ISUCON8 の本選問題は、競技者がコントロールできない外部 API 呼び出しを多数含んだ出題内容でした。

講評では、

サービスの特性を適切に分析した上で、まとめるところはまとめたり、遅延させるところは遅延させるなど

……とさらっと書かれていますが、実際そんなことを短時間で分析することは可能なのかよ！という話題が競技後の懇親会でもあったので、それ AWS X-Ray でできるよ、というエントリをまとめておきたいと思います。

今回の解析は Perl 版の初期実装に対して行ったものですが、なぜ Perl かというと AWS の公式 SDK にない X-Ray 関連の CPAN モジュールを自分が書いているので、その宣伝も兼ねています。(blogエントリ書いてなかった)

• AWS::XRay
• Plack::Middleware::XRay
• Devel::KYTProf::Logger::XRay

Go, Java, Node.JS, Ruby, .NET については、公式 SDK が提供されています。正直うらやましい。

どのように解析するのか

X-Ray のトレーシングをするためにソースコードに多少の手を加えてからベンチマークを実行すると、AWS console の X-Ray の画面で GUI で可視化ができます。

これは文章で説明するのが大変なので、画面キャプチャを貼りながら進めていきます。X-Ray へアプリケーションからどのようにしてデータ(トレース) を送信するかは最後にまとめます。また、競技時の初期実装では静的ファイルをアプリケーションが処理していてノイズが多いので、静的ファイルは nginx が配信するように変更した状態からはじめます。

まず、X-Ray へトレースを送信してしばらくすると、このようにサービス (丸いやつ) がグラフになった画面が出てきます。

Clients から、isucoin というサービスに矢印が伸び、そこから Isubank, Isulogger, Isucoin::Model, DBI, DBI::st, Furl::HTTP というサービスが呼び出されているのが可視化されています。

isucoin サービスをクリックすると、このサービスのレスポンスタイムがヒストグラムになって出てきます。 そのまま「トレースの表示」をクリックすると…

URLごとに平均レスポンスタイム、呼び出し回数などがサマライズされています。

ここで平均 1.6 sec といういかにもヤバそうな http://isucoin:5000/info?cursor=0 をクリックすると、その URL のみでフィルタリングされたトレースのリストが下に表示されます。

一番上の 1.3 sec 掛かっているものを開くと…

レスポンスタイム 1.3 sec のうち、どのような処理にどれぐらいの時間が掛かったのかがタイムラインとして表示されます。 495msec 掛かっている DB へのクエリ (DBI::st) があるので詳細を見てみましょう。

SELECT * FROM trade ORDER BY id DESC でテーブル全件23万行を読み取っている、問題のクエリが出てきます。これは結果的に1行しか使われないので、LIMIT 1 を付けるべきやつですね。

このクエリの親 (ひとつ上のサブセグメント) の詳細を見ると、Isucoin::Model の get_latest_trade メソッドから呼ばれていることが分かります。

ということで、当該メソッドのコードを修正し、LIMIT 1 を付けて再度ベンチを実行したあとに X-Ray を見ると

レスポンスタイムの分布が最初とは変わりました。1秒ぐらいにかけて盛り上がっていた山が消えています。

先ほどと同様に http://isucoin:5000/info?cursor=0 を選択してひとつのトレースを見てみると、

最初のクエリは 9.2 msec になっていました。

LIMIT 1 したことにより、23万行読み取っていたのが1行になっているのが確認できます。

外部 API 呼び出しの解析

ここまでは外部ではなく DB へのクエリの解析だったので、X-Ray によらずとも slow query log の解析でも把握できるものでした。

次に、外部 API のうちのひとつ、ISUBANK への API 呼び出しを解析してみましょう。

Isubank サービスを選択すると、そのサービスのみのレスポンスタイムの分布が表示されます。 100ms 以下のものが大半ですが、300ms 前後にも山があるのが観測できます。

300ms付近を選択してズーム

トレースを表示すると…

service("Isubank") { responsetime >= 0.215 AND responsetime <= 0.561 } という条件で抽出されたトレースのみが表示されています。 300ms前後の時間が掛かる Isubank の呼び出しは POST /orders からしか実行されていないことも分かります。

