1 / 78

Precena Tech Book

はじめに

Precena Tech Bookとは

株式会社プレセナ・ストラテジック・パートナーズのエンジニアのための知識ベースとして使用しているオンラインサイトです。

株式会社プレセナ・ストラテジック・パートナーズにおけるシステム開発で発生した各種調査、検討結果や他のメンバーへ共有したいノウハウなどのうち、社外にも公開できるものをコンテンツとして蓄積しています。

掲載コンテンツ

以下のような分野に関係するコンテンツを記載しています。

ソフトウェア開発
インフラ開発
セキュリティ

上記以外も、システム開発時に新たに進出した分野があれば追加していく予定です。

想定読者

株式会社プレセナ・ストラテジック・パートナーズ社内のエンジニア、デザイナー
社外のシステムエンジニア、デザイナー

免責事項

本サイトのコンテンツは可能な限り正確を期して記載していますが、本サイトのコンテンツに基づく運用結果については、株式会社プレセナ・ストラテジック・パートナーズは責任を負いかねますので、ご了承の上、内容を閲覧してください。

更新情報

本サイトの更新情報は、Twitterの株式会社プレセナ・ストラテジック・パートナーズエンジニア公式アカウントで発信しています。ご確認ください。

ソフトウェア開発

開発環境構築

Homebrew

Homebrew用語の意味

この記事は、独特なネーミングがされていて、知っているようで知らないHomebrewの用語の意味を正しく理解するために書きました。

用語一覧

Homebrewは「自家醸造」の意味です。この「醸造」の世界観の元で、Homebrewで扱う一部の概念の名前がつけられていて、直感的に何を指すのかが少しわかりにくいことがあります。

インストール関連のトラブルやPATHを通すパッケージのバージョンを調整したいときに、これらの用語を知っていると、エラー・警告メッセージの内容や、brew info コマンドなどで説明されている内容を理解しやすくなると思います。

以下、用語の定義と意味を説明します。正式な情報は公式サイトを参照してください。

用語

意味

formula （製法）

homebrewでupstreamのソースからビルドするパッケージの定義。formulaeは、その複数形。

cask （大きいたる）

macOSネイティブアプリケーションをインストールするパッケージの定義。

keg （小さいたる）

任意のformulaの任意のバージョンのインストール先ディレクトリ。例： /usr/local/Cellar/[formula]/0.1

rack （棚）

1つ以上のバージョンのkegを含むディレクトリ。例： /usr/local/Cellar/[formula]

prefix

homebrewでパッケージを配置する親ディレクトリ。例： Intel Macの場合は、/usr/local

keg-only

kegにパッケージを配置するだけで、prefixのbinディレクトリに、シンボリックリンクが作られないこと。 postgresqlもkeg-onlyなので、brew install postgresqlでインストールしても、PATHが通った状態にはならない。（keg-onlyなパッケージにPATHを通したければ brew link コマンドを使う。）

cellar （貯蔵室）

1つ以上のrackを含むディレクトリ。例： /usr/local/Cellar

Caskroom （cask用の貯蔵室）

1つ以上のcaskを含むディレクトリ。例： /usr/local/Caskroom

external command

Homebrew/brewのGitHubリポジトリ外で定義されているbrewの（追加インストール可能な）サブコマンド。

tap （蛇口）

formula、cask、external command用のディレクトリ（かつ、通常はGitリポジトリ）。

bottle （ボトル）

ソースからビルドするのではなく、cellarやrackに配置するために、事前にビルドされたkeg。

ngrok

ngrokの導入

ngrokとは

ngrok（エングロクと読む）は、httpのトンネリングサービスです。

ngrokでホストされるURL（例：http://xxxx.ngrok.io/ ）へのアクセスをローカル環境のwebサーバー（http://localhost:3000 など）にトンネリングしてくれます。

例えば、stripeやLINE、その他クラウドサービスのwebhook処理を開発する際に、インターネット上に本番やステージングのwebサーバーを構築する前に、ローカル開発環境でwebhookへの対応コードを実装、テストすることができるようになります。

この記事では、ngrokの開発環境を用意する手順を紹介します。

ngrokのインストール

公式サイトでダウンロードして、インストールすることもできますが、インストールはmacOSの場合であれば、homebrewを使うほうが楽です。以下のコマンドでインストールできます。

% brew install --cask ngrok

ngrokアカウントのサインアップ

ngrokを使うためには、サービスの利用登録が必要なので、公式サイトでサインアップを行ってください。

auth tokenの設定

サインアップするとログイン後のページにauthtokenが表示されているので、それをコピーして、以下のように、コンソールから設定します。

% ngrok authtoken <your-token>

そうすると、~/.ngrok2/ngrok.yml にtokenの値が書き込まれてサインアップしたngrokアカウントが認識されるようになります。

ngrokエージェントの起動

トンネリングを開始するためには、以下のようなコマンドを実行します。

% ngrok http 3000

これで、以下のような情報がコンソールに表示され、トンネリングに使えるURLが分かります。

ngrok by @inconshreveable                                                                                                                                                                                       (Ctrl+C to quit)
                                                                                                                                                                                                                                
Session Status                online                                                                                                                                                                                            
Account                       <your account name>(Plan: Basic)                                                                                                                                                                        
Update                        update available (version 2.3.40, Ctrl-U to update)                                                                                                                                               
Version                       2.3.35                                                                                                                                                                                            
Region                        United States (us)                                                                                                                                                                                
Web Interface                 http://127.0.0.1:4040                                                                                                                                                                             
Forwarding                    http://<your-random-subdomain>.ngrok.io -> http://localhost:3000                                                                                                                                             
Forwarding                    https://<your-random-subdomain>.ngrok.io -> http://localhost:3000                                                                                                                                            
                                                                                                                                                                                                                                
Connections                   ttl     opn     rt1     rt5     p50     p90                                                                                                                                                       
                              0       0       0.00    0.00    0.00    0.00

この記事では <your-random-subdomain> と記載しましたが、ここに、トンネリングで使えるインターネットアクセス可能なURLが表示され、また、そのURLがローカルのhttp 3000番ポートにトンネリングされているのが分かります。

この一般公開されているURLをクラウドサービスのwebhookのエンドポイントとして指定しておけば、ローカル環境のwebサーバーを使って動作確認をしながら開発を行うことができます。

ngrokのサブドメインの固定

無償のアカウントでは、ngrokを起動するたびに、http://<your-random-subdomain>.ngrok.io の <your-random-subdomain> の部分がランダムなサブドメインになってしまい、そのたびに、クラウドサービス側の呼び出し先設定を更新しなければなりません。

