見立てです。 製造を指向すると、形状の自由度は制限できる 製造を指向すると、自然と形状は制限されます。これが MO CAD 構想の根拠になっています。 冒頭で述べたCADとCAMの分担は、顧客企業(発注側)と加工会社(受注側)の役割分担とも似ています。 顧客企業は、製品の形状や仕様を定義する 加工会社は、顧客が定義した製品仕様を満たすものを製造する しかし、コトはそれほど単純ではありません。 加工が困難な形状を設計してしまうと、現実的なコストで製造できないことになります。ですから、顧客企業は製造のしやすさに配慮した設計をします。機能要件を満たしつつ、加工にも配慮してコストダウンを図るのが設計者の腕の見せ所です。 つまり、CADシステムの思想がどうであれ、実際には製品は設計の段階から加工方法がある程度想定されています。 設計という行為は本質的に Manufacturing Oriented である といえるかもしれません。 その結果、実際に設計される製品形状は、加工のしやすいシンプルな形状に収斂します。フライス加工品であれば、直方体のブロックから削り出しやすい形状になります。それらは、平面と円筒面のみから構成され、角の多くは直角です。 つまり、データモデルとして表現可能な形状が上記のように制限されたとしても、実用上は問題ありません。それよりも、下流工程を自動化するために必要になる演算を実装しやすくすることが重要です。 見積もりを自動化する MO CAD データの活用先として、見積もりの自動化という課題を挙げます。 フライス加工の加工コストは、例えば切削によって除去される体積であったり、段替えの回数であったり、様々なパラメータによって決まります。見積もりを自動計算するためには、CADデータからこれらのパラメータを自動で推論しなくてはなりません。 一般的な3DCADデータは B-rep と呼ばれるデータ構造で表現されており、非常に柔軟で高い表現力を持っています。これはCAD側にとっては自由度が高い一方で、そのデータを受け取る側は負担を強いられます。B-rep データから段替え回数を推論するのは、おそらく相当に困難でしょう。対処しきれないほどの例外ケースを回避することに追われて、例外処理だらけの読むに耐えないプログラムになってしまうと予想されます。 こういった事態を回避するために、見積もりの自動化で必要になる形状演算が比較的容易になるようなデータモデルを考えていきます。 ※ B-rep については例えば私のQiitaをご参照下さい。 3D CAD の内側をちょっと覗いてみませんか – Qiita 俺は B-rep をやめるぞーーッ! 具体的なデータモデルをここで詳細に述べることはできませんが、アイディアの一端を軽くご紹介します。 フライス加工というのは除去加工です。まず直方体の「母材」があり、そこから切削によって体積を除去していくことによって製品形状を得ます。この加工の実態をそのまま模したようなデータモデル、つまり引き算しかないCSG表現のようなモデルが、アイディアの核となっています。 これはつまり、3DCAD の「定石」である B-rep を捨てることを意味します。これは勇気の要る判断ですし、この判断が正しいかどうかはこれから検証されていくことになるでしょう。 しかし、3DCADが誕生して40年以上の年月が経過にしているにも関わらず、この業界は未だに図面で回っています。この事実がまさに、「3DCADの定石」が業界のニーズにマッチしていないことの証左ではないでしょうか。 常識に囚われない、大胆な判断が必要だ、と考えています。 まずはドッグフーディング 少なくとも最初の想定ユーザーは、キャディ自身です。 お客様から図面を頂いたらまず最初に、MO CAD データに変換するオペレーションを社内で回す想定です。これにより、後段のあらゆる処理に対して自動化への道が拓けるので、トータルで見るとオペレーションコストが大幅に下げられることが期待できます。 もちろん、将来はお客様に直接使って頂けたら嬉しいですね! ですが、やはり最初はドッグフーディングから始めるべきでしょう。 見込める効果は、いわゆるフロントローディングです。 フロントローディングというのは、雑にいうと「前工程で頑張っておくと後工程がめっちゃ楽になるよ理論」ですね。前工程でリッチな情報入力を頑張っておくと、後工程が自動化されたり非常にスムーズになったりして嬉しいというやつです。 これの最大の嬉しさは、「問題がより早い段階で顕在化すること」です。 従来は後工程になってみないと発覚しなかった問題が、フロントローディングをするともっと早い段階で顕在化するようになります。早い段階で顕在化すれば、早い段階でお客様にフィードバックしたり擦り合わせたりできます。「納期直前で問題発覚、緊急電話と突貫工事のドタバタ劇」みたいなハレーションを事前に防ぐことが出来ます。 まずはキャディ社内でフロントローディングを実現させることで、QCD (Quality, Cost, Delivery) を更に向上し、受発注事業を通じてお客様に価値を届けることを目指します。 技術スタック ブラウザで動く Web アプリケーションとして作っています。 front-end TypeScript React, Vite, Nest.js(BFF) Three.js back-end Rust C++, Open CASCADE (フリーの3DCADカーネル)  F#, ODA (2DCADデータのライブラリ) データモデルのスキーマ定義 F# 弊社はかなり Rust を推しており、本プロジェクトでもご多分に洩れず Rust を利用しています。