はじめに こんにちは。X（クロス） イノベーション 本部 エンタープライズ プラットフォームの宇佐美です。 普段は「aiuola（アイウォーラ）」という エンタープライズ アプリケーションプラットフォームの デベロッパ ーとして、既存機能のエンハンスや新規機能の開発等を行っています。 2022年7月に入社し、そこから約1年半が経過しました。 今回は 電通 総研に入社した経緯と現在の働き方、チーム内で取り組んでいる勉強会についてご紹介します。 転職を考えた経緯 前職は SIer の中小企業で2018年に新卒で入社し、主に製造業や 保険業 、官公庁系のWebアプリケーションの受託開発が中心でした。 前職での業務もやりがいはありましたが、作業が ルーチンワーク 化してきたことやより自分の技術力を高められる環境で仕事がしたいという思いを抱くようになりました。 また、受託開発よりもプロダクトの自社開発に興味が湧いたため、そうした環境での開発ができる環境への転職を決意しました。 電通 総研を選んだ理由 何社か面接を受けさせていただきましたが、 電通 総研に入社したいと考えた理由は以下になります。 自分が転職を決意した理由を一番親身になって聞いていただけたから。 開発するシステムや、使用する技術に魅力を感じたから。 後述する勉強会を定期的に開催している等、技術者同士のコミュニケーションが盛んで技術力を高められると感じたから。 入社から1年半経過して ご縁あって 電通 総研に入社し、そこから1年半経過しました。 結論から言えば、開発者として充実した日々を過ごすことが出来ています。 ここでは、入社前に感じていた不安と、実際どうだったかを書いていこうと思います。 技術力のギャップ 入社前は自分がこれまで培ってきた技術が 電通 総研で通用するか、もしかしたら付いていけないのではないかといった不安を感じていました。 しかし、私が所属するチームでは 毎日の朝会における困りごとの共有 必要に応じて、チームメンバーとの相談（Slackのチャットや通話機能を利用） システムの仕様や技術に関する疑問を気軽に投げかけられるチャンネルがある といった、不明点をすぐに相談・共有できる環境であったため、上記の不安はすぐに解消されました。 ワークライフバランス 前職では案件によって残業時間が多くなり、夜遅くまで作業することもしばしばありました。 電通 総研では標準の労働時間が7時間と一般的な企業の労働時間よりも短いこと、効率的な働き方ができる環境であることなどから、プライベートの時間を確保しやすくなりました。 もちろん残業時間は0ではなく、スプリントのリリース直前のタイミング等で必要に応じて残業することはあります。 それでも前職より残業する時間はかなり減ったと思います。 勉強会について 上述の通り、 電通 総研に入社して以降は開発者として充実した日々を送ることができています。 ここでは 電通 総研に入社して良かったことの一つでもある、勉強会についてご紹介します。 勉強会の内容 基本的には技術書の輪読を行っています。 輪読は隔週で実施し、基本的には章ごとに担当者を指定します。 担当者は事前に該当の章を読んで概要を資料にまとめて発表し、それ以外の参加メンバーは意見や疑問点を話し合う、という形式です。 技術者として、自分の領域である技術分野や興味のある分野に関する書籍を読むことはよくあることかと思います。 そうした中で、読んでいる書籍に疑問が生じた場合、疑問によっては一人で調べて解決することが難しいこともありますよね。 輪読は各々が持つ意見や疑問点を元にディスカッションすることで、書籍に対する理解を深めることができます。 発表資料の作成を通してアウトプットすることで、理解した内容を自分の中に落とし込み、学んだことを積極的に業務に活用していくこともメリットの一つです。 現在は輪読以外での形式も模索しています。 これまで輪読した書籍 参考までに、私が入社して以降に輪読した書籍をご紹介します。 良いコード/悪いコードで学ぶ設計入門 ―保守しやすい 成長し続けるコードの書き方 良いコード/悪いコードで学ぶ設計入門 ―保守しやすい 成長し続けるコードの書き方 作者: 仙塲 大也 技術評論社 Amazon ITエンジニア本大賞2023にも選ばれており、変更に強く保守がしやすいコードを書くための実践的なテクニックが アンチパターン と共に紹介されています。 扱われているテーマも面白く、また内容も分かりやすい書籍です。徐々にプログラミングにも慣れてきて、コードの質を高めたいと考えている若手エンジニアの方々にもおすすめです。 セキュア・ バイ・デザイン 安全なソフトウェア設計 セキュア・バイ・デザイン 安全なソフトウェア設計 作者: Dan Bergh Johnsson , Daniel Deogun , Daniel Sawano マイナビ出版 Amazon ドメイン 駆動設計や デザインパターン などを軸に、表面的なセキュリティ対策ではなく設計や実装から強固なアプリケーションを開発することをテーマにした技術書です。 内容は上述した「良いコード/悪いコードで学ぶ設計入門」の発展といった感じで、 ドメイン 駆動設計の入門にもちょうど良いと思います。 最後に 今回は、 電通 総研に入社した経緯やチーム内で取り組む勉強会についてご紹介いたしました。 転職を考えている方でもしこの記事をきっかけに 電通 総研にご興味を持っていただけましたら、下記のリンクから是非応募してみてください。 私たちは一緒に働いてくれる仲間を募集しています！ 次世代会計プロダクト開発ITアーキテクト（Ci*Xシリーズ） 執筆： @usami.tsubasa 、レビュー： @yamashita.tsuyoshi （ Shodo で執筆されました ）

はじめに こんにちは！ フレックスタイム制 度制度を存分に活用して、普段色々な時間に業務をしているX イノベーション 本部・ クラウド イノベーション センターの石井大樹です。 今回、社内プロジェクトにて、負荷テストをテスト環境の構築からテストの実施までを担当しました。 このプロジェクトで開発した負荷テストの実行環境の評判がよかったことから、私の経験が皆さんの負荷テストに関する課題を解決する手助けになるのではないかと考え、この記事を書くことにしました。 前提 目的 読者に、 クラウド 上のコンテナ オーケストレーション サービスで負荷テストを実行するメリットと重要性を理解してもらう この記事の対象とする読者の方 負荷テストのテスト実行計画中の方 現状の負荷テスト実行環境を改善したい方 クラウド サービスでの負荷テストに関心がある方 前提知識 クラウド に関する基礎知識 コンテナ化の概念 負荷テストの概念 注意 シナリオの作成の仕方・ウォームアップなど、負荷テスト自体の内容に関する知識を求める方は、期待した情報を得られない可能性があります。 この記事は、テストの実行環境に焦点をおいており、負荷テストの内容自体には焦点をおいていません。 テスト実行環境とは 本稿における負荷テスト実行環境とは以下の要素で構成されているものとします。 テストを実行するインフラスト ラク チャ 負荷テストツール テスト実施者がテストの実行から結果取得までに扱う必要のある全てのツール 従来の課題 このプロジェクトではいままで、EC2 インスタンス を1台立て、その インスタンス から手動でテストの実行からテスト結果の取得までを実施していました。 そのため、以下のような課題がありました。 負荷の大きさがそのEC2 インスタンス の1台の性能に依存し、一定以上の負荷をかけることができない。 テストの前処理・後処理など、一部の処理を直列で行う必要があり、その処理に時間がかかってしまう。 テスト実行からテスト結果の取得までの一連の流れが手動であり、時間がかかり、手順ミスが生じる恐れがある。 起動時間でEC2 インスタンス は課金されるので、手動で起動・停止の課 金管 理を行う必要がある。 上記のような課題を、これから紹介するテスト実行環境でテストを実施することで解決することができました。 負荷テスト環境の概要 テスト実行インフラ 実際にどのようなインフラでテストを実行したのかを紹介いたします。 以下がこの環境の アーキテクチャ 図です。非常に単純な作りとなっています。 テストは ECS on Fargate 上のコンテナで実行され、それが終了するとコンテナはS3 バケット へテスト結果を出力するようになっています。 ECS on Fargateを利用することで以下のようなメリットを得ることができました。 コンテナ数（タスク数）とコンテナごとのメモリ、CPUなどのリソースを定義することで、負荷が柔軟に指定可能に。 コンテナ数を増やして並列度を上げることで、前処理・後処理などの並列化可能な処理の完了時間を短縮 例えば、テスト前のセットアップでは、実際に Selenium をheadless modeで利用してブラウザ上でログインを行い、セッションの情報を取得するという処理を負荷に応じたユーザー数分実行していました。 そのため、非常に多くの時間がセットアップでかかっていました。しかし、コンテナを複数台用意し並列化することで、多くの時間を節約することに成功しています。 コンテナ数を増やし並列度を上げることによる、掛けられる負荷の上限の大幅な引き上げ テストの実行が完了したら自動的にコンテナ（タスク）が終了するため、手動での課 金管 理が不要に 以上で挙げたメリットは主な物であり、それ以外にも様々なメリットがあるかと思います。 負荷テストツール 負荷テストツールは Gatling を利用しています。Gatlingとは、 OSS の 負荷試験 フレームワーク です。テストシナリオを Java , Scala , Kotlinで記述でき、結果レポートを自動生成してくれます。 この結果レポートはテスト時に収集したメトリクスをもとにして生成されています。用途によっては収集したメトリクスの記録されたファイルのみを出力し、レポートを生成しないこともできます。 この特性を利用し、複数のコンテナでテストを実行する際は、メトリクスファイルのみを各コンテナが出力するようにします。それを1つの ディレクト リに収集し、Gatlingのレポートを生成するコマンドを利用することで、メトリクスを結合して1つのテストのレポートを生成してくれます。 参考 Gatlingレポート例： Reports 負荷テストの実行手順 この章では、ECS on Fargateを使用してテスト実施者がどのようにテストを実行し、結果を取得するかについて紹介します。 ECS on Fargateでのテスト実行と複数コンテナを用いた並列実施はメリットが多くある一方、コンテナ管理と結果処理の必要性が生じました。これに対応するためには、テスト実施者が環境に関する深い知識を持ち、多くの複雑なコマンドを含む手順に従う必要がありました。しかし、全てのテスト実施者が、深い知識にキャッチアップし、手順書に沿って多くの複雑なコマンドを実行するために労力を使うことはあるべき姿ではないと考えていました。テスト実施者はテスト結果に集中し、システム改善にリソースを注ぐべきだと考えているためです。 そこで、 make を利用し、コマンドをテスト実施者の関心の単位（テスト実行・テスト結果取得など）にまとめ上げることにしました。これにより、テスト実施者はテストの結果に集中できたことに加えて、従来の方法に比べて時間を節約し、手順ミスを大幅に減らすことができました。 1. 環境構築 テストを実行するために必要な make コマンドでは、様々なツールを利用しています。そのため、 make コマンドを含め、各ツールを利用するために環境構築が必要です。 どのようなツールを利用したかは、この記事の目的から逸れてしまうため扱いません。 2. テストの実行 テスト種別・負荷を指定してテストを実行します。 このプロジェクトではテストケースごとに、どのようにテストを実行するか（テストタイプ）を指定する必要がありました。 実際に利用したコマンドは以下です。 以下のコマンド例では、 XXX というテストケースを、 load というテストタイプで 2 つのコンテナでそれぞれ 50 ユーザー分の負荷を掛けるよう指定して実行しています。 make run-task TEST_NAME=XXX CONTAINER_COUNT=2 USER_COUNT=50 TEST_TYPE=load この例では、2 * 50で、100ユーザー分の負荷を掛けるように指示していることになります。 詳細は省略しますが、このコマンドでは主に以下のような処理を実行しています。 コンテナの起動によるテストの実行 テスト完了まで待機&テスト完了の検知 コンテナから出力されたテスト結果の後処理 参考としてこのプロジェクトを例にすると、以下の3つのテストタイプを指定して実行する必要がありました。 load ：通常の負荷テスト。10分間程、指定した負荷をかけ続ける limit ：限界テスト。非常に大きな負荷を短時間で掛ける stress ：ストレステスト。指定した負荷を長時間かけ続ける。 3. テスト履歴の取得 指定されたテストケース・テストタイプを指定することで、過去の履歴を取得できます。 このステップで出力された日時の情報を利用して、次のステップのテスト結果の取得を行います。 この例では、 XXX というテストケースの、 load というテストタイプの、テスト結果の履歴を取得しています。 make list-logs TEST_NAME=XXX NUM=10 TEST_TYPE=load 実際の出力例 Here are the latest 4 of 4 entries: 1. 2023-11-21-17-52/ 2. 2023-11-21-17-26/ 3. 2023-11-13-23-23/ 4. 2023-11-13-20-54/ 4. テスト結果の取得 テストケース・テストタイプ・時間を指定することで、テスト結果を取得できます。 この例では、 XXX というテストケースの、 load というテストタイプの、 2023年10/08 12:44 に実行されたテスト結果を取得しようとしています。 make generate-report TEST_NAME=XXX TEST_TIME=2023-10-08-12-44 TEST_TYPE=load 詳細は省略しますが、このコマンドでは主に以下のような処理を実行しています。 全コンテナの出力したテスト結果の結合 結合したテスト結果をレポート化し、ローカルへダウンロード 改善できる点 この環境は従来の実行環境と比較して、コスト・性能・安定性・利便性の向上を達成しました。 しかし、この実行環境を利用してテストを実施していった際に、こうしておけば良かった、改善すればもっと良いものになると考えた点もあります。 以下で、それらのうちの大きな2点を紹介したいと思います。 テスト実行元環境のコンテナ化 現在の環境では、テスト実施者はmakeコマンドを実行するために、 make 自体や様々な依存関係のインストールなどの環境構築が必要であり、一定の時間・労力を要しています。 実際、環境構築手順のドキュメントを用意し、他メンバーに環境構築を行っていただきましたが、ある程度の時間を要してしまっていました。 このような状態を解決するためには、テスト実行元環境（テスト実施者がテストを実行・結果の取得などを行う環境）のコンテナ化をすることで解決できます。 テスト実施者にはDocker Desktopを用意していただき、あとは必要に応じて、ローカルでイメージをビルドすればテストを実行可能な環境を作成できます。 これにより、現在と比較して環境構築のステップの労力を大幅に削減できると考えています。 テスト結果の静的web ホスティング 現在の環境では実行したテストの実行結果を確認するには、ローカルにテスト結果を取り込み、テスト結果レポートの生成が必要です。また、この結果を他者と共有するには結果をzip化してフォルダを共有するか、レポートをGit管理して共有する必要がありました。 これは、あまり労力がかからないように感じますが、１日に何度も結果を共有する必要がある場合は非常に手間になります。 テスト結果の静的web ホスティング を実現することで、結果の共有にはURLを共有するのみで良くなり、結果の確認・共有の手間が大きく削減できます。 まとめ 従来のテスト実行環境と比較しながら、今回のプロジェクトで作成した環境を紹介いたしました。 実施者の手順が複雑にならないようにする対応は必要ですが、ECS on Fargateを用いて負荷テストを行うことは、コスト・効率・柔軟性・正確性のどれをとっても非常に従来の環境に比べて強力です。 今回は、実際にプロジェクトで利用したサービスである AWS のECS on Fargateを例にして紹介いたしました。しかし、これは、どの クラウド ベンダーのコンテナ オーケストレーション サービスを利用しても、同様のメリットを享受できます。 例えば、 Google Cloudの Cloud Run があります。また、 Kubernetes 上でテストを実行するために AWS の Amazon EKS や、 Google Cloudの GKE を使ってもよいでしょう。 これから負荷テストの実施を計画している方、現状の負荷テストを改善したい方々など、悩んでいる方々の参考に少しでもなったら幸いです。 おわりに X（クロス） イノベーション 本部 クラウド イノベーション センターでは、新卒・キャリア採用問わず共に働いてくれる仲間を探しています。 本記事で紹介した私の働き方や、 クラウド を中心とした業務にご興味をお持ちの方は、ぜひ採用ページよりご応募ください。 執筆： @taiki_ishii 、レビュー： @kano.nanami （ Shodo で執筆されました ）

こんにちは！HCM事業部のビジネスパートナー コンサルティング 部の山口です。 現在、私は「ビジネスパートナー支援」という、 皆さんが思い描くITのお仕事とは少し毛色の違うお仕事を担当しています。 この記事では、ISIDに興味を持ってくださっている就活生の皆さんに向けて、 新卒6年目（2018年入社）の私のお仕事とやりがい、そしてISIDの好きなところを紹介したいと思います。 なるべく具体的にお伝えできればと思いますので、 就活生の皆さんがISIDでの様々なお仕事を知っていただく上での参考としていただけたら嬉しいです。 自己紹介 事業部について 製品（統合人事システム”POSITIVE”）の特徴 仕事内容について やりがいを感じる瞬間 ISIDの好きなところ 最後に 自己紹介 ・年次： 2018年に新卒採用でISIDに入社し、今年で6年目になります。 ・大学の専攻： 商学部 で交通経済学を専攻していたTHE文系です。 日本の空港の 効率性分析 をテーマに研究をしていました。 ・職務経歴： 新入社員研修後、HCM事業部（統合人事システム"POSITIVE"を扱う事業部）へ配属されました。 最初の2年は製品開発部でPOSITIVEの開発業務を担当し、 その後異動して今所属しているビジネスパートナー コンサルティング 部にて ビジネスパートナーである代理店様の支援を行っています。 代理店支援のお仕事については後ほど説明します。 事業部について 私の働き方をお話しする前に、私が所属しているHCM事業部について簡単にお伝えしたいと思います。 HCM事業部は統合人事システム”POSITIVE”の開発、販売、導入を行っている事業部です。 （ 尾形さんの記事 にも詳細が書いてあるので是非ご覧ください！） 『ヒトを信じ、日本の「はたらく」を変える』をパーパスとして、TEAM POSITIVE一丸となって進んでいます。 個人的には、100名規模の事業部だからこそのアットホームな雰囲気があり、働きやすい環境だと感じています。 製品（統合人事システム”POSITIVE”）の特徴 ①統合人事システム POSITIVEは統合人事システムと呼ばれていまして、人事情報を軸として、 給与計算や勤怠管理、さらにはタレントマネジメントまで統合的に扱える製品です。 ②パッケージ製品 POSITIVEは標準的な業務に合わせて製品化された、パッケージと呼ばれるシステムです。 お客様の要件に合わせて1から組み立てていくス クラッチ システムとは性質が異なります。 パッケージシステムは、会社ごとの業務に合わせるための設定が必要です。 プロジェクトでは要件定義の段階でお客様の業務や運用方法をお伺いして、 フィットするように各種設定を行います。 ③販売経路 この後のお話にも繋がってくるのですが、 POSITIVEは直接販売と間接販売の両方の経路で販売を行っている点が特徴です。 直接販売はISIDが"POSITIVE"のメーカーとして市場調査から販売導入まで担う方法、 間接販売は販売導入の段階を代理店様にご担当いただく方法です。 HCM事業部はISIDで唯一、間接販売を本格的に推進しています。 仕事内容について 私が所属するビジネスパートナー コンサルティング 部では、 間接販売を担当していただいている代理店様の支援がミッションです。 大切なビジネスパートナーである代理店様に向けて、 主に教育を通して代理店様の販売導入を支援するお仕事をしています。 具体的には代理店様がPOSITIVEを販売・導入する上で必要となる知識を伝える教育を提供しています。 POSITIVEは先ほど製品の特徴①でお伝えしたように人事・給与・勤怠・タレントマネジメントなど 広い分野を対象としている製品です。 そのためPOSITIVEを扱う担当者としては、様々な分野の知識が必要となります。 また、お客様毎に運用に沿った設定を行うため、製品独自のノウハウが必要です。 そこで知っておくべき法律まわりの知識や、POSITIVEの操作・設定方法、 お客様の要件を聞く要件定義から設定とテストまでを模擬体験できる教育コンテンツなどを提供しています。 お仕事としては講座の講師のほか、新規講座の企画と作成も行っています。 やりがいを感じる瞬間 ・前例がない仕事に挑戦している時 誰もまだやったことのない仕事を実現すべく奔走している時にやりがいを感じます。 今年はeラーニングサイトを開設すべく、実現方法の検討から実際のサイト公開まで担当しました。 前例がないと予期せぬタスクに時間がかかってしまったり、 関係者の利害調整が発生したりと多くのハードルがありますが、 実現した先のメリットを信じて、乗り越えた時に達成感を感じます。 ・＋αの仕事が出来た時 頼まれていた期日より少し早く提供できた、資料が見やすいと言ってもらえた、 これまで候補になかった新たな選択肢を提案できた、など、 些細なことかもしれませんが、＋αの仕事が出来たと実感する瞬間にやりがいを感じます。 年次を経るに連れて求められるレベルは高くなっていきますが、 その期待を超える仕事ができるように日々頑張っています。 ISIDの好きなところ ・規模感 社員数2,000名規模の会社であるため、 大企業的要素の安心感と ベンチャー企業 的要素の風通しの良さが両立していると感じます。 ・社風 真面目ながらもカジュアルといった印象です。 社員同士を役職で呼ばず、○○さんと呼び合う文化も個人的には気に入っています。 ・ 従業員満足 度 個人的な所感なのですが、ISIDという会社に満足している社員の多さが 他の会社では中々感じられない魅力だと感じています。 実は働きがいのある会社ランキングでもISIDは上位にランクインしています。 私自身、もう一度就職活動をしたとしても入りたいと思える会社です。 最後に 今回はISIDやPOSITIVEのホームページより少し具体的にお仕事の紹介をいたしました。 こちらの記事を通して、読んでくださった皆様にとって何か持ち帰っていただけるものがあれば嬉しいです。 大変なことも多いかと思いますが、後悔しない就職活動ができるよう応援しています！ 少しでも興味が湧いたら、是非新卒採用サイトも覗いてみてください。 https://www.isid.co.jp/ 執筆： @yamaguchi.saki 、レビュー： 寺山 輝 (@terayama.akira) （ Shodo で執筆されました ）

こんにちは！HCM事業部のビジネスパートナー コンサルティング 部の山口です。 現在、私は「ビジネスパートナー支援」という、 皆さんが思い描くITのお仕事とは少し毛色の違うお仕事を担当しています。 この記事では、ISIDに興味を持ってくださっている就活生の皆さんに向けて、 新卒6年目（2018年入社）の私のお仕事とやりがい、そしてISIDの好きなところを紹介したいと思います。 なるべく具体的にお伝えできればと思いますので、 就活生の皆さんがISIDでの様々なお仕事を知っていただく上での参考としていただけたら嬉しいです。 自己紹介 事業部について 製品（統合人事システム”POSITIVE”）の特徴 仕事内容について やりがいを感じる瞬間 ISIDの好きなところ 最後に 自己紹介 ・年次： 2018年に新卒採用でISIDに入社し、今年で6年目になります。 ・大学の専攻： 商学部 で交通経済学を専攻していたTHE文系です。 日本の空港の 効率性分析 をテーマに研究をしていました。 ・職務経歴： 新入社員研修後、HCM事業部（統合人事システム"POSITIVE"を扱う事業部）へ配属されました。 最初の2年は製品開発部でPOSITIVEの開発業務を担当し、 その後異動して今所属しているビジネスパートナー コンサルティング 部にて ビジネスパートナーである代理店様の支援を行っています。 代理店支援のお仕事については後ほど説明します。 事業部について 私の働き方をお話しする前に、私が所属しているHCM事業部について簡単にお伝えしたいと思います。 HCM事業部は統合人事システム”POSITIVE”の開発、販売、導入を行っている事業部です。 （ 尾形さんの記事 にも詳細が書いてあるので是非ご覧ください！） 『ヒトを信じ、日本の「はたらく」を変える』をパーパスとして、TEAM POSITIVE一丸となって進んでいます。 個人的には、100名規模の事業部だからこそのアットホームな雰囲気があり、働きやすい環境だと感じています。 製品（統合人事システム”POSITIVE”）の特徴 ①統合人事システム POSITIVEは統合人事システムと呼ばれていまして、人事情報を軸として、 給与計算や勤怠管理、さらにはタレントマネジメントまで統合的に扱える製品です。 ②パッケージ製品 POSITIVEは標準的な業務に合わせて製品化された、パッケージと呼ばれるシステムです。 お客様の要件に合わせて1から組み立てていくス クラッチ システムとは性質が異なります。 パッケージシステムは、会社ごとの業務に合わせるための設定が必要です。 プロジェクトでは要件定義の段階でお客様の業務や運用方法をお伺いして、 フィットするように各種設定を行います。 ③販売経路 この後のお話にも繋がってくるのですが、 POSITIVEは直接販売と間接販売の両方の経路で販売を行っている点が特徴です。 直接販売はISIDが"POSITIVE"のメーカーとして市場調査から販売導入まで担う方法、 間接販売は販売導入の段階を代理店様にご担当いただく方法です。 HCM事業部はISIDで唯一、間接販売を本格的に推進しています。 仕事内容について 私が所属するビジネスパートナー コンサルティング 部では、 間接販売を担当していただいている代理店様の支援がミッションです。 大切なビジネスパートナーである代理店様に向けて、 主に教育を通して代理店様の販売導入を支援するお仕事をしています。 具体的には代理店様がPOSITIVEを販売・導入する上で必要となる知識を伝える教育を提供しています。 POSITIVEは先ほど製品の特徴①でお伝えしたように人事・給与・勤怠・タレントマネジメントなど 広い分野を対象としている製品です。 そのためPOSITIVEを扱う担当者としては、様々な分野の知識が必要となります。 また、お客様毎に運用に沿った設定を行うため、製品独自のノウハウが必要です。 そこで知っておくべき法律まわりの知識や、POSITIVEの操作・設定方法、 お客様の要件を聞く要件定義から設定とテストまでを模擬体験できる教育コンテンツなどを提供しています。 お仕事としては講座の講師のほか、新規講座の企画と作成も行っています。 やりがいを感じる瞬間 ・前例がない仕事に挑戦している時 誰もまだやったことのない仕事を実現すべく奔走している時にやりがいを感じます。 今年はeラーニングサイトを開設すべく、実現方法の検討から実際のサイト公開まで担当しました。 前例がないと予期せぬタスクに時間がかかってしまったり、 関係者の利害調整が発生したりと多くのハードルがありますが、 実現した先のメリットを信じて、乗り越えた時に達成感を感じます。 ・＋αの仕事が出来た時 頼まれていた期日より少し早く提供できた、資料が見やすいと言ってもらえた、 これまで候補になかった新たな選択肢を提案できた、など、 些細なことかもしれませんが、＋αの仕事が出来たと実感する瞬間にやりがいを感じます。 年次を経るに連れて求められるレベルは高くなっていきますが、 その期待を超える仕事ができるように日々頑張っています。 ISIDの好きなところ ・規模感 社員数2,000名規模の会社であるため、 大企業的要素の安心感と ベンチャー企業 的要素の風通しの良さが両立していると感じます。 ・社風 真面目ながらもカジュアルといった印象です。 社員同士を役職で呼ばず、○○さんと呼び合う文化も個人的には気に入っています。 ・ 従業員満足 度 個人的な所感なのですが、ISIDという会社に満足している社員の多さが 他の会社では中々感じられない魅力だと感じています。 実は働きがいのある会社ランキングでもISIDは上位にランクインしています。 私自身、もう一度就職活動をしたとしても入りたいと思える会社です。 最後に 今回はISIDやPOSITIVEのホームページより少し具体的にお仕事の紹介をいたしました。 こちらの記事を通して、読んでくださった皆様にとって何か持ち帰っていただけるものがあれば嬉しいです。 大変なことも多いかと思いますが、後悔しない就職活動ができるよう応援しています！ 少しでも興味が湧いたら、是非新卒採用サイトも覗いてみてください。 https://www.isid.co.jp/ 執筆： @yamaguchi.saki 、レビュー： 寺山 輝 (@terayama.akira) （ Shodo で執筆されました ）