これは、ngrokの有償登録をすることで固定化できます。有償登録をすると、以下のようにサブドメインを他のユーザーが使っていない任意の文字列に固定できます。

% ngrok http 3000 -subdomain=<任意の固定したいサブドメイン>

ngrokのアップデート

ngrok起動中のコンソールでCtrl+U でアップデートが開始されます。

ngrokのアップグレード(v2 to v3)

ngrokが最近メジャーバージョンアップして、バージョン3がリリースされましたので、アップグレード手順を紹介します。

なお、設定ファイルは、下位互換性がなくなっているので、ngrok本体のアップグレード後には、設定ファイルのアップグレードが必要になります。

ngrok本体のアップグレード

当サイトの導入記事で紹介したように、Homebrewでcask（Mac用アプリケーション）としてngrokをインストールしている場合は、以下のコマンドで本体をアップグレードします。

% brew upgrade ngrok

ちなみに、ngrokには、ngrok update コマンドもありますが、このコマンドではメジャーバージョンアップはされません。

アップグレード後にバージョンを確認するには、以下を実行します。

% ngrok version
ngrok version 3.0.6

なお、この直後に、ngrokを起動すると以下のようなエラーが出るため、後述の設定ファイルのアップグレードが必要になります。

% ngrok http 3000
ERROR:  Error reading configuration file '/Users/<your-os-user>/.ngrok2/ngrok.yml': `version` property is required.
ERROR:  
ERROR:  If you're upgrading from an older version of ngrok, you can run:
ERROR:  
ERROR:      ngrok config upgrade
ERROR:  
ERROR:  to upgrade to the new format and add the version number.

設定ファイルのアップグレード

さきほどのエラーメッセージにも、公式サイトにも説明されている通り、設定ファイルのアップグレードも必要になります。

% ngrok config upgrade

これで、~/.ngrok2/ngrok.ymlファイルが更新されて、通常通りngrokが使用できるようになります。

Slack

Slackの/remind コマンドの形式

当社の日常業務の中で、Slackのリマインダーを設定することは、頻繁にあります。

しかし、Slackのコマンドを使ってリマインダーを指定する際、とくに、日時の指定の仕方を中々覚えられず、公式ヘルプを見に行くことが多いです。

公式ヘルプにも詳しく載ってはいるのですが、特に「When」を指定する部分について、この記事では、一覧で分かるように紹介します。チートシート的な使い方を想定しています。

/remind コマンドの形式

/remind コマンドのフォーマットは以下です。

/remind [@someone or #channel] [what] [when]

この[what] の部分まではわかりやすいのですが、この記事では最後の[when] の部分を詳細に紹介します。

/remind コマンドの[when]の部分の形式

[when]の部分は、以下のように、細かく指定することが出来ます。

現在からの相対的な時間で指定する場合

x分後、x日後、x週間後など、現在からの相対的な時間で指定する場合、in を使います。

/remind #channel 2秒後の例 in 2 seconds

※秒を指定しても、そこまで正確なタイミングではリマインドされないようです。

/remind #channel 2分後の例 in 2 minutes

/remind #channel 2時間後の例 in 2 hours

/remind #channel 2日後の例 in 2 days

なお、時間を指定せずに相対的な日付を指定すると、指定した日の9:00になるようです。

/remind #channel 2週間後の例 in 2 weeks

2日後のX時、など細かい時間を指定したい場合は、atも併用します。

/remind #channel 2日後10時amの例 at 10:00am in 2 days

ワンタイムの日時を指定する場合

次ように、at とon を使って、時間と日付を指定します。

/remind #channel 日時指定の例 at 10:00am on 1st Feb

次のように曜日を指定すると、指定した曜日が次に来る日に投稿されます。

/remind #channel 曜日指定の例 at 10:00am on Mon

リマインドの頻度を指定する場合

この使い方が一番多い気がします。末尾にevery をつけて頻度を指定します。

毎月月初にやらないと行けないタスクをリマインドさせるなどに便利です。

/remind #channel 毎月1日の例 on 1st every month

この場合もat とon を併用できます

/remind #channel 毎月1日の10:00am at 10:00am on 1st every month

[what]にスペースを入れたい場合

以下のように、特に" で囲んだりせずに、普通に指定できます。

/remind #channel aaaaa bbbbb ccccc on 1st Feb

対面での相談を気軽にするためのSlack設定

Slack emoji とGoogle meet を連携して使う

前置き

当社のエンジニアは全員フルリモートで働いているため、対面での相談は Google meet を使うことが多いです。

ただ、対面で相談するまでの準備に手間がかかると、気軽な相談はしづらくなりがちです。

そこで当社では、「Slackのカスタムレスポンスとemoji」にGoogle meetのURLを紐付けています。その結果、Slackでのやりとりが難しいと感じた時に、すぐ対面での相談へと移行できています。

必要なもの

Google meet
Slack

やりたいこと

Slackへ相談の前フリと :room: などのemojiをポストする
Slack botが相談用のGoogle meetのURLを案内する

設定手順

1. emojiの画像を用意

任意の画像を用意します。

もし、文字列画像を用意する場合は、絵文字ジェネレータ(https://emoji-gen.ninja/)などが便利です。

なお、 生成履歴に絵文字を表示する のチェックボックスについては状況によりON/OFFします。

2. Slackにemojiを登録

Slackのemoji設定ページ(https://***.slack.com/customize/emoji)を開き、文字列 (例： :room:)と上記1.の画像を登録します。

3. Google meetの固定URLを取得

Google meetのページ(https://meet.google.com/)にて、URLを取得します。

4. Slack botのカスタムレスポンスとして、emojiの文字列とGoogle meetのURLを設定

Slack botの設定ページ( https://***.slack.com/customize/slackbot)を開きます。

Slackbotタブに以下を入力し、保存します。

When someone says に、上記2.のemojiの値 (例： :room:)
Slackbot responds に、上記3.のGoogle meetのURL

以上で設定は完了です。

AWS CLI

インストール

公式サイトでインストーラーをダウンロードしてインストールしてください。

設定

基本的に以下の公式サイトに従うだけです。

公式サイトにも載っている内容ですが、以下のコマンドを入力して、

% aws configure

以下4つの項目を設定すればOKです。

AWS Access Key ID
AWS Secret Access Key
Default region name
Default output format