私も大好きな言語です。 この中では F# が異彩を放っているでしょう。F# は Microsoft の .NET で動く関数型言語です。しかし Windows を使っているわけではなく、.NET Core を使って Linux の上で動かしています。 MO CAD データのスキーマは F# を用いて定義されています。F# は、 Domain Modeling Made Functional というDDDの書籍でも使われているように、データモデルを簡潔に記述できる言語です。独自開発中のライブラリにより、F# で定義された型をリフレクションを使って動的に読み取り、Rust と TypeScript と Python の型をコード生成できるようにしています。これにより、F# で定義されたスキーマに沿って複数の言語で JSON のシリアライズ/デシリアライズが可能になっています。(これについても、頃合いを見計らってご紹介できたらいいなと考えています。) エンジニアを募集しています 一緒にこの夢を追って頂ける仲間を募集しています。以上の技術スタックを見て、すべてについて自信を持って「自分はこの開発で活躍できる」といえる方は、かなり限られることでしょう。多くのWebエンジニアはCADというものには馴染みがないかと思いますし、逆にCADの業界にいらっしゃる方はWebの開発に馴染みが薄いと思います。ですのでもちろん、すべての分野に明るいスーパーマンを募集しているわけではありません。各々のエキスパートが、互いをリスペクトしあい、協力しあって開発を進めていければ良いと考えています。 MO CAD に関わるエンジニアは、大きく次の2つに分けられそうです。 MO CAD そのものを作っていくエンジニア MO CAD データを利用するアプリケーションやアルゴリズムを開発するエンジニア 「MO CAD そのものを作っていくエンジニア」として、この場で特に募集したいのは、次のような方です。 フロントエンド開発において、例えば Three.js や WebGL など、グラフィックスのご経験がある方。特に、まさにCADソフトのように、マウス操作を伴ったインタラクティブなUXを開発した経験がある方。逆にいうと、複雑なシェーダーを駆使した美しいグラフィックスとか、大容量データのレンダリングといった技術は、現時点では必要としておりません。CADアプリケーションのUX開発に情熱を燃やせる方だと素晴らしいです。 バックエンド側で、RustやC++を使って2D/3Dの幾何アルゴリズムを書ける方。もちろん、ズバリこの通りの経験をお持ちである必要はなく、そういったポテンシャルがある方。空間幾何を扱う基礎的な数学力や、グラフ構造を扱う基礎的なアルゴリズムなどが必要になります。 MO CAD や関連するデータモデルのスキーマを設計できる方。加工ドメインや下流工程のオペレーションといったドメイン知識を積極的に獲得し、製品の形状表現と下流工程の処理をバランスさせたドメインモデリングをする必要があります。 同時に、「MO CAD データを利用するアプリケーションやアルゴリズムを開発するエンジニア」も必要になっていきます。次のような関連アプリケーションが考えられます。 MO CAD データを管理するシステム。BOM や PDM/PLM といったドメインに明るい方が加わって頂けると非常に心強いです。 MO CAD データから加工プロセスを推論するアルゴリズム。プロセスが推論できれば、加工時間も予測しやすくなり、原価計算にもつながっていきます。幾何的な計算処理が書けると同時に、加工プロセスへの理解が必要になります。 難加工を自動検出するアルゴリズム。加工が非常に難しい箇所、あるいは不可能な箇所があれば、これを自動で検出するというものです。こういった難加工が受注後になって見つかると、大きなトラブルに繋がりかねません。受注前の早い段階で素早く自動的に検出できれば、お客様と擦り合わせをしてトラブルを事前に防ぐことが出来ます。この開発もやはり、幾何計算アルゴリズムのスキルと加工への理解が必要になるでしょう。 本プロジェクトは、当然ながら、決して成功が約束されたプロジェクトではありません。まだまだ多くの不確実性が横たわっており、それらを一つ一つ潰していく必要があります。 そういった不確実性を含めて、大きなチャレンジに立ち向かうことを楽しめる方のご応募をお待ちしております! 「まずはカジュアルに話を聞いてみたい」という方は、こちらより面談をお申し込み下さい。 – 応募フォーム | JP-TECH-000.エンジニア・デザイナー:カジュアル面談 – キャディ株式会社 選考へのエントリーは下記サイトよりお願いします。 応募フォーム | Rust、F#を利用したCAD開発を行うMO-CAD Engineer – キャディ株式会社 応募フォーム | WebGL、Typescriptを利用したWebCAD開発を行うMO-CAD FrontEnd Engineer – キャディ株式会社 The post Worse Is Better の精神で Domain Specific なCADを作っている話 appeared first on CADDi Tech Blog .