皆さん、こんにちは！ゴルフ場の検索や予約サービスである「楽天 GORA」の UIチームです。

今回は、私たちがゼロから構築したデザインシステム「GRX(Gora ReX - Rakuten Experienceより)」の開発により、学び、達成したことをお話しします。

デザインシステムとは?

デザインシステムとは、企業のすべてのインターフェースのデザインと機能を定義する標準やコンポーネント、共通言語のことです。

ボタン、フォーム、テーブルなど、マージンのデザインを毎回決めるのではなく、明確な使い方の説明書のある既製の「レゴブロック」があると考えていただくとよいでしょう。

具体的には、デザインシステムとは、以下になります。

• デザイントークン: すべての製品で共通する基本プロパティ(色、フォント、スペーシングなど)のセット
• UIコンポーネント: ボタン、フォーム、テーブル、モーダルウィンドウなど、ユーザーインターフェース (UI) を構成する再利用可能な個々の部品
• パターンとルール: コンポーネントの連携方法や、各コンポーネントの使用方法
• ドキュメント: 新しくメンバーに加わった人でも、容易に仕組みを理解するための記録

デザインシステムの意義

開発スピード

デザインシステムによって、コンポーネントの準備が完了してテストを行う際に、既存のブロックから追加するだけですみます。そのため、ゼロからコードを書く必要がなくなります。

MVPを素早くローンチしたり、アイデアをテストする際には特に有用です。より完成度の高い製品開発が可能となるからです。

一貫性 = 認知度

一つの製品を利用したユーザーなら、別の製品の使い方も理解しやすくなります。
これにより、以下の効果が期待できます。

・UXの向上
・参入障壁の低減
・問い合わせの減少
・ブランド認知の強化

スケーラビリティ

デザインシステムによって、新しいプロジェクトであっても、ゼロからスタートする必要はなくなります。チームに新しい開発者やデザイナーが参加する際も、共通のシステムがあることで、彼らは各プロジェクトの独自のスタイルを学ぶ必要はなくなります。

負担の削減

プロジェクト毎のコンポーネント管理だったものから、コンポーネントが統一されることで、プロジェクトごとにデザインの更新は不要となり、一ヶ所を変更することで、すべてに反映されます。

品質

各プロジェクト毎にテストされていたコンポーネントが、一度のテストで済むため、バグが出にくく、整合性が高くなります。その結果、より品質の高い製品開発をより速く実施できます。

GRXの開発を実施した理由とその方法

独自のデザインシステムを開発するに至った要因は以下の2点です。

・チームの負担を軽減するため

・チームに一貫性のある成熟したプロセスを実装する必要性があったためデザインシステムは海外ではすでに標準であり、スタートアップではありません。楽天もグローバル企業として、デザインシステムを導入するタイミングがきていました。

初日から製品構築を実施

本プロジェクトでは、プロトタイプではなく、初日から、製品構築を実施することにしました。シンプルなボタンや入力フィールドから、カレンダーやデータテーブルのようなより複雑な要素まで、コンポーネントの完全なセットを計画しました。

GRXはVue 3 + TypeScriptで構築されています。最初から、Storybookでのドキュメント、Vitestでのユニットテスト、そしてビジュアルリグレッションテストなどの完全なインフラを整えました。

これほど本格的なアプローチを行った理由は、デザインシステムは3〜4個程度のコンポーネントのセットでは機能しないからです。少なくとも基本的な要素がカバーされていなければ、インターフェースを構築できず、製品は従来のスタイルのままになり、効果がないのです。

図: Storybookのコンポーネントページの例。開発者とデザイナーがすべてのpropsを確認し、コンポーネントがどのように機能するかの例を見られる、唯一の信頼できる情報源。

開発の状況

当初GRXに取り組んでいた開発者は一人だけでした。そのため、基本的なコンポーネントを含むベータ版がリリースされたのは6ヶ月後でした。モーダル、カレンダー、コンボボックスを含むより完全なシステムの完成は1年後です。