これも公式サイトに載っているままの情報ですが、利用したいIAMユーザーのAccess Key IDとSecret Access Key は、https://console.aws.amazon.com/iam/ から、設定したいユーザーを選択して、「認証情報」タブでアクセスキーを生成してください。

追加の設定

次に、多くの場合に必要となるjqとSession Manager pluginをインストールします。

jqのインストール

jqはJSONを操作するためのCLIツールで、近年急速に利用が広がっています。Macの場合はbrewでインストールできます。

% brew install jq

AWS Session Manager pluginのインストール

Session Manager pluginは、AWS CLIのプラグインで、ECSタスク内のコンテナやCLI経由でEC2にログインする際に必要です。公式ドキュメントに従ってインストールしてください。

以上。

Ruby

当社の開発で使うRubyのバージョンは、プロジェクトごとに異なることが多く、また、プロジェクトごとにRubyのアップデート状況も異なります。

したがって、プロジェクトごとにRubyのバージョンを切り替える仕組みとしてrbenvを導入して使います。

rbenvのインストール

直接rbenvをインストールするか、anyenv経由でインストールするかで手順が変わります。

anyenvでインストールする場合

anyenvがすでに導入されている場合、以下で簡単にrbenvをインストールできます。

直接rbenvをインストールする場合

まずは、homebrewでrbenvをインストール。このとき、ruby-buildも同時にインストールされます。

次に、

を実行して、出力された手順にしたがって、シェルの設定を行います。zshを使っている場合、以下のように出力されるので、この内容に従います。

つまり、.zshrcファイルに以下を追加します。

使いたいバージョンのRubyをインストール

rbenvがインストールされたら、次は、使いたいバージョンのRubyをインストールします。

まずは、インストール可能なRubyの安定バージョンを確認します。

ここに表示されたバージョンを指定して、開発環境にインストールします。

プロジェクトで使うRubyのバージョンを固定

プロジェクトで使うRubyのバージョンは、他の開発メンバーとも共有したいため、.ruby-versionファイルを作って、他のメンバーにも同じRubyのバージョンの使用を強制できるようにします。

プロジェクトルートで、以下を実行すれば.ruby-versionファイルがプロジェクトルート直下に作られます。

Rubyのバージョンを上げる

Rubyのバージョンを上げる手順もanyenvでrbenvをインストールしたかどうかで異なります。

anyenvでrbenvをインストールした場合

rbenv install -lコマンドで、インストールしたいRubyのバージョンが表示されていない場合、anyenv内部のruby-buildのアップデートが必要です。このアップデートのコマンドを楽にしてくれるanyenv-updateを使うのをおすすめします。

anyenv-updateが設定してあれば、以下を実行するだけで、インストール可能なRubyのバージョン情報が最新化されます。

このあとは、普通に特定のバージョンのRubyをインストールします。

直接rbenvをインストールした場合

同様に、インストールしたいRubyのバージョンが表示されていない場合、先に、rbenvとruby-buildをアップデートする必要があります。rbenvとruby-buildのアップデートにはhomebrewを使います。

これで、インストール可能なRubyのバージョンが最新化されるので、特定のバージョンをインストールします。

Prettier

Prettierとは

おもにJavaScriptなどのフロントエンド系のソースコードのフォーマッタです。プラグインを追加することでRubyなどの言語にも対応可能です。詳細は公式サイトを参照してください。

以下、開発プロジェクトへのインストール手順を説明します。

Prettierのインストール

開発プロジェクトにおいて、yarnでnodeパッケージが管理されている前提です。

まずは、開発環境のみの依存パッケージとして、prettier をインストールします。

% yarn add --dev prettier

prettier-rubyのインストール

必要に応じて、prettier-rubyもインストールします。

% yarn add --dev @prettier/plugin-ruby

なお、prettier-rubyは、gemでもインストール可能ですが、JS用のprettierと別管理にしたくないので、上記のようにnodeパッケージのプラグインとしてインストールしています。

Prettierの設定ファイルを追加

プロジェクトルートに以下のファイルを作成します。

.prettierrc

{
  "semi": false,
  "singleQuote": true,
  "trailingComma": "none",
  "bracketSpacing": false,
  "endOfLine": "lf",
  "printWidth": 120
}

上記の設定は、当社で使っているデフォルトの設定です。例えば、printWidthは、デフォルトの80だと少し狭く、フォーマットしたときに、過度に改行が入ってしまうため、120にしています。

Prettierのignore設定を追加

Railsのroutesファイルなどのように、なるべく改行をせずに一行で書いてしまいたいような特殊なコードは、pretterでのフォーマットがかからないように、ignoreファイルをプロジェクトルートに追加します。

.prettierignore

node_modules
yarn.lock
package-lock.json
public

/config/routes.rb

Linterとの競合回避

RuboCop

rubocopも併用しているプロジェクトの場合、rubocopに定義されているスタイル関連のルールとprettierのフォーマットが競合して、gitのpre-commitにrubocopのチェックを行っているとリポジトリにコミットできなくなってしまいます。

そういった場合のために、rubocopでprettierと競合するルールをオフにするための設定が、prettier-rubyには含まれていて、この設定をプロジェクト用の.rubocop.ymlで継承します（参考：公式サイト）。

.rubocop.yml

inherit_from:
  - node_modules/@prettier/plugin-ruby/rubocop.yml # rubocopのルールと衝突しないための設定

また、これ以外にも、rubyの後置ifや後置whileなどのフォーマットをprettierにまかせてしまいたいので、以下のように.rubocop.ymlにルールを追加します。

.rubocop.yml

# 後置ifのフォーマットはprettier-rubyに任せたいので、rubocopのチェックは外す
Style/IfUnlessModifier:
  Enabled: false

# 後置while、untilのフォーマットもprettier-rubyに任せたいので、rubocopのチェックは外す
Style/WhileUntilModifier:
  Enabled: false

Editorの設定

以下、RubyMineやVisual Studio Codeの設定を各自行います。

RubyMine

最新のRubyMineでは、Prettierプラグインはデフォルトでインストール済なので、設定だけ行います（参考：公式サイト）。

JavaScriptやTypeScriptだけでなく、Rubyもフォーマットの対象にする場合は、設定画面で、Preferences -> Languages & Frameworks -> JavaScript -> Prettier から、Prettier Packageを{Project Root}/node_modules/prettierに設定した上で、Run for filesの部分でrbも含まれるように、以下のように変えておきます。