このトレースはいろいろ突っ込み所が多いのですが、今は 300ms 前後の Isubank 呼び出しを目的にしているのでそれを見ると…

commit であることが分かります。 このようにしていくつかのトレースを見ていくと、bank で 300ms かかるやつは commit だけだな…ということも見えてくるはずです。

丸見えですね。

アプリケーションへの組み込み

これまで見てきたようなトレース情報は、アプリケーションから直接 AWS の X-Ray API へ送信されているわけではありません。

アプリケーションからは UDP で X-Ray daemon というプロセスへトレース情報を送信し、X-Ray daemon が適宜バッファリングして AWS API に送信する、という作りになっています。UDP で送信するため、X-Ray daemon になにか問題が発生しても、アプリケーションはブロックせずに動作できる仕組みです。

X-Ray daemon の用意

ということで、まず X-Ray daemon をどこかで動かす必要がありますが、今回の初期実装は docker-compose なので、そこで動作させましょう。公式の Docker image は特に用意されていないようなので、ドキュメントに従って適当に Dockerfile を用意します。

webapp/xray/Dockerfile

FROM amazonlinux
RUN yum install -y unzip
RUN curl -o daemon.zip https://s3.dualstack.us-east-2.amazonaws.com/aws-xray-assets.us-east-2/xray-daemon/aws-xray-daemon-linux-2.x.zip
RUN unzip daemon.zip && cp xray /usr/bin/xray
ENTRYPOINT ["/usr/bin/xray", "-b", "0.0.0.0:2000", "--local-mode"]
EXPOSE 2000/udp

docker-compose.yml

services:
  isucoin:
    environment:
       # 略
      AWS_XRAY_DAEMON_ADDRESS: 'xray:2000'
    links:
      - mysql
      - xray
  xray:
    build: xray
    environment:
      AWS_REGION: "ap-northeast-1"
      AWS_ACCESS_KEY_ID: "xxxxx"
      AWS_SECRET_ACCESS_KEY: "zzzz"

AWS 外で動かす場合は access key を使用することになりますが、ISUCON のような他者が触れる環境で使用する場合は付与する権限に細心の注意を払ってください。X-Ray への write 権限のみの IAM user を作成し、その key を使用して、必要がなくなったら速やかに無効化するのをお薦めします。

Perl 実装への AWS::XRay 組み込み

Plack の entrypoint である app.psgi で、Plack::Middleware::XRay を有効にします。また、DBI, Furl などのトレースは Devel::KYTProf を利用し、Logger を置き換える形で取得するのでその設定もします。

# app.psgi

use Devel::KYTProf::Logger::XRay;
use AWS::XRay;
Devel::KYTProf->logger("Devel::KYTProf::Logger::XRay");

# (中略)

builder {
    enable 'XRay',
        name => 'isucoin';
# (後略)

これだけ (5行追加) で、Devel::KYTProf でプロファイルが取得できるものについてはすべてトレースが取得されるようになります。

さらに今回は、Isucoin::Model, Isulogger, Isubank の各モジュールのメソッド呼び出しもトレースするため、以下のコードも app.psgi に追加します (builder の前に)。長く見えますが、やっていることは AWS::XRay->add_capture() に各 package のメソッド名を渡しているだけです。

my $captures = {
    Isubank   => [qw/ check reserve commit cancel /],
    Isulogger => [qw/ send send_bulk /],
    "Isucoin::Model" => [qw/
       init_benchmark set_setting get_setting send_log
       user_signup user_login get_user_by_id get_user_by_id_with_lock
       get_orders_by_user_id get_orders_by_user_id_and_last_trade_id
       get_open_order_by_id get_order_by_id get_order_by_id_with_lock
       get_lowest_sell_order get_highest_buy_order fetch_order_relation
       add_order delete_order cancel_order get_trade_by_id
       get_latest_trade get_candletick_data has_trade_chance_by_order
       reserve_order commit_reserved_order
       try_trade run_trade
   /],
};
for my $package (keys %$captures) {
    AWS::XRay->add_capture($package, @{$captures->{$package}});
}

Class::Inspector->methods などを使ってすべてのメソッドを自動で追加することもできますが、export された encode_json など、トレースに不要なメソッドまで追加されてしまうので列挙することにしました。