初期バージョンが完成し、概念実証を実施した後、より早く開発することになり、まず開発ローテーションで実装を行いました。各チームメンバーが1〜2ヶ月間手伝うことになり、内部オープンソースプロジェクトのように、少なくともそれぞれ一つのタスクを担当しました。

しかし、この試みでは、期待ほど開発のスピードアップにはつながりませんでした。

それは、メンバーの経験知が異なっていたこと、主要プロジェクトに加えた作業が負担になったこと、新しい製品であるGRXに深く関わることの難しさなどが理由として挙げられました。最終的に、私たちは2人目の専任の担当者を割り当て、問題を解決しました。

この経験から、デザインシステムは専門的な技術を持つ、専任のチームがあたるべきだと考えます。そうなれば、デザインシステムの安定性が担保され、他のプロジェクトの影響を受けずにすむでしょう。一般的に、専任のデザインシステムがあることが、グローバルでは標準なので、当社でもいずれそうなることを願っています。

デザインプロセスの構築

デザインシステムは開発者だけではなく、デザイナーも同じくらい重要な役割を果たすため、この点で新たな課題が生じました。

1年間で、デザイナーが3回交代しましたが、全員がデザインシステムの経験があったわけではなく、徐々に原則を理解し、熟練していく必要がありました。

デザイナーの最大の課題は、従来の思考を変えることです。今まで、デザイナーは特定のタスクのために、任意のコンポーネントを作成してきましたが、今回はシステム的に考える必要があります。既存のソリューションを使用するか、新しいものが必要な理由を説明するかです。

もう一つの課題はFigmaのインターフェースです。Figmaのインターフェースは、システムロジックを変更する必要がある場合でも、通常のプロパティのようにコンポーネントトークンを変更することが可能です。そのため、デザインシステムに慣れていないデザイナーはコンポーネントのpropと同じくらい簡単に変更しようと考えてしまいます。しかし、そうすることで一貫性がなくなるため、コードは機能しなくなります。そのため、モックアップに戻ってやり直さざるを得なくなるでしょう。

これらのデザインの問題点に対して、7年のデザイン経験とデザインシステムでの作業経験を持つ、メインGRX開発者が大きな助けとなりました。彼はデザイナーに技術的な制限を説明し、開発者とデザイナーとの橋渡し役となりました。この働きは、基本的なプロセスの構築と、デザインシステムの理解の確立に非常に役立ちました。

今後、同様の不備を防ぐために、デザインシステムの理解を確立するプロセスを強化し、社内でトレーニングコースを設けることを計画しています。このトレーニングは、デザイナーだけでなく、将来デザインシステム(特にGRX)の使用を検討しているチームにとっても有用です。システマティックなアプローチを簡素化し、新しいプロジェクトでの実装をスムーズにすることがこのトレーニングの目的です。トレーニングに興味がある方は、ぜひお問い合わせください。

図: Figmaのコンポーネントページの例。デザイナーはすべての制限とガイドラインを文書化し、すべてのコンポーネントバリアントを組み立てます。このドキュメントはデザイナーが準備します。

意識改革：GRXはツールではなく、製品である

最も予想外の課題は、技術的なものではなく、私たちの意識でした。

当初は、私たちはGRXを通常のツールであり、各特定のプロジェクトのニーズに合わせて調整できるものと考えていました。例えば、「ここの角を少し変えましょう」とか「このケースでは、このコンポーネントを少し違うものにできますか?」といった感じにです。

しかし、デザインシステムは製品であるため、独自のユーザー(デザイナーと開発者)、独自のロジック、独自の制限とルールがあります。また、その完全性を壊さずに「フィットさせる」ことはできません。ツールはタスクに適応しますが、製品は使用のルールを設定するものだからです。

各チームがニーズに合わせてコンポーネントを修正し始めたら、以前の一貫性のない状態に戻ってしまいます。デザインシステムは、みんなが同じルールで運用されているときにのみ機能します。

意識改革は簡単ではありませんでしたが、GRXを製品として扱い始めたとき(独自のドキュメント、ロードマップ、機能リクエストプロセス、バグ処理を含む)、うまく機能し始めました。もちろん、まだすべての場所で機能するには、さらに時間が必要です。