こんにちは。金融ソリューション事業部の水野です。 本記事は 電通国際情報サービス Advent Calendar 2023 の12月25日の記事です。 今回は、BtoB向け SaaS をマルチテナントで実装した際の検討事項、採用した戦略について記載します。 Kubernetes で クラスタ を構築しており、AzureのPaaSである AKS を利用しました。 テナントとは？ 設計方法論 マルチテナントにおける要求 AKSでの分離方針 テナント分離方針 Three Tenancy Models For Kubernetes Namespaces as a Service N/W RBAC コンピューティングリソースのクォータ テナント追加のオペレーションコストの低減 その他 おわりに テナントとは？ Kubernetes では、テナントの定義は一つではないと説明されています。 https://kubernetes.io/docs/concepts/security/multi-tenancy/#tenants テナントが「チーム」を指すか「顧客（カスタマー）」を指すかで定義は異なります。 テナントがチームを表しているケース 各チームはサービスの複雑さに応じてスケーリングする少数のワークロードをデプロイ チームは大きな部門であったり、小さなチーム（開発チームなど）に細分されることも テナントがカスタマーを表しているケース カスタマーごとに専用のワークロードを展開する場合、複数顧客モデルとなる テナントは会社全体と大きい場合もあれば、会社の1部署と小さいこともある 概念的には、以下の図のようになります。 multi-team tenancy multi-customer tenancy 今回説明するテナントの定義は、上記 multi-customer tenancyにおけるテナントです。 設計方法論 Azureではなく AWS なのですが・・・ デザインパターン のような モデル化された3つの手法 が提示されています。 まずはこの3つのパターンを整理し、ビジネス上の要求に最もフィットするモデルを選択することにしました。3つの設計モデルの概要及び、大まかなPros./Consは以下です。 モデル 特徴 Pros. Cons. サイロ ・すべてのリソースはテナントごとに専有する ・一つの クラスタ はシングルテナントになる ・テナント境界が強固なためセキュリティ向上 ・リソースの上限に到達する可能性が比較的低い ・アプリケーションの実装難易度が他のモデルより下がる ・ クラウド ランニング費用が増大 ブリッジ ・コンピューティングリソースは共有／データストアは専有 ・アカウント／ インスタンス ／ スキーマ など、データストアによって分離方法は異なる ・サイロよりはインフラ構築難易度が低い ・リスク影響度の高いデータに関するリスクを一定下げられる ・もっともインフラ的に複雑になりうるDB周りが依然複雑なため、開発・運用コストが増大 プール ・すべてのリソースを各テナントで共有する ・レコードで分離するため、データの取得時はアプリケーションでテナント識別子を指定する必要がある ・ ランニングコスト が低い ・構成がシンプル ・テナント間のデータ保護のほとんどをアプリケーションレイヤで担保 ・リソースのリミットに到達する可能性が比較的高い 3つのモデルを更にブレイクダウンし、いくつかの軸で評価・検討したものは以下（主観あり）です。 凡例　◎：最も良い　○：良い　△：普通　×：悪い 特筆すべき点です。 セキュリティ サイロはN/W・H/W、リソースが完全に分離しており、テナント間の分離が容易に実現可能 ブリッジ、プールは共有部分に依存してリスクは高まるが、設計でカバー可能なレベル スケーラビリティ（ビジネス面） サイロ→プールに行くにしたがってROIは高まる 実装難度・コスト サイロのアプリ実装はシングルテナントと同様で特に考慮不要 ブリッジ→プールに行くほどテナント間のデータ境界を意識する必要があり、インフラ実装難度が上がる 可用性 全て分離している方が爆心半径が狭い パフォーマンス 専有リソースが多いほどシステムリソースに余裕がある（調整の余地が大きい） デプロイのアジリティ デプロイ対象が多いほど大変。プールならば一度のデプロイで全テナントに反映される マルチテナントにおける要求 今回実装する SaaS におけるビジネス要求は以下でした。 カテゴリ 要求事項 適したモデル セキュリティ 極めてセンシティブな企業の機密情報を扱う サイロ セキュリティ 未許可のデータが他のテナントから参照出来てはならない （アプリケーションのバグやオペミス含め、絶対に別テナントに見せてはならない） サイロ 分離レベル ストレージアカウント・データベースアカウントはテナントごとに物理的に分離し、データの独立性を保つ サイロ テナント数 一桁スタートで徐々に増加し、最大100想定 総合的に検討 ランニングコスト 各テナントの ランニングコスト を可視化したい サイロ ランニングコスト ランニングコスト は可能な限り下げたい プール 可用性 あるテナントの障害を別のテナントの障害に波及させない サイロ コンピューティング リソース テナントごとにワークロードが大きく異なり、テナント間でリソース干渉する事態は避けたい サイロ デプロイ デプロイ対象・回数は少ない方が良い プール デプロイ デプロイのアジリティを高めたい プール 物理的にリソースを分離する／ ランニングコスト をテナントごとに正確に把握するというビジネス要求から、サイロ寄りのブリッジモデルを選択しました。完全なサイロモデルの場合、テナント数から ランニングコスト が莫大になるという事情もありました。 AKS での分離方針 分離方式は、 クラスタ と ノードプール をどのように扱うかで、以下の3つが考えられます。 共有 クラスタ /共有ノードプール 全てのテナントのアプリケーションを一つの クラスタ 、一つのノードプールで共有する方式 共有 クラスタ /専有ノードプール 全てのテナントのアプリケーションを一つの クラスタ で共有するが、アプリケーションが稼働するノードプールはテナントごとに分離する方式 専有 クラスタ テナント共通アプリケーション、テナント固有アプリケーション双方を専用の クラスタ に分離する方式 クラスタ Podがデプロイされる Kubernetes ノードの集合 ノードプール Podがデプロイされる Kubernetes ノードの集合 systemノードプールとuserノードプールから成る 可用性の観点からZONE冗長構成を組むため、1ノードプールあたり3ノード必要＝2ノードプールで6ノード必要 主要な検討項目ごとに、重みなしで点数を付けた結果が以下です。 項目 共有 クラスタ / 共有ノードプール 共有 クラスタ / 専有ノードプール 専有 クラスタ ランニングコスト ◎ 〇 × コスト管理の容易性 × △ ◎ N/Wの分離 〇 〇 ◎ IDの分離（アプリケーション） △ △ ◎ IDの分離（ クラスタ オペレーション） 〇 〇 〇 コンピューティングリソースの分離 △ 〇 ◎ 運用性（ クラスタ 管理） ◎ ◎ × 実装・運用の難易度 △ 〇 ◎ 1テナントあたりの実装・運用コスト ◎ 〇 × 拡張性 ◎ △ 〇 点数 19 21 19 凡例　◎：3点　○：2点　△：1点　×：0点 3つの方式でほぼ同点、つまり各分離方針で大差はなく、どの方式でも最終的に実現される可用性、信頼性、セキュリティでは大きな違いはありません。 違いが出る＆大きな要素に関わるのは以下の点のため、こちらに絞って検討しました。 ランニングコスト 実装の難易度 トラブルシューティング の容易性 保守運用業務の効率／生産性 AKS の仕様（提供機能、制約）との要件適合性 検討の結果、 共有クラスタ/共有ノードプール を選択し、ノードプール内のPodは各テナントで占有としました。 決め手になったポイントです。 専有 クラスタ はコストが割高 専有 クラスタ は実装難易度は低いが、テナントの数が増えるに従って運用が煩雑になる 共有クラスタ は、近い将来非推奨になる機能の書き換えが必要だが、実装時点でノックアウトはなく移行も容易 Pod Identity から Azure AD Workload Idenity への移行が必要となる（2023年12月現在既に移行済み） 共有 クラスタ /専有ノードプール は共有ノードプールよりノードプール部分の実装難易度が低い ただし、最大ノードプール数100の上限があるため、100テナントを超えると2つめの クラスタ が必要 共有クラスタ/共有ノードプール は実装・運用の難易度が最も高いが、保守効率が高い 共有クラスタ/共有ノードプール は、 ランニングコスト が最も低い テナントごとのコスト割合を厳密に算出することが難しいというデメリットはあるが、おおよそ正しい値を算出できるため許容する 概念図としては以下になります。 マルチテナントにおける要求 に記載の通り、データベースアカウントとシークレットをテナント毎に保持する必要があるため、占有リソースとしています。なお、データベースはCosmosDBを採用しています。 テナント分離方針 テナントの分離は Three Tenancy Models For Kubernetes から選択しました。 Three Tenancy Models For Kubernetes 分離モデル 特徴 Namespaces as a Service Namespaceで分離し、各テナントが個別のNamespaceを持つ Clusters as a Service クラスタ 単位で分離し、各テナントが個別の クラスタ を持つ Control planes as a Service クラスタ 単位で分離し、各テナントが個別のコン トロール プレーンを持つ 広く採用されており、最もシンプルに構成できる Namespaces as a Service を採用しました。 Namespaces as a Service Namespaceで必要な境界を設けます。 大方針は以下です。 テナントごとにNamespaceを分離 通常のワークロードとデータ監査のワークロードを分離するため、同一テナント内で2つのNamespaceに分離 テナントに依存しない認証などの共通機能は別のNamespaceで管理 分離に伴い、 Kubernetes やAzureのサービス／ コンポーネント は以下を使用しました。 カテゴリ 概要 構成要素 Namespace ・ Kubernetes リソースの分離の基本要素 Namespace N/W ・テナントのルーティング ・ トラフィック 制御 Application Gateway Ingress Controller Network Policy RBAC ・ Kubernetes リソースに対するRBAC ・Azureリソース/外部サービスに対するRBAC ClusterRole / ClusterRoleBindings Role / RoleBindings AAD Pod Identity Azure Key Vault Provider for Secrets Store CSI Driver コンピューティングリソース ・使用するリソースの上限 Resource Quota デプロイ ・運用 Terraform Module Helm Chart 上記を踏まえた、テナント毎に分離する アーキテクチャ の概念図は以下となります。 N/W N/W空間は共有 テナントのルーティング テナントごとに Ingress リソースを作成し、テナントごとのPodへのルーティング テナントごとのアプリケーションはFrontendのみを公開 Egressリソースで外部 SaaS 接続時のNAT IPは、全テナントで共通のIPを共用 トラフィック 制御 Network Policyを使用して トラフィック を制御し、Pod間の通信を制限 自テナントかつ当該Podにアクセスする必要がある送信元からのInboundのみ許可 RBAC Kubernetes リソースに対するRBAC ClusterRole / ClusterRoleBindings および Role / RoleBindings を利用 ロールをAzure ADグループに紐づけ、特定の人間が特定のテナントの管理オペレーションを行う Azureリソース/外部サービスに対するRBAC 各サービスに接続する際に必要なクレデンシャル情報は、テナント内のSecret経由でのみ参照可能 テナントごとのクレデンシャル情報は自テナント専用のKey Vaultで管理し、 Kubernetes Secretと同期させる テナントごとのIDでKey Vaultアクセスを認証し、他テナントのKey Vaultはアクセスできない コンピューティングリソースのクォータ テナントごとにvCPU、Memoryなどのコンピューティングリソースの上限をResource Quotaで設定 ノイジーネイバー問題 を防ぐ 性能テストの結果および本番 トラフィック でのリソース使用量から上限値を決定 テナント追加のオペレーションコストの低減 テナントごとのAzureリソース、 Kubernetes リソースの管理を容易にするためにIaCで構築 テナント固有の一連のAzureリソースを管理するためのTerraformモジュール テナント固有の一連の Kubernetes リソースを管理するためのHelmチャート その他 他にも、権限分掌やセキュリティについて、Azureリソースや外部サービス利用についていくつかのポイントはありますが、本題ではないので簡単に紹介するにとどめます。 アクセスポリシーにより自テナントのKey Vaultにのみアクセスできるように制御 CosmosDBのアクセスに必要なアクセスキーは自テナントの Kubernetes Secret内に保持 Kubernetes Secretへのアクセスを自テナントのアプリケーションに限定 API で呼びだす外部 SaaS は、アクセスに必要なアクセスキー、 API トーク ンを自テナントのみ参照可能 ユーザー認証は全てAzureADに委譲 おわりに 今回は、 AKS 上で SaaS をマルチテナント構成で構築した設計戦略・構築上の大きなポイントについて書かせていただきました。まだまだ改善できるポイントはきっとあるので、日々 クラスタ を運用しながら検討を続けていきたいと思います。 最後までご覧いただきありがとうございました。皆さま良いお年を！ 私たちは一緒に働いてくれる仲間を募集しています！ 募集職種一覧 執筆： @mizuno.kazuhiro 、レビュー： @sato.taichi （ Shodo で執筆されました ）

こんにちは。金融ソリューション事業部の水野です。 本記事は 電通国際情報サービス Advent Calendar 2023 の12月25日の記事です。 今回は、BtoB向け SaaS をマルチテナントで実装した際の検討事項、採用した戦略について記載します。 Kubernetes で クラスタ を構築しており、AzureのPaaSである AKS を利用しました。 テナントとは？ 設計方法論 マルチテナントにおける要求 AKSでの分離方針 テナント分離方針 Three Tenancy Models For Kubernetes Namespaces as a Service N/W RBAC コンピューティングリソースのクォータ テナント追加のオペレーションコストの低減 その他 おわりに テナントとは？ Kubernetes では、テナントの定義は一つではないと説明されています。 https://kubernetes.io/docs/concepts/security/multi-tenancy/#tenants テナントが「チーム」を指すか「顧客（カスタマー）」を指すかで定義は異なります。 テナントがチームを表しているケース 各チームはサービスの複雑さに応じてスケーリングする少数のワークロードをデプロイ チームは大きな部門であったり、小さなチーム（開発チームなど）に細分されることも テナントがカスタマーを表しているケース カスタマーごとに専用のワークロードを展開する場合、複数顧客モデルとなる テナントは会社全体と大きい場合もあれば、会社の1部署と小さいこともある 概念的には、以下の図のようになります。 multi-team tenancy multi-customer tenancy 今回説明するテナントの定義は、上記 multi-customer tenancyにおけるテナントです。 設計方法論 Azureではなく AWS なのですが・・・ デザインパターン のような モデル化された3つの手法 が提示されています。 まずはこの3つのパターンを整理し、ビジネス上の要求に最もフィットするモデルを選択することにしました。3つの設計モデルの概要及び、大まかなPros./Consは以下です。 モデル 特徴 Pros. Cons. サイロ ・すべてのリソースはテナントごとに専有する ・一つの クラスタ はシングルテナントになる ・テナント境界が強固なためセキュリティ向上 ・リソースの上限に到達する可能性が比較的低い ・アプリケーションの実装難易度が他のモデルより下がる ・ クラウド ランニング費用が増大 ブリッジ ・コンピューティングリソースは共有／データストアは専有 ・アカウント／ インスタンス ／ スキーマ など、データストアによって分離方法は異なる ・サイロよりはインフラ構築難易度が低い ・リスク影響度の高いデータに関するリスクを一定下げられる ・もっともインフラ的に複雑になりうるDB周りが依然複雑なため、開発・運用コストが増大 プール ・すべてのリソースを各テナントで共有する ・レコードで分離するため、データの取得時はアプリケーションでテナント識別子を指定する必要がある ・ ランニングコスト が低い ・構成がシンプル ・テナント間のデータ保護のほとんどをアプリケーションレイヤで担保 ・リソースのリミットに到達する可能性が比較的高い 3つのモデルを更にブレイクダウンし、いくつかの軸で評価・検討したものは以下（主観あり）です。 凡例　◎：最も良い　○：良い　△：普通　×：悪い 特筆すべき点です。 セキュリティ サイロはN/W・H/W、リソースが完全に分離しており、テナント間の分離が容易に実現可能 ブリッジ、プールは共有部分に依存してリスクは高まるが、設計でカバー可能なレベル スケーラビリティ（ビジネス面） サイロ→プールに行くにしたがってROIは高まる 実装難度・コスト サイロのアプリ実装はシングルテナントと同様で特に考慮不要 ブリッジ→プールに行くほどテナント間のデータ境界を意識する必要があり、インフラ実装難度が上がる 可用性 全て分離している方が爆心半径が狭い パフォーマンス 専有リソースが多いほどシステムリソースに余裕がある（調整の余地が大きい） デプロイのアジリティ デプロイ対象が多いほど大変。プールならば一度のデプロイで全テナントに反映される マルチテナントにおける要求 今回実装する SaaS におけるビジネス要求は以下でした。 カテゴリ 要求事項 適したモデル セキュリティ 極めてセンシティブな企業の機密情報を扱う サイロ セキュリティ 未許可のデータが他のテナントから参照出来てはならない （アプリケーションのバグやオペミス含め、絶対に別テナントに見せてはならない） サイロ 分離レベル ストレージアカウント・データベースアカウントはテナントごとに物理的に分離し、データの独立性を保つ サイロ テナント数 一桁スタートで徐々に増加し、最大100想定 総合的に検討 ランニングコスト 各テナントの ランニングコスト を可視化したい サイロ ランニングコスト ランニングコスト は可能な限り下げたい プール 可用性 あるテナントの障害を別のテナントの障害に波及させない サイロ コンピューティング リソース テナントごとにワークロードが大きく異なり、テナント間でリソース干渉する事態は避けたい サイロ デプロイ デプロイ対象・回数は少ない方が良い プール デプロイ デプロイのアジリティを高めたい プール 物理的にリソースを分離する／ ランニングコスト をテナントごとに正確に把握するというビジネス要求から、サイロ寄りのブリッジモデルを選択しました。完全なサイロモデルの場合、テナント数から ランニングコスト が莫大になるという事情もありました。 AKS での分離方針 分離方式は、 クラスタ と ノードプール をどのように扱うかで、以下の3つが考えられます。 共有 クラスタ /共有ノードプール 全てのテナントのアプリケーションを一つの クラスタ 、一つのノードプールで共有する方式 共有 クラスタ /専有ノードプール 全てのテナントのアプリケーションを一つの クラスタ で共有するが、アプリケーションが稼働するノードプールはテナントごとに分離する方式 専有 クラスタ テナント共通アプリケーション、テナント固有アプリケーション双方を専用の クラスタ に分離する方式 クラスタ Podがデプロイされる Kubernetes ノードの集合 ノードプール Podがデプロイされる Kubernetes ノードの集合 systemノードプールとuserノードプールから成る 可用性の観点からZONE冗長構成を組むため、1ノードプールあたり3ノード必要＝2ノードプールで6ノード必要 主要な検討項目ごとに、重みなしで点数を付けた結果が以下です。 項目 共有 クラスタ / 共有ノードプール 共有 クラスタ / 専有ノードプール 専有 クラスタ ランニングコスト ◎ 〇 × コスト管理の容易性 × △ ◎ N/Wの分離 〇 〇 ◎ IDの分離（アプリケーション） △ △ ◎ IDの分離（ クラスタ オペレーション） 〇 〇 〇 コンピューティングリソースの分離 △ 〇 ◎ 運用性（ クラスタ 管理） ◎ ◎ × 実装・運用の難易度 △ 〇 ◎ 1テナントあたりの実装・運用コスト ◎ 〇 × 拡張性 ◎ △ 〇 点数 19 21 19 凡例　◎：3点　○：2点　△：1点　×：0点 3つの方式でほぼ同点、つまり各分離方針で大差はなく、どの方式でも最終的に実現される可用性、信頼性、セキュリティでは大きな違いはありません。 違いが出る＆大きな要素に関わるのは以下の点のため、こちらに絞って検討しました。 ランニングコスト 実装の難易度 トラブルシューティング の容易性 保守運用業務の効率／生産性 AKS の仕様（提供機能、制約）との要件適合性 検討の結果、 共有クラスタ/共有ノードプール を選択し、ノードプール内のPodは各テナントで占有としました。 決め手になったポイントです。 専有 クラスタ はコストが割高 専有 クラスタ は実装難易度は低いが、テナントの数が増えるに従って運用が煩雑になる 共有クラスタ は、近い将来非推奨になる機能の書き換えが必要だが、実装時点でノックアウトはなく移行も容易 Pod Identity から Azure AD Workload Idenity への移行が必要となる（2023年12月現在既に移行済み） 共有 クラスタ /専有ノードプール は共有ノードプールよりノードプール部分の実装難易度が低い ただし、最大ノードプール数100の上限があるため、100テナントを超えると2つめの クラスタ が必要 共有クラスタ/共有ノードプール は実装・運用の難易度が最も高いが、保守効率が高い 共有クラスタ/共有ノードプール は、 ランニングコスト が最も低い テナントごとのコスト割合を厳密に算出することが難しいというデメリットはあるが、おおよそ正しい値を算出できるため許容する 概念図としては以下になります。 マルチテナントにおける要求 に記載の通り、データベースアカウントとシークレットをテナント毎に保持する必要があるため、占有リソースとしています。なお、データベースはCosmosDBを採用しています。 テナント分離方針 テナントの分離は Three Tenancy Models For Kubernetes から選択しました。 Three Tenancy Models For Kubernetes 分離モデル 特徴 Namespaces as a Service Namespaceで分離し、各テナントが個別のNamespaceを持つ Clusters as a Service クラスタ 単位で分離し、各テナントが個別の クラスタ を持つ Control planes as a Service クラスタ 単位で分離し、各テナントが個別のコン トロール プレーンを持つ 広く採用されており、最もシンプルに構成できる Namespaces as a Service を採用しました。 Namespaces as a Service Namespaceで必要な境界を設けます。 大方針は以下です。 テナントごとにNamespaceを分離 通常のワークロードとデータ監査のワークロードを分離するため、同一テナント内で2つのNamespaceに分離 テナントに依存しない認証などの共通機能は別のNamespaceで管理 分離に伴い、 Kubernetes やAzureのサービス／ コンポーネント は以下を使用しました。 カテゴリ 概要 構成要素 Namespace ・ Kubernetes リソースの分離の基本要素 Namespace N/W ・テナントのルーティング ・ トラフィック 制御 Application Gateway Ingress Controller Network Policy RBAC ・ Kubernetes リソースに対するRBAC ・Azureリソース/外部サービスに対するRBAC ClusterRole / ClusterRoleBindings Role / RoleBindings AAD Pod Identity Azure Key Vault Provider for Secrets Store CSI Driver コンピューティングリソース ・使用するリソースの上限 Resource Quota デプロイ ・運用 Terraform Module Helm Chart 上記を踏まえた、テナント毎に分離する アーキテクチャ の概念図は以下となります。 N/W N/W空間は共有 テナントのルーティング テナントごとに Ingress リソースを作成し、テナントごとのPodへのルーティング テナントごとのアプリケーションはFrontendのみを公開 Egressリソースで外部 SaaS 接続時のNAT IPは、全テナントで共通のIPを共用 トラフィック 制御 Network Policyを使用して トラフィック を制御し、Pod間の通信を制限 自テナントかつ当該Podにアクセスする必要がある送信元からのInboundのみ許可 RBAC Kubernetes リソースに対するRBAC ClusterRole / ClusterRoleBindings および Role / RoleBindings を利用 ロールをAzure ADグループに紐づけ、特定の人間が特定のテナントの管理オペレーションを行う Azureリソース/外部サービスに対するRBAC 各サービスに接続する際に必要なクレデンシャル情報は、テナント内のSecret経由でのみ参照可能 テナントごとのクレデンシャル情報は自テナント専用のKey Vaultで管理し、 Kubernetes Secretと同期させる テナントごとのIDでKey Vaultアクセスを認証し、他テナントのKey Vaultはアクセスできない コンピューティングリソースのクォータ テナントごとにvCPU、Memoryなどのコンピューティングリソースの上限をResource Quotaで設定 ノイジーネイバー問題 を防ぐ 性能テストの結果および本番 トラフィック でのリソース使用量から上限値を決定 テナント追加のオペレーションコストの低減 テナントごとのAzureリソース、 Kubernetes リソースの管理を容易にするためにIaCで構築 テナント固有の一連のAzureリソースを管理するためのTerraformモジュール テナント固有の一連の Kubernetes リソースを管理するためのHelmチャート その他 他にも、権限分掌やセキュリティについて、Azureリソースや外部サービス利用についていくつかのポイントはありますが、本題ではないので簡単に紹介するにとどめます。 アクセスポリシーにより自テナントのKey Vaultにのみアクセスできるように制御 CosmosDBのアクセスに必要なアクセスキーは自テナントの Kubernetes Secret内に保持 Kubernetes Secretへのアクセスを自テナントのアプリケーションに限定 API で呼びだす外部 SaaS は、アクセスに必要なアクセスキー、 API トーク ンを自テナントのみ参照可能 ユーザー認証は全てAzureADに委譲 おわりに 今回は、 AKS 上で SaaS をマルチテナント構成で構築した設計戦略・構築上の大きなポイントについて書かせていただきました。まだまだ改善できるポイントはきっとあるので、日々 クラスタ を運用しながら検討を続けていきたいと思います。 最後までご覧いただきありがとうございました。皆さま良いお年を！ 私たちは一緒に働いてくれる仲間を募集しています！ 募集職種一覧 執筆： @mizuno.kazuhiro 、レビュー： @sato.taichi （ Shodo で執筆されました ）