この記事の前半で行った解析に必要なことはこれだけです。この状態でアプリケーションを実行すると X-Ray へトレースデータが送られ、可視化されることになります。

なお、この状態ではすべてのトレースを送信するので、料金が問題になる可能性があります。Plack::Middleware::XRay ではサンプリングレートの設定、条件付きサンプリング (結果のステータスコードやレスポンスタイムの条件を見て、一致した場合だけトレースを送信する) こともできるので、詳しくは Plack::Middleware::XRayのドキュメント を参照してください。

トレース取得に伴うオーバーヘッド

トレースの取得処理は、対象の関数を wrap して実行時間などを計測するコードを挿入するだけのため、実アプリでのオーバーヘッドは大きくありません。

実測では、1リクエストにつき100個のトレースを取得した場合でも2ms程度のCPU時間消費で収まっているため、レスポンスタイムが平均50〜100msというような実アプリケーションにおいてはほぼ気にならないと思われます。

ISUCON では極限性能を求めるのに邪魔になる可能性は高いですが、その場合はチューニングが進んで不要になったらさっくり削除すればいいわけですし。

AWS へのトレースの送信しすぎによる課金増には、各自お気を付けください。条件サンプリングの不等号の向きを逆に書いてしまった結果、 1%だけ取得するつもりが99%取得してしまった事故がありました…

まとめ

ISUCONのレギュレーションでは競技中の外部リソースの使用は禁じられていますが、監視やモニタリングについての利用は認められています。 また、本番稼働中のアプリケーションについても常時トレースしておくことで、問題発生時の切り分けが容易になるでしょう。

AWS::XRay では Devel::KYTProf という既存の素晴らしいプロファイラを利用することにより、HTTP や DB 呼び出しについてのトレースを取得するだけであれば、既存アプリケーションに数行の追加で実装できます。どうぞご利用ください。

bulderscon 2018 tokyo に参加してきました。

今年は前後に CEDEC(登壇) と ISUCON(出題) があったので、発表する余裕はなさそうだなということで応募しなかったんですが、やっぱりカンファレンスは聞いているだけだと発表したくなりますね。来年は応募したい。

名札

バージョンアップ #builderscon pic.twitter.com/DgAYjpzq8v

— fujiwara (@fujiwara) September 6, 2018

結局会期中には画像転送しかできなかったので後日何とかしたいと思います。(酔って帰宅後に自宅Wifi繋ぐところでうまくいかないなと思ったら寝落ちしていた) 気象ビーコンからデータ引っ張ってきて電子ペーパーに表示したい！

聞いたトーク

Envoy internals deep dive

Envoy、まだ若いプロジェクトなのに一気に広まっててすごい。内部構造の話、いかにロックしないでパフォーマンスを出すかの話が面白かった。

Algorithms in React

React は4年ぐらい前に流行はじめたところで小さいアプリをひとつ書いてそれっきり、だったので興味深く聞きました。 同期非同期を使い分けて処理をキャンセルできるところとできないところを区別する、なるほどーというかんじ。

知らなかった、時に困るWebサービスのセキュリティ対策

セキュリティ事故、実際起こった身としては思い出したくもないということが多いんですが、それを組織としてリソースを割いて向き合って改善していこうという姿勢が真摯だなと。

発表にあったTLS太郎のような脆弱性のscan、うちは Zabbix でスクリプトを実行して TLS version とか Heartbleed の検知とかを証明書の有効期限チェックとまとめてやってたんですが、なかなか新規のを追加して維持するのが面倒なので、なにかいいサービスはないかなあ。

機械学習を用いず数学でゲーム内の需要予測をする

会社の同僚の発表。数式をできる限り抑えたところが、途中で数学愛が溢れて板書をはじめちゃったところが面白すぎた。

Understanding Microservices with Distributed Tracing

最近話題の分散トレーシングの話。自分も Perl から X-Ray を使うために AWS::XRay とか Plack::Middleware::XRay をこの前書いたので興味深いところ。(エントリ書いてない…)