開発者からのフィードバック

GRXデザインシステムを組み込むことにより、以下の効果が得られました。

・EOLプロジェクトで時間短縮が可能となる

・チームがビジネスロジックに集中できる

しかし、もちろん課題もありました。

初期段階の実装であったため、一部のGRXコンポーネントにバグがあり、開発またはQAフェーズ中に修正する必要がありました。

これは、初期段階で準備しておく必要がある事象です。いくつかの複雑なコンポーネント(Combobox、Calendar、Datepicker)は、プロジェクトと並行して、厳しい締め切りの中で作成されました。そのため、この場で修正しなければならないバグや、不十分な機能が生じてしまいました。理想的ではありませんが、スピード感のある開発を実施するためのトレードオフだと考えています。

また、デザイナーとエンジニアリングチームが、コンポーネントの使い方について見解が違うことがあります。それは、役職によって、コンポーネントを異なる視点で見ているので、当たり前のことです。初期段階でしっかりとコミュニケーションをとり、複雑なコンポーネントの議論にすべての役職(プロダクトマネージャーを含む)を関与させることが解決策となります。

経験を積むことで成長できる

GRXを使用するプロジェクトは初めて実施するので、課題をクリアする経験を積むことで、GRXをより安定的に扱うことができるようになります。

私達は課題を解決することを投資と考えています。最初のプロジェクトは困難が多く、時間がかかりますが、次のプロジェクトは、その分時間も短縮できます。

GRX開発者が、システムを正しく発展させるためには、デザイナーの構造化されたフィードバックが重要です。また、ユニットテストとVRTだけでは不十分でした。そのため、本番環境の前にバグをキャッチできるように統合テストとe2eテストを実施する必要が明らかになりました。

図: Vitepressドキュメントのコンポーネントページの例。開発者が必要とするprops、slots、events、コードスニペット付きの使用例などが含まれる。

制限は機能であり、バグではない

主なフィードバックとして、柔軟性が低くなり、作業が難解になったという指摘もあり、これは事実です。現在では、「好きなように」コンポーネントの新しいバージョンを作成できません。既存のものを使用するか、新しいものが必要な理由を説明しなくてはいけません。

しかし、これが重要な点で、制限は、以下のような理由から、ビジネスのために必要なことなのです。

• 制限によって、細部についての議論に費やす時間が減る
• 時間を節約できるため、実際のユーザーの課題解決により集中できる
• 各ソリューションがすべての製品にスケールする
• 基盤が準備されているため、新しいプロジェクトが速く始められる

デザインシステムの導入当初は、時間がかかります。しかし、新しいツールの使い方を学ぶときは、どんなものでも同じです。一度導入できれば、その後の開発スピードは何倍も早くなるでしょう。

現在の状況と今後の展望

約1年半で私たちは、50のコンポーネントを開発しました。コンポーネントは、シンプルなボタンから複雑なデータテーブル、カレンダーまでそれぞれにドキュメントとテストがあり、製品として完成されたものです。また、すでにGRXを使用した3つのプロジェクトをリリースしました。
*RBS Lesson、OB Line、Green Trimming Toolなどの社内ツール。

実際にGRXがどのように機能するか、理解していただくために、RBS Lessonのページを以下に提示します。このページはトークンとコンポーネントの両方を実装したもので、タイポグラフィ(タイトル、サブタイトル、コンテンツ)にGRXトークンを使用し、GrxButton、GrxCalendar、GrxSidebar、GrxTableなど、複数のGRXコンポーネントを使用しています。

図: GRXで構築されたRBS Lessonのページ。

これまでのプロジェクトは、まだ始まりに過ぎません。近いうちに、さらに多くのプロジェクトへの展開を計画しています。私たちの直近の計画は以下の通りです。

パターン

コンポーネントに加えて、典型的なシナリオ(ログインフォーム、フィルター付きテーブル、ダッシュボード)のために、既製のソリューションであるパターンを作成します。パターンの作成によって、チームはインターフェースをさらに速く構築できるようになります。