Run for files部分の設定

{**/*,*}.{js,ts,jsx,tsx,rb,rake}

On save のチェックをいれておくと、⌘S を押したときにフォーマットがかかります。設定保存後もprettierが動作しない場合は、一度RubyMineを再起動するとうまくいきます。

Visual Studio Code

prettier-vscodeプラグインを使います。

上記プラグインをインストールした上で、以下のように、.vscode/settings.jsonをプロジェクトルートに追加して、言語ごとにフォーマットの設定をします。チームメンバーのvscodeの設定状況によっては、このファイルはリポジトリにpushして他のメンバーと共有してもよいです。

.vscode/settings.json

{
  "[ruby]": {
    "editor.formatOnSave": true,
    "editor.defaultFormatter": "esbenp.prettier-vscode"
  },
  "[javascript]": {
    "editor.formatOnSave": true,
    "editor.defaultFormatter": "esbenp.prettier-vscode"
  },
  "[typescript]": {
    "editor.formatOnSave": true,
    "editor.defaultFormatter": "esbenp.prettier-vscode"
  },
  "[javascriptreact]": {
    "editor.formatOnSave": true,
    "editor.defaultFormatter": "esbenp.prettier-vscode"
  },
  "[typescriptreact]": {
    "editor.formatOnSave": true,
    "editor.defaultFormatter": "esbenp.prettier-vscode"
  }
}

なお、editor.formatOnSaveは任意の設定で、保存時に自動的にフォーマットをかけるかを設定します。

zsh

zsh-completion

zsh-completionとは

zshを使うときに、補完用の情報を設定をしておくことで、例えば、git、aws-cli、dockerなどのコマンドやサブコマンドをTabキーで補完してくれるツールです。

公式サイトは、以下です。

zsh-completionのインストール

macOSを使っている前提ですが、homebrewで簡単にインストールできます。

% brew install zsh-completion

zshのプロファイルスクリプトにzsh-completionの設定をする

zsh-completionをインストールすると、以下のようなメッセージがでます。

zsh-completions: stable 0.33.0 (bottled), HEAD
Additional completion definitions for zsh
https://github.com/zsh-users/zsh-completions
/opt/homebrew/Cellar/zsh-completions/0.32.0_1 (142 files, 1.1MB) *
 Poured from bottle on 2021-05-03 at 10:22:36
From: https://github.com/Homebrew/homebrew-core/blob/HEAD/Formula/zsh-completions.rb
License: MIT-Modern-Variant
==> Options
--HEAD
	Install HEAD version
==> Caveats
To activate these completions, add the following to your .zshrc:

 autoload -Uz compinit
 compinit
 
You may also need to force rebuild `zcompdump`:

 rm -f ~/.zcompdump; compinit
 
Additionally, if you receive "zsh compinit: insecure directories" warnings when attempting
to load these completions, you may need to run this:

 chmod -R go-w '/opt/homebrew/share/zsh'
 
zsh completions have been installed to:
 /opt/homebrew/share/zsh/site-functions
==> Analytics
install: 9,459 (30 days), 39,117 (90 days), 147,856 (365 days)
install-on-request: 9,388 (30 days), 38,843 (90 days), 146,385 (365 days)
build-error: 0 (30 days)

なお、このメッセージは、brew info zsh-completionコマンドで再表示できます。

このメッセージにしたがって、まずは、次のように .zshrc ファイル設定します。

~/.zshrc

# zsh-completionの設定
autoload -Uz compinit
compinit

zsh関連ファイルの権限設定を行う

次に、zsh関連ファイルの権限設定を行います。これも前述のbrew info で表示されるメッセージに従います。

前述の brew info で表示されるメッセージの /opt/homebrew の部分は、使用しているMacのCPUがIntel製かApple Siliconかによって異なります。

なので、環境に応じて次のようにコマンドを打ちます。

Intel Macの場合

% chmod -R go-w /usr/local/share/zsh/

M1などApple Silicon Macの場合

% chmod -R go-w /opt/homebrew/share/zsh/

あるいは、以下のコマンドを打てばどちらの環境でもOKです。

% chmod -R go-w $(brew --prefix)/share/zsh/

なお、この go-w は、g(roup)とo(thers)から（つまりuser以外から）、書き込み権限を削除（-）しています。

各コマンドラインツールでの補完の設定

git

homebrewでgitをインストールすると、自動的に /usr/local/share/zsh/site-functions/ 以下に、git用の補完設定もインストールされるので、それ以上何もする必要はありません。

gitはmacOS標準のものもありますが、上記の補完設定のために、筆者はhomebrewでgitをインストールしなおしてしまいます。

設定がうまくいっている場合、以下のように補完されます。ブランチ名などは、覚えられないので補完を使うと便利になります。

% git branch <TAB>
（ここに候補となるブランチ一覧が表示される）

docker

公式サイトに説明があるので、それに従います。手順は公式サイトに記載されていて、また、迷うところもないので、ここに手順を記載するのは省略します。

設定がうまくいっている場合、以下のような補完が使えます。

% docker container <TAB>
attach   -- Attach to a running container
commit   -- Create a new image from a container's changes
cp       -- Copy files/folders between a container and the local filesystem
create   -- Create a new container
diff     -- Inspect changes on a container's filesystem
exec     -- Run a command in a running container
export   -- Export a container's filesystem as a tar archive
inspect  -- Display detailed information on one or more containers
kill     -- Kill one or more running containers
logs     -- Fetch the logs of a container
ls       -- List containers
pause    -- Pause all processes within one or more containers
port     -- List port mappings or a specific mapping for the container
prune    -- Remove all stopped containers
rename   -- Rename a container
restart  -- Restart one or more containers
rm       -- Remove one or more containers
run      -- Run a command in a new container
start    -- Start one or more stopped containers
stats    -- Display a live stream of container(s) resource usage statistics
stop     -- Stop one or more running containers
top      -- Display the running processes of a container
unpause  -- Unpause all processes within one or more containers
update   -- Update configuration of one or more containers
wait     -- Block until one or more containers stop, then print their exit codes

aws-cli

aws-cliも公式サイトに従うだけですが、少しわかりにくいので、補足説明を追加します。

公式サイトは、以下です。

なお、この記事では、AWS CLI の記事に記載さた手順でインストールされている前提で補足説明をします。

前述の前提の場合、aws_completer はすでにPATHが通っているので、やることは以下の設定を.zshrcファイルに追加するだけです。

.zshrc

  autoload bashcompinit && bashcompinit   # この行を追加
  autoload -Uz compinit
  compinit
  complete -C '/usr/local/bin/aws_completer' aws   # この行を追加