あらゆる外部への通信を Envoy 経由にすることで、言語を問わず tracing するのは賢い。HTTP, gRPC みたいな通信じゃなく、たとえば MySQL や Memcached みたいな TCP の通信でどうやって trace-id を認識するのかがちょっと分からなかったので調べよう。

lld − 開発ツールの主要コンポーネントの1つをスクラッチから作成した話

似たようだけどちょっとだけ違うコードを無理に抽象化しないほうがよい、二度目は一度目よりよく書ける。長年プログラミングしているとほんとそうですね、という話なんだけど、実例が圧倒的なパフォーマンスを出しているので説得力が半端ない。

次世代通信プロトコルにおけるセキュリティ・プライバシー保護・パフォーマンス

kazuho さんの安定の素晴らしい話。いままで QUIC とか正直よく分からん、という感じだったんですが、内部構造の話が分かりやすくて最高です。

全人類に使われるプロトコルがまさに策定されている最前線で戦っているのは格好いいですね。

あなたの知らないデータベースのロギングの世界

セキュリティ事故を受けて DB へのクエリを全部ロギングしたい話。ProxySQL は知らなかったんですが、既存アプリケーションにあとからロギングのためだけに入れるにはアプリケーションへの影響が結構大きくて大変そう、という感想。

自分ならどうするか。単純な TCP Proxy を書いてそこで MySQL へ行く通信だけすべて記録して、解析はあとで何とかするとか、それこそ Envoy みたいなやつを通したらそこで capture できたりしないかな、とかいろいろ考えるところがありました。

業務時間で書いたパッチは誰のもの？ OSS 活動にまつわる罠

サイボウズさんの OSS ポリシー策定の話。カヤックも OSS は勝手にやっていいよ、というスタンスなんですが、権利関係とかいろいろ取り決めて個人にも会社にも不利益ないようにしていかないとな、と思っていたところなので大変ためになりました。参考にさせて頂きます。

Building Self-Hosted Kubernetes

kubernetes という単語が何回出てきたか分からないぐらい連呼して噛まないのがすごい。Self-Hosted は大変そうだけど、オンプレでやるならやるしかないところですね。自宅で全台落ちるとクラスタ崩壊、つらい。

1日約70万ビルド: DockerとNomadが支えるCI/CDプラットフォーム

CircleCI 2.0 でスケジューラとして Nomad を採用したという話。いつもお世話になっております。

Hashicorp プロダクト、複雑すぎず、システムとして見通しがよいところが好きです。しかしクラスタはいつか崩壊する定めなんでしょうね。

懇親会とか

前夜祭、前夜祭のあとHUB、懇親会、アフターパーティーでHUB、とよく飲みました。ひとり源泉徴収票ナイト(正確には h29syotoku.pdf ナイト)を開催してしまったのでいつか他の人のも見せてもらわないと…

水曜日のスピーカーディナーから含めると4日間の長丁場で、主催、スタッフ、スポンサー、スピーカーの皆様には大変お世話になりました。楽しいカンファレンスをありがとうございました！

監視を Zabbix から Mackerel に移行しています。そこで困ったことを OSS を書いて解決しようシリーズのお時間です。

ホストのダウン検知を早くしたい

Mackerel の監視は Push 型と呼ばれるもので、mackerel-agent が Mackerel サーバに対してメトリクスを送信する形態です。そのため、agent を稼働させているホストがダウンしたという事象は、「一定時間サーバに対して情報が送られてこない」ことによって、組み込みのアラート "connectivity" として検知されます。

これによって困ることとしては、以下があります。

• ホストが実際にダウンしてから7分程度経過しないとアラートが上がらない
  • あまり短時間で判断してしまうと誤検知が増えるからでしょうか
  • もうちょっと早く検知したいです
• "connectivity" アラートは Critical レベルしかなく、設定変更不可
  • 大抵のホストは多重化してあるため、1台ダウンするのは大きな問題にならない
  • アラートレベルの設定指針として、「即対応しないとサービスに影響が出るものは Critical」「翌営業日に確認・対処でいいものは Warning」としているので、Critical でない事象で Critical を上げたくない

内部リソースに対する外形監視をしたい

Mackerel の監視の基本は Push 型ですが、URL外形監視機能 というものがあり、これは Mackerel のサーバから HTTP(S) で対象にアクセスして監視する機能です。