他のプロジェクトやチームへの展開

私たちは、部門内だけではなく、社内の他のチームへのGRXの適応を支援することが可能です。ライブラリにアクセスできるようにするだけではなく、チームのトレーニング、プロセスの設定、テーマ設定の実装を支援しています。

テーマ設定

現時点のGRXは、テーマトークンの変更のみ可能です。しかし、よりスケールアップを図るには、他のチームや製品が個々で設定を変更できるようにする必要があるでしょう。そのため、Tailwind(CSS フレームワークのこと)と同様に、プロジェクトレベルで、よりグローバルなコンポーネント設定を可能にする計画です。

モバイルデバイス

モバイルアプリケーションへのGRXの適応を検討しています。いずれは、すべてのプラットフォームでユーザー体験を一貫させる予定です。

他のフレームワークへの対応

現在、GRXはVueで構築されていますが、チームによって使用する技術が異なることをよく理解しています。私たちにとって重要なのは、どのフレームワークを使用するかではありません。デザインの一貫性を保ち、情報源を一つにまとめることです。

デザインの一貫性を保つための方法は、以下の2つが挙げられます。1つは、ReactやSvelteのような各チームのフレームワークに向けて、GRXを適応させるための支援を実施して、一緒に構築することです。これにより品質と一貫性は保証されますが、継続的なコラボレーションと長期的なコミットメントが必要です。専任のGRXチームが実施すれば、スムーズに実施しやすくなるでしょう。

もう1つは、フレームワークに依存しないアプローチです。デザイン・トークンとガイドラインを提供し、各チームが独自に適応できるようにします。この方法は導入しやすいですが、一貫性が失われるリスクが高く、各チームが同じ問題を何度も自分たちで解決する必要が生じるでしょう。そのため、今のところ、私たちは最初のアプローチがより良いと考えていますが、このことも引き続き議論中です。

お互いに経験談を共有しませんか?

私達はGRXの開発を続けており、同じ問題の解決にあたっているみなさまと経験と知見を共有したいと考えております。

私達のチームは、みなさまと以下のような情報交換を通じて、相互に貢献できると確信しています。 

• GRXがどのように機能するかを示す
• デザインシステムの実装へのアプローチについて議論する
• 私たちが直面したレッスンと課題を共有する

デザインシステムは単なるコンポーネントライブラリではありません。開発のスピードをアップし、製品をより良くするシステマティックな作業の文化だと私達は考えています。

※掲載内容は2025年12月12日時点のものです。

レジャープロダクト部(LPD)のエンジニアによる以下のテック記事も併せてご覧ください。

commerce-engineer.rakuten.careers

はじめに

こんにちは、レジャープロダクト部の楽天ビューティでアプリケーションエンジニアをしているKentaです。楽天ビューティは、ユーザーがサロンを検索・予約したり、サロンが設定や予約状況を管理したりするためのサービスです。この記事では、Keycloakを使用したOAuth2.0プロトコルに準拠した認証・認可プラットフォームを構築した経験について共有したいと思います。

当社には連携機能があり、サロンオーナーの同意を得て、サロンの在庫データをパートナー企業に提供しています。この連携機能は、サービス初期から運用されている比較的古い機能です。パートナー企業がサロンに代わってログインし、管理アプリケーションにアクセスして連携を実施していました。

近年、より現代的なアプローチや手法を取り入れるために、連携機能を更新することが議論されてきました。そして昨年、連携のためのAPIを提供し、認証と認可を管理するこの刷新に取り組むことを決定しました。

今回の刷新において、APIを他社に公開するのが初めてだったため、認証・認可に業界標準のアプローチをどのように実装するかが主要なポイントでした。検討の結果、Oauth2.0プロトコルを使用し、認証サーバーとしてKeycloakを使用することにしました。

Auth2.0とKeycloakを選んだ理由

Oauth2.0は、ウェブサイトやアプリケーションが、ユーザーに代わって他のウェブアプリケーションがホストするリソースにアクセスできるように設計された標準です。2012年にOAuth 1.0に代わり、現在ではオンライン認可の事実上の業界標準となっています。一般的に、以下のフローに従います。