こんにちは。金融ソリューション事業部の多田です。 本記事は 電通国際情報サービス Advent Calendar 2023 22日目の記事となります。 前日の記事は星野将吾さんの「 若手こそ受けておきたい！IPA システムアーキテクト試験 」でした。 はじめに microservices-demoについて productcatalogserviceをRustで実装する productcatalogserviceの内容を確認 準備 tonicについて Rustによる実装 gRPCサーバーの動作確認 EKSへのデプロイ 準備 コンテナイメージの準備 & ECRへの登録 AWS CloudShellの準備 AWS上にEKSクラスター/ノードグループを作成する microservices-demoのデプロイ 後始末 まとめ はじめに みなさん、 microservices-demo をご存知でしょうか。 Google が提供している クラウド を前提としたマイクロサービスのデモアプリケーションです。 今回はこのmicroservices-demoの一部をRust実装に置き換えて Amazon EKS（以降、EKS）にデプロイしてみました。 筆者は社内ワーキンググループの活動としてソフトウェア アーキテクチャ の技術調査などを行っており その一環としてRust/gRPC/GraphQLを用いたマイクロサービス アーキテクチャ を検討しております。 本記事はその検討にあたって実施した内容の一部をまとめたものになります。 microservices-demoについて ECサイト を模しており、商品の閲覧やカートへ入れる、購入するといったことが可能です（決済などはモックです）。 技術的には Kubernetes 、GKE、Istio、Stackdriver、gRPCなどを使用しています。 少し設定を加えればGKEなどに作成した Kubernetes クラスタ ー上にデプロイ可能となっています。 アーキテクチャ と各サービスの言語、役割は以下のようになっています。 今回はこの中の productcatalogservice をRust実装に置き換えます。 （役割は筆者の意訳です。詳細は README をご確認ください） サービス 言語 役割 frontend Go HTTPサーバ。ユーザーと直接やり取りするのはココ cartservice C# 商品の保存や取得（ショッピングカート） productcatalogservice Go 商品一覧と各商品情報（商品名、概要）の提供、検索 currencyservice Node.js 各通貨の変換 paymentservice Node.js クレジットカード（モック）で決済 shippingservice Go 送料の計算と住所（モック）への発送 emailservice Python 購入確認メール（メールアドレスはモック）の送信 checkoutservice Go カートの情報を元に注文準備や支払い、発送、メール通知を調整 recommendationservice Python カートにある商品を元に別の商品を推薦 adservice Java テキスト広告の提供 loadgenerator Python /Locust EC2の利用フローを模したリク エス トを継続的に実施（おそらく負荷テスト用） productcatalogserviceをRustで実装する productcatalogserviceの内容を確認 サービス同士の通信にはgRPCを使用しています。 Protocol Buffersは既にあるため、それを元にサービスを実装します。 demo.proto productcatalogserviceのインターフェースは以下です。 （Productなどのメッセージ定義は省略しています） service ProductCatalogService { rpc ListProducts(Empty) returns (ListProductsResponse) {} rpc GetProduct(GetProductRequest) returns (Product) {} rpc SearchProducts(SearchProductsRequest) returns (SearchProductsResponse) {} } microservices-demo上ではGoで実装されています。 コード を見てみると products.json に商品情報があり、これを元に商品一覧や各商品情報、検索機能を提供しているようです。 この実装を参考にRustで実装します。 準備 以下を参考にRustのインストールをお願いします。 https://www.rust-lang.org/ja/tools/install tonicについて tonic というクレートを使用して実装します。 tonicはRustネイティブのgRPC実装です。用途により コンポーネント が用意されており、それらを組み合わせて使用します。 今回はtonic-buildという コンポーネント を使用してprotoファイルを元にス ケルト ンとスタブを生成し、それを元にgRPCサーバーとクライアントを実装しました。 デモアプリケーション上ではクライアントは不要ですがテストのために実装しました。 tonicを利用するにはprotocのインストールが必要になります。 お使いの環境にあわせてインストールしてください。 https://github.com/hyperium/tonic?tab=readme-ov-file#dependencies Windows の場合、上記に加えてPROTOCという 環境変数 を用意しprotoc.exeへのパスを設定する必要があります。 （筆者はここで「 コンパイル できない(; ;)」と30分ほど無駄にしました） Rustによる実装 コードの全量は以下になります。 productcatalogservice 構成は以下のとおりです。 productcatalogservice |-- Cargo.toml |-- Dockerfile ... EKSへデプロイするためのイメージ作成で使用（後述） |-- build.rs ... スケルトン、スタブ生成用のコード |-- pb | |-- demo.proto ... 前述のproductcatalogserviceのインターフェースを定義 |-- products.json ... 商品情報リスト |-- src |-- client.rs ... gRPCクライアントのコード |-- server.rs ... gRPCサーバーのコード 本記事では build.rs と server.rs について解説します。 その他は実際のコードをご確認ください。 まずは build.rs です。 fn main () -> Result < (), Box < dyn std :: error :: Error >> { tonic_build :: configure () . type_attribute ( "." , "#[derive(serde::Deserialize)]" ) . type_attribute ( "." , "#[serde(rename_all = \" camelCase \" )]" ) . compile ( & [ "./pb/demo.proto" ], & [ "./pb" ]) ? ; Ok (()) } build.rs はビルド時にprotoファイルを読み込んでス ケルト ンとスタブのコードを生成します。 type_attribute(...) は生成されるス ケルト ンとスタブに属性を付与したい場合に使用します。 今回は product.json から自動生成されたコード（商品の構造体）に直接変換するため、そのための属性を付与しました。 （実開発においては直接変換ではなく間に DTO などを挟むと思います） ビルドに成功するとtarget配下にコードが生成されます。 続いて server.rs です（一部省略しています）。 // 生成されたコードの読み込み pub mod hipstershop { // demo.protoのpackageを指定 tonic :: include_proto! ( "hipstershop" ); } // 省略 #[derive( Default )] pub struct ProductCatalogServiceImpl {} // サーバ用のコードを実装 #[tonic::async_trait] impl ProductCatalogService for ProductCatalogServiceImpl { async fn list_products ( & self , _request: Request < Empty > ) -> Result < Response < ListProductsResponse > , Status > { let products = read_catalog_file ().await; let reply: ListProductsResponse = ListProductsResponse{ products: products }; Ok ( Response :: new (reply)) } async fn get_product ( & self , request: Request < GetProductRequest > ) -> Result < Response < Product > , Status > { //省略 } async fn search_products ( & self , request: Request < SearchProductsRequest > ) -> Result < Response < SearchProductsResponse > , Status > { //省略 } } #[tokio::main] async fn main () -> Result < (), Box < dyn std :: error :: Error >> { // 省略 let addr = "0.0.0.0:3550" . parse (). unwrap (); let product_catalog_service = ProductCatalogServiceImpl :: default (); println! ( "HealthServer + ProductCatalogServiceServer listening on {}" , addr); Server :: builder () . add_service (health_service) . add_service ( ProductCatalogServiceServer :: new (product_catalog_service)) . serve (addr) .await ? ; Ok (()) } pub mod hipstershop {...} では自動生成されたコードをモジュールとして定義しています。 tonic::include_proto!("hipstershop") は自動生成されたコードを読み込むためのマクロです。 引数にはprotoファイルのpackageを指定します。 impl ProductCatalogService for ProductCatalogServiceImpl {...} はサービスの実装です。 自動生成されたProductCatalogServiceトレイトを実装しています。 product.json から商品情報を読み込み、それをそのまま返したり、中身を検索したりしています。 main() はgRPCサーバーを起動するための実装です。 ポートやサービスの設定などをしています。 gRPCサーバーの動作確認 サーバーは以下のコマンドで起動します。 cargo run --bin server クライアントを実行して動作確認をしてみます。 cargo run --bin client 成功すると以下のような結果が表示されます。 RESPONSE =Response { metadata: MetadataMap { headers: { " content-type " : " application/grpc " , " date " : " Tue, 19 Dec 2023 08:02:30 GMT " , " grpc-status " : " 0 " } } , message: ListProductsResponse { products: [ Product { id: " OLJCESPC7Z " , name: " Sunglasses " , description: " Add a modern touch to your outfits with these sleek aviator sunglasses. " , picture: " /static/img/products/sunglasses.jpg " , price_usd: Some ( Money { currency_code: " USD " , units: 19 , nanos: 990000000 } ) , ...省略 これでRustによる実装ができましたので、次はEKSへデプロイします。 EKSへのデプロイ 準備 EKSへデプロイするために AWS アカウントの作成と AWS CLI のインストール、認証情報の設定をしてください。 また、イメージ作成にはDockerを使用しますのでお使いの環境にあわせてインストールしてください。 https://docs.docker.jp/desktop/install.html コンテナイメージの準備 & ECRへの登録 EKSへデプロイするためにproductcatalogserviceのイメージを作成しECRへイメージを登録します。 まず以下を参考に AWS コンソールからECRにプライベー トリポジ トリを作成します（ リポジトリ 名はproductcatalogservice）。 https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/repository-create.html 次にイメージを作成しECRへpushするため、以下のコマンドを実行します。 AWS のアカウント番号は適宜置き換えてください。 リージョンは東京リージョンにしています。 # イメージ作成 docker build -t productcatalogservice . # タグ付けする docker tag productcatalogservice:latest < AWSのアカウント番号 > .dkr.ecr.ap-northeast-1.amazonaws.com/productcatalogservice:latest # dockerクライアントの認証 aws ecr get-login-password --region ap-northeast-1 | docker login --username AWS --password-stdin < AWSのアカウント番号 > .dkr.ecr.ap-northeast-1.amazonaws.com # push docker push < アカウント番号 > .dkr.ecr.ap-northeast-1.amazonaws.com/productcatalogservice:latest AWS CloudShellの準備 EKSへのデプロイには AWS CloudShellを利用します。 まずはkubectlを使えるようにします。 kubectlは kubernetes 用の コマンドライン ツールです。 マイクロサービスのデプロイに使用します。 curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/ 1 . 28 . 3 /2023-11-14/bin/linux/amd64/kubectl chmod +x ./kubectl mkdir -p $HOME /bin && cp ./kubectl $HOME /bin/kubectl && export PATH = $PATH : $HOME /bin echo ' export PATH=$PATH:$HOME/bin ' >> ~/.bashrc kubectl version --client 続いてeksctlを使えるようにします。 eksctlはEKS上で Kubernetes クラスタ ーを作成・管理するための コマンドライン ツールです。 curl --silent --location " https://github.com/weaveworks/eksctl/releases/latest/download/eksctl_ $( uname -s ) _amd64.tar.gz " | tar xz -C /tmp sudo mv /tmp/eksctl /usr/local/bin eksctl version AWS 上にEKS クラスタ ー/ノードグループを作成する 以下のコマンドで クラスタ ーを作成できます（10分ほどで完了します）。 name は onlineboutique 、 region は東京リージョンとしています。 eksctl create cluster --name onlineboutique --region ap-northeast-1 --without-nodegroup クラスタ ーの作成が完了したらノードグループを作成します（2分ほどで完了します）。 cluster は onlineboutique 、ノード数は4としています。 eksctl create nodegroup --cluster onlineboutique --region ap-northeast-1 --nodes 4 --nodes-min 4 --nodes-max 4 microservices-demoのデプロイ クラスタ ーが作成できたらいよいよデプロイです。 microservices-demoをクローンし、ECRへpushしたイメージを使うよう マニフェスト を修正します。 ★でproductcatalogserviceの image を以下のように修正してください。 修正前： gcr.io/ google -samples/microservices-demo/productcatalogservice:<バージョン> 修正後：<アカウント番号>.dkr.ecr.ap-northeast-1.amazonaws.com/productcatalogservice:latest その後、 kubectl apply でデプロイします。 # microservices-demoをクローン git clone https://github.com/GoogleCloudPlatform/microservices-demo.git # リポジトリへ移動 cd microservices-demo # 書き換え(★) vi ./release/kubernetes-manifests.yaml # デプロイ kubectl apply -f ./release/kubernetes-manifests.yaml サービスの一覧を確認するとfrontendにELBの DNS 名が割り当てられています。 kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT ( S ) AGE adservice ClusterIP 10 . 100 . 8 . 99 < none > 9555 /TCP 2m34s cartservice ClusterIP 10 . 100 . 167 . 3 < none > 7070 /TCP 2m35s checkoutservice ClusterIP 10 . 100 . 155 . 33 < none > 5050 /TCP 2m35s currencyservice ClusterIP 10 . 100 . 81 . 172 < none > 7000 /TCP 2m34s emailservice ClusterIP 10 . 100 . 116 . 249 < none > 5000 /TCP 2m35s frontend ClusterIP 10 . 100 . 23 . 148 < none > 80 /TCP 2m35s frontend-external LoadBalancer 10 . 100 . 167 . 89 a0f6456281124412b8f095f94c6e242a-2020525330.ap-northeast-1.elb.amazonaws.com 80:31538/TCP 2m35s kubernetes ClusterIP 10 . 100 . 0 . 1 < none > 443 /TCP 17m paymentservice ClusterIP 10 . 100 . 154 . 183 < none > 50051 /TCP 2m35s productcatalogservice ClusterIP 10 . 100 . 20 . 37 < none > 3550 /TCP 2m35s recommendationservice ClusterIP 10 . 100 . 90 . 209 < none > 8080 /TCP 2m35s redis-cart ClusterIP 10 . 100 . 32 . 58 < none > 6379 /TCP 2m34s shippingservice ClusterIP 10 . 100 . 194 . 29 < none > 50051 /TCP 2m34s ブラウザでアクセスして画像のような画面が表示されれば成功です。 後始末 削除は以下の順でコマンドを実行します。 グループ名はマネジメントコンソールなどでご確認ください。 # podを削除 kubectl delete -f ./release/kubernetes-manifests.yaml # ノードグループを削除 eksctl delete nodegroup --cluster=onlineboutique --region ap-northeast-1 --name=<グループ名> --wait # クラスターを削除 eksctl delete cluster --name onlineboutique --region ap-northeast-1 --wait まとめ Google が提供しているmicroservices-demoの一部をRustに置き換えてEKSにデプロイしてみました。 tonicを用いることで簡単にRustで実装できました。 他のサービスもRustで置き換える場合、共通部分をライブラリクレートとして抜き出して各サービスで利用する（自動生成されたコードのモジュールを定義している部分など）、といったことも検討できそうです。 今回はRustを利用しましたが、gRPCが利用できれば他の言語でも可能ですのでご興味あればぜひお試しください。 デプロイ環境についてもKuberntes クラスタ ーであればどの環境でもデプロイ可能です。 microservices-demoの クイックスタート や 開発ガイド にGKEやローカルを利用する方法が載っていますので、こちらもぜひお試しください。 ここまでお読みいただきありがとうございました。 私たちは一緒に働いてくれる仲間を募集しています！ 募集職種一覧 執筆： @tada.keisuke 、レビュー： @takeda.hideyuki （ Shodo で執筆されました ）

こんにちは。金融ソリューション事業部の多田です。 本記事は 電通国際情報サービス Advent Calendar 2023 22日目の記事となります。 前日の記事は星野将吾さんの「 若手こそ受けておきたい！IPA システムアーキテクト試験 」でした。 はじめに microservices-demoについて productcatalogserviceをRustで実装する productcatalogserviceの内容を確認 準備 tonicについて Rustによる実装 gRPCサーバーの動作確認 EKSへのデプロイ 準備 コンテナイメージの準備 & ECRへの登録 AWS CloudShellの準備 AWS上にEKSクラスター/ノードグループを作成する microservices-demoのデプロイ 後始末 まとめ はじめに みなさん、 microservices-demo をご存知でしょうか。 Google が提供している クラウド を前提としたマイクロサービスのデモアプリケーションです。 今回はこのmicroservices-demoの一部をRust実装に置き換えて Amazon EKS（以降、EKS）にデプロイしてみました。 筆者は社内ワーキンググループの活動としてソフトウェア アーキテクチャ の技術調査などを行っており その一環としてRust/gRPC/GraphQLを用いたマイクロサービス アーキテクチャ を検討しております。 本記事はその検討にあたって実施した内容の一部をまとめたものになります。 microservices-demoについて ECサイト を模しており、商品の閲覧やカートへ入れる、購入するといったことが可能です（決済などはモックです）。 技術的には Kubernetes 、GKE、Istio、Stackdriver、gRPCなどを使用しています。 少し設定を加えればGKEなどに作成した Kubernetes クラスタ ー上にデプロイ可能となっています。 アーキテクチャ と各サービスの言語、役割は以下のようになっています。 今回はこの中の productcatalogservice をRust実装に置き換えます。 （役割は筆者の意訳です。詳細は README をご確認ください） サービス 言語 役割 frontend Go HTTPサーバ。ユーザーと直接やり取りするのはココ cartservice C# 商品の保存や取得（ショッピングカート） productcatalogservice Go 商品一覧と各商品情報（商品名、概要）の提供、検索 currencyservice Node.js 各通貨の変換 paymentservice Node.js クレジットカード（モック）で決済 shippingservice Go 送料の計算と住所（モック）への発送 emailservice Python 購入確認メール（メールアドレスはモック）の送信 checkoutservice Go カートの情報を元に注文準備や支払い、発送、メール通知を調整 recommendationservice Python カートにある商品を元に別の商品を推薦 adservice Java テキスト広告の提供 loadgenerator Python /Locust EC2の利用フローを模したリク エス トを継続的に実施（おそらく負荷テスト用） productcatalogserviceをRustで実装する productcatalogserviceの内容を確認 サービス同士の通信にはgRPCを使用しています。 Protocol Buffersは既にあるため、それを元にサービスを実装します。 demo.proto productcatalogserviceのインターフェースは以下です。 （Productなどのメッセージ定義は省略しています） service ProductCatalogService { rpc ListProducts(Empty) returns (ListProductsResponse) {} rpc GetProduct(GetProductRequest) returns (Product) {} rpc SearchProducts(SearchProductsRequest) returns (SearchProductsResponse) {} } microservices-demo上ではGoで実装されています。 コード を見てみると products.json に商品情報があり、これを元に商品一覧や各商品情報、検索機能を提供しているようです。 この実装を参考にRustで実装します。 準備 以下を参考にRustのインストールをお願いします。 https://www.rust-lang.org/ja/tools/install tonicについて tonic というクレートを使用して実装します。 tonicはRustネイティブのgRPC実装です。用途により コンポーネント が用意されており、それらを組み合わせて使用します。 今回はtonic-buildという コンポーネント を使用してprotoファイルを元にス ケルト ンとスタブを生成し、それを元にgRPCサーバーとクライアントを実装しました。 デモアプリケーション上ではクライアントは不要ですがテストのために実装しました。 tonicを利用するにはprotocのインストールが必要になります。 お使いの環境にあわせてインストールしてください。 https://github.com/hyperium/tonic?tab=readme-ov-file#dependencies Windows の場合、上記に加えてPROTOCという 環境変数 を用意しprotoc.exeへのパスを設定する必要があります。 （筆者はここで「 コンパイル できない(; ;)」と30分ほど無駄にしました） Rustによる実装 コードの全量は以下になります。 productcatalogservice 構成は以下のとおりです。 productcatalogservice |-- Cargo.toml |-- Dockerfile ... EKSへデプロイするためのイメージ作成で使用（後述） |-- build.rs ... スケルトン、スタブ生成用のコード |-- pb | |-- demo.proto ... 前述のproductcatalogserviceのインターフェースを定義 |-- products.json ... 商品情報リスト |-- src |-- client.rs ... gRPCクライアントのコード |-- server.rs ... gRPCサーバーのコード 本記事では build.rs と server.rs について解説します。 その他は実際のコードをご確認ください。 まずは build.rs です。 fn main () -> Result < (), Box < dyn std :: error :: Error >> { tonic_build :: configure () . type_attribute ( "." , "#[derive(serde::Deserialize)]" ) . type_attribute ( "." , "#[serde(rename_all = \" camelCase \" )]" ) . compile ( & [ "./pb/demo.proto" ], & [ "./pb" ]) ? ; Ok (()) } build.rs はビルド時にprotoファイルを読み込んでス ケルト ンとスタブのコードを生成します。 type_attribute(...) は生成されるス ケルト ンとスタブに属性を付与したい場合に使用します。 今回は product.json から自動生成されたコード（商品の構造体）に直接変換するため、そのための属性を付与しました。 （実開発においては直接変換ではなく間に DTO などを挟むと思います） ビルドに成功するとtarget配下にコードが生成されます。 続いて server.rs です（一部省略しています）。 // 生成されたコードの読み込み pub mod hipstershop { // demo.protoのpackageを指定 tonic :: include_proto! ( "hipstershop" ); } // 省略 #[derive( Default )] pub struct ProductCatalogServiceImpl {} // サーバ用のコードを実装 #[tonic::async_trait] impl ProductCatalogService for ProductCatalogServiceImpl { async fn list_products ( & self , _request: Request < Empty > ) -> Result < Response < ListProductsResponse > , Status > { let products = read_catalog_file ().await; let reply: ListProductsResponse = ListProductsResponse{ products: products }; Ok ( Response :: new (reply)) } async fn get_product ( & self , request: Request < GetProductRequest > ) -> Result < Response < Product > , Status > { //省略 } async fn search_products ( & self , request: Request < SearchProductsRequest > ) -> Result < Response < SearchProductsResponse > , Status > { //省略 } } #[tokio::main] async fn main () -> Result < (), Box < dyn std :: error :: Error >> { // 省略 let addr = "0.0.0.0:3550" . parse (). unwrap (); let product_catalog_service = ProductCatalogServiceImpl :: default (); println! ( "HealthServer + ProductCatalogServiceServer listening on {}" , addr); Server :: builder () . add_service (health_service) . add_service ( ProductCatalogServiceServer :: new (product_catalog_service)) . serve (addr) .await ? ; Ok (()) } pub mod hipstershop {...} では自動生成されたコードをモジュールとして定義しています。 tonic::include_proto!("hipstershop") は自動生成されたコードを読み込むためのマクロです。 引数にはprotoファイルのpackageを指定します。 impl ProductCatalogService for ProductCatalogServiceImpl {...} はサービスの実装です。 自動生成されたProductCatalogServiceトレイトを実装しています。 product.json から商品情報を読み込み、それをそのまま返したり、中身を検索したりしています。 main() はgRPCサーバーを起動するための実装です。 ポートやサービスの設定などをしています。 gRPCサーバーの動作確認 サーバーは以下のコマンドで起動します。 cargo run --bin server クライアントを実行して動作確認をしてみます。 cargo run --bin client 成功すると以下のような結果が表示されます。 RESPONSE =Response { metadata: MetadataMap { headers: { " content-type " : " application/grpc " , " date " : " Tue, 19 Dec 2023 08:02:30 GMT " , " grpc-status " : " 0 " } } , message: ListProductsResponse { products: [ Product { id: " OLJCESPC7Z " , name: " Sunglasses " , description: " Add a modern touch to your outfits with these sleek aviator sunglasses. " , picture: " /static/img/products/sunglasses.jpg " , price_usd: Some ( Money { currency_code: " USD " , units: 19 , nanos: 990000000 } ) , ...省略 これでRustによる実装ができましたので、次はEKSへデプロイします。 EKSへのデプロイ 準備 EKSへデプロイするために AWS アカウントの作成と AWS CLI のインストール、認証情報の設定をしてください。 また、イメージ作成にはDockerを使用しますのでお使いの環境にあわせてインストールしてください。 https://docs.docker.jp/desktop/install.html コンテナイメージの準備 & ECRへの登録 EKSへデプロイするためにproductcatalogserviceのイメージを作成しECRへイメージを登録します。 まず以下を参考に AWS コンソールからECRにプライベー トリポジ トリを作成します（ リポジトリ 名はproductcatalogservice）。 https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/repository-create.html 次にイメージを作成しECRへpushするため、以下のコマンドを実行します。 AWS のアカウント番号は適宜置き換えてください。 リージョンは東京リージョンにしています。 # イメージ作成 docker build -t productcatalogservice . # タグ付けする docker tag productcatalogservice:latest < AWSのアカウント番号 > .dkr.ecr.ap-northeast-1.amazonaws.com/productcatalogservice:latest # dockerクライアントの認証 aws ecr get-login-password --region ap-northeast-1 | docker login --username AWS --password-stdin < AWSのアカウント番号 > .dkr.ecr.ap-northeast-1.amazonaws.com # push docker push < アカウント番号 > .dkr.ecr.ap-northeast-1.amazonaws.com/productcatalogservice:latest AWS CloudShellの準備 EKSへのデプロイには AWS CloudShellを利用します。 まずはkubectlを使えるようにします。 kubectlは kubernetes 用の コマンドライン ツールです。 マイクロサービスのデプロイに使用します。 curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/ 1 . 28 . 3 /2023-11-14/bin/linux/amd64/kubectl chmod +x ./kubectl mkdir -p $HOME /bin && cp ./kubectl $HOME /bin/kubectl && export PATH = $PATH : $HOME /bin echo ' export PATH=$PATH:$HOME/bin ' >> ~/.bashrc kubectl version --client 続いてeksctlを使えるようにします。 eksctlはEKS上で Kubernetes クラスタ ーを作成・管理するための コマンドライン ツールです。 curl --silent --location " https://github.com/weaveworks/eksctl/releases/latest/download/eksctl_ $( uname -s ) _amd64.tar.gz " | tar xz -C /tmp sudo mv /tmp/eksctl /usr/local/bin eksctl version AWS 上にEKS クラスタ ー/ノードグループを作成する 以下のコマンドで クラスタ ーを作成できます（10分ほどで完了します）。 name は onlineboutique 、 region は東京リージョンとしています。 eksctl create cluster --name onlineboutique --region ap-northeast-1 --without-nodegroup クラスタ ーの作成が完了したらノードグループを作成します（2分ほどで完了します）。 cluster は onlineboutique 、ノード数は4としています。 eksctl create nodegroup --cluster onlineboutique --region ap-northeast-1 --nodes 4 --nodes-min 4 --nodes-max 4 microservices-demoのデプロイ クラスタ ーが作成できたらいよいよデプロイです。 microservices-demoをクローンし、ECRへpushしたイメージを使うよう マニフェスト を修正します。 ★でproductcatalogserviceの image を以下のように修正してください。 修正前： gcr.io/ google -samples/microservices-demo/productcatalogservice:<バージョン> 修正後：<アカウント番号>.dkr.ecr.ap-northeast-1.amazonaws.com/productcatalogservice:latest その後、 kubectl apply でデプロイします。 # microservices-demoをクローン git clone https://github.com/GoogleCloudPlatform/microservices-demo.git # リポジトリへ移動 cd microservices-demo # 書き換え(★) vi ./release/kubernetes-manifests.yaml # デプロイ kubectl apply -f ./release/kubernetes-manifests.yaml サービスの一覧を確認するとfrontendにELBの DNS 名が割り当てられています。 kubectl get svc NAME TYPE CLUSTER-IP EXTERNAL-IP PORT ( S ) AGE adservice ClusterIP 10 . 100 . 8 . 99 < none > 9555 /TCP 2m34s cartservice ClusterIP 10 . 100 . 167 . 3 < none > 7070 /TCP 2m35s checkoutservice ClusterIP 10 . 100 . 155 . 33 < none > 5050 /TCP 2m35s currencyservice ClusterIP 10 . 100 . 81 . 172 < none > 7000 /TCP 2m34s emailservice ClusterIP 10 . 100 . 116 . 249 < none > 5000 /TCP 2m35s frontend ClusterIP 10 . 100 . 23 . 148 < none > 80 /TCP 2m35s frontend-external LoadBalancer 10 . 100 . 167 . 89 a0f6456281124412b8f095f94c6e242a-2020525330.ap-northeast-1.elb.amazonaws.com 80:31538/TCP 2m35s kubernetes ClusterIP 10 . 100 . 0 . 1 < none > 443 /TCP 17m paymentservice ClusterIP 10 . 100 . 154 . 183 < none > 50051 /TCP 2m35s productcatalogservice ClusterIP 10 . 100 . 20 . 37 < none > 3550 /TCP 2m35s recommendationservice ClusterIP 10 . 100 . 90 . 209 < none > 8080 /TCP 2m35s redis-cart ClusterIP 10 . 100 . 32 . 58 < none > 6379 /TCP 2m34s shippingservice ClusterIP 10 . 100 . 194 . 29 < none > 50051 /TCP 2m34s ブラウザでアクセスして画像のような画面が表示されれば成功です。 後始末 削除は以下の順でコマンドを実行します。 グループ名はマネジメントコンソールなどでご確認ください。 # podを削除 kubectl delete -f ./release/kubernetes-manifests.yaml # ノードグループを削除 eksctl delete nodegroup --cluster=onlineboutique --region ap-northeast-1 --name=<グループ名> --wait # クラスターを削除 eksctl delete cluster --name onlineboutique --region ap-northeast-1 --wait まとめ Google が提供しているmicroservices-demoの一部をRustに置き換えてEKSにデプロイしてみました。 tonicを用いることで簡単にRustで実装できました。 他のサービスもRustで置き換える場合、共通部分をライブラリクレートとして抜き出して各サービスで利用する（自動生成されたコードのモジュールを定義している部分など）、といったことも検討できそうです。 今回はRustを利用しましたが、gRPCが利用できれば他の言語でも可能ですのでご興味あればぜひお試しください。 デプロイ環境についてもKuberntes クラスタ ーであればどの環境でもデプロイ可能です。 microservices-demoの クイックスタート や 開発ガイド にGKEやローカルを利用する方法が載っていますので、こちらもぜひお試しください。 ここまでお読みいただきありがとうございました。 私たちは一緒に働いてくれる仲間を募集しています！ 募集職種一覧 執筆： @tada.keisuke 、レビュー： @takeda.hideyuki （ Shodo で執筆されました ）