外部に公開している HTTP のリソースについてはこれで問題はないのですが、足りないところとしては以下があります。

• サービスの内部ネットワークに存在するロードバランサーなどが監視できない
• HTTP 以外のプロトコル (ICMP ping, TCP 等) での外形監視ができない

ということで、そのあたりを補完する外形監視エージェント、maprobe を作りました。

github.com

maprobe がやること

maprobe は次のように動作します。

1. Mackerel API を叩いてホスト情報を取得
   • Service, Role でフィルタリング
2. 各ホストに対して、probe（ping、tcp、http、command）を実行
3. 得られた結果をホストメトリックとして Mackerel に送信
4. 60秒ごとに繰り返し

組み込みで ping, tcp, http の監視機能と、Mackerel agent plugin 形式で出力するコマンドを実行する機能があります。

監視対象のアドレス等は、Go の text/template 形式で、mackerel-client-go#Host の持っている値を展開することで指定します。

設定ファイルの例

probes:
  - service: production
    role: server
    ping:
      address: '{{ .Host.IPAddresses.eth0 }}'

  - service: production
    role: InternalELB
    http:
      url: 'http://{{ .Host.CustomIdentifier }}/api/healthcheck'
      post: POST
      headers:
        Content-Type: application/json
      body: '{"hello":"world"}'
      expect_pattern: 'ok'

  - service: production
    role: redis
    tcp:
      host: '{{ .Host.IPAddress.eth0 }}'
      port: 6379
      send: "PING\n"
      expect_pattern: "PONG"
      quit: "QUIT\n"
    command:
      command: "mackerel-plugin-redis -host {{ .Host.IPAddress.eth0 }} -tempfile /tmp/redis-{{ .Host.ID }}"

このように、複数の Service / Role に所属しているホストに対して外形監視を行い、ホストメトリックを送信することができます。 (なお、チェック監視ではなくメトリック形式なのは、チェック監視のような 0/1/2 でアラートを上げる形は過去の遺産でしかなく、今後はなるべく使いたくないという思想によるものです)

たとえば ping であればこのようなグラフが得られるので、この値に対して適宜アラートを設定する、ということになります。

Critical がなく Warning だけのアラートも設定できますし、式機能を使えば特定の Role に所属するホストの 10% 以上に ping が疎通できなくなったらアラート、というような設定も可能になります。

コマンド実行の応用例

特定の Service / Role に存在するホスト(情報)に対して、任意のコマンドを実行できるため、「Mackerel から退役に失敗して残ってしまっているが、既に EC2 側にはインスタンスが存在しないホスト」の掃除をする例です。

probes:
  - service: production
    role: EC2
    command:
      command: 'cleanup.sh {{.Host.ID}} {{index .Host.Meta.Cloud.MetaData "instance-id"}}'

Mackerel のホストIDと EC2 のインスタンス ID を引数にして、既に terminate されているインスタンスなら mkr retire を実行して退役処理を行う script を実行します。

#!/bin/bash
set -u
host_id="$1"
instance_id="$2"
exec 1> /dev/null # dispose stdout
result=$(aws ec2 describe-instance-status --instance-id "${instance_id}" 2>&1)
if [[ $? == 0 ]]; then
  exit
elif [[ $result =~ "InvalidInstanceID.NotFound" ]]; then
   mkr retire --force "${host_id}"
fi

なお、このような処理は毎分実行するには負荷が大きい場合があるので、maprobe once というサブコマンドで、処理を一回だけ実行できるようにもしてあります。このような掃除だったら、1時間に1回 cron で実行する、でも十分でしょう。

コンテナ環境への対応

DockerHub にイメージを用意してあります。https://hub.docker.com/r/fujiwara/maprobe/

maprobe のように複雑な設定ファイルが必要なものをコンテナにすると、設定ファイルをコンテナ内に配置するためだけにいちいち自前のイメージを作成する必要があって面倒です。

なので、-config 引数の値はローカルファイルだけではなく、HTTP(S)と Amazon S3 の URL を処理できるようにしました。 適当なところに設定ファイルを配置し、環境変数 CONFIG にその URL を指定すれば、公式イメージをそのまま動作させられて便利ですね。

config は更新を検知して自動で再読み込みするので、maprobe agent の再起動も不要です。

どうぞご利用ください。