1.クライアントは、認証サーバーに認証を要求し、認証情報（クレデンシャル）を識別情報として提供します。

2.認証サーバーはクライアントを認証し、要求されたスコープが許可されていることを確認します。

3.リソースオーナーは、認証サーバーとやり取りしてアクセスを許可します。

4.認証サーバーは、グラントタイプに応じて、認証コードまたはアクセス/リフレッシュトークンをクライアントにリダイレクトします。

5.クライアントは、アクセストークンを使用して、リソースサーバーからリソースへのアクセスを要求します。

(参照: https://auth0.com/intro-to-iam/what-is-oauth-2 )

このプロトコルを選んだ理由は以下の通りです。

*安全で信頼性の高いプロトコルであり、多くのアプリケーションで広く採用されている。

*第三者アプリケーションがデータオーナーの承認を得てリソースにアクセスする必要があるという当社の要件に合致している。

*広く採用されているプロトコルであるため、両者が実装すべき内容が明確かつシンプルである。

Keycloakは、JavaベースのOSS製品で、IDおよびアクセス管理のためのものであり、ユーザーフェデレーション、強力な認証、ユーザー管理、きめ細かい認可などの機能を提供しています。また、RedHatの一部門であるWildFlyによって開発され、Apache License Version 2.0の下でライセンスされており、活発なオープンソースコミュニティがあります。

上の図は、セキュアなAPIアクセスを実現するための最終的なアーキテクチャを示しています。

大まかに、準備のために行った手順は以下の通りです。

このプロトコルを選んだ理由は以下の通りです。

*安全で信頼性の高いプロトコルであり、多くのアプリケーションで広く採用されている。

*第三者アプリケーションがデータオーナーの承認を得てリソースにアクセスする必要があるという当社の要件に合致している。

*広く採用されているプロトコルであるため、両者が実装すべき内容が明確かつシンプルである。

Keycloakは、JavaベースのOSS製品で、IDおよびアクセス管理のためのものであり、ユーザーフェデレーション、強力な認証、ユーザー管理、きめ細かい認可などの機能を提供しています。また、RedHatの一部門であるWildFlyによって開発され、Apache License Version 2.0の下でライセンスされており、活発なオープンソースコミュニティがあります。

上の図は、セキュアなAPIアクセスを実現するための最終的なアーキテクチャを示しています。

大まかに、準備のために行った手順は以下の通りです。

Keycloakを選んだ理由は以下の通りです。

・ライセンス料がかからない。

・比較的簡単に統合できるにもかかわらず、最新のセキュリティ標準をサポートおよび準拠しており、本番環境での使用に十分な機能とパフォーマンスを備えている。

・多くのカスタマイズが可能であり、特にユーザー認証やアクセス許可における当社サービス固有の仕様を満たしていた。

・大規模なオープンソースコミュニティが存在し、カスタマイズで困難に直面した場合に役立つと考えられた。

上の図は、セキュアなAPIアクセスを実現するための最終的なアーキテクチャを示しています。

大まかに、準備のために行った手順は以下の通りです。

Keycloakサーバーの準備

Keycloakイメージの選択

カスタマイズ

カスタムプロバイダーの実装

Keycloakは、ユーザーとそのアクセス権、認可などを管理するための多くの機能をサポートしています。ただし、これらの標準機能だけでは、ビジネスニーズや仕様をカバーできない場合があります。Keycloakはカスタムプロバイダーを提供しているため、独自のニーズに合わせたソリューションを実装することで機能を拡張できます。

統合方法は非常に簡単です。目的は、1つ以上のサービス実装を含むjarファイルを用意し、Keycloakが認識できる場所に配置することです。起動時に、Keycloakはクラスパスをスキャンし、標準のjava.util.ServiceLoaderメカニズムを使用して利用可能なすべてのプロバイダーを選択します。

Gradleプロジェクトの作成

Keycloakのサービスプロバイダーインターフェース（SPI）を使用して、独自の実装クラスを作成

拡張したいインターフェースにちなんで名付けられたサービス定義ファイルをプロジェクトに追加し、実装の完全修飾名を含めます。

# SPIクラスの実装

full.qualified.name.of.YourImplementation

```

Dockerfileを更新して、JARが指定されたディレクトリに配置されるようにします。

```

FROM quay.io/keycloak/keycloak:latest as builder

...