こんにちは。金融ソリューション事業部の星野です。 本記事は 電通国際情報サービス Advent Calendar 2023 21日目の記事となります。 今回は、 IPA の システムアーキテクト 試験を若手エンジニアが受験することの意義について、受験体験と共にお話させて頂きます。 1. IPA システムアーキテクト試験(SA試験)とは 1.1 SA試験の概要 1.2. 試験内容 2. 私の受験勉強内容の概要 2.1. 私の前提知識・経験 2.2. 勉強した内容について 3. 若手エンジニアが受けて良かったこと 3.1. 若手エンジニアが直面する試験の壁 3.2. 若手鬼門の午後II 3.3. 若手が試験勉強を通して得られること 4. まとめ 1. IPA システムアーキテクト 試験(SA試験)とは 1.1 SA試験の概要 応用情報技術者試験 の上位である、「高度試験」などと呼ばれる区分に属する試験です。 同じ区分には データベーススペシャリスト 、 ネットワークスペシャリスト なども含まれます。 参考: IPA試験区分 IPAのSA試験概要ページ をご覧頂くと、試験で求められるスキルについて確認できますが、ざっくり言ってしまうと要件定義や設計といった工程のスキルが試される試験です。 1.2. 試験内容 試験の内容は以下4つで構成されており、試験日当日は上から実施されます。 午前I 選択式解答 AP試験の午前試験と分野、難易度共に同等の内容。 受験免除対象であったため（ 詳細はこちら ）、私は受けていません。 午前II 選択式解答 APの午前試験よりやや難しい内容が問われているはずですが、難易度は大きく変わらない感覚。 出題分野は以下のとおりで、午前Iと比べて技術系がやや多めの割合となる。 コンピュータシステム（コンピュータ構成要素、システム要素） 技術要素（DB、NW、セキュリティ） 開発技術（ システム開発 技術、ソフトウェア開発管理技術） システム戦略 午後I 記述式解答 APの午後試験と同形式 問題文に記載されているシステムや業務上の課題に対し、どのようにシステム設計すれば課題解決ができるかを問に沿って解答していく。 午後II 小論文 受験者の経験に基づき、問題文記載のお題に沿って、システム構築で工夫したことを述べる。 2. 私の受験勉強内容の概要 2.1. 私の前提知識・経験 以下のような前提知識・経験を持った状態で受験しました。 ご覧の通り、 下流 工程中心の経験となっており、SA試験の対象工程の経験は十分とは言えない状況です。 ISID 新卒4年目 経験してきた工程：プログラミング、UT、オンプレ-> クラウド 移行対応のアプリ関連作業内容策定・実施 バッチで動作するバックエンドシステムのコーディング/UT CI/CD実装 簡単な詳細設計 クラウド 移行、リージョン切替対応に伴うアプリ改修方針検討と作業（インフラ領域も多少含む） 簡単な 結合テスト 経験案件数：2つ 保有 資格 基本情報技術者試験 応用情報技術者試験 AWS ソリューションアーキテクト アソシエイト 2.2. 勉強した内容について 今回、合格するための勉強方法について説明する趣旨ではないため、簡単に記載します。 合否 1回目受験：午後IIがC評価（内容が不十分である、問題文の趣旨から逸脱している）で不合格 2回目受験：合格 この試験のための勉強時間 土日を隔週弱ペース 勉強した日は2,3h勉強 期間としては1回目受験4ヶ月, 2回目受験2ヶ月程 使用した参考書 システムアーキテクト 「専門知識+午後問題」の重点対策 システムアーキテクト 合格論文の書き方・事例集 3. 若手エンジニアが受けて良かったこと 3.1. 若手エンジニアが直面する試験の壁 私のような経験の浅いエンジニアはSA試験に当たって以下の壁にぶち当たります。 1. 要件定義・基本設計の経験が無い 2. 経験案件数が少なく午後IIの論述ネタがない 「1.」については、ひたすら午後Iの過去問演習を積むことが効果的です。 問題文に記載されている各課題を解消するに当たって、どのような設計にすべきであるかを導き出すことができる力を問題演習を通じて身に付ければ、試験に太刀打ちできると考えます。 知識という観点では、 応用情報技術者試験 相当の知識があれば十分で、プラスで必要な知識については過去問演習で足りると思っています。 「2.」が若手エンジニアにとって鬼門となります。 問題文を 過去問ページ でご覧いただくと分かると思うのですが、問題文記載のお題に沿ったシステム構築の経験について、アーキテクトとして工夫したことを小論文で述べなければなりません。 例として私が2回目受験した際の問題文を以下に記載します。 近年、企業においては競争優位の獲得や企業自身の存続のために、デジタルトランスフォーメーション(DX)を推進することが増えている。しかし、DXの推進に必要な情報が整備されていないなどの課題が原因で、推進が困難になる場合も多い。 そのため、 システムアーキテクト は、課題を解決してDXの推進を支援する必要がある。このような課題には例えば、次のようなものがある。 ＜中略：POS情報を活用したビジネスを可能にするDXについての例が問題文中に記載＞ 設問ア　あなたが携わったDXの推進では、どのような課題があったか。DXの目的と情報システムの概要を含め、800字以内で述べよ。 設問イ　設問アで述べた課題の解決のために、情報システムをどのように改善しようとしたか。解決できると考えた理由を含め、800字以上 1,600字以内で具体的に述べよ。 設問ウ　設問イで述べた情報システムの改善において、何のためにどのような工夫を検討したか。600字以上 1,200字以内で具体的に述べよ。 引用・抜粋：令和5年度 春期 システムアーキテクト 試験 午後II 問1 これを見て、「あ、あの案件のこと書けるぞ」と思う若手エンジニアは少ないと思います。 前述の通り、私は二度目の受験で合格しており、一度目の不合格要因は午後IIの小論文不合格でした。 評価ランクはCであり、問題文に沿った小論文ネタではなかったことが大きな要因であったと考えられます。 （細かいレビュー等は試験後に返ってこないので推測です） この点については、3.2.にて詳細を記載します。 3.2. 若手鬼門の午後II 前述の問題文を見ていただくと、案件を多く経験していない若手エンジニアにとって、自身の経験のみでお題に沿ったシステム構築の経験に基づく小論文を書くことはとても困難であるのはお分かり頂けると思います。 そこで以下のような学習で乗り越える必要があります。 1. 様々な案件事例と設計上の工夫点について学習 2. 自身の経験と1.の学習内容を問題文にあわせて変換する力を養う まず「1.」については、午後II対策用の小論文事例が多く掲載された参考書を通して学習するのがおすすめです。 内容を理解して大方の内容を頭にインプットし、疑似的にその案件に携わった状態を自分自身に作り出すイメージで学習することが効果的です。 注意したいのが丸暗記は良くないということです。 システム構築で生じるありがちな課題の理解とそれに対応する設計上の工夫について、内容をきちんと理解することで、参考書に出てこなかったような問題への対応が可能になります。 加えて、学習量の面も重要で、多くの事例のインプットが出来ていればそれだけ本番の問題への対応力もあがります。 次に「2.」についてです。 これは参考書ではなく、実際の過去問演習を通じて養う必要があります。 参考書通りの問題が本番に出題されることはほぼ有り得ません。 自身の経験と「1.」のインプット内容を基に、問題文にあわせてあたかもそのようなシステムを構築した経験があるかのように小論文を書く力が必要です。 これは過去問演習でしか鍛えられないものになります。 また 下流 工程のみの経験しかない若手でも「この課題について、こんな仕様の機能追加で解決した」という工夫点を論述するにあたり、自身の経験は十分使えるネタとなります。 過去問演習ではこの点も意識すると、試験本番への対応力がグッと増すでしょう。 3.3. 若手が試験勉強を通して得られること 既に上記に記載したことの裏返しではありますが、試験勉強を通して得られることは以下です。 1. 業務上・システムの課題を要件定義・設計に反映させる力 2. 将来上流工程に携わる前の予行練習 3. 下流 工程担当としての視座の向上 「1.」についてはこの試験で問われる力そのものの向上と言えます。 この試験を通して課題 => 要件定義・設計の考え方を午後試験を通して身に付けることができます。 若手エンジニアは 下流 工程中心で業務する人も多く、そのような人にとってはこの試験は難しい部類に入ると思います。 逆にとらえれば業務上得られない力をこの試験を通して養うことができることは大きいメリットだと言えます。 その点で「2.」のように、将来、要件定義・設計に携わることを考えているエンジニアにとっては、この試験は予行練習の役割を果たしてくれるといえます。 もちろん、実務を通したト レーニン グに比べれば試験勉強のト レーニン グ力は劣ります。 しかし、ゼロから要件定義・設計に携わるよりも、この試験を受けた後に携わるほうがその後の成長スピードは良いのではないかと考えています。 また、 下流 工程中心で今後も働き続ける人にとってもメリットはあると考えられます。 上流工程の人の考え方を学ぶことで、上流工程担当者とのコミュニケーションも取りやすくなると言えます。 また、試験を通じて「業務課題理解」の大切さを学ぶことができ、日ごろのコーディングにおいても、その機能を使う人の立ち位置に立った適切な仕様を考えるにあたり生きるものがあると考えます。 4. まとめ システムアーキテクト 試験の受験は、経験が比較的浅い若手エンジニアにとっては難易度が高いものと言えます。 ただその対価として得られるものとしてはそれなりのものがあり、業務上・システムの課題を設計に反映させる力を養うことができると言えます。 これは私の個人的な意見ですが、要件定義・設計の工程はシステムの良し悪しを大きく左右するポイントではないかと考えており、この試験を通して要件定義・設計に必要な考え方を学ぶ意義は大きいとも考えます。 仮に受験者が プログラマー の役割であったとしても、設計の考え方を身に付けることで業務に寄り添った仕様のコーディングに役立てることができると考えます。 また、将来上流工程に携わりたい人にとっては特におすすめで、経験ゼロでそのロールを担う際に試験で養った考え方はスタート ダッシュ に効果を発揮すると考えられます。 資格試験はあえて背伸びして受験することで、自分の経験値にプラスアルファできることが旨みであると考えています。 システムアーキテクト としての経験がない方こそ、この試験の受験を強くおススメします。 私たちは一緒に働いてくれる仲間を募集しています！ 電通総研中途採用ページ 電通総研新卒採用ページ 執筆： @hoshino.shogo 、レビュー： @fukutake.hiroaki （ Shodo で執筆されました ）

こんにちは。金融ソリューション事業部の星野です。 本記事は 電通国際情報サービス Advent Calendar 2023 21日目の記事となります。 今回は、 IPA の システムアーキテクト 試験を若手エンジニアが受験することの意義について、受験体験と共にお話させて頂きます。 1. IPA システムアーキテクト試験(SA試験)とは 1.1 SA試験の概要 1.2. 試験内容 2. 私の受験勉強内容の概要 2.1. 私の前提知識・経験 2.2. 勉強した内容について 3. 若手エンジニアが受けて良かったこと 3.1. 若手エンジニアが直面する試験の壁 3.2. 若手鬼門の午後II 3.3. 若手が試験勉強を通して得られること 4. まとめ 1. IPA システムアーキテクト 試験(SA試験)とは 1.1 SA試験の概要 応用情報技術者試験 の上位である、「高度試験」などと呼ばれる区分に属する試験です。 同じ区分には データベーススペシャリスト 、 ネットワークスペシャリスト なども含まれます。 参考: IPA試験区分 IPAのSA試験概要ページ をご覧頂くと、試験で求められるスキルについて確認できますが、ざっくり言ってしまうと要件定義や設計といった工程のスキルが試される試験です。 1.2. 試験内容 試験の内容は以下4つで構成されており、試験日当日は上から実施されます。 午前I 選択式解答 AP試験の午前試験と分野、難易度共に同等の内容。 受験免除対象であったため（ 詳細はこちら ）、私は受けていません。 午前II 選択式解答 APの午前試験よりやや難しい内容が問われているはずですが、難易度は大きく変わらない感覚。 出題分野は以下のとおりで、午前Iと比べて技術系がやや多めの割合となる。 コンピュータシステム（コンピュータ構成要素、システム要素） 技術要素（DB、NW、セキュリティ） 開発技術（ システム開発 技術、ソフトウェア開発管理技術） システム戦略 午後I 記述式解答 APの午後試験と同形式 問題文に記載されているシステムや業務上の課題に対し、どのようにシステム設計すれば課題解決ができるかを問に沿って解答していく。 午後II 小論文 受験者の経験に基づき、問題文記載のお題に沿って、システム構築で工夫したことを述べる。 2. 私の受験勉強内容の概要 2.1. 私の前提知識・経験 以下のような前提知識・経験を持った状態で受験しました。 ご覧の通り、 下流 工程中心の経験となっており、SA試験の対象工程の経験は十分とは言えない状況です。 ISID 新卒4年目 経験してきた工程：プログラミング、UT、オンプレ-> クラウド 移行対応のアプリ関連作業内容策定・実施 バッチで動作するバックエンドシステムのコーディング/UT CI/CD実装 簡単な詳細設計 クラウド 移行、リージョン切替対応に伴うアプリ改修方針検討と作業（インフラ領域も多少含む） 簡単な 結合テスト 経験案件数：2つ 保有 資格 基本情報技術者試験 応用情報技術者試験 AWS ソリューションアーキテクト アソシエイト 2.2. 勉強した内容について 今回、合格するための勉強方法について説明する趣旨ではないため、簡単に記載します。 合否 1回目受験：午後IIがC評価（内容が不十分である、問題文の趣旨から逸脱している）で不合格 2回目受験：合格 この試験のための勉強時間 土日を隔週弱ペース 勉強した日は2,3h勉強 期間としては1回目受験4ヶ月, 2回目受験2ヶ月程 使用した参考書 システムアーキテクト 「専門知識+午後問題」の重点対策 システムアーキテクト 合格論文の書き方・事例集 3. 若手エンジニアが受けて良かったこと 3.1. 若手エンジニアが直面する試験の壁 私のような経験の浅いエンジニアはSA試験に当たって以下の壁にぶち当たります。 1. 要件定義・基本設計の経験が無い 2. 経験案件数が少なく午後IIの論述ネタがない 「1.」については、ひたすら午後Iの過去問演習を積むことが効果的です。 問題文に記載されている各課題を解消するに当たって、どのような設計にすべきであるかを導き出すことができる力を問題演習を通じて身に付ければ、試験に太刀打ちできると考えます。 知識という観点では、 応用情報技術者試験 相当の知識があれば十分で、プラスで必要な知識については過去問演習で足りると思っています。 「2.」が若手エンジニアにとって鬼門となります。 問題文を 過去問ページ でご覧いただくと分かると思うのですが、問題文記載のお題に沿ったシステム構築の経験について、アーキテクトとして工夫したことを小論文で述べなければなりません。 例として私が2回目受験した際の問題文を以下に記載します。 近年、企業においては競争優位の獲得や企業自身の存続のために、デジタルトランスフォーメーション(DX)を推進することが増えている。しかし、DXの推進に必要な情報が整備されていないなどの課題が原因で、推進が困難になる場合も多い。 そのため、 システムアーキテクト は、課題を解決してDXの推進を支援する必要がある。このような課題には例えば、次のようなものがある。 ＜中略：POS情報を活用したビジネスを可能にするDXについての例が問題文中に記載＞ 設問ア　あなたが携わったDXの推進では、どのような課題があったか。DXの目的と情報システムの概要を含め、800字以内で述べよ。 設問イ　設問アで述べた課題の解決のために、情報システムをどのように改善しようとしたか。解決できると考えた理由を含め、800字以上 1,600字以内で具体的に述べよ。 設問ウ　設問イで述べた情報システムの改善において、何のためにどのような工夫を検討したか。600字以上 1,200字以内で具体的に述べよ。 引用・抜粋：令和5年度 春期 システムアーキテクト 試験 午後II 問1 これを見て、「あ、あの案件のこと書けるぞ」と思う若手エンジニアは少ないと思います。 前述の通り、私は二度目の受験で合格しており、一度目の不合格要因は午後IIの小論文不合格でした。 評価ランクはCであり、問題文に沿った小論文ネタではなかったことが大きな要因であったと考えられます。 （細かいレビュー等は試験後に返ってこないので推測です） この点については、3.2.にて詳細を記載します。 3.2. 若手鬼門の午後II 前述の問題文を見ていただくと、案件を多く経験していない若手エンジニアにとって、自身の経験のみでお題に沿ったシステム構築の経験に基づく小論文を書くことはとても困難であるのはお分かり頂けると思います。 そこで以下のような学習で乗り越える必要があります。 1. 様々な案件事例と設計上の工夫点について学習 2. 自身の経験と1.の学習内容を問題文にあわせて変換する力を養う まず「1.」については、午後II対策用の小論文事例が多く掲載された参考書を通して学習するのがおすすめです。 内容を理解して大方の内容を頭にインプットし、疑似的にその案件に携わった状態を自分自身に作り出すイメージで学習することが効果的です。 注意したいのが丸暗記は良くないということです。 システム構築で生じるありがちな課題の理解とそれに対応する設計上の工夫について、内容をきちんと理解することで、参考書に出てこなかったような問題への対応が可能になります。 加えて、学習量の面も重要で、多くの事例のインプットが出来ていればそれだけ本番の問題への対応力もあがります。 次に「2.」についてです。 これは参考書ではなく、実際の過去問演習を通じて養う必要があります。 参考書通りの問題が本番に出題されることはほぼ有り得ません。 自身の経験と「1.」のインプット内容を基に、問題文にあわせてあたかもそのようなシステムを構築した経験があるかのように小論文を書く力が必要です。 これは過去問演習でしか鍛えられないものになります。 また 下流 工程のみの経験しかない若手でも「この課題について、こんな仕様の機能追加で解決した」という工夫点を論述するにあたり、自身の経験は十分使えるネタとなります。 過去問演習ではこの点も意識すると、試験本番への対応力がグッと増すでしょう。 3.3. 若手が試験勉強を通して得られること 既に上記に記載したことの裏返しではありますが、試験勉強を通して得られることは以下です。 1. 業務上・システムの課題を要件定義・設計に反映させる力 2. 将来上流工程に携わる前の予行練習 3. 下流 工程担当としての視座の向上 「1.」についてはこの試験で問われる力そのものの向上と言えます。 この試験を通して課題 => 要件定義・設計の考え方を午後試験を通して身に付けることができます。 若手エンジニアは 下流 工程中心で業務する人も多く、そのような人にとってはこの試験は難しい部類に入ると思います。 逆にとらえれば業務上得られない力をこの試験を通して養うことができることは大きいメリットだと言えます。 その点で「2.」のように、将来、要件定義・設計に携わることを考えているエンジニアにとっては、この試験は予行練習の役割を果たしてくれるといえます。 もちろん、実務を通したト レーニン グに比べれば試験勉強のト レーニン グ力は劣ります。 しかし、ゼロから要件定義・設計に携わるよりも、この試験を受けた後に携わるほうがその後の成長スピードは良いのではないかと考えています。 また、 下流 工程中心で今後も働き続ける人にとってもメリットはあると考えられます。 上流工程の人の考え方を学ぶことで、上流工程担当者とのコミュニケーションも取りやすくなると言えます。 また、試験を通じて「業務課題理解」の大切さを学ぶことができ、日ごろのコーディングにおいても、その機能を使う人の立ち位置に立った適切な仕様を考えるにあたり生きるものがあると考えます。 4. まとめ システムアーキテクト 試験の受験は、経験が比較的浅い若手エンジニアにとっては難易度が高いものと言えます。 ただその対価として得られるものとしてはそれなりのものがあり、業務上・システムの課題を設計に反映させる力を養うことができると言えます。 これは私の個人的な意見ですが、要件定義・設計の工程はシステムの良し悪しを大きく左右するポイントではないかと考えており、この試験を通して要件定義・設計に必要な考え方を学ぶ意義は大きいとも考えます。 仮に受験者が プログラマー の役割であったとしても、設計の考え方を身に付けることで業務に寄り添った仕様のコーディングに役立てることができると考えます。 また、将来上流工程に携わりたい人にとっては特におすすめで、経験ゼロでそのロールを担う際に試験で養った考え方はスタート ダッシュ に効果を発揮すると考えられます。 資格試験はあえて背伸びして受験することで、自分の経験値にプラスアルファできることが旨みであると考えています。 システムアーキテクト としての経験がない方こそ、この試験の受験を強くおススメします。 執筆： @hoshino.shogo 、レビュー： @fukutake.hiroaki （ Shodo で執筆されました ）