設定後は、zshを再起動します。

設定がうまくいっていれば、以下のようにawsコマンドの補完が効くようになります。

% aws s<TAB>
s3                              securityhub                     sqs
s3api                           serverlessrepo                  ssm
s3control                       service-quotas                  sso
s3outposts                      servicecatalog                  sso-admin
sagemaker                       servicecatalog-appregistry      sso-oidc
sagemaker-a2i-runtime           servicediscovery                stepfunctions
sagemaker-edge                  ses                             storagegateway
sagemaker-featurestore-runtime  sesv2                           sts
sagemaker-runtime               shield                          support
savingsplans                    signer                          swf
schemas                         sms                             synthetics
sdb                             snowball                        
secretsmanager                  sns

Mac

M1 Macでの開発環境構築（rosetta 無し）

はじめに

この記事では、M1 Macでの開発環境構築でハマったところを共有するために、記載して行きます。今後、随時新しいハマりどころが発生した場合は、情報を追加していきます。

環境構築の前提

筆者の環境では、環境構築の検証もかねているので、Rosetta 2をインストールしていません。Rosetta 2をインストール済みの場合は前提が異なってくるため、ご注意ください。

また、以下のものはインストール済みとします。

rbenv
Docker Desktop(4.3.0以上)
postgresql（実行用ではなく、gem pgのビルド時に利用する想定。brewでインストールする）

※Docker Desktopは、バージョン4.3.0以降でもRosetta 2に依存している部分は残っているようですが、依存度は以前と比べて低くなっているようです。

rbenvでの古いRubyのインストール

% rbenv install 2.6.5

のように、古めのRubyのバージョンをインストールすると、以下のようなエラーが発生しました。

Last 10 log lines:
compiling fiber.c
linking shared-object fiber.bundle
compiling closure.c
closure.c:263:14: error: implicit declaration of function 'ffi_prep_closure' is invalid in C99 [-Werror,-Wimplicit-function-declaration]
    result = ffi_prep_closure(pcl, cif, callback, (void *)self);
             ^
1 error generated.
make[2]: *** [closure.o] Error 1
make[1]: *** [ext/fiddle/all] Error 2
make: *** [build-ext] Error 2

gem ffiの公式リポジトリのissueによると、以下2つの対処法があるようです。

1. 環境変数RUBY_CFLAGSを指定してRubyをインストールする

以下のように、RUBY_CFLAGSを指定して、rbenvのインストールコマンドを実行すると上手く行きます。

RUBY_CFLAGS=-DUSE_FFI_CLOSURE_ALLOC rbenv install 2.6.5

筆者もこの方法を先に試して上手く行ったため、この後の2つめの方法を試せていません。

2. brew info libffiコマンドのガイドにしたがって、環境変数を指定する

brew info libffiコマンドを実行すると、以下のようなCaveatsが表示されます。

==> Caveats
libffi is keg-only, which means it was not symlinked into /opt/homebrew,
because macOS already provides this software and installing another version in
parallel can cause all kinds of trouble.

For compilers to find libffi you may need to set:
  export LDFLAGS="-L/opt/homebrew/opt/libffi/lib"
  export CPPFLAGS="-I/opt/homebrew/opt/libffi/include"

For pkg-config to find libffi you may need to set:
  export PKG_CONFIG_PATH="/opt/homebrew/opt/libffi/lib/pkgconfig"

これにしたがって、環境変数LDFLAGS、CPPFLAGS、PKG_CONFIG_PATHを指定して、以下のように実行すると良いとのことです（筆者は、試せていませんが掲載しておきます）。

% export LDFLAGS="-L/opt/homebrew/opt/libffi/lib"
% export CPPFLAGS="-I/opt/homebrew/opt/libffi/include"
% export PKG_CONFIG_PATH="/opt/homebrew/opt/libffi/lib/pkgconfig"
% rbenv install 2.6.5

※記事のみやすさのために、環境変数ごとにexportをしていますが、一気に複数の環境変数を指定しても良いと思います。

docker-composeコマンドを使わずに、docker compose コマンドを使う

Docker公式サイトで説明されているように、docker-compose コマンドはv1のdocker-composeが使われるためRosetta 2のインストールが必要です。、これまでdocker-composeコマンドを使用していた場合は、以下のように、docker compose コマンドを使います。

% docker compose up -d

bundle installでネイティブ拡張が含まれるgemをビルドする

bundle install時にネイティブ拡張が含まれるいくつかのgemでインストールに失敗したのでgemごとの対処法を記載しておきます。

gem ffi

このgemのインストールに失敗する原因は、古いRubyをインストールしたときに出たエラーとと同じです。筆者は、gemのインストール時に発生したエラーに対しては、以下のように、brew info コマンド実行時に表示されるCaveatsの内容にしたがって対処しました。

% export LDFLAGS="-L/opt/homebrew/opt/libffi/lib"
% export CPPFLAGS="-I/opt/homebrew/opt/libffi/include"
% export PKG_CONFIG_PATH="/opt/homebrew/opt/libffi/lib/pkgconfig"
% bundle install

gem pg

pgは、M1 Mac特有のエラーというよりかは、Intel Macでもよく発生する、Ruby開発者ならよく見たことあるエラーですが、以下のエラーが発生します。

checking for pg_config... no
No pg_config... trying anyway. If building fails, please try again with
 --with-pg-config=/path/to/pg_config
checking for libpq-fe.h... no
Can't find the 'libpq-fe.h header
*** extconf.rb failed ***
Could not create Makefile due to some reason, probably lack of necessary
libraries and/or headers.  Check the mkmf.log file for more details.  You may
need configuration options.