# プロバイダーJARファイルをプロバイダーディレクトリに追加

ADD --chown=keycloak:keycloak --chmod=644 myprovider.jar

/opt/keycloak/providers/myprovider.jar

…

# コンテキスト: ビルドコマンドを実行

RUN /opt/keycloak/bin/kc.sh build

```

構成の適用

Keycloakは、環境変数やCLIオプションを介して、ロギング、データソース設定、機能の有効/無効化などの構成のカスタマイズを提供します。

Jenkinsジョブの作成

アプリケーションのデプロイはJenkinsで管理しているため、イメージをビルドし、必要なKubernetesコンポーネントを適用するためのJenkinsジョブを作成しました。

トークン検証サービスの準備

oauth2.0はjwtアクセストークンで動作するため、トークンが有効で、リクエストがアクセススコープに従っている場合にリクエストを認可できるサービスを準備する必要がありました。

一般的に、このトークン検証はオンラインまたはオフラインのいずれかの方法で実行できます。

*オンライン：トークンの使用が試行されるたびに、Keycloakがサポートするトークン検証エンドポイントを呼び出す。

*オフライン：トークンをローカルで検証する。

クライアントからのリクエストがあるたびにKeycloakサーバーにアクセスすることによるオーバーヘッドが懸念されたため、オフライン方式を使用することにしました。また、ユーザーが無効になったらすぐに終了するのではなく、アクセストークンをそのTTLまで有効にする仕様としました。その他、リソースAPIへのリクエストをインターセプトし、それに応じてトークンを検証するサービスも実装しました。

これで実装完了です。連携機能のための認証・認可プラットフォームを構築することができました。

感想

Keycloakを初期実装から運用してきた中で、技術的な感想をいくつか共有しようと思います。

*非常に簡単かつ迅速に始めることができます。必要な構成に注意すれば、短時間でサーバーを起動できます。

*カスタムプロバイダーを使用すると、機能を簡単に拡張できますが、Keycloakのその部分がどのように機能するかをある程度学習する必要がありました。カスタマイズの複雑さと、拡張するために知っておくべきことは、仕様がより「カスタム」になるほど明らかに増加します。したがって、機能のカスタマイズの範囲が広い場合は、Spring Authorization Serverのようなフレームワークを利用して、関数に対するオーナーシップを高めることを検討するかもしれません（追加の労力を許容できる場合に限ります）。

*更新は頻繁かつタイムリーであり、セキュリティ関連のコンポーネントにとっては非常にありがたいことです。ただし、バージョン間のパッチのサポートは限られています。最新のメジャービルドのみがアクティブな開発とセキュリティ修正を受けます。最高のものを得るには、比較的短い期間でバージョン更新を処理する準備が必要です。

*高可用性アーキテクチャに関する具体的な手順はあまりないようです。コンセプトガイドと設計図は利用できるため、出発点として参照し、そこからソリューションを構築できるはずです。

個人的な感想として、認証・認可のソリューションに取り組むことで、当社のサービスのモダン化に大きく貢献できたと感じます。私にとっては不慣れな分野でしたが、この適応を学び、Keycloak実装プロジェクトを成功裏にやり遂げる機会を得られたことを嬉しく思っています

終わり

ここまでお読みいただきありがとうございました。

認証・認可方法を検討したい方、開発者が何に取り組んでいるのかを見たい方にとって、この記事が役立つことを願っています。

corp.rakuten.co.jp

楽天ペイ（オンライン決済）で Tech Lead をしている Nana です。今回は私たちが運営する「楽天ペイ」での高可用性/耐障害性 (以下、HA/DR)を向上させるための具体的な取り組みを紹介していこうと思います。

前回の記事では、私たちが第一弾として「楽天ペイ」という大規模サービスを運営・管理する中で培ってきたアプローチ方法をより一般的な説明として取り上げました。興味のある方は是非合わせてご覧になってください。

HA/DRを向上させるための5ステップ

前回の記事でもHA/DRを達成していくための5つのステップについてはお伝えしていますが、再掲です。「楽天ペイ（オンライン決済）」を運営している私たちのチームでも以下の５つのステップ通りに沿って、HA/DRを向上させています。