こんにちは。 XI 本部 AI トランスフォーメンションセンター 所属の後藤です。 本記事は「 電通国際情報サービス Advent Calendar 2023 」の12月 20日 （水）の回の記事になります。 本記事では、つい先日利用が可能となったAzureの「GPT-4 Turbo with Vision 」の紹介と使い方の解説をします。 使ってみた所感として、今回のAzure版GPT-4 Turbo with Vision は単なるOpenAIの機能の追随に留まらず、Azure固有の追加機能である「 Vision enhancement」が印象的でした。特に、画像や動画の扱いにおいて、OpenAIのモデルよりも応用範囲が大きく広がっていることが感じられました。 OpenAIのGPT-4Vに関してはTechBlogの以下の記事でも紹介されていますので、ぜひご参照ください。 参考： https://tech.isid.co.jp/entry/explaination_gpt4v 使用準備 Azure OpenAI Studio からの利用 Azure AI Visionを使ったVision enhancementを有効にする REST APIから使ってみる Azure とOpenAI のGPT-4 Turbo with Visionの違い まとめ 使用準備 現在、GPT-4 Turbo with Vision の利用可能なリージョンはAustralia East、Sweden Central、Switzerland North、West USの4つです。 上記4つのリージョンのいずれかにAzure OpenAI Serviceのリソースを作成します。 価格は トーク ンベースの計算になり、基本的にはOpenAI のGPT-4 Turbo with Vision と計算方法は一緒ですが、細部は異なるようです。 モデル コンテキスト 入力（1,000 トーク ンあたり） 出力（1,000 トーク ンあたり） GPT-4 Turbo with Vision 128k $0.01 $0.03 GPT-4 32K $0.06 $0.12 参考までにGPT-4の価格を載せましたが、コンテキスト長も増えて料金が1/6に下がったのは非常に嬉しいですね。 参考： GPT-4 Turbo with Vision is now available on Azure OpenAI Service! 画像を扱う際には低解像度と高解像度の2つのモードがあり、設定はlow, high, autoの3つがありデフォルト設定ではautoになっています。低解像度の場合は画像サイズによらず固定で85 トーク ンがプラスされます。高解像度の場合は画像を拡大縮小して512 ピクセル の正方形タイルに切り出してその数かける170 トーク ン＋85 トーク ンで計算されます。 以下はAzureの記事内で紹介されていた計算例です。 例：2048 x 4096画像（高詳細） 最初に1024 x 2048にサイズ変更して、2048の正方形に収める。 さらに768 x 1536にサイズ変更。 カバーするために6つの512pxタイルが必要。 合計コストは170 × 6 + 85 = 1105 トーク ンです。 参考： What is Azure OpenAI Service? - Azure AI services Detail parameter settings in image processing: Low, High, Auto Azure OpenAI Studio からの利用 以下のようにモデルのデプロイができたら早速 Azure OpenAI Studioのプレイグラウンドから利用してみます。 デプロイしたgpt-4の vision - preview モデルを選択して簡単な画像のプロンプトを入力してみます。 画像を認識できない旨の内容が返ってきます。次は英語で書いてみます。 レスポンスから画像内容をしっかり理解していることがわかります。以下はレスポンスの翻訳内容です。 この画像は、青空とわずかな白い雲の下にある鮮やかなひまわり畑を映しています。ひまわりは大きく、明るい黄色の花びらと濃い茶色の中心を持っています。満開で、太陽に向かって上を向いているように見えます。全体的な印象は、晴れやかで陽気な夏の日のものです。 色々試しましたが、日本語だとプレイグラウンドではうまく動かないことが多いです。後述する REST API なら日本語でも安定して動作します。 Azure AI Vision を使った Vision enhancementを有効にする Azure のGPT-4 Turbo with Vision では本家OpenAIにはない特徴として、Azure の Computer Vision （※ portal 上のリソース名）を組み合わせることができます。 この組み合わせは非常に強力な機能で、例えばOpenAIのGPT-4では苦手とされていた画像関連のタスクを、Azure AI Vision と組み合わせることで効果的に処理することが可能になります 例えば、本家のGPT-4では日本語の OCR 精度はかなり低くとても実利用できるものではなかったのですが、 Vision enhancementを有効にすると日本語に関しても正確に読み取ってくれます。 Vision enhancementを有効にしてできることは以下のとおりです。 OCR 物体のタグ付けと バウンディ ングボックスの表示 動画入力 Azure AI Searchと組み合わせた画像検索 ※ こちらは本記事では紹介しません 参考： GPT-4 Turbo with Vision is now available on Azure OpenAI Service! Vision enhancementを有効化するにはAzure のGPT-4 Turbo with Vision と同じリージョンにAzure Computer Vision のリソースを作成します。価格はS1にします（価格がS1の場合のみ組み合わせが可能）。 プレイグラウンドでは右側のパネルよりビジョンのトグルを有効化し、先ほどのリソースを選択するとチャットセッションで Vision enhancementが有効化されます。 以下はDALL-Eで作成した動物が複数いる画像の詳細情報を要求した時のレスポンスです。 入力画像に バウンディ ングボックスとタグが付与され、出力されたテキストの内の単語とリンクするようになっています。かなり正確に位置を検出できていることがわかります。 動画の入力もやってみました。グーチョキパーを連続で出す動画です。 レスポンスの日本語訳です。 動画は、キーボードの上で人の手がさまざまな ジェスチャー を行う一連のシーンを映しているようです。 ジェスチャー には、手が平らに置かれている様子、 ピースサイン 、開いた手、握りこぶし、そしてタイピングをしている手があり、この一連が繰り返されています。この動画は、キーボードを使用する際に行うかもしれない様々な手の位置とアクションを示しており、恐らく指導目的や ユーザーインターフェース のデモンストレーションのためのものでしょう。 キーボードの上で行ったのでそれが誤解を与えてしまっていますが、行った ジェスチャー は正しく読み取れています。 REST API から使ってみる 現時点では API から使用した方が安定した回答を得られます。 こちらは日本語のプロンプトでも動作しました。 通常のGPT-4 Turbo with Vision のリク エス トボディは以下のような形になります。画像部分はURLか base64 エンコーディング された形式になります。 { " messages ": [ { " role ": " system ", " content ": " あなたは役に立つAIアシスタントです " } , { " role ": " user ", " content ": [ " 画像を説明して: ", { " image ": encoded_string } ] } ] , " max_tokens ": 300 , " stream ": False } 続いて Vision enhancementを使う場合です。 Vision enhancementを使う場合のエンドポイントはただのGPT-4 Turbo with Vision とは異なるので注意です。 通常： https://{RESOURCE_NAME}.openai.azure.com/openai/deployments/{DEPLOYMENT_NAME}/chat/completions?api-version=2023-12-01-preview 拡張機能 ： https://{RESOURCE_NAME}.openai.azure.com/openai/deployments/{DEPLOYMENT_NAME}/extensions/chat/completions?api-version=2023-12-01-preview 参考： How to use the GPT-4 Turbo with Vision model - Azure OpenAI Service 以下が Vision enhancementのリク エス トボディです。 enhancements と dataSources という項目が新たに加わります。 { " enhancements ": { " ocr ": { " enabled ": True } , " grounding ": { " enabled ": True } } , " dataSources ": [ { " type ": " AzureComputerVision ", " parameters ": { " endpoint ": ai_vision_endpoint, " key ": ai_vision_key } }] , " messages ": [ { " role ": " system ", " content ": " あなたは役に立つAIアシスタントです。回答は日本語でお願いします。 " } , { " role ": " user ", " content ": [ " 画像内の文字を書き起こして: ", { " image ": encoded_string } ] } ] , " max_tokens ": 500 , " stream ": False } 試しに手書き文字の書き起こしをやってみました。 入力画像は以下のような日本語の手書き文字です。 以下のような結果が返ってきました。（レスポンスの一部抜粋） 'model': 'gpt-4', 'choices': [{'finish_details': {'type': 'stop', 'stop': '<|fim_suffix|>'}, 'index': 0, 'message': {'role': 'assistant', 'content': '画像内の文字は「 電通国際情報サービス 」となっています。'}}], 'usage': {'prompt_tokens': 925, 'completion_tokens': 24, 'total_tokens': 949}} 正確に読み取れていることがわかります。ただ トーク ンの消費量は多くなってしまいますね。 ちなみに本家OpenAIのChatGPTに同様の手書き文字を読み取らせると 画像内の文字は「高温注意報」と書かれています。 というレスポンスが返ってくるのでAzure の Vision enhancementの有用性がわかります。 Azure とOpenAI のGPT-4 Turbo with Vision の違い 大きな違いはやはりAzure AI Vision を使用した Vision enhancementの有無です。 以下のスライドは同僚の太田さんが動画像マルチモーダルLLMの研究動向について調査したものです。その中でGPT-4Vで困難なタスクの例が論文を元に紹介されています。 参考： マルチモーダルLLMの応用動向の論文調査 調査の中で難しいとされていた「日本語 OCR 」、「画像内の物体位置座標の生成」に関してはGPT-4 Turbo with Vision とAzure独自の Vision enhancementの組み合わせにより実現できました。また、OpenAIの方では動画入力はできませんが、Azureでは可能になります。 まとめ 本記事では、Azure上で新たに利用可能となった「GPT-4 Turbo with Vision 」の特徴とその使い方を紹介しました。また、Azureが提供する独自の Vision enhancementとの組み合わせ方法とその使い方についても解説しました。 今回特に注目すべき点は、AzureがOpenAIの基本的な機能に加えて、独自のカスタマイズや 拡張機能 を提供したことです。これにより、ユーザーはOpenAIのGPT-4を利用するだけでなく、自分たちのニーズに合わせてより柔軟にシステムをカスタマイズできます。 また記事中でも言及しましたがAzure OpenAI Studioのプレイグラウンドはまだあまり安定していない印象をうけました。英語でプロンプトを作成したとしても、画像の内容を一回で返答してくれないことや、 Vision enhancementがトリガーされないことが多々ありました。 もし現時点でAzureのGPT-4 Turbo with Vision の機能を一通り試すなら REST API から試すのがおすすめです。 本記事の内容が何かの参考になれば幸いです。 最後に私が所属するAIトランスフォーメーションセンターでもAIに関するコラムを多数記載しておりますのでそちらも是非ご参照ください。 参考： AIトランスフォーメーションセンターコラム 執筆： @goto.yuki 、レビュー： @yamada.y （ Shodo で執筆されました ）

こんにちは。 XI 本部 AI トランスフォーメンションセンター 所属の後藤です。 本記事は「 電通国際情報サービス Advent Calendar 2023 」の12月 20日 （水）の回の記事になります。 本記事では、つい先日利用が可能となったAzureの「GPT-4 Turbo with Vision 」の紹介と使い方の解説をします。 使ってみた所感として、今回のAzure版GPT-4 Turbo with Vision は単なるOpenAIの機能の追随に留まらず、Azure固有の追加機能である「 Vision enhancement」が印象的でした。特に、画像や動画の扱いにおいて、OpenAIのモデルよりも応用範囲が大きく広がっていることが感じられました。 OpenAIのGPT-4Vに関してはTechBlogの以下の記事でも紹介されていますので、ぜひご参照ください。 参考： https://tech.isid.co.jp/entry/explaination_gpt4v 使用準備 Azure OpenAI Studio からの利用 Azure AI Visionを使ったVision enhancementを有効にする REST APIから使ってみる Azure とOpenAI のGPT-4 Turbo with Visionの違い まとめ 使用準備 現在、GPT-4 Turbo with Vision の利用可能なリージョンはAustralia East、Sweden Central、Switzerland North、West USの4つです。 上記4つのリージョンのいずれかにAzure OpenAI Serviceのリソースを作成します。 価格は トーク ンベースの計算になり、基本的にはOpenAI のGPT-4 Turbo with Vision と計算方法は一緒ですが、細部は異なるようです。 モデル コンテキスト 入力（1,000 トーク ンあたり） 出力（1,000 トーク ンあたり） GPT-4 Turbo with Vision 128k $0.01 $0.03 GPT-4 32K $0.06 $0.12 参考までにGPT-4の価格を載せましたが、コンテキスト長も増えて料金が1/6に下がったのは非常に嬉しいですね。 参考： GPT-4 Turbo with Vision is now available on Azure OpenAI Service! 画像を扱う際には低解像度と高解像度の2つのモードがあり、設定はlow, high, autoの3つがありデフォルト設定ではautoになっています。低解像度の場合は画像サイズによらず固定で85 トーク ンがプラスされます。高解像度の場合は画像を拡大縮小して512 ピクセル の正方形タイルに切り出してその数かける170 トーク ン＋85 トーク ンで計算されます。 以下はAzureの記事内で紹介されていた計算例です。 例：2048 x 4096画像（高詳細） 最初に1024 x 2048にサイズ変更して、2048の正方形に収める。 さらに768 x 1536にサイズ変更。 カバーするために6つの512pxタイルが必要。 合計コストは170 × 6 + 85 = 1105 トーク ンです。 参考： What is Azure OpenAI Service? - Azure AI services Detail parameter settings in image processing: Low, High, Auto Azure OpenAI Studio からの利用 以下のようにモデルのデプロイができたら早速 Azure OpenAI Studioのプレイグラウンドから利用してみます。 デプロイしたgpt-4の vision - preview モデルを選択して簡単な画像のプロンプトを入力してみます。 画像を認識できない旨の内容が返ってきます。次は英語で書いてみます。 レスポンスから画像内容をしっかり理解していることがわかります。以下はレスポンスの翻訳内容です。 この画像は、青空とわずかな白い雲の下にある鮮やかなひまわり畑を映しています。ひまわりは大きく、明るい黄色の花びらと濃い茶色の中心を持っています。満開で、太陽に向かって上を向いているように見えます。全体的な印象は、晴れやかで陽気な夏の日のものです。 色々試しましたが、日本語だとプレイグラウンドではうまく動かないことが多いです。後述する REST API なら日本語でも安定して動作します。 Azure AI Vision を使った Vision enhancementを有効にする Azure のGPT-4 Turbo with Vision では本家OpenAIにはない特徴として、Azure の Computer Vision （※ portal 上のリソース名）を組み合わせることができます。 この組み合わせは非常に強力な機能で、例えばOpenAIのGPT-4では苦手とされていた画像関連のタスクを、Azure AI Vision と組み合わせることで効果的に処理することが可能になります 例えば、本家のGPT-4では日本語の OCR 精度はかなり低くとても実利用できるものではなかったのですが、 Vision enhancementを有効にすると日本語に関しても正確に読み取ってくれます。 Vision enhancementを有効にしてできることは以下のとおりです。 OCR 物体のタグ付けと バウンディ ングボックスの表示 動画入力 Azure AI Searchと組み合わせた画像検索 ※ こちらは本記事では紹介しません 参考： GPT-4 Turbo with Vision is now available on Azure OpenAI Service! Vision enhancementを有効化するにはAzure のGPT-4 Turbo with Vision と同じリージョンにAzure Computer Vision のリソースを作成します。価格はS1にします（価格がS1の場合のみ組み合わせが可能）。 プレイグラウンドでは右側のパネルよりビジョンのトグルを有効化し、先ほどのリソースを選択するとチャットセッションで Vision enhancementが有効化されます。 以下はDALL-Eで作成した動物が複数いる画像の詳細情報を要求した時のレスポンスです。 入力画像に バウンディ ングボックスとタグが付与され、出力されたテキストの内の単語とリンクするようになっています。かなり正確に位置を検出できていることがわかります。 動画の入力もやってみました。グーチョキパーを連続で出す動画です。 レスポンスの日本語訳です。 動画は、キーボードの上で人の手がさまざまな ジェスチャー を行う一連のシーンを映しているようです。 ジェスチャー には、手が平らに置かれている様子、 ピースサイン 、開いた手、握りこぶし、そしてタイピングをしている手があり、この一連が繰り返されています。この動画は、キーボードを使用する際に行うかもしれない様々な手の位置とアクションを示しており、恐らく指導目的や ユーザーインターフェース のデモンストレーションのためのものでしょう。 キーボードの上で行ったのでそれが誤解を与えてしまっていますが、行った ジェスチャー は正しく読み取れています。 REST API から使ってみる 現時点では API から使用した方が安定した回答を得られます。 こちらは日本語のプロンプトでも動作しました。 通常のGPT-4 Turbo with Vision のリク エス トボディは以下のような形になります。画像部分はURLか base64 エンコーディング された形式になります。 { " messages ": [ { " role ": " system ", " content ": " あなたは役に立つAIアシスタントです " } , { " role ": " user ", " content ": [ " 画像を説明して: ", { " image ": encoded_string } ] } ] , " max_tokens ": 300 , " stream ": False } 続いて Vision enhancementを使う場合です。 Vision enhancementを使う場合のエンドポイントはただのGPT-4 Turbo with Vision とは異なるので注意です。 通常： https://{RESOURCE_NAME}.openai.azure.com/openai/deployments/{DEPLOYMENT_NAME}/chat/completions?api-version=2023-12-01-preview 拡張機能 ： https://{RESOURCE_NAME}.openai.azure.com/openai/deployments/{DEPLOYMENT_NAME}/extensions/chat/completions?api-version=2023-12-01-preview 参考： How to use the GPT-4 Turbo with Vision model - Azure OpenAI Service 以下が Vision enhancementのリク エス トボディです。 enhancements と dataSources という項目が新たに加わります。 { " enhancements ": { " ocr ": { " enabled ": True } , " grounding ": { " enabled ": True } } , " dataSources ": [ { " type ": " AzureComputerVision ", " parameters ": { " endpoint ": ai_vision_endpoint, " key ": ai_vision_key } }] , " messages ": [ { " role ": " system ", " content ": " あなたは役に立つAIアシスタントです。回答は日本語でお願いします。 " } , { " role ": " user ", " content ": [ " 画像内の文字を書き起こして: ", { " image ": encoded_string } ] } ] , " max_tokens ": 500 , " stream ": False } 試しに手書き文字の書き起こしをやってみました。 入力画像は以下のような日本語の手書き文字です。 以下のような結果が返ってきました。（レスポンスの一部抜粋） 'model': 'gpt-4', 'choices': [{'finish_details': {'type': 'stop', 'stop': '<|fim_suffix|>'}, 'index': 0, 'message': {'role': 'assistant', 'content': '画像内の文字は「 電通国際情報サービス 」となっています。'}}], 'usage': {'prompt_tokens': 925, 'completion_tokens': 24, 'total_tokens': 949}} 正確に読み取れていることがわかります。ただ トーク ンの消費量は多くなってしまいますね。 ちなみに本家OpenAIのChatGPTに同様の手書き文字を読み取らせると 画像内の文字は「高温注意報」と書かれています。 というレスポンスが返ってくるのでAzure の Vision enhancementの有用性がわかります。 Azure とOpenAI のGPT-4 Turbo with Vision の違い 大きな違いはやはりAzure AI Vision を使用した Vision enhancementの有無です。 以下のスライドは同僚の太田さんが動画像マルチモーダルLLMの研究動向について調査したものです。その中でGPT-4Vで困難なタスクの例が論文を元に紹介されています。 参考： マルチモーダルLLMの応用動向の論文調査 調査の中で難しいとされていた「日本語 OCR 」、「画像内の物体位置座標の生成」に関してはGPT-4 Turbo with Vision とAzure独自の Vision enhancementの組み合わせにより実現できました。また、OpenAIの方では動画入力はできませんが、Azureでは可能になります。 まとめ 本記事では、Azure上で新たに利用可能となった「GPT-4 Turbo with Vision 」の特徴とその使い方を紹介しました。また、Azureが提供する独自の Vision enhancementとの組み合わせ方法とその使い方についても解説しました。 今回特に注目すべき点は、AzureがOpenAIの基本的な機能に加えて、独自のカスタマイズや 拡張機能 を提供したことです。これにより、ユーザーはOpenAIのGPT-4を利用するだけでなく、自分たちのニーズに合わせてより柔軟にシステムをカスタマイズできます。 また記事中でも言及しましたがAzure OpenAI Studioのプレイグラウンドはまだあまり安定していない印象をうけました。英語でプロンプトを作成したとしても、画像の内容を一回で返答してくれないことや、 Vision enhancementがトリガーされないことが多々ありました。 もし現時点でAzureのGPT-4 Turbo with Vision の機能を一通り試すなら REST API から試すのがおすすめです。 本記事の内容が何かの参考になれば幸いです。 最後に私が所属するAIトランスフォーメーションセンターでもAIに関するコラムを多数記載しておりますのでそちらも是非ご参照ください。 参考： AIトランスフォーメーションセンターコラム 執筆： @goto.yuki 、レビュー： @yamada.y （ Shodo で執筆されました ）