Provided configuration options:
        --with-opt-dir
        --without-opt-dir
        --with-opt-include
        --without-opt-include=${opt-dir}/include
        --with-opt-lib
        --without-opt-lib=${opt-dir}/lib
        --with-make-prog
        --without-make-prog
        --srcdir=.
        --curdir
        --ruby=/home/vagrant/.rbenv/versions/2.5.1/bin/$(RUBY_BASE_NAME)
        --with-pg
        --without-pg
        --enable-windows-cross
        --disable-windows-cross
        --with-pg-config
        --without-pg-config
        --with-pg_config
        --without-pg_config
        --with-pg-dir
        --without-pg-dir
        --with-pg-include
        --without-pg-include=${pg-dir}/include
        --with-pg-lib
        --without-pg-lib=${pg-dir}/lib

対処法もいつもどおりで、やり方はいくつかありますが、筆者は以下のようにbundleのbuild時のconfigを指定したのち、bundle install を実行しました。

% bundle config build.pg --with-pg-config=$(brew --prefix postgresql@13)/bin/pg_config

なお、このコマンドを実行すると設定が~/.bundle/configに書き込まれます。

gem rmagick

rmagickもM1固有の問題ではなく、毎回遭遇する以下のエラーが発生します。

./siteconf20220118-1858-ly2is3.rb extconf.rb
checking for clang... yes
checking for Magick-config... yes
checking for outdated ImageMagick version (<= 6.4.9)... no
checking for presence of MagickWand API (ImageMagick version >= 6.9.0)... no
Package MagickWand-6.Q16 was not found in the pkg-config search path.
Perhaps you should add the directory containing `MagickWand-6.Q16.pc'
to the PKG_CONFIG_PATH environment variable
No package 'MagickWand-6.Q16' found
Package MagickWand-6.Q16 was not found in the pkg-config search path.
Perhaps you should add the directory containing `MagickWand-6.Q16.pc'
to the PKG_CONFIG_PATH environment variable
No package 'MagickWand-6.Q16' found
Package MagickWand-6.Q16 was not found in the pkg-config search path.
Perhaps you should add the directory containing `MagickWand-6.Q16.pc'
to the PKG_CONFIG_PATH environment variable
No package 'MagickWand-6.Q16' found
Package MagickWand-6.Q16 was not found in the pkg-config search path.
Perhaps you should add the directory containing `MagickWand-6.Q16.pc'
to the PKG_CONFIG_PATH environment variable
No package 'MagickWand-6.Q16' found
checking for Ruby version >= 1.8.5... yes
Package MagickCore was not found in the pkg-config search path.
Perhaps you should add the directory containing `MagickCore.pc'
to the PKG_CONFIG_PATH environment variable
No package 'MagickCore' found
Can't install RMagick 2.16.0. Can't find the ImageMagick library or one of the dependent libraries. Check the mkmf.log file
for more detailed information.

これは、まず、imagemagickがインストールされていないことが原因で、もしインストール済でこのエラーが発生しているなら、convertコマンドへのPATHが未設定であったり、ビルドに必要なファイルが指定されていなかったりすることが原因です。

以下のように対処します。

まずは、必要なImageMagickをインストールします。Rmagickが対応しているバージョン6を、必ずインストールしてください。

% brew install imagemagick@6

次に、brew info imagemagick@6 コマンドを実行して表示される以下にしたがって、

==> Caveats
imagemagick@6 is keg-only, which means it was not symlinked into /opt/homebrew,
because this is an alternate version of another formula.

If you need to have imagemagick@6 first in your PATH, run:
  echo 'export PATH="/opt/homebrew/opt/imagemagick@6/bin:$PATH"' >> ~/.zshrc

For compilers to find imagemagick@6 you may need to set:
  export LDFLAGS="-L/opt/homebrew/opt/imagemagick@6/lib"
  export CPPFLAGS="-I/opt/homebrew/opt/imagemagick@6/include"

For pkg-config to find imagemagick@6 you may need to set:
  export PKG_CONFIG_PATH="/opt/homebrew/opt/imagemagick@6/lib/pkgconfig"

まず、実行時に必要と思われるconvertコマンドへのPATHを通しておきます。

% echo 'export PATH="/opt/homebrew/opt/imagemagick@6/bin:$PATH"' >> ~/.zshrc

念の為、以下のようにconvertコマンドが使えるかを確認しておくとよいでしょう。

% convert --version

次に、rmagickのビルドに必要な環境変数を指定してから、bundle installを実行します。

% export LDFLAGS="-L/opt/homebrew/opt/imagemagick@6/lib"
% export CPPFLAGS="-I/opt/homebrew/opt/imagemagick@6/include"
% export PKG_CONFIG_PATH="/opt/homebrew/opt/imagemagick@6/lib/pkgconfig"
% bundle install

ここまでで、gemのインストールまで出来ました。

さいごに

なお、2022年1月17日現在、筆者の環境では、この後、古いnodeをインストールしようとしてエラーが発生して失敗し、対応方法が調べきれず、まだRailsアプリケーションを実行するところまでたどり着いておりません。ただ、今後、nodeをバージョンアップさせる予定なので、新しいバージョンのnodeを利用することで、エラーを回避できる可能性があります。

上記については、後日、この記事をアップデートして共有しようと思います。

バックエンド

OpenAPI

OpenAPI 定義ファイル分割のすゝめ

OpenAPIとは

RESTfulなWebサービスを記述、生成、利用、可視化するためのインターフェースファイルの仕様です。以前はSwaggerフレームワークの一部でしたが、2016年にOpenAPI Initiativeが統括する独立プロジェクトとなりました。 Swaggerや他のいくつかのツールは、インターフェースファイルを指定してコード、ドキュメント、テストケースを生成することが可能です。

OpenAPIの正確な仕様については、↓から確認できます。 https://swagger.io/specification/

プロジェクトでの利用法

プレセナの一部プロジェクトでは、API定義をOpenAPI仕様に従って記述するだけでなく、定義ファイル（openapi.yaml）からコードを自動生成して利用しています。