5ステップとは？

Step 1. HA/DRにおける目標を設定：事業継続計画 (BCP) における3つの(RLO/RTO/RPO)を設定する

Step 2. Portability (移植性)：開発したアプリなどの資産がどのような環境でも容易に動作し、また動作環境の再現も容易である状態を目指す

Step 3. Retry-Ability (リトライ容易性)：処理フローにリトライ処理を含める、あるいはユーザー操作によるリトライ処理を可能にするなど、リトライ処理が容易に行えるシステム設計を目指す

Step 4. Redundancy (冗長性)：システムを多重化することで、一部のシステムが不具合などで正常に動作しない場合でも、全体を通してシステムが正常に稼働する状態を目指す

Step 5. Resiliency(回復性)：システムが完全にダウンしてしまった場合でも復旧できるような状態を目指す

詳細は、前回の記事をご覧ください。

Step 1: HA/DRにおける目標を設定する

※社内戦略や具体的な数値などが含まれてしまうため割愛します。

Step2: Portability (移植性)を向上させる

私たちの場合、機能やサービス毎にアプリケーションレベルではコンテナ化、インフラストラクチャレベルでコード化できる部分をそれぞれ整理し、移植性を担保する取り組みを行なっています。

1. アプリケーションレベルでのコンテナ化

主にアプリケーションレベルでのモジュール化とは、コンテナ化を意味します。コンテナビルダーとしては、最新のトレンドとしてはBuildpacksの利用もあり得ますが、私たちは現在Dockerfileを用いてイメージ化しています。

Dockerfileを利用する場合は自由度が高い分、セキュリティ、再現性の観点で事故が発生しやすくなります。防止策として全アプリケーションが共通して利用するベースイメージを準備しておき、それらを各アプリケーションで利用することで事故を防ぐ工夫を行っています。

2. インフラストラクチャレベルでのコード化

インフラストラクチャにおけるコード化は、Infrastructure as Code(以下、IaC )とも呼びます。IaCの取り組みを進めた上で、サービスの拡大と共に徐々にインフラ構成をモジュールとして利用できるよう準備すると良いでしょう。

私たちの場合、Terraformを利用してActive・Standby用の複数環境のインフラ構成を一括で管理しています。統一化されたモジュールを利用することで最小の設定で効率的に複数の環境を構築・管理することができます。

IaCを進めていく上で重要なことは、手作業を廃し、メンバー全員にインフラストラクチャに対する理解を深めていくよう促すことです。手作業は再現性を低めバグや想定外のエラーを発生させる原因となります。手作業を排除していくためには、全てのエンジニアのインフラストラクチャに対する苦手意識（特にNW、セキュリティ周り）を取り除き、メンバー全員がIaCへの理解を深めた状態となるのが理想です。

私たちのチームでも、約2年の歳月をかけて徐々にチームメンバーへIaCを基準とした開発体制を浸透させていく事ができました。例えば、インフラの構成変更が発生するような場合、アプリケーションエンジニアに対してインフラエンジニアがレビュアーとして協力できる体制を作る、あるいは機能開発前にアプリケーション・インフラエンジニアを交えて設計する等、小さな成果を積み重ねてきました。それでも常に改善の余地があるため、現在でもメンバー同士でさらに良いインフラ構成について考えています。

Step3: Retry-ability (リトライ容易性) を向上させる

「楽天ペイ（オンライン決済）」の場合では、エラーが発生した際でも単にデータの不整合がなく処理前の状態へリカバリさせるだけでなく、データ処理を完了させた状態へ前進させることを目標としています。

一般的にはいくつかのリトライに関わるデザインパターンがあり、例えば補償トランザクションなどではエラーが発生した際には処理のキャンセルをかけていきますが、私たちのサービスでは、なるべく決済処理を完了させられるよう一度依存サービス側のステータスを確認し、処理に進めるか戻すかを決定するようなロジックを取っています。そのため場合によっては、再度リクエストを投げることなく意図した処理が完了させられます。

また依存サービスとの通信が断続的に失敗しているケースでは、キャンセル処理の通信が失敗してしまうので補償トランザクションのみではデータの整合性を完全に担保することはできません。そういったケースを想定し、別プロセスで定期的に依存サービスとの不整合を解消するための突合処理（Reconcile Process）を非同期処理として行い、補完的にデータの整合性を担保しています。