こんにちは。XI 本部 AIトランスフォーメーションセンター 所属の山田です。 本記事は「 電通国際情報サービス Advent Calendar 2023 」の12月19日（火）の回の記事になります。 私たちのチームでは、データベースAzure CosmosDB for MongoDB (RU) を採用したアプリケーション開発を行っています。 開発を進める中でつまづいたり失敗も多く「使う前に知っていれば苦労しなかったのに…」と思うことが何度かありました。 そこで本記事では「失敗から学ぶ Azure Cosmos DB for MongoDB (RU) の歩き方」と題して、それらの内容を紹介したいと思います。 前提 Azure CosmosDB for MongoDB (RU) とは？ Azure CosmosDB の NoSQL API について知っておこう Azure CosmosDB の公式ドキュメントの読み方について知っておこう サーバレスとプロビジョニングされたスループットの違いを把握しておこう サーバレス プロビジョニングされたスループット RU/s の制限はデータベース単位とコレクション単位が存在することを知っておこう サポートされていない命令や制限があることを知っておこう Azure CosmosDB for MongoDB の拡張コマンドについて理解しておこう バックアップポリシーを慎重に検討しよう O/Rマッパーは障壁となる場合があることを理解しておこう シャーディングによるRUの制限および容量の制限を知っておこう コレクション設計は慎重にしておこう 診断設定とフルテキストクエリは有効にしておこう $explain コマンドについて知っておこう まとめ 前提 Azure CosmosDB for MongoDB (RU) とは？ 前提の話になりますが、Azure CosmosDB は複数の API をサポートしているフルマネージドのデータベースサービスです。 Azure Cosmos DB for MongoDB はAzure Cosmos DBの API のひとつで、Azure Cosmos DBをMongoDBデータベースのように操作するものになります。 このAzure Cosmos DB for MongoDBには「RUベースの アーキテクチャ 」と「vCoreベースの アーキテクチャ 」の2種類が存在しており、本記事では「RUベースの アーキテクチャ 」を扱います。本記事ではこちらをAzure Cosmos DB for MongoDB (RU) と表記しています。 以下からは、本題である Azure Cosmos DB for MongoDB (RU) をプロダクションで使うにあたって、知っておけばよかったことや注意点などを経験をもとに記載しています。 Azure CosmosDB の NoSQL API について知っておこう Azure Cosmos DB for MongoDB (RU) について扱うと述べたのに、なぜ NoSQL API の話が出てくるのか疑問に思われた方もいるかもしれません。 しかしこれには事情があります。NoSQL API は Azure ComsosDBのネイティブ実装であり、Azure CosmosDBの特徴的な機能は、NoSQL API をベースに実装されています。 Azure Cosmos DB for MongoDB (RU) は Azure CosmosDB for NoSQL を MongoDB の API を通して操作できるラッパーのようなものであり、Azure CosmosDB for NoSQL について知っておくことで仕様や制限についてより理解できます。 そのため、Azure CosmosDB for NoSQL のドキュメントも一通り確認しておくことを強くおすすめします。 また Azure CosmosDB for NoSQLについては、 Microsoft の資格試験「 DP-420: Microsoft Azure Cosmos DB を使用したクラウドネイティブ アプリケーションの設計と実装 」が用意されているので、こちらの資格取得を通してキャッチアップをするのもよい方法です。 重要なのは、 Azure Cosmos DB for MongoDB (RU) が純粋な MongoDB の実装ではなく、 Azure CosmosDB for NoSQL をベースとした実装であることを知っておくことで仕様への理解が進む ということです。 Azure CosmosDB の公式ドキュメントの読み方について知っておこう Azure CosmosDB は API ごとに使える機能の違いが存在します。 Azure CosmosDB の機能として紹介されている場合でも、選択した API によってはサポートされていなかったり、他のデータベースシステムでサポートされていると思っているものが Azure CosmosDB ではサポートされていなかったりといったことがあります。 こういった違いを開発者が把握するために、 Microsoft の公式ドキュメントの各ページでは、サポート対象の API が以下のように記述されています。 [ スクリーンショット 元記事] Azure Cosmos DB のコンテナーとデータベースにスループットをプロビジョニングする | Microsoft Learn 機能について調査を実施する場合は、ドキュメントのこの箇所を必ずチェックをするようにしましょう。 サーバレスとプロビジョニングされた スループット の違いを把握しておこう Azure CosmosDB for MongoDB (RU) では、リソース作成時に容量モードを「サーバレス」と「プロビジョニングされた スループット 」から選択する必要があります。 2つの容量モードは料金形態だけでなく、配置できるリージョンやストレージにも違いがあります。 この2つのモードはリソース作成後に変更できないため、事前に仕様について理解をしておく必要があります。 サーバレス サーバレスは消費したRU量に応じてコストが発生する完全な従量課金モデルになります。 サーバレスモードを利用する場合、Azure CosmosDBは1つのAzureリージョンにしかデプロイできません。 また1つのコレクションに保存できるデータ量の最大値は1TBになります。 プロビジョニングされた スループット プロビジョニングされた スループット では、あらかじめ設定した スループット 値に応じてコストが発生する課金モデルになります。 プロビジョニングされた スループット モードは、複数のAzureリージョンにデプロイ可能で、コレクションあたりに保存できるデータ量にも制限がありません。 スループット 値は「手動」と「自動スケール」の2つがあり、手動の場合は400RU/sから、自動スケールの場合は1,000RU/sから設定ができます。 自動スケールの場合は、設定した スループット 値の10%刻みでスケーリングが瞬時に行われます。 例えば、自動スケールで スループット 値を最大 4,000RU/s とした場合は、400RU/s ～ 4,000RU/sの間でスケーリングが行われることになります。 また「手動」と「自動スケール」ではRU/sに対する料金が異なり、自動スケールでは1時間あたりの100RU/sに対する課金額が手動スケールの価格の1.5倍になります。 自動スケールでは、 スループット 値に対する10%分は定常的な課金が発生するので、 スループット 値に大きなRU/sを設定すればするほど定常的に支払うコストが高くなる点は要注意です。 learn.microsoft.com RU/s の制限はデータベース単位とコレクション単位が存在することを知っておこう プロビジョニングされた スループット の容量モードで Azure CosmosDB を利用する場合、 スループット として設定する RU/s の制限はデータベース全体と各コレクションの2つがあります。 データベース全体で RU/s の設定をする場合は、設定したデータベースに含まれるコレクションすべてで利用可能な RU/s が共有されます。これはスモールスタートしたプロジェクトで必要なコレクションの数の見積もりが難しい場合などに有効な設定です。 データベース全体で RU/s の設定をする場合は、特定のコレクションが過剰に RU を消費していると全体の スループット にも影響を及ぼすので注意が必要です。 コレクション単位で設定する場合は、各コレクション個別に RU/s を割り当てできるため、各コレクションのアクセスパターンに応じて最大のパフォーマンスが得られるように配分できます。 一方、コレクション単位に設定をする場合、新しいコレクションを作成する際に追加で スループット 値を割り当てる必要があるため、コレクション数が増えるのに応じて定常コストが増加することになるため注意が必要です。 サポートされていない命令や制限があることを知っておこう Azure CosmosDB for MongoDB(RU) でサポートされている MongoDB の命令には制限があります。 サポートされている命令などは以下のドキュメントで確認できます。 learn.microsoft.com 多くの命令が網羅されている印象はありますが、現状では特に集計コマンドについては制限が大きいです。 私たちはアプリケーションで集計処理を実装する ユースケース があったのですが、集計パイプラインの $lookup 演算子 が使えない問題に直面しました。この部分は find クエリを複数回、発行することで回避しています。 Azure CosmosDB for MongoDB の拡張コマンドについて理解しておこう 先に MongoDB のコマンドの中でサポートされていないものがあると説明しましたが、逆にAzure CosmosDB for MongoDB 固有の拡張コマンドも存在します。 learn.microsoft.com 実はAzure CosmosDB for MongoDB の機能をフルに活用するためには、この拡張コマンドについて理解する必要があります。 例えば、コレクションの作成時にコレクションに対して スループット を割り当てたりシャードキーの指定などの操作は拡張コマンド からし かできません。 # コレクション作成コマンド MongoDB のネイティブコマンド db.createCollection("sample") CosmosDB の MongoDB 拡張コマンド db.runCommand({ customAction: "CreateCollection", collection: "sample", shardKey: "_id", autoScaleSettings: { maxThroughput: 4000 } }) その他に純粋な MongoDB であれば、コレクションの作成とインデックスの作成は別々に行いますが Azure CosmosDB for MongoDB ではコレクション作成時にインデックスの指定ができます。 バックアップポリシーを慎重に検討しよう バックアップポリシーには「定期的なバックアップ」と「継続的なバックアップ」の2つがあります。 「定期的なバックアップ」と「継続的なバックアップ」の大きな違いとしてデータ復旧方法があります。 「定期的なバックアップ」の場合、データ復旧のためには Azure サポートにチケットで依頼をする必要がありますが、「継続的なバックアップ」の場合はユーザー自身でデータ復旧を実施できます。 これだけ聞くと「継続的なバックアップ」の方が魅力的に思えるかもしれませんが、現状は「継続的なバックアップ」を利用する場合には機能的な制限があるので慎重に検討しておく必要があります。 Azure CosmosDB for MongoDBの バックアップポリシーに「継続的なバックアップ」を利用する場合、コレクションに対し、ユニークキーインデックスを後から追加することはできません。 O/Rマッパーは障壁となる場合があることを理解しておこう アプリケーションからデータベースにアクセスする際に、O/Rマッパーを使いたいと考える開発者は多いと思います。 Azure CosmosDB for MongoDB(RU) の場合、安易に MongoDB の O/Rマッパーを使うと問題に直面する場合があります。 O/Rマッパーで、コレクションの作成やインデックス定義が行われる場合、通常の MongoDB の命令が裏で発行され、Azure CosmosDB 側に送られます。 命令は先の拡張コマンドではないため、Azure CosmosDB 側で実施したい設定と競合する、あるいは命令が通らずに失敗するといったことが起きます。 少なくとも、データベースの作成操作、コレクションの定義、インデックスの定義の操作については、Azure CosmosDB 拡張コマンドで行うことを強くおすすめします。 シャーディングによるRUの制限および容量の制限を知っておこう Azure CosmosDB ではシャーディングによる分割によって、コレクションのスケーリングを実現しています。 コレクション内のシャーディングはコレクションのシャーディングキーによって分割されます。 シャーディングキーの値によって、ドキュメントは論理 パーティション （シャード）に振り分けて保存がされます。 この1つの論理 パーティション に保存できるデータは20GBという制約があります。 NoSQL API を利用する場合は、 パーティション キー（シャーディングキー）を選択しなければコンテナ（コレクション）の作成ができないのですが、MongoDB API を利用する場合、シャーディングキーなしにコレクションを作成できます。 シャーディングキーがないコレクションの場合、コレクションは1つの論理 パーティション にのみ保存されるためコレクションに保存されるデータ量は20GBに制限されます。 また スループット についても制限があり、シャーディングキーがないコレクションの場合、 スループット に設定可能なRUは10,000RU/sという制限を受けることになります。これは論理 パーティション よりも背後にある物理 パーティション 側の制約になりますが、1つの物理 パーティション で提供可能な スループット が10,000RU/sでありシャーディングが行われない場合は、全てのデータは1つの物理 パーティション にのみ保存されるため、この制限を直接受けることになります。 コレクション設計は慎重にしておこう 先に述べたシャーディングによるRUや容量の制限があることを考慮しながらコレクションを慎重に設計しましょう。 例えば、会社情報を保存するコレクション「companies」の設計をする場合を考えてみます。 各会社の所在地の国「country」をシャードキーにする場合、以下の画像のような形でデータが保存されます。 アプリケーションの要件によってはこの設計でも問題がないかもしれませんが、この設計は1つの国に20GBを超える会社情報がないことを仮定しています。 また国ごとにデータ数の偏りがあるため、特定の パーティション のデータ量が肥大化するホット パーティション 問題のリスクもあります。 その他に複数の国をまたがってクエリをする ユースケース がある場合、この設計だとクロス パーティション クエリによって RU の消費量が大きくなります。 このように比較的単純なデータでもコレクション設計を始めると悩むポイントがそれなりにあります。 時間を費やしすぎないためにもコレクション設計において気をつけるべきポイントを持っておくことが重要です。 私なりに意識するポイントを 言語化 しておくと以下のような観点になります。 クエリパターンや保存するデータの特定を考慮してシャーディングキーを適切に選択しておく。 シャーディングキーは後から追加することができないので十分にスケーリングできるように設計をしましょう。 アプリケーションから発行するクエリパターンを把握しておくことでクロス パーティション クエリの発生を抑えることができます。 ユニークインデックスの設計しておく。 バックアップポリシーで「継続的なバックアップ」を選択した場合、後からユニークインデックスを追加することや変更することができないため先に設計をしましょう。 設計ミスをした際のプランを考えておく。 どんなに避けようとしても設計ミスが起きることはあります。適切な設計パターンに対応するためのデータ移行方法を模索しておくのも重要です。 診断設定とフルテキストクエリは有効にしておこう Azure CosmosDB for MongoDB ではフルテキストクエリを有効にすることで、すべてのクエリをログに記録できます。 少なくとも開発中は診断設定でフルテキストクエリを有効にして、診断設定から Log Analytics ワークスペース に流すように構成することをおすすめします。 フルテキストクエリを有効にすると Log Analytics ワークスペース では PIICommandText 列で発行された具体的なクエリを見ることができるため、アプリケーションで発行されているクエリパターンの分析やスロークエリの発見ができます。 learn.microsoft.com $explain コマンドについて知っておこう 先に診断設定とセットで問題となるクエリの分析方法を把握しておく必要があります。 Micorosfot の公式ドキュメントによると、Azure CosmosDB では RU の消費量が50を超えるかをスロークエリの大まかな ガイドライン としているようです。 Log Analytics を見て、RU の消費量が50を超えるクエリに対しては分析を行うようにしましょう。 この分析には MongoDB の $explain コマンドを利用します。 なお Azure CosmosDB for MongoDB での $explain コマンドで得られる結果は純粋な MongoDB とは異なるので注意が必要です。 実際の分析方法については以下の公式ドキュメントが参考になるため、ここでは紹介しませんが、 $explain コマンドを使って分析をすることで、足りないインデックスを把握するなど改善のためのヒントを得ることができます。 learn.microsoft.com まとめ 本記事では「失敗から学ぶ Azure Cosmos DB for MongoDB (RU) の歩き方」と題して、Azure Cosmos DB for MongoDB (RU) をプロダクションで使うにあたって知っておけばよかったことや注意点などを紹介しました。 本記事で紹介した内容のほとんどは公式ドキュメントにも記載されているのですが、実際は失敗するまでそれらの存在に気付かないことが多くあることを痛感しました。 なお Azure Cosmos DB for MongoDB (RU) は適切に設計を行った上で利用できれば、非常に高いスケール性能を得られるのでメリットを享受できるように使いこなしていきたいですね。 また純粋な MongoDB との違いも多いので、純粋な MongoDB を Azure で利用したい場合は、最近 GA された仮想コアベースの「 Azure Cosmos DB for MongoDB (vCore) 」の利用を検討するのが良いでしょう。 本記事の内容が何かの参考になれば幸いです。 執筆： @yamada.y 、レビュー： 寺山 輝 (@terayama.akira) （ Shodo で執筆されました ）

こんにちは。XI 本部 AIトランスフォーメーションセンター 所属の山田です。 本記事は「 電通国際情報サービス Advent Calendar 2023 」の12月19日（火）の回の記事になります。 私たちのチームでは、データベースAzure CosmosDB for MongoDB (RU) を採用したアプリケーション開発を行っています。 開発を進める中でつまづいたり失敗も多く「使う前に知っていれば苦労しなかったのに…」と思うことが何度かありました。 そこで本記事では「失敗から学ぶ Azure Cosmos DB for MongoDB (RU) の歩き方」と題して、それらの内容を紹介したいと思います。 前提 Azure CosmosDB for MongoDB (RU) とは？ Azure CosmosDB の NoSQL API について知っておこう Azure CosmosDB の公式ドキュメントの読み方について知っておこう サーバレスとプロビジョニングされたスループットの違いを把握しておこう サーバレス プロビジョニングされたスループット RU/s の制限はデータベース単位とコレクション単位が存在することを知っておこう サポートされていない命令や制限があることを知っておこう Azure CosmosDB for MongoDB の拡張コマンドについて理解しておこう バックアップポリシーを慎重に検討しよう O/Rマッパーは障壁となる場合があることを理解しておこう シャーディングによるRUの制限および容量の制限を知っておこう コレクション設計は慎重にしておこう 診断設定とフルテキストクエリは有効にしておこう $explain コマンドについて知っておこう まとめ 前提 Azure CosmosDB for MongoDB (RU) とは？ 前提の話になりますが、Azure CosmosDB は複数の API をサポートしているフルマネージドのデータベースサービスです。 Azure Cosmos DB for MongoDB はAzure Cosmos DBの API のひとつで、Azure Cosmos DBをMongoDBデータベースのように操作するものになります。 このAzure Cosmos DB for MongoDBには「RUベースの アーキテクチャ 」と「vCoreベースの アーキテクチャ 」の2種類が存在しており、本記事では「RUベースの アーキテクチャ 」を扱います。本記事ではこちらをAzure Cosmos DB for MongoDB (RU) と表記しています。 以下からは、本題である Azure Cosmos DB for MongoDB (RU) をプロダクションで使うにあたって、知っておけばよかったことや注意点などを経験をもとに記載しています。 Azure CosmosDB の NoSQL API について知っておこう Azure Cosmos DB for MongoDB (RU) について扱うと述べたのに、なぜ NoSQL API の話が出てくるのか疑問に思われた方もいるかもしれません。 しかしこれには事情があります。NoSQL API は Azure ComsosDBのネイティブ実装であり、Azure CosmosDBの特徴的な機能は、NoSQL API をベースに実装されています。 Azure Cosmos DB for MongoDB (RU) は Azure CosmosDB for NoSQL を MongoDB の API を通して操作できるラッパーのようなものであり、Azure CosmosDB for NoSQL について知っておくことで仕様や制限についてより理解できます。 そのため、Azure CosmosDB for NoSQL のドキュメントも一通り確認しておくことを強くおすすめします。 また Azure CosmosDB for NoSQLについては、 Microsoft の資格試験「 DP-420: Microsoft Azure Cosmos DB を使用したクラウドネイティブ アプリケーションの設計と実装 」が用意されているので、こちらの資格取得を通してキャッチアップをするのもよい方法です。 重要なのは、 Azure Cosmos DB for MongoDB (RU) が純粋な MongoDB の実装ではなく、 Azure CosmosDB for NoSQL をベースとした実装であることを知っておくことで仕様への理解が進む ということです。 Azure CosmosDB の公式ドキュメントの読み方について知っておこう Azure CosmosDB は API ごとに使える機能の違いが存在します。 Azure CosmosDB の機能として紹介されている場合でも、選択した API によってはサポートされていなかったり、他のデータベースシステムでサポートされていると思っているものが Azure CosmosDB ではサポートされていなかったりといったことがあります。 こういった違いを開発者が把握するために、 Microsoft の公式ドキュメントの各ページでは、サポート対象の API が以下のように記述されています。 [ スクリーンショット 元記事] Azure Cosmos DB のコンテナーとデータベースにスループットをプロビジョニングする | Microsoft Learn 機能について調査を実施する場合は、ドキュメントのこの箇所を必ずチェックをするようにしましょう。 サーバレスとプロビジョニングされた スループット の違いを把握しておこう Azure CosmosDB for MongoDB (RU) では、リソース作成時に容量モードを「サーバレス」と「プロビジョニングされた スループット 」から選択する必要があります。 2つの容量モードは料金形態だけでなく、配置できるリージョンやストレージにも違いがあります。 この2つのモードはリソース作成後に変更できないため、事前に仕様について理解をしておく必要があります。 サーバレス サーバレスは消費したRU量に応じてコストが発生する完全な従量課金モデルになります。 サーバレスモードを利用する場合、Azure CosmosDBは1つのAzureリージョンにしかデプロイできません。 また1つのコレクションに保存できるデータ量の最大値は1TBになります。 プロビジョニングされた スループット プロビジョニングされた スループット では、あらかじめ設定した スループット 値に応じてコストが発生する課金モデルになります。 プロビジョニングされた スループット モードは、複数のAzureリージョンにデプロイ可能で、コレクションあたりに保存できるデータ量にも制限がありません。 スループット 値は「手動」と「自動スケール」の2つがあり、手動の場合は400RU/sから、自動スケールの場合は1,000RU/sから設定ができます。 自動スケールの場合は、設定した スループット 値の10%刻みでスケーリングが瞬時に行われます。 例えば、自動スケールで スループット 値を最大 4,000RU/s とした場合は、400RU/s ～ 4,000RU/sの間でスケーリングが行われることになります。 また「手動」と「自動スケール」ではRU/sに対する料金が異なり、自動スケールでは1時間あたりの100RU/sに対する課金額が手動スケールの価格の1.5倍になります。 自動スケールでは、 スループット 値に対する10%分は定常的な課金が発生するので、 スループット 値に大きなRU/sを設定すればするほど定常的に支払うコストが高くなる点は要注意です。 learn.microsoft.com RU/s の制限はデータベース単位とコレクション単位が存在することを知っておこう プロビジョニングされた スループット の容量モードで Azure CosmosDB を利用する場合、 スループット として設定する RU/s の制限はデータベース全体と各コレクションの2つがあります。 データベース全体で RU/s の設定をする場合は、設定したデータベースに含まれるコレクションすべてで利用可能な RU/s が共有されます。これはスモールスタートしたプロジェクトで必要なコレクションの数の見積もりが難しい場合などに有効な設定です。 データベース全体で RU/s の設定をする場合は、特定のコレクションが過剰に RU を消費していると全体の スループット にも影響を及ぼすので注意が必要です。 コレクション単位で設定する場合は、各コレクション個別に RU/s を割り当てできるため、各コレクションのアクセスパターンに応じて最大のパフォーマンスが得られるように配分できます。 一方、コレクション単位に設定をする場合、新しいコレクションを作成する際に追加で スループット 値を割り当てる必要があるため、コレクション数が増えるのに応じて定常コストが増加することになるため注意が必要です。 サポートされていない命令や制限があることを知っておこう Azure CosmosDB for MongoDB(RU) でサポートされている MongoDB の命令には制限があります。 サポートされている命令などは以下のドキュメントで確認できます。 learn.microsoft.com 多くの命令が網羅されている印象はありますが、現状では特に集計コマンドについては制限が大きいです。 私たちはアプリケーションで集計処理を実装する ユースケース があったのですが、集計パイプラインの $lookup 演算子 が使えない問題に直面しました。この部分は find クエリを複数回、発行することで回避しています。 Azure CosmosDB for MongoDB の拡張コマンドについて理解しておこう 先に MongoDB のコマンドの中でサポートされていないものがあると説明しましたが、逆にAzure CosmosDB for MongoDB 固有の拡張コマンドも存在します。 learn.microsoft.com 実はAzure CosmosDB for MongoDB の機能をフルに活用するためには、この拡張コマンドについて理解する必要があります。 例えば、コレクションの作成時にコレクションに対して スループット を割り当てたりシャードキーの指定などの操作は拡張コマンド からし かできません。 # コレクション作成コマンド MongoDB のネイティブコマンド db.createCollection("sample") CosmosDB の MongoDB 拡張コマンド db.runCommand({ customAction: "CreateCollection", collection: "sample", shardKey: "_id", autoScaleSettings: { maxThroughput: 4000 } }) その他に純粋な MongoDB であれば、コレクションの作成とインデックスの作成は別々に行いますが Azure CosmosDB for MongoDB ではコレクション作成時にインデックスの指定ができます。 バックアップポリシーを慎重に検討しよう バックアップポリシーには「定期的なバックアップ」と「継続的なバックアップ」の2つがあります。 「定期的なバックアップ」と「継続的なバックアップ」の大きな違いとしてデータ復旧方法があります。 「定期的なバックアップ」の場合、データ復旧のためには Azure サポートにチケットで依頼をする必要がありますが、「継続的なバックアップ」の場合はユーザー自身でデータ復旧を実施できます。 これだけ聞くと「継続的なバックアップ」の方が魅力的に思えるかもしれませんが、現状は「継続的なバックアップ」を利用する場合には機能的な制限があるので慎重に検討しておく必要があります。 Azure CosmosDB for MongoDBの バックアップポリシーに「継続的なバックアップ」を利用する場合、コレクションに対し、ユニークキーインデックスを後から追加することはできません。 O/Rマッパーは障壁となる場合があることを理解しておこう アプリケーションからデータベースにアクセスする際に、O/Rマッパーを使いたいと考える開発者は多いと思います。 Azure CosmosDB for MongoDB(RU) の場合、安易に MongoDB の O/Rマッパーを使うと問題に直面する場合があります。 O/Rマッパーで、コレクションの作成やインデックス定義が行われる場合、通常の MongoDB の命令が裏で発行され、Azure CosmosDB 側に送られます。 命令は先の拡張コマンドではないため、Azure CosmosDB 側で実施したい設定と競合する、あるいは命令が通らずに失敗するといったことが起きます。 少なくとも、データベースの作成操作、コレクションの定義、インデックスの定義の操作については、Azure CosmosDB 拡張コマンドで行うことを強くおすすめします。 シャーディングによるRUの制限および容量の制限を知っておこう Azure CosmosDB ではシャーディングによる分割によって、コレクションのスケーリングを実現しています。 コレクション内のシャーディングはコレクションのシャーディングキーによって分割されます。 シャーディングキーの値によって、ドキュメントは論理 パーティション （シャード）に振り分けて保存がされます。 この1つの論理 パーティション に保存できるデータは20GBという制約があります。 NoSQL API を利用する場合は、 パーティション キー（シャーディングキー）を選択しなければコンテナ（コレクション）の作成ができないのですが、MongoDB API を利用する場合、シャーディングキーなしにコレクションを作成できます。 シャーディングキーがないコレクションの場合、コレクションは1つの論理 パーティション にのみ保存されるためコレクションに保存されるデータ量は20GBに制限されます。 また スループット についても制限があり、シャーディングキーがないコレクションの場合、 スループット に設定可能なRUは10,000RU/sという制限を受けることになります。これは論理 パーティション よりも背後にある物理 パーティション 側の制約になりますが、1つの物理 パーティション で提供可能な スループット が10,000RU/sでありシャーディングが行われない場合は、全てのデータは1つの物理 パーティション にのみ保存されるため、この制限を直接受けることになります。 コレクション設計は慎重にしておこう 先に述べたシャーディングによるRUや容量の制限があることを考慮しながらコレクションを慎重に設計しましょう。 例えば、会社情報を保存するコレクション「companies」の設計をする場合を考えてみます。 各会社の所在地の国「country」をシャードキーにする場合、以下の画像のような形でデータが保存されます。 アプリケーションの要件によってはこの設計でも問題がないかもしれませんが、この設計は1つの国に20GBを超える会社情報がないことを仮定しています。 また国ごとにデータ数の偏りがあるため、特定の パーティション のデータ量が肥大化するホット パーティション 問題のリスクもあります。 その他に複数の国をまたがってクエリをする ユースケース がある場合、この設計だとクロス パーティション クエリによって RU の消費量が大きくなります。 このように比較的単純なデータでもコレクション設計を始めると悩むポイントがそれなりにあります。 時間を費やしすぎないためにもコレクション設計において気をつけるべきポイントを持っておくことが重要です。 私なりに意識するポイントを 言語化 しておくと以下のような観点になります。 クエリパターンや保存するデータの特定を考慮してシャーディングキーを適切に選択しておく。 シャーディングキーは後から追加することができないので十分にスケーリングできるように設計をしましょう。 アプリケーションから発行するクエリパターンを把握しておくことでクロス パーティション クエリの発生を抑えることができます。 ユニークインデックスの設計しておく。 バックアップポリシーで「継続的なバックアップ」を選択した場合、後からユニークインデックスを追加することや変更することができないため先に設計をしましょう。 設計ミスをした際のプランを考えておく。 どんなに避けようとしても設計ミスが起きることはあります。適切な設計パターンに対応するためのデータ移行方法を模索しておくのも重要です。 診断設定とフルテキストクエリは有効にしておこう Azure CosmosDB for MongoDB ではフルテキストクエリを有効にすることで、すべてのクエリをログに記録できます。 少なくとも開発中は診断設定でフルテキストクエリを有効にして、診断設定から Log Analytics ワークスペース に流すように構成することをおすすめします。 フルテキストクエリを有効にすると Log Analytics ワークスペース では PIICommandText 列で発行された具体的なクエリを見ることができるため、アプリケーションで発行されているクエリパターンの分析やスロークエリの発見ができます。 learn.microsoft.com $explain コマンドについて知っておこう 先に診断設定とセットで問題となるクエリの分析方法を把握しておく必要があります。 Micorosfot の公式ドキュメントによると、Azure CosmosDB では RU の消費量が50を超えるかをスロークエリの大まかな ガイドライン としているようです。 Log Analytics を見て、RU の消費量が50を超えるクエリに対しては分析を行うようにしましょう。 この分析には MongoDB の $explain コマンドを利用します。 なお Azure CosmosDB for MongoDB での $explain コマンドで得られる結果は純粋な MongoDB とは異なるので注意が必要です。 実際の分析方法については以下の公式ドキュメントが参考になるため、ここでは紹介しませんが、 $explain コマンドを使って分析をすることで、足りないインデックスを把握するなど改善のためのヒントを得ることができます。 learn.microsoft.com まとめ 本記事では「失敗から学ぶ Azure Cosmos DB for MongoDB (RU) の歩き方」と題して、Azure Cosmos DB for MongoDB (RU) をプロダクションで使うにあたって知っておけばよかったことや注意点などを紹介しました。 本記事で紹介した内容のほとんどは公式ドキュメントにも記載されているのですが、実際は失敗するまでそれらの存在に気付かないことが多くあることを痛感しました。 なお Azure Cosmos DB for MongoDB (RU) は適切に設計を行った上で利用できれば、非常に高いスケール性能を得られるのでメリットを享受できるように使いこなしていきたいですね。 また純粋な MongoDB との違いも多いので、純粋な MongoDB を Azure で利用したい場合は、最近 GA された仮想コアベースの「 Azure Cosmos DB for MongoDB (vCore) 」の利用を検討するのが良いでしょう。 本記事の内容が何かの参考になれば幸いです。 執筆： @yamada.y 、レビュー： 寺山 輝 (@terayama.akira) （ Shodo で執筆されました ）