OpenAPI定義ファイルの分割

肥大化するopenapi.yaml

当初はAPI定義ファイルであるopenapi.yamlの1ファイルに全ての記述をしていました。結果として、下記のような問題が発生しました。

ファイルサイズの増加（約2500行）
コンフリクトの頻発
編集すべき記述を素早く見つけられない

これらの問題に対処するためにopenapi.yamlの分割をおこなうことにしました。

openapi.yamlファイルの構成

openapi.yamlのファイルは大きく分けると下の様なブロックに分かれています。

バージョン情報といったメタ情報：info、serversなど
エンドポイントのURLやリクエスト／レスポンス情報：paths
再利用可能なオブジェクト情報：components

openapi: "3.0.0"
info:
  version: 1.0.0
  title: Swagger Petstore
  license:
    name: MIT
servers:
  - url: http://petstore.swagger.io/v1
paths:
  /pets:
    get:
      summary: List all pets
      operationId: listPets
      tags:
        - pets
      parameters:
        - name: limit
          in: query
          description: How many items to return at one time (max 100)
          required: false
          schema:
            type: integer
            format: int32
      responses:
        '200':
          description: A paged array of pets
          headers:
            x-next:
              description: A link to the next page of responses
              schema:
                type: string
          content:
            application/json:    
              schema:
                $ref: "#/components/schemas/Pets"
・・・略・・・
components:
  schemas:
    Pet:
      type: object
      required:
        - id
        - name
      properties:
        id:
          type: integer
          format: int64
        name:
          type: string
        tag:
          type: string
    Pets:
      type: array
      items:
        $ref: "#/components/schemas/Pet"
・・・略・・・

主に記述量が肥大化してしまうのは pathsとcomponentsであったため、これらを別ファイルに分割しました。

ファイルの分割

ファイルの分割は簡単です。定義内の他コンポーネントを参照できるようにするフィールドである$ref を相対パスで記述するだけです。

openapi.yaml

...（infoやserversは省略）...

paths:
  /pet:
    $ref: "./paths/pet.yaml"
  /pet/{petId}/upload-image:
    $ref: "./paths/upload-image.yaml"

/paths/pet.yaml

    get:
      summary: List all pets
      operationId: listPets
      tags:
        - pets
      parameters:
        - name: limit
          in: query
          required: false
          schema:
            type: integer
            format: int32
      responses:
        '200':
          content:
            application/json:    
              schema:
                $ref: "../schemas/Pet" # $refの記述
        default:
          description: unexpected error
          content:
            application/json:
              schema:
                $ref: "../schemas/Error" # $refの記述

/schemas/Pet.yaml

    Pet:
      type: object
      required:
        - id
        - name
      properties:
        id:
          type: integer
          format: int64
        name:
          type: string
        tag:
          type: string

フォルダ構造

openapi.yamlをルートファイルとして、同階層にpathとschemasのフォルダを作成しました。

.
├── openapi.yaml
├── paths # pathの定義ファイルを置く
│   ├── pet.yaml
│   ├── pet_find-by-status.yaml
│   ├── ...
│   └── pet_petId_upload-image.yaml
└── schemas  # schemasの定義ファイルを置く
    ├── Pet.yaml
    ├── User.yaml
    ├── ...
    └── Tag.yaml

paths配下のファイルの命名規則としては、シンプルにエンドポイントURLの「/」を「_」にするファイル名としました。

/paths/pet/find-by-status.yaml のように階層を深くするアイデアもあったのですが、schemasへの参照を$refで記述する際、"../../schemas/Foo", "../../../schemas/Bar" のように「..」を書く回数の混乱が生じないように現在のような命名規則をとりました。

エンドポイントURLにidが含まれる場合（ex. /pet/{petId}/upload-image）、理想的にはpet_[petId]_upload-image.yamlのようにしたかったのですが、「[]」を含むと自動生成コードで問題が生じたため、シンプルにpet_petId_upload-image.yaml としました。

まとめ

分割によって見通しがよく開発をすすめることができるようになりました。 Visual Studio Codeで開発しているなら、この拡張をいれることで$ref の記述からファイル参照もできるのでおすすめです。 https://marketplace.visualstudio.com/items?itemName=42Crunch.vscode-openapi しばらくこれで開発を進めてみて、課題感がまた出てきたらブラッシュアップしていきたいと思います。

Ruby on Rails

ActiveRecordのfind_or_initialize_byメソッドにブロックを渡したときの挙動

過去に書いたソースコードを読んでいて、仕様を理解するのに手間取ってハマったので、共有のために記事を書いておきます。

find_or_initialize_byメソッドの例

以下のようなコードを見かけたとします。

上のコードから、どのような仕様を想像するでしょうか？

筆者は、ユーザーが見つかった場合、または、初期化した場合、どちらもlast_name、first_nameがそれぞれ、サンプル と 太郎 に初期化されると思ってしまいました。

しかし、実際の挙動としては、以下でした。

ユーザーが見つかった場合は、ブロック内の処理は実行されず、
ユーザーをinitializeした場合は、ブロック内の処理が実行される。

コードを見ても、上記の挙動が実装されているのが確認でき、find_byで該当レコードが見つかった場合には、&block 部分が無視されるのが分かります。

Railsのアプリケーションサーバーのプロセス数とスレッド数の設定方法

はじめに

この記事では、Railsの本番環境におけるアプリケーションサーバー（pumaやunicornなど）のプロセス数とスレッド数のパラメータ設定に関する情報をまとめます。

プロセスとスレッドの特徴概要

アプリケーションサーバーのパラメータを設定する際に、OSにおけるプロセスとスレッドは重要な要素になるので、あらかじめ概要を説明しておきます。

プロセスはOSで実行中のプログラムのことで、プロセス内には1つ以上のスレッドが含まれます。CPUのコアに命令をしているのがスレッドです。

複数のプロセス同士は、同じメモリ領域を共有できません。しかし、同じプロセス内のスレッド同士は、同じメモリ領域を共有できるので、プロセス内に複数のスレッドを作成した方がメモリの利用効率が上がります。

複数のスレッドが同じメモリ領域を共有すると、メモリの利用効率は上がりますが、誤って別のスレッドに影響する情報を書き換えてしまう可能性もあります。いわゆるスレッドセーフではない状態が起こるということです。

1つのスレッドしかないプロセスを複数使用すれば、スレッドセーフかどうかを考慮する必要はなくなりますが、複数のスレッドを使う場合と比較して、メモリの利用効率は下がってしまいます。

1つのプロセス内に複数のスレッドを作った場合のメリットとして、一部のスレッドがIO待ち（例えば、データベースへのリクエストとそのレスポンスを待っているような状態）になってしまっても、プロセス内の他のスレッドで別の処理を進めることができるという点があります。この場合、プロセスとしてのスループットが大きくなります。