Step4: Redundancy (冗長性) を担保する

私たちの場合、パブリッククラウドを利用しているため、インフラレイヤーでは基本的にはAvailability Zone(以下、AZ)を有効にした上で、インスタンス数を2以上にすることで冗長性を担保しています。アプリケーションレイヤーではAZにまたがるKubernetes (以下、k8s)上で動かしながら、インスタンス数を2以上にすることで冗長性を担保しています。しかし、実はこれだけではアプリケーションレイヤーの可用性は完全ではありません。

k8sでは更に可用性を上げるため、以下のような設定を行っています。

上記の設定については、以下のようなDeployment Yamlファイルにて設定が可能です。

Deployment Yaml

apiVersion: policy/v1 kind: PodDisruptionBudget ... spec: minAvailable: 50% selector: matchLabels: app: <app-name> ... apiVersion: apps/v1 kind: Deployment ... spec: replicas: 2 template: spec: affinity: podAntiAffinity: requiredDuringSchedulingIgnoredDuringExecution: - labelSelector: matchExpressions: - key: app operator: In values: - <app-name> topologyKey: "kubernetes.io/hostname" nodeAffinity: requiredDuringSchedulingIgnoredDuringExecution: nodeSelectorTerms: - matchExpressions: - key: app-category operator: In values: - web containers: - name: <app-name> … resources: limits: memory: 1024Mi cpu: 1000m readinessProbe: ... livenessProbe: ...

Step5: Resiliency(回復性) を向上させる

私たちは現在、複数のシステムを複数用意し待機させておくActive-Standbyの構成としていますが、一般的には以下のような3つの区分に分けて環境を準備します。事前にStep1で設定した目標復旧時点（以下、RPO）や、どの程度の運用コストや復旧時間 (以下、RTO)を要するのかなどを計算し、最適な施策の組み合わせを検討した上で、実装しました。

HA/DRを進める上ではRTO/RPOと運用コストの間の費用対効果を高めるために、３つの区分をどのように組み合わせて環境構築するかがとても重要です。

また忘れがちですがOn-Demandで事前にバックアップ環境をコード化する際には、セキュリティ監査やNW系の設計・疎通を受けた上でリソースを削除して、再現性が高く安全にゼロから作ることを保証しましょう。

最後に本番環境と待機系の参考システム構成を図示します。特筆することとしては、ユーザからのリクエストはGSLBで常に受け付けており、また環境を速やかにスイッチできるよう本番・待機系の両環境へ事前に待機系のIPやドメインの情報を含むよう設計し、GSLB に登録させておきます。

k8sのwarm standbyについては想像がつきにくいかと思いますが、マスターノードのみを維持してアプリケーションはデプロイせずワーカーノードを0台として縮退運用をしています。もし問題が本番環境で発生した場合には、エンジニアは待機環境のリソース群の作成や、本番環境への昇格等を行った後にGSLBからの経路を変更することでシステム回復を目指します。

またいつ問題が発生した場合であっても速やかにバックアップ環境から本番環境への移行作業が行えるように、定期的にシステムの防災訓練をかねた手順の検証を行っています。

まとめ

いかがだったでしょうか。今回は、楽天ペイ（オンライン決済）で実際のインフラ構成に落とし込んだ場合での例をご紹介しました。

前回の記事と併せて、これらの記事が少しでも皆さんが実際にアクションを起こすための参考となれば幸いです。ここまで読んでくださってありがとうございました！

corp.rakuten.co.jp