こんにちは。X（クロス） イノベーション 本部 ソフトウェアデザインセンター セキュリティグループの耿です。 Amazon DynamoDB を利用する時、取得できる属性を特定の属性のみに制限したいことがあったため、IAM ポリシーを利用して実現する方法をまとめておきます。 ユースケース としては、複数のアプリが同じ DynamoDB テーブルにアクセスするような構成において、特定のアプリには一部の属性しか見せたくないような場合です。 （あまり現実的ではないですが）簡単な例として、図のようにユーザー情報を保持する DynamoDB テーブルを「メール送信アプリ」と「データ分析アプリ」が利用しているとします。「メール送信アプリ」はユーザー名とメールアドレスだけを利用するのでそれ以外の属性は取得できないように制限をかけたいです。一方で「データ分析アプリ」は住所と ジェンダー だけを利用するので、それ以外の属性は取得できないように制限をかけたいです。 これはアプリに許可を与える IAM ポリシーの Condition 句を利用することで実現できます。 DynamoDB テーブルの作成 全属性の取得を許可する IAM ポリシーの付与 データ取得の確認1 （メイン）取得できる属性を制限する IAM ポリシーに修正 データ取得の確認2 まとめ DynamoDB テーブルの作成 まずは準備として図のように DynamoDB テーブルを作成します。 パーティション キーとして user_id を単独のプライマリーキーとし、サンプルデータを追加しておきます。 全属性の取得を許可する IAM ポリシーの付与 以下の IAM ポリシーでアプリケーションに GetItem と Scan の操作を許可します。取得できる属性を制限していないので、この状態では全属性を取得できるはずです。 { " Version ": " 2012-10-17 ", " Statement ": [ { " Effect ": " Allow ", " Action ": [ " dynamodb:GetItem ", " dynamodb:Scan " ] , " Resource ": " arn:aws:dynamodb:*:*:table/users " } ] } データ取得の確認1 AWS SDK for JavaScript によるデータ取得のコードサンプルです。まずは特定のアイテムを取得する GetItem 操作です。 import { DynamoDBClient , GetItemCommand } from "@aws-sdk/client-dynamodb" ; const client = new DynamoDBClient ( {} ); const command = new GetItemCommand ( { TableName: "users" , Key: { user_id: { S: "1ab24x" } } , } ); const result = await client.send ( command ); console .log ( result.Item ); アイテムの全属性を取得できました。 { user_id: { S: '1ab24x' }, address: { S: '不思議の国X市' }, email: { S: 'alice@wonderland.com' }, user_name: { S: 'Alice' }, gender: { S: 'F' } } 次に、全アイテムを取得する Scan 操作です。 import { DynamoDBClient , ScanCommand } from "@aws-sdk/client-dynamodb" ; const client = new DynamoDBClient ( {} ); const command = new ScanCommand ( { TableName: "users" , } ); const result = await client.send ( command ); console .log ( result.Items ); こちらもアイテムの全属性を取得できました。 [ { user_id: { S: 'k4p1c3' }, address: { S: '鏡の国Y町' }, email: { S: 'bob@wonderland.com' }, user_name: { S: 'Bob' }, gender: { S: 'M' } }, { user_id: { S: '1ab24x' }, address: { S: '不思議の国X市' }, email: { S: 'alice@wonderland.com' }, user_name: { S: 'Alice' }, gender: { S: 'F' } } ] （メイン）取得できる属性を制限する IAM ポリシーに修正 IAM ポリシーを修正し、明示的に許可した属性しか取得できないようにしていきます。以下のドキュメントを参考にします。 詳細に設定されたアクセスコントロールのための IAM ポリシー条件の使用 Condition 句に dynamodb:Attributes と dynamodb:Select を追加します。 dynamodb:Attributes には取得を許可したい属性名を配列で指定します。これにはプライマリーキーが含まれている必要があります。 dynamodb:Select には SPECIFIC_ATTRIBUTES と記載します。 { " Version ": " 2012-10-17 ", " Statement ": [ { " Effect ": " Allow ", " Action ": [ " dynamodb:GetItem ", " dynamodb:Scan " ] , " Resource ": " arn:aws:dynamodb:*:*:table/users ", " Condition ": { " ForAllValues:StringEquals ": { " dynamodb:Attributes ": [ " user_id ", " user_name ", " email " ] } , " StringEqualsIfExists ": { " dynamodb:Select ": " SPECIFIC_ATTRIBUTES " } } } ] } データ取得の確認2 IAM ポリシーを変更した状態で前と同じ GetItem 操作を行うと、次のようなエラーになりました。 AccessDeniedException: User: arn: aws :iam::111122223333:user/<ユーザ名> is not authorized to perform: dynamodb:GetItem on resource: arn: aws :dynamodb:ap-northeast-1:111122223333:table/users because no identity-based policy allows the dynamodb:GetItem action dynamodb:GetItem が許可されていないというメッセージですが、実際には許可されていない属性を取得しようとしているためエラーが発生した状況です。次のように プロジェクション式 を利用して、許可された属性のみを取得するようにコマンドを変更します。 import { DynamoDBClient , GetItemCommand } from "@aws-sdk/client-dynamodb" ; const client = new DynamoDBClient ( {} ); const command = new GetItemCommand ( { TableName: "users" , Key: { user_id: { S: "1ab24x" } } , ProjectionExpression: "user_id, user_name, email" , // これを追加 } ); const result = await client.send ( command ); console .log ( result.Item ); こうするとエラーが解消し、結果も許可された属性のみが返却されていることがわかります。 { user_id: { S: '1ab24x' }, email: { S: 'alice@wonderland.com' }, user_name: { S: 'Alice' } } プロジェクション式に許可されていない属性（ address など）が含まれていると、前述と同じエラーが発生します。 Scan 操作についても、プロジェクション式を追加して取得する属性を明示的に指定することで、エラーなくスキャン操作ができます。 import { DynamoDBClient , ScanCommand } from "@aws-sdk/client-dynamodb" ; const client = new DynamoDBClient ( {} ); const command = new ScanCommand ( { TableName: "users" , ProjectionExpression: "user_id, user_name, email" , // これを追加 } ); const result = await client.send ( command ); console .log ( result.Items ); 許可された属性のみが返却されます。 [ { user_id: { S: 'k4p1c3' }, email: { S: 'bob@wonderland.com' }, user_name: { S: 'Bob' } }, { user_id: { S: '1ab24x' }, email: { S: 'alice@wonderland.com' }, user_name: { S: 'Alice' } } ] まとめ Condition 句に dynamodb:Attributes と dynamodb:Select を利用することで、特定の属性のみ取得できるような IAM ポリシーの作り方をまとめました。アイテムを取得する際にはプロジェクション式を利用する必要があるので、どの属性の取得が許可されているのか アプリ開発 側でも知っておく必要があります。 執筆： @kou.kinyo 、レビュー： @handa.kenta （ Shodo で執筆されました ）

こんにちは。X（クロス） イノベーション 本部 ソフトウェアデザインセンター セキュリティグループの耿です。 Amazon DynamoDB を利用する時、取得できる属性を特定の属性のみに制限したいことがあったため、IAM ポリシーを利用して実現する方法をまとめておきます。 ユースケース としては、複数のアプリが同じ DynamoDB テーブルにアクセスするような構成において、特定のアプリには一部の属性しか見せたくないような場合です。 （あまり現実的ではないですが）簡単な例として、図のようにユーザー情報を保持する DynamoDB テーブルを「メール送信アプリ」と「データ分析アプリ」が利用しているとします。「メール送信アプリ」はユーザー名とメールアドレスだけを利用するのでそれ以外の属性は取得できないように制限をかけたいです。一方で「データ分析アプリ」は住所と ジェンダー だけを利用するので、それ以外の属性は取得できないように制限をかけたいです。 これはアプリに許可を与える IAM ポリシーの Condition 句を利用することで実現できます。 DynamoDB テーブルの作成 全属性の取得を許可する IAM ポリシーの付与 データ取得の確認1 （メイン）取得できる属性を制限する IAM ポリシーに修正 データ取得の確認2 まとめ DynamoDB テーブルの作成 まずは準備として図のように DynamoDB テーブルを作成します。 パーティション キーとして user_id を単独のプライマリーキーとし、サンプルデータを追加しておきます。 全属性の取得を許可する IAM ポリシーの付与 以下の IAM ポリシーでアプリケーションに GetItem と Scan の操作を許可します。取得できる属性を制限していないので、この状態では全属性を取得できるはずです。 { " Version ": " 2012-10-17 ", " Statement ": [ { " Effect ": " Allow ", " Action ": [ " dynamodb:GetItem ", " dynamodb:Scan " ] , " Resource ": " arn:aws:dynamodb:*:*:table/users " } ] } データ取得の確認1 AWS SDK for JavaScript によるデータ取得のコードサンプルです。まずは特定のアイテムを取得する GetItem 操作です。 import { DynamoDBClient , GetItemCommand } from "@aws-sdk/client-dynamodb" ; const client = new DynamoDBClient ( {} ); const command = new GetItemCommand ( { TableName: "users" , Key: { user_id: { S: "1ab24x" } } , } ); const result = await client.send ( command ); console .log ( result.Item ); アイテムの全属性を取得できました。 { user_id: { S: '1ab24x' }, address: { S: '不思議の国X市' }, email: { S: 'alice@wonderland.com' }, user_name: { S: 'Alice' }, gender: { S: 'F' } } 次に、全アイテムを取得する Scan 操作です。 import { DynamoDBClient , ScanCommand } from "@aws-sdk/client-dynamodb" ; const client = new DynamoDBClient ( {} ); const command = new ScanCommand ( { TableName: "users" , } ); const result = await client.send ( command ); console .log ( result.Items ); こちらもアイテムの全属性を取得できました。 [ { user_id: { S: 'k4p1c3' }, address: { S: '鏡の国Y町' }, email: { S: 'bob@wonderland.com' }, user_name: { S: 'Bob' }, gender: { S: 'M' } }, { user_id: { S: '1ab24x' }, address: { S: '不思議の国X市' }, email: { S: 'alice@wonderland.com' }, user_name: { S: 'Alice' }, gender: { S: 'F' } } ] （メイン）取得できる属性を制限する IAM ポリシーに修正 IAM ポリシーを修正し、明示的に許可した属性しか取得できないようにしていきます。以下のドキュメントを参考にします。 詳細に設定されたアクセスコントロールのための IAM ポリシー条件の使用 Condition 句に dynamodb:Attributes と dynamodb:Select を追加します。 dynamodb:Attributes には取得を許可したい属性名を配列で指定します。これにはプライマリーキーが含まれている必要があります。 dynamodb:Select には SPECIFIC_ATTRIBUTES と記載します。 { " Version ": " 2012-10-17 ", " Statement ": [ { " Effect ": " Allow ", " Action ": [ " dynamodb:GetItem ", " dynamodb:Scan " ] , " Resource ": " arn:aws:dynamodb:*:*:table/users ", " Condition ": { " ForAllValues:StringEquals ": { " dynamodb:Attributes ": [ " user_id ", " user_name ", " email " ] } , " StringEqualsIfExists ": { " dynamodb:Select ": " SPECIFIC_ATTRIBUTES " } } } ] } データ取得の確認2 IAM ポリシーを変更した状態で前と同じ GetItem 操作を行うと、次のようなエラーになりました。 AccessDeniedException: User: arn: aws :iam::111122223333:user/<ユーザ名> is not authorized to perform: dynamodb:GetItem on resource: arn: aws :dynamodb:ap-northeast-1:111122223333:table/users because no identity-based policy allows the dynamodb:GetItem action dynamodb:GetItem が許可されていないというメッセージですが、実際には許可されていない属性を取得しようとしているためエラーが発生した状況です。次のように プロジェクション式 を利用して、許可された属性のみを取得するようにコマンドを変更します。 import { DynamoDBClient , GetItemCommand } from "@aws-sdk/client-dynamodb" ; const client = new DynamoDBClient ( {} ); const command = new GetItemCommand ( { TableName: "users" , Key: { user_id: { S: "1ab24x" } } , ProjectionExpression: "user_id, user_name, email" , // これを追加 } ); const result = await client.send ( command ); console .log ( result.Item ); こうするとエラーが解消し、結果も許可された属性のみが返却されていることがわかります。 { user_id: { S: '1ab24x' }, email: { S: 'alice@wonderland.com' }, user_name: { S: 'Alice' } } プロジェクション式に許可されていない属性（ address など）が含まれていると、前述と同じエラーが発生します。 Scan 操作についても、プロジェクション式を追加して取得する属性を明示的に指定することで、エラーなくスキャン操作ができます。 import { DynamoDBClient , ScanCommand } from "@aws-sdk/client-dynamodb" ; const client = new DynamoDBClient ( {} ); const command = new ScanCommand ( { TableName: "users" , ProjectionExpression: "user_id, user_name, email" , // これを追加 } ); const result = await client.send ( command ); console .log ( result.Items ); 許可された属性のみが返却されます。 [ { user_id: { S: 'k4p1c3' }, email: { S: 'bob@wonderland.com' }, user_name: { S: 'Bob' } }, { user_id: { S: '1ab24x' }, email: { S: 'alice@wonderland.com' }, user_name: { S: 'Alice' } } ] まとめ Condition 句に dynamodb:Attributes と dynamodb:Select を利用することで、特定の属性のみ取得できるような IAM ポリシーの作り方をまとめました。アイテムを取得する際にはプロジェクション式を利用する必要があるので、どの属性の取得が許可されているのか アプリ開発 側でも知っておく必要があります。 執筆： @kou.kinyo 、レビュー： @handa.kenta （ Shodo で執筆されました ）

みなさんこんにちは、X（クロス） イノベーション 本部　ソフトウェアデザインセンターの鈴木です。 12月も折り返しを迎えて、今年も終わりが近づいていますね。 電通国際情報サービス Advent Calendar 2023 の15日目の投稿です。 この度2023年3月から9ヶ月かけて開発した、社内の GitHub やJiraのアカウント・権限管理を行う社内アプリケーション「Icarus」のリリースを無事迎えられました。本記事ではプロジェクトの内容と本開発で得られた経験をまとめていきたいと思います。 前半では開発についてまとめます。開発の背景、技術スタック、開発体制や開発ツールについて紹介します。 後半では新卒3年目で初めて、開発案件に アサイ ンされた筆者目線で本案件を振り返ります。本案件に配属される前は、主に管理系の仕事をメインに働いていましたが、開発案件への異動希望を上長に伝えて開発系の本案件に アサイ ンしていただきました。そのため、本開発への期待と得られた学びや経験をまとめていきたいと思います。 開発について 開発の背景と概要 技術スタック 開発スケジュール 開発体制 本案件の振り返り Icarus開発へアサインされた経緯 期待と得られた経験 1. フルサイクルエンジニアとしての知識と経験の獲得 2. AWSの基礎知識とWeb3層アーキテクチャの実装経験の獲得 3. CI/CDやIaCなどの開発効率化に関する知識と経験の獲得 まとめ 開発について 開発の背景と概要 私の会社では社内標準の開発ツールとして GitHub とJiraがあり、そのアカウント・権限管理を行う社内アプリケーションがもともとありました。しかし、従来の社内アプリケーションは以下2つの問題があり、「Icarus」はその問題を解決するためのリプレース開発としてスタートしました。 データベースには Amazon DynamoDB （NoSQL型データベース）を採用していた。しかし、利用ユーザーの増加や パーティション キー以外での検索要件が出てきたことでフルスキャンをせざるを得ないケースがたびたび発生した。それによりレスポンスタイムやコストが悪化していた。 → データベースをリレーショナルデータベースに変更する。 アプリケーションは AWS 上に構築されていたが開発の経緯上、利用者向けアプリケーションと管理者用アプリケーションで別々の VPC 上に構築されていたことで余分なコストがかかっていた。 → 利用者向けアプリケーションと管理者用アプリケーションを統合する。 また開発メンバーは比較的若手で構成されており、フルサイクルエンジニアとしての知見獲得・ スキルアップ の機会としても期待されていました。 以上のようにアプリケーションの問題を解決してフルサイクルエンジニアとして成長をするため、フロント部分を含めてアプリケーションを刷新することとなりました。 技術スタック 主要な技術スタックは以下のとおりです。 フロントエンド・バックエンド Next.js React TypeScript Axios データベース PostgreSQL インフラ（ AWS ） （可能なものは AWS CDKでIaC化しました） Amazon Route53 Elastic Load Balancing Application Load Balancer AWS WAF Amazon ECS + AWS Fargate Amazon RDS CI/CD GitHub Actions AWS CodeDeploy（ブルー/グリーンデプロイ用） 開発スケジュール 開発スケジュールはおおまかに以下のとおりです。 ちなみに私は2023年3月から本プロジェクトに参画しました。 開発体制 初期開発メンバーは比較的若手の社員4名で構成されました。 （7月ごろから体制が縮小され、2名で開発していました） 開発手法としては スクラム 開発を採用しており、2週間のスプリントで開発・テスト・リリースを繰り返していました。 本案件の振り返り 冒頭でも記載した通り、本案件は希望を出して アサイ ンさせていただきました。さらに幸運なことに、配属先の部署は全社的な技術力を牽引するトップクラスの技術者が集まるこの上ない環境でした。 以降では、私がなぜ開発案件を希望したかと本開発で得られた経験と学びについて記載させていただきます。 Icarus開発へ アサイ ンされた経緯 私は新卒入社後の初期配属として開発案件への配属を希望していました。理由としては、今後のキャリアを考えた上で自分でシステムを開発した経験をしておきたかったからです。 後々はアーキテクトやPMでキャリアを積んでいきたいと考えており、そのためには自分で動くものを実案件で実装したかったという思いがあります。実際に手を動かした経験があることで、対内・対外問わず説明に説得力を持たせられたり精巧な アーキテクチャ 設計ができたりするのではないかと考えているからです。 学校の部活で例えると、学生時代に野球を全くしていなかった顧問より、学生時代に野球部に所属していた顧問の方が指導に説得力や効果がありそうということです。（もちろん学生時代に野球を全くしていなかった人でも素晴らしい指導者はいますが） しかし事業部の都合もあり、初期配属の希望は叶わず管理系をメインとする案件に アサイ ンされることとなりました。もちろんそのプロジェクトでも大きな学びはあったのですが、やはり若手のうちに開発経験を積んでおきたいという意向を上長に伝え続けた結果、「Icarus」の開発案件に アサイ ンしていただけることとなりました。 もちろん事業部の状況や都合もありますが、社員の意向を叶えようとしていただけるとても良い会社だと思いました。 期待と得られた経験 本案件へ参画するにあたり、個人的に以下の期待がありました。 WEBアプリケーションをフロントエンド・バックエンド・インフラ問わず全般的に開発できる、フルサイクルエンジニアとしての知識と経験の獲得 AWS の基礎知識とWeb3層 アーキテクチャ の実装経験の獲得 CI/CDやIaCなどの開発効率化に関する知識と経験の獲得 以上3点の期待に対する結果をまとめます。 1. フルサイクルエンジニアとしての知識と経験の獲得 「Icarus」の開発では機能単位で開発を行っていたため、フロントエンドとバックエンドを一貫して実装することができました。またインフラの実装全般を担当させていただき、 AWS を用いたインフラ実装も経験することができました。 アプリケーションを全体的に実装することで、どのようにWebアプリケーションは動作するのかをより深く理解することができました。 また開発の過程で同じ部署の方々に指導していただき、セキュリティ周りや低レイヤーの知見、技術者としての心構えなどたくさんのことを教えていただきました。 2. AWS の基礎知識とWeb3層 アーキテクチャ の実装経験の獲得 以前入っていた案件では主にフロント側を担当しており、 クラウド の知見を獲得するため AWS によるインフラ実装を経験したかった次第です。 クラウド 技術が可用性やコストの面で強力な技術であることは知識としては知っていましたが、実際に学習・実装してみると身に沁みて強力さを実感しました。実装してみて特に強力だと思ったのは以下の3点です。 ELBや AWS Fargateや Amazon RDSなど AWS のサービスを用いることで、簡単に高可用構成を実装できる。 マネージドサービスを活用することでサーバー管理などが不要になり、開発に集中できる。 AWS CDKや AWS CloudFormationを活用することでインフラをコード化でき、構成管理が可能で環境の展開・削除が迅速に行えるようになる。 また、 AWS 知識を広げる中で「 AWS Certified Solutions Architect - Professional」の資格を取得することができました。合格体験記を作成したので興味があればお読みください。 AWS Certified Solutions Architect - Professional AWS は本当に多くのサービスがあり、いろいろなサービスを試したくなりました。特に学習する中で AWS Lambda+ Amazon DynamoDB などのサーバーレス アーキテクチャ 構成に興味が湧いたため、個人的に実装してみようと思いました。 3. CI/CDやIaCなどの開発効率化に関する知識と経験の獲得 効率的でモダンな開発をする上でCI/CDやIaCは必要だと認識していました。特にCI/CDについては以前担当していた案件で、CIで自動テストが実装されていなかったことによる ソースコード 修正のハードルの高さであったり、CDが実装されていなかったことによる手動デプロイによる操作ミスがあったりと必要性を感じていました。 CIについては 単体テスト をJestというテスト フレームワーク で実装して、 GitHub Actionsで リポジトリ へプッシュした際に自動テストを回しています。それによりバグ発生のリスクを極力抑えながら迅速に ソースコード を修正することができました。 CDについては、 GitHub Actionsで AWS 環境へのデプロイを自動化しており、操作ミスを減らして迅速なデプロイができるパイプラインを整備しました。 IaCについては、 AWS CDKでインフラをコード化して AWS 環境の迅速な作成を可能としていました。特に実感したのは本番環境の作成時で、検証環境作成時に AWS CDKでIaC化していたため、本番環境の作成は調整やデプロイパイプラインの実装を含めて一人で4~5日程度で完了することができました。 このように自動化やコード化できるものは各種ツールを活用することで、開発効率をかなり向上させることができ、人的ミスを減らすことができるのだと身をもって理解しました。 まとめ 今回は、社内アプリケーション「Icarus」開発についてとそこから得られた学びや経験をまとめました。 記事の途中でも記載した通り、本案件の アサイ ンを通じて社員の意向を叶えようとしていただけるとても良い会社だと改めて感じました。また、ご指導いただいた配属先の方々には大変お世話になりました。 この開発から技術者として知識面・経験面ともに、フルサイクルエンジニアとして大きな成長を遂げることができました。今後はこの知識と経験を活かして顧客の理想を叶える システム開発 ができるよう、一層精進していこうと思います。 最後までお読みいただきありがとうございました。 私たちは一緒に働いてくれる仲間を募集しています！ フルサイクルエンジニア 執筆： @suzuki.takuma 、レビュー： @yamashita.tsuyoshi （ Shodo で執筆されました ）

みなさんこんにちは、X（クロス） イノベーション 本部　ソフトウェアデザインセンターの鈴木です。 12月も折り返しを迎えて、今年も終わりが近づいていますね。 電通国際情報サービス Advent Calendar 2023 の15日目の投稿です。 この度2023年3月から9ヶ月かけて開発した、社内の GitHub やJiraのアカウント・権限管理を行う社内アプリケーション「Icarus」のリリースを無事迎えられました。本記事ではプロジェクトの内容と本開発で得られた経験をまとめていきたいと思います。 前半では開発についてまとめます。開発の背景、技術スタック、開発体制や開発ツールについて紹介します。 後半では新卒3年目で初めて、開発案件に アサイ ンされた筆者目線で本案件を振り返ります。本案件に配属される前は、主に管理系の仕事をメインに働いていましたが、開発案件への異動希望を上長に伝えて開発系の本案件に アサイ ンしていただきました。そのため、本開発への期待と得られた学びや経験をまとめていきたいと思います。 開発について 開発の背景と概要 技術スタック 開発スケジュール 開発体制 本案件の振り返り Icarus開発へアサインされた経緯 期待と得られた経験 1. フルサイクルエンジニアとしての知識と経験の獲得 2. AWSの基礎知識とWeb3層アーキテクチャの実装経験の獲得 3. CI/CDやIaCなどの開発効率化に関する知識と経験の獲得 まとめ 開発について 開発の背景と概要 私の会社では社内標準の開発ツールとして GitHub とJiraがあり、そのアカウント・権限管理を行う社内アプリケーションがもともとありました。しかし、従来の社内アプリケーションは以下2つの問題があり、「Icarus」はその問題を解決するためのリプレース開発としてスタートしました。 データベースには Amazon DynamoDB （NoSQL型データベース）を採用していた。しかし、利用ユーザーの増加や パーティション キー以外での検索要件が出てきたことでフルスキャンをせざるを得ないケースがたびたび発生した。それによりレスポンスタイムやコストが悪化していた。 → データベースをリレーショナルデータベースに変更する。 アプリケーションは AWS 上に構築されていたが開発の経緯上、利用者向けアプリケーションと管理者用アプリケーションで別々の VPC 上に構築されていたことで余分なコストがかかっていた。 → 利用者向けアプリケーションと管理者用アプリケーションを統合する。 また開発メンバーは比較的若手で構成されており、フルサイクルエンジニアとしての知見獲得・ スキルアップ の機会としても期待されていました。 以上のようにアプリケーションの問題を解決してフルサイクルエンジニアとして成長をするため、フロント部分を含めてアプリケーションを刷新することとなりました。 技術スタック 主要な技術スタックは以下のとおりです。 フロントエンド・バックエンド Next.js React TypeScript Axios データベース PostgreSQL インフラ（ AWS ） （可能なものは AWS CDKでIaC化しました） Amazon Route53 Elastic Load Balancing Application Load Balancer AWS WAF Amazon ECS + AWS Fargate Amazon RDS CI/CD GitHub Actions AWS CodeDeploy（ブルー/グリーンデプロイ用） 開発スケジュール 開発スケジュールはおおまかに以下のとおりです。 ちなみに私は2023年3月から本プロジェクトに参画しました。 開発体制 初期開発メンバーは比較的若手の社員4名で構成されました。 （7月ごろから体制が縮小され、2名で開発していました） 開発手法としては スクラム 開発を採用しており、2週間のスプリントで開発・テスト・リリースを繰り返していました。 本案件の振り返り 冒頭でも記載した通り、本案件は希望を出して アサイ ンさせていただきました。さらに幸運なことに、配属先の部署は全社的な技術力を牽引するトップクラスの技術者が集まるこの上ない環境でした。 以降では、私がなぜ開発案件を希望したかと本開発で得られた経験と学びについて記載させていただきます。 Icarus開発へ アサイ ンされた経緯 私は新卒入社後の初期配属として開発案件への配属を希望していました。理由としては、今後のキャリアを考えた上で自分でシステムを開発した経験をしておきたかったからです。 後々はアーキテクトやPMでキャリアを積んでいきたいと考えており、そのためには自分で動くものを実案件で実装したかったという思いがあります。実際に手を動かした経験があることで、対内・対外問わず説明に説得力を持たせられたり精巧な アーキテクチャ 設計ができたりするのではないかと考えているからです。 学校の部活で例えると、学生時代に野球を全くしていなかった顧問より、学生時代に野球部に所属していた顧問の方が指導に説得力や効果がありそうということです。（もちろん学生時代に野球を全くしていなかった人でも素晴らしい指導者はいますが） しかし事業部の都合もあり、初期配属の希望は叶わず管理系をメインとする案件に アサイ ンされることとなりました。もちろんそのプロジェクトでも大きな学びはあったのですが、やはり若手のうちに開発経験を積んでおきたいという意向を上長に伝え続けた結果、「Icarus」の開発案件に アサイ ンしていただけることとなりました。 もちろん事業部の状況や都合もありますが、社員の意向を叶えようとしていただけるとても良い会社だと思いました。 期待と得られた経験 本案件へ参画するにあたり、個人的に以下の期待がありました。 WEBアプリケーションをフロントエンド・バックエンド・インフラ問わず全般的に開発できる、フルサイクルエンジニアとしての知識と経験の獲得 AWS の基礎知識とWeb3層 アーキテクチャ の実装経験の獲得 CI/CDやIaCなどの開発効率化に関する知識と経験の獲得 以上3点の期待に対する結果をまとめます。 1. フルサイクルエンジニアとしての知識と経験の獲得 「Icarus」の開発では機能単位で開発を行っていたため、フロントエンドとバックエンドを一貫して実装することができました。またインフラの実装全般を担当させていただき、 AWS を用いたインフラ実装も経験することができました。 アプリケーションを全体的に実装することで、どのようにWebアプリケーションは動作するのかをより深く理解することができました。 また開発の過程で同じ部署の方々に指導していただき、セキュリティ周りや低レイヤーの知見、技術者としての心構えなどたくさんのことを教えていただきました。 2. AWS の基礎知識とWeb3層 アーキテクチャ の実装経験の獲得 以前入っていた案件では主にフロント側を担当しており、 クラウド の知見を獲得するため AWS によるインフラ実装を経験したかった次第です。 クラウド 技術が可用性やコストの面で強力な技術であることは知識としては知っていましたが、実際に学習・実装してみると身に沁みて強力さを実感しました。実装してみて特に強力だと思ったのは以下の3点です。 ELBや AWS Fargateや Amazon RDSなど AWS のサービスを用いることで、簡単に高可用構成を実装できる。 マネージドサービスを活用することでサーバー管理などが不要になり、開発に集中できる。 AWS CDKや AWS CloudFormationを活用することでインフラをコード化でき、構成管理が可能で環境の展開・削除が迅速に行えるようになる。 また、 AWS 知識を広げる中で「 AWS Certified Solutions Architect - Professional」の資格を取得することができました。合格体験記を作成したので興味があればお読みください。 AWS Certified Solutions Architect - Professional AWS は本当に多くのサービスがあり、いろいろなサービスを試したくなりました。特に学習する中で AWS Lambda+ Amazon DynamoDB などのサーバーレス アーキテクチャ 構成に興味が湧いたため、個人的に実装してみようと思いました。 3. CI/CDやIaCなどの開発効率化に関する知識と経験の獲得 効率的でモダンな開発をする上でCI/CDやIaCは必要だと認識していました。特にCI/CDについては以前担当していた案件で、CIで自動テストが実装されていなかったことによる ソースコード 修正のハードルの高さであったり、CDが実装されていなかったことによる手動デプロイによる操作ミスがあったりと必要性を感じていました。 CIについては 単体テスト をJestというテスト フレームワーク で実装して、 GitHub Actionsで リポジトリ へプッシュした際に自動テストを回しています。それによりバグ発生のリスクを極力抑えながら迅速に ソースコード を修正することができました。 CDについては、 GitHub Actionsで AWS 環境へのデプロイを自動化しており、操作ミスを減らして迅速なデプロイができるパイプラインを整備しました。 IaCについては、 AWS CDKでインフラをコード化して AWS 環境の迅速な作成を可能としていました。特に実感したのは本番環境の作成時で、検証環境作成時に AWS CDKでIaC化していたため、本番環境の作成は調整やデプロイパイプラインの実装を含めて一人で4~5日程度で完了することができました。 このように自動化やコード化できるものは各種ツールを活用することで、開発効率をかなり向上させることができ、人的ミスを減らすことができるのだと身をもって理解しました。 まとめ 今回は、社内アプリケーション「Icarus」開発についてとそこから得られた学びや経験をまとめました。 記事の途中でも記載した通り、本案件の アサイ ンを通じて社員の意向を叶えようとしていただけるとても良い会社だと改めて感じました。また、ご指導いただいた配属先の方々には大変お世話になりました。 この開発から技術者として知識面・経験面ともに、フルサイクルエンジニアとして大きな成長を遂げることができました。今後はこの知識と経験を活かして顧客の理想を叶える システム開発 ができるよう、一層精進していこうと思います。 最後までお読みいただきありがとうございました。 私たちは一緒に働いてくれる仲間を募集しています！ フルサイクルエンジニア 執筆： @suzuki.takuma 、レビュー： @yamashita.tsuyoshi （ Shodo で執筆されました ）

はじめに こんにちは。コミュニケーションIT事業部の石田です。 普段はソフトウェアエンジニアとして iPLAss というローコード開発プラットフォームの開発を担当しています。本記事は 電通国際情報サービス Advent Calendar 2023 の12/14の投稿です。 iPLAssとは、コーディング量を最小限に抑えた迅速なアプリケーション開発を実現するプラットフォームです。ブラウザ操作によるノンプログラミングでのデータ定義やその他各種定義（認証ポリシーや画面表示設定など）を行うことでアプリケーションを構築していくことが可能です。 また、データ管理画面の自動生成、認証/認可、ID連携、帳票出力、通知、カスタムロジック組込、WebAPI開発といったアプリケーションの開発に必要となる機能をデフォルトで提供しています。 iPLAssの機能の一つに、Web上に公開されるコンシューマ向けサイトを会員制サイト化し、iPLAss上で会員管理を行うことを可能とするWAM機能があります。本記事では、WAM機能のエンハンスとして、 CDN エッジ上の JavaScript ランタイムで動作するポータブル（＝Node.jsやWorkersなどあらゆる JavaScript ランタイムで動作する）な認証・認可プロキシを実装した話を紹介します。 WAM機能とは まずは、冒頭で述べたiPLAssのWAM機能について簡単に説明します。 WAMは Web Account Manager の略であり、その名の通り、Web上に公開される任意のコンシューマ向けサイトを会員制サイト化し、iPLAss上で会員管理を行うことを可能とする機能です。 ※ 記事公開時点において、WAM機能は エンタープライズ 版限定で提供している機能になります。 WAM機能を使用することで、コンシューマ向けサイト側には手を加えずとも、会員制サイト化が可能になります。また、既存の会員制サイトについて、会員管理機能のみをiPLAssに置き換えて、その他は既存サイト（コンテンツ）を再利用するといったことも可能です。 WAM機能はあくまでiPLAssの機能の一つであり、iPLAssが具備するその他の豊富な機能と組み合わせることにより、あらゆるニーズ・ ユースケース に対応できます。例えば、ヘッドレス CMS のようなコンテンツ管理システムが一般的に具備している機能と同等なデータ管理画面（コンテンツ管理）、データの有効期間ベースのバージョン管理（コンテンツのバージョン管理・予約投稿）、ワークフロー（承認ワークフロー）、監査ログ記録、WebAPI開発といった機能も提供しており、iPLAss上でコンテンツ管理も併せて行ってしまうといったことも可能です。 WAM機能は、以下2つのモジュールから構成されます。 WAMモジュール iPLAssの本体サーバー（ Java / Java EE ）上で動作し、会員制サイトの会員管理を行うモジュールです。会員管理機能として、認証機能（ログイン・ログアウト）、サイトコンテンツの閲覧権限チェック機能、パスワード リカバリ 、ユーザー情報のセルフメンテナンス機能などを提供しています。 WAM プラグイン モジュール HTTPサーバー上でプロキシとして動作し、サイトコンテンツへのアクセスをフックしてコンテンツ閲覧制御を行うモジュールです。WAMモジュールとHTTP連携し、閲覧権限に応じたアクセス制御、未ログインユーザーのログイン画面へのリダイレクト、認証成功時のアクセス トーク ン受け渡しなどを行います。 これまでは Apache HTTP Server 、 IIS 、 JavaEE 上で動作するWAM プラグイン モジュールを提供してきましたが、今回新たに CDN エッジ上の JavaScript ランタイムで動作する前提で実装されたServerless（ JavaScript ）版の提供を開始しました。 CDN の前段でエッジプロキシとして動作させて認証・認可チェックを行うことで、 CDN によるコンテンツキャッシュを最大限活用することが可能になっています。 ここからは、新たに開発したServerless（ JavaScript ）版の全体構成や実装概要について説明します。 全体構成図 以下が、全体構成のイメージ図になります。 技術構成 実装概要 認証・認可プロキシのコアロジックはライブラリ化し、プライベートnpm リポジトリ からnpmパッケージとして利用者に配布しています。併せて、各 CDN エッジランタイムとのアダプターとなるnpmプロジェクトのひな形をいくつか提供するという形をとっています。「ポータブル」を意識し、コアロジックの実装では、特定のランタイムに依存しない API のみを使用しています（Fetch API など）。 ひな形プロジェクトでは、配布するnpmパッケージ内の API （コアロジック）を利用する形で、各 CDN エッジランタイムのハンドラー関数をデフォルトで実装しています。ハンドラー関数の他にも、認証・認可プロキシのアプリケーション設定およびカスタマイズのベースをあらかじめ実装しており、利用者が プログラマブル に設定を行ったり、カスタムロジックを追加したりできるようにしています。 例えば、アプリケーション設定については、ハードコードする以外の選択肢として、 環境変数 を埋め込んだり、Lambda@Edgeの場合には AWS AppConfigやParameter Storeといったサービスを利用するなどの選択肢を取ることが可能です。カスタマイズについては、コアロジック自体をカスタマイズすることや、フックして処理を追加することが可能であり、オリジナルのHTTPリク エス トを改変する（リク エス トヘッダーの追加、クエリパラメータの追加など）といったカスタマイズが可能です。 また、各 CDN エッジランタイムのビルド・デプロイ用のnpm スクリプト などもデフォルトで実装しており、利用者がアプリケーション設定とカスタマイズ実装にフォーカスできるようにしています。 プライベートnpm リポジトリ プライベートなnpm リポジトリ には Sonatype Nexus Repository の OSS 版を利用しています。構築した Nexus Repositoryはプライベートな Maven リポジトリ としての役割も兼ねており、iPLAss エンタープライズ 版の Java モジュールの配布にも利用しています。 Nexus Repositoryは OSS 版で Maven リポジトリ とnpm リポジトリ の両方に対応しており、とても重宝しています。 CDN エッジ（ランタイム） 現在、npmプロジェクトのひな形を配布している CDN エッジランタイムサービスは以下の3つです。 Cloudflare Workers Lambda@Edge Netlify Edge Functions それぞれのサービスの詳細説明はここでは割愛しますが、Workers、Node.js、Denoとあらゆる JavaScript ランタイムで実際に動作することが確認できています。今後も CDN エッジランタイムのトレンドを追いながら対応環境を拡大していきたいと考えています。 Webフレームワーク Webフレームワークとして、 unjs/h3 を採用しています。 h3は、 Nuxt 3 のサーバーエンジンの基となっているWebフレームワークです。 UnJS と呼ばれる JavaScript ライブラリ、ツール、ユーティリティ群を開発するプロジェクト（Nuxt開発チームを主導していたPooya Parsa氏が開発リーダーを務める）によって提供されているライブラリの一つです。 ミニマルかつポータブルを特徴とした高速なWebフレームワークであり、「 CDN エッジ上のあらゆる JavaScript ランタイムで動作させる」という今回の構想にマッチすると判断しました。また、Nuxt 3で利用されているライブラリであるということもあり、信頼性が高いという点も採用理由として挙げられます。個人的にVue.js/Nuxt.jsが好きで、Nuxt 3のキャッチアップをしているときにUnJSに出会いました（Vue.js/Nuxt.js好きというバイアスがかかっていることも否定できません）。 h3では、v1.8.0リリース時に Towards the Edge of the Web! を掲げており、Node.js環境でHTTPサーバーとして動作させる以外に、直接h3を使用するための2つのアダプタ（fetch互換の シグネチャ を持つWebAdapter、それ以外のプレーンな入出力オブジェクトを使用するPlainAdapter）が提供されました。これにより、Cloudflare WorkersやLambda@Edgeといった CDN エッジランタイムでh3を直接使用することが容易になりました（従来は、 unjs/nitro を使用するか、 unjs/unenv と組み合わせたカスタムコードを実装するしかありませんでした）。今回実装した認証・認可プロキシにおいても、各 CDN エッジランタイムのハンドラー関数の実装でこれらのアダプタを使用しています。 v1.8.0のリリースに関する詳細は、以下の公式ブログ記事をご参照ください。 https://unjs.io/blog/2023-08-15-h3-towards-the-edge-of-the-web Pooya Parsa氏の GitHub リポジトリ でいくつかのランタイムプラットフォームを対象としたサンプルが公開されています。興味があれば参照してみてください。 https://github.com/pi0/h3-on-edge 一方、今回実装した認証・認可プロキシの挙動としては、 認証・認可プロキシから直接レスポンスを返したいケース（未認証ユーザーのログイン画面へのリダイレクトなど） 後続の CDN にコンテンツ取得処理を委譲したいケース（コンテンツ閲覧が許可されるリク エス トなど） という2パターンが存在しており、特にLambda@EdgeやNetlify Edge Functionsでは、Webフレームワークの挙動（常にレスポンスを返す挙動）とマッチしていない点もあります。それらのサービスでは、ハンドラー関数の戻り値として、①のケースの場合はレスポンスオブジェクトを、②のケースの場合はリク エス トオブジェクトをリターンすることが期待されており、常にレスポンスオブジェクトをリターンする訳ではないためです。 Webフレームワーク自体を利用しないことも検討しましたが、検証の末、以下の理由から最終的にh3の採用を決めました。 h3には、上述のような挙動に有用な onAfterResponse 、 onError などのグローバルフックが存在すること h3の導入による処理のオーバーヘッドが少なく十分高速であったこと コアロジック実装の共 通化 ・簡易化ができると考えたこと（コアロジックでは、リク エス トやレスポンスを取り扱うイベントオブジェクトとしてh3の API のみを使用しており、ランタイム差異を意識しないで済む） 利用者側でのカスタムロジック実装時にh3が提供する便利なユーティリティを利用可能とすることで利便性向上に繋がると考えたこと h3が提供するユーティリティの一覧は以下のページで説明されています。 https://www.jsdocs.io/package/h3#package-functions その他の主要ライブラリ その他の主要な依存ライブラリを以下に列挙します。 ランタイム nanoid（IDジェネレータ） unjs/destr（高速な JSON パース） unjs/ufo（URL操作ユーティリティ） 開発用途 TypeScript（静的型付けを加えた JavaScript のスーパーセット） eslint（静的解析） vitest（ 単体テスト ） msw（テスト時の API モック） unbuild（ビルドツール） 終わりに 本記事では、iPLAssの新機能として CDN エッジで動作するポータブルな認証・認可プロキシを実装した話について紹介しました。昨今盛り上がりを見せている CDN エッジですが、一つの ユースケース ・実例としてどなたかの参考になれば幸いです。 現在、iPLAssでは積極的な機能強化・製品展開に取り組んでおり、同じチームで働いてくれる仲間を大募集しています。ご興味を持っていただいた方は是非採用ページをご覧ください。 私たちは一緒に働いてくれる仲間を募集しています！ 製品・プラットフォーム開発エンジニア 執筆： @ishida_yuma 、レビュー： @nakamura.toshihiro （ Shodo で執筆されました ）

はじめに こんにちは。コミュニケーションIT事業部の石田です。 普段はソフトウェアエンジニアとして iPLAss というローコード開発プラットフォームの開発を担当しています。本記事は 電通国際情報サービス Advent Calendar 2023 の12/14の投稿です。 iPLAssとは、コーディング量を最小限に抑えた迅速なアプリケーション開発を実現するプラットフォームです。ブラウザ操作によるノンプログラミングでのデータ定義やその他各種定義（認証ポリシーや画面表示設定など）を行うことでアプリケーションを構築していくことが可能です。 また、データ管理画面の自動生成、認証/認可、ID連携、帳票出力、通知、カスタムロジック組込、WebAPI開発といったアプリケーションの開発に必要となる機能をデフォルトで提供しています。 iPLAssの機能の一つに、Web上に公開されるコンシューマ向けサイトを会員制サイト化し、iPLAss上で会員管理を行うことを可能とするWAM機能があります。本記事では、WAM機能のエンハンスとして、 CDN エッジ上の JavaScript ランタイムで動作するポータブル（＝Node.jsやWorkersなどあらゆる JavaScript ランタイムで動作する）な認証・認可プロキシを実装した話を紹介します。 WAM機能とは まずは、冒頭で述べたiPLAssのWAM機能について簡単に説明します。 WAMは Web Account Manager の略であり、その名の通り、Web上に公開される任意のコンシューマ向けサイトを会員制サイト化し、iPLAss上で会員管理を行うことを可能とする機能です。 ※ 記事公開時点において、WAM機能は エンタープライズ 版限定で提供している機能になります。 WAM機能を使用することで、コンシューマ向けサイト側には手を加えずとも、会員制サイト化が可能になります。また、既存の会員制サイトについて、会員管理機能のみをiPLAssに置き換えて、その他は既存サイト（コンテンツ）を再利用するといったことも可能です。 WAM機能はあくまでiPLAssの機能の一つであり、iPLAssが具備するその他の豊富な機能と組み合わせることにより、あらゆるニーズ・ ユースケース に対応できます。例えば、ヘッドレス CMS のようなコンテンツ管理システムが一般的に具備している機能と同等なデータ管理画面（コンテンツ管理）、データの有効期間ベースのバージョン管理（コンテンツのバージョン管理・予約投稿）、ワークフロー（承認ワークフロー）、監査ログ記録、WebAPI開発といった機能も提供しており、iPLAss上でコンテンツ管理も併せて行ってしまうといったことも可能です。 WAM機能は、以下2つのモジュールから構成されます。 WAMモジュール iPLAssの本体サーバー（ Java / Java EE ）上で動作し、会員制サイトの会員管理を行うモジュールです。会員管理機能として、認証機能（ログイン・ログアウト）、サイトコンテンツの閲覧権限チェック機能、パスワード リカバリ 、ユーザー情報のセルフメンテナンス機能などを提供しています。 WAM プラグイン モジュール HTTPサーバー上でプロキシとして動作し、サイトコンテンツへのアクセスをフックしてコンテンツ閲覧制御を行うモジュールです。WAMモジュールとHTTP連携し、閲覧権限に応じたアクセス制御、未ログインユーザーのログイン画面へのリダイレクト、認証成功時のアクセス トーク ン受け渡しなどを行います。 これまでは Apache HTTP Server 、 IIS 、 JavaEE 上で動作するWAM プラグイン モジュールを提供してきましたが、今回新たに CDN エッジ上の JavaScript ランタイムで動作する前提で実装されたServerless（ JavaScript ）版の提供を開始しました。 CDN の前段でエッジプロキシとして動作させて認証・認可チェックを行うことで、 CDN によるコンテンツキャッシュを最大限活用することが可能になっています。 ここからは、新たに開発したServerless（ JavaScript ）版の全体構成や実装概要について説明します。 全体構成図 以下が、全体構成のイメージ図になります。 技術構成 実装概要 認証・認可プロキシのコアロジックはライブラリ化し、プライベートnpm リポジトリ からnpmパッケージとして利用者に配布しています。併せて、各 CDN エッジランタイムとのアダプターとなるnpmプロジェクトのひな形をいくつか提供するという形をとっています。「ポータブル」を意識し、コアロジックの実装では、特定のランタイムに依存しない API のみを使用しています（Fetch API など）。 ひな形プロジェクトでは、配布するnpmパッケージ内の API （コアロジック）を利用する形で、各 CDN エッジランタイムのハンドラー関数をデフォルトで実装しています。ハンドラー関数の他にも、認証・認可プロキシのアプリケーション設定およびカスタマイズのベースをあらかじめ実装しており、利用者が プログラマブル に設定を行ったり、カスタムロジックを追加したりできるようにしています。 例えば、アプリケーション設定については、ハードコードする以外の選択肢として、 環境変数 を埋め込んだり、Lambda@Edgeの場合には AWS AppConfigやParameter Storeといったサービスを利用するなどの選択肢を取ることが可能です。カスタマイズについては、コアロジック自体をカスタマイズすることや、フックして処理を追加することが可能であり、オリジナルのHTTPリク エス トを改変する（リク エス トヘッダーの追加、クエリパラメータの追加など）といったカスタマイズが可能です。 また、各 CDN エッジランタイムのビルド・デプロイ用のnpm スクリプト などもデフォルトで実装しており、利用者がアプリケーション設定とカスタマイズ実装にフォーカスできるようにしています。 プライベートnpm リポジトリ プライベートなnpm リポジトリ には Sonatype Nexus Repository の OSS 版を利用しています。構築した Nexus Repositoryはプライベートな Maven リポジトリ としての役割も兼ねており、iPLAss エンタープライズ 版の Java モジュールの配布にも利用しています。 Nexus Repositoryは OSS 版で Maven リポジトリ とnpm リポジトリ の両方に対応しており、とても重宝しています。 CDN エッジ（ランタイム） 現在、npmプロジェクトのひな形を配布している CDN エッジランタイムサービスは以下の3つです。 Cloudflare Workers Lambda@Edge Netlify Edge Functions それぞれのサービスの詳細説明はここでは割愛しますが、Workers、Node.js、Denoとあらゆる JavaScript ランタイムで実際に動作することが確認できています。今後も CDN エッジランタイムのトレンドを追いながら対応環境を拡大していきたいと考えています。 Webフレームワーク Webフレームワークとして、 unjs/h3 を採用しています。 h3は、 Nuxt 3 のサーバーエンジンの基となっているWebフレームワークです。 UnJS と呼ばれる JavaScript ライブラリ、ツール、ユーティリティ群を開発するプロジェクト（Nuxt開発チームを主導していたPooya Parsa氏が開発リーダーを務める）によって提供されているライブラリの一つです。 ミニマルかつポータブルを特徴とした高速なWebフレームワークであり、「 CDN エッジ上のあらゆる JavaScript ランタイムで動作させる」という今回の構想にマッチすると判断しました。また、Nuxt 3で利用されているライブラリであるということもあり、信頼性が高いという点も採用理由として挙げられます。個人的にVue.js/Nuxt.jsが好きで、Nuxt 3のキャッチアップをしているときにUnJSに出会いました（Vue.js/Nuxt.js好きというバイアスがかかっていることも否定できません）。 h3では、v1.8.0リリース時に Towards the Edge of the Web! を掲げており、Node.js環境でHTTPサーバーとして動作させる以外に、直接h3を使用するための2つのアダプタ（fetch互換の シグネチャ を持つWebAdapter、それ以外のプレーンな入出力オブジェクトを使用するPlainAdapter）が提供されました。これにより、Cloudflare WorkersやLambda@Edgeといった CDN エッジランタイムでh3を直接使用することが容易になりました（従来は、 unjs/nitro を使用するか、 unjs/unenv と組み合わせたカスタムコードを実装するしかありませんでした）。今回実装した認証・認可プロキシにおいても、各 CDN エッジランタイムのハンドラー関数の実装でこれらのアダプタを使用しています。 v1.8.0のリリースに関する詳細は、以下の公式ブログ記事をご参照ください。 https://unjs.io/blog/2023-08-15-h3-towards-the-edge-of-the-web Pooya Parsa氏の GitHub リポジトリ でいくつかのランタイムプラットフォームを対象としたサンプルが公開されています。興味があれば参照してみてください。 https://github.com/pi0/h3-on-edge 一方、今回実装した認証・認可プロキシの挙動としては、 認証・認可プロキシから直接レスポンスを返したいケース（未認証ユーザーのログイン画面へのリダイレクトなど） 後続の CDN にコンテンツ取得処理を委譲したいケース（コンテンツ閲覧が許可されるリク エス トなど） という2パターンが存在しており、特にLambda@EdgeやNetlify Edge Functionsでは、Webフレームワークの挙動（常にレスポンスを返す挙動）とマッチしていない点もあります。それらのサービスでは、ハンドラー関数の戻り値として、①のケースの場合はレスポンスオブジェクトを、②のケースの場合はリク エス トオブジェクトをリターンすることが期待されており、常にレスポンスオブジェクトをリターンする訳ではないためです。 Webフレームワーク自体を利用しないことも検討しましたが、検証の末、以下の理由から最終的にh3の採用を決めました。 h3には、上述のような挙動に有用な onAfterResponse 、 onError などのグローバルフックが存在すること h3の導入による処理のオーバーヘッドが少なく十分高速であったこと コアロジック実装の共 通化 ・簡易化ができると考えたこと（コアロジックでは、リク エス トやレスポンスを取り扱うイベントオブジェクトとしてh3の API のみを使用しており、ランタイム差異を意識しないで済む） 利用者側でのカスタムロジック実装時にh3が提供する便利なユーティリティを利用可能とすることで利便性向上に繋がると考えたこと h3が提供するユーティリティの一覧は以下のページで説明されています。 https://www.jsdocs.io/package/h3#package-functions その他の主要ライブラリ その他の主要な依存ライブラリを以下に列挙します。 ランタイム nanoid（IDジェネレータ） unjs/destr（高速な JSON パース） unjs/ufo（URL操作ユーティリティ） 開発用途 TypeScript（静的型付けを加えた JavaScript のスーパーセット） eslint（静的解析） vitest（ 単体テスト ） msw（テスト時の API モック） unbuild（ビルドツール） 終わりに 本記事では、iPLAssの新機能として CDN エッジで動作するポータブルな認証・認可プロキシを実装した話について紹介しました。昨今盛り上がりを見せている CDN エッジですが、一つの ユースケース ・実例としてどなたかの参考になれば幸いです。 現在、iPLAssでは積極的な機能強化・製品展開に取り組んでおり、同じチームで働いてくれる仲間を大募集しています。ご興味を持っていただいた方は是非採用ページをご覧ください。 私たちは一緒に働いてくれる仲間を募集しています！ 製品・プラットフォーム開発エンジニア 執筆： @ishida_yuma 、レビュー： @nakamura.toshihiro （ Shodo で執筆されました ）