もし、1つのプロセスで1つのスレッドしか用意しなかったとしたら、そのスレッドでIO待ちが発生すると処理がブロックしてしまいます。

pumaとunicornの違い

Railsで使うアプリケーションサーバーとして一般的なものにpumaとunicornがあります。

pumaは、マルチプロセス対応で、さらに、各プロセス内に複数のスレッドを作成することができます。

unicornは、マルチプロセス対応ですが、各プロセス内には複数のスレッドを作りません。

したがって、スレッド間でメモリを共有できる分、メモリ効率はpumaの方が良くなりやすいです。ただし、pumaを使う場合は利用しているgemも含めてスレッドセーフな実装でアプリケーションを作っておく必要があります。

一方、unicornは、メモリ効率はpumaと比較して良くありませんが、スレッドセーフであるかどうかを気にする必要がありません。また、詳細な説明は省略しますが、稼働中のサーバーにデプロイを行う際にゼロダウンタイムのデプロイをすることが可能、などの特徴もあります。

この記事では、Rails標準のアプリケーションサーバーであるpumaを使う想定で、以降の説明をします。

RubyのGVLの概要

Ruby には、Giant VM lock （GVL）とよばれるものが存在します。Giant VM Lockが効いている間は、ネイティブスレッドがロックされ、実質1つのスレッドしか同時に実行できません。

しかし、GVLについては、Ruby 3.0.0のリファレンスマニュアル（上のリンク先）には、以下のように記載されています。

ネイティブスレッドを用いて実装されていますが、現在の実装では Ruby VM は Giant VM lock (GVL) を有しており、同時に実行されるネイティブスレッドは常にひとつです。ただし、IO 関連のブロックする可能性があるシステムコールを行う場合には GVL を解放します。その場合にはスレッドは同時に実行され得ます。また拡張ライブラリから GVL を操作できるので、複数のスレッドを同時に実行するような拡張ライブラリは作成可能です。

詳細な説明は省略しますが、要するに、Rubyのスレッドは、IO関連のシステムコールを行う場合にはGVLを開放するので、その場合は複数のスレッドを実行できます。しかし、逆にIO関連以外のシステムコール（例えば数値計算など）の場合には、GVLが効いてしまい、同時に1つのスレッドしか実行されません。

Webアプリケーションにおいては、IO関連のシステムコール（例えばネットワーク越しのリクエスト・レスポンス処理）が使われることも多くなるため、アプリケーションサーバーが、マルチスレッド対応をすることのメリットはあると考えられます。

プロセス数とスレッド数の判断に必要な情報

前置きが長くなりましたが、ここからが本題です。

一般的なRailsアプリケーションを実行する本番環境のプロセス数とスレッド数を設定するには、以下を考慮に入れます。

CPU数（環境によっては、vCPU数、仮想CPU数）
利用可能なメモリの量
1スレッドで必要なメモリの量
Railsで設定しているコネクションプールの数
webとjobワーカーの数
データベースの同時接続数上限

CPU数

CPU数は、利用しているサーバーのCPUコアの数です。クラウドのような仮想環境を利用している場合は、物理的なコア数ではなく仮想CPU数（vCPU数）を把握する必要があるかもしれません。

CPUの数は、設定可能なプロセス数に影響を及ぼします。どのように影響するかについて、Herokuの記事では、以下のように言及しています。

Due to the GVL, the Ruby interpreter (MRI) can only run one thread executing Ruby code at a time. Due to this limitation, to fully make use of multiple cores, your application should have a process count that matches the number of physical cores on the system.)
https://devcenter.heroku.com/articles/deploying-rails-applications-with-the-puma-web-server#process-count-value より一部引用

（訳注：IO待ちの場合は、GVLが開放されるとはいえ）GVLを考慮するとCPUの機能をフル活用するなら、Rubyコードのプロセス数は、CPUのコア数に一致させるのがよい、と記載されています。

利用可能なメモリ量

利用しているサーバーのメモリ量も把握する必要があります。

スレッドごとにRailsアプリケーションの処理が実行されるので、スレッド数が増えればそれだけ必要なメモリ量も大きくなります。また、プロセス数が増えれば必然的に包含するスレッドも最低1つは増えますので、プロセス数を増やす場合も、必要なメモリ量は大きくなります。

利用しているサーバーのメモリ量は、プロセス数やスレッド数の上限を考えるのに必要です。

1スレッドで必要なメモリ量

1スレッドで必要なメモリ量も把握する必要があります。

1スレッドで必要なメモリ量が例えば、400MB前後だとすると、スレッド数を1、2…と増やしていった場合に、必要なメモリは概ね400MB、800MB…と比例して増えていきます。

1スレッドで必要なメモリ量は、アプリケーションの実装によって幅が出てきます。筆者の経験では、Railsアプリケーションの本番環境では、概ね300MB〜1GBくらいの幅で変わるように思います。

もしすでに本番環境やステージング環境を運用しているのであれば、その環境でメトリクス計測ツール（New RelicやHerokuのMetrix機能）で確認するのが確実です。

稼働している本番環境やステージング環境で、実際に合計何スレッドが動作しているのかが分かれば、本番環境で利用しているメモリ量をその合計スレッド数で割れば、1スレッドで必要なメモリの量を概算することができます（厳密には、スレッド間で共有しているメモリがあるはずです。ここで計算しているのは、あくまで概算値です）。

Railsで設定しているコネクションプールの数

Railsには、コネクションプールの仕組みがあり、以下のように、database.ymlのpoolの値で上限値を指定することができます。

/config/database.yml

default: &default
  adapter: postgresql
  host: localhost
  pool: 5
  timeout: 5000
  username: postgres
  password: postgres
  encoding: utf8

development:
  <<: *default
  database: sample_app_development

test:
  <<: *default
  database: sample_app_test

コネクションプールとは、Railsの処理がデータベースにアクセスするたびにコネクション接続と切断を行って負荷が高くなったり、パフォーマンスが低下するのを防ぐために、予め決められた上限数を考慮してデータベースとの間に作っておく接続のグループのことです。

また、このコネクションプールは、各プロセスごとに作られます。プロセス間で共有のプールを持つことはできません。

コネクションは、スレッドの処理でデータベースへの接続が必要になった場合に、コネクションプールからスレッドに1つ割り当てられ、処理が終わるとプールに戻されます。

コネクションプールの値がスレッド数より少ない場合、プール数よりも多いデータベースへのアクセスリクエストが発生した際に、新しいスレッドにデータベースとの接続を割り当てることができなくなり、コネクションの割当待ちのような状態になります。

したがって、この割当待ちによるスループットの低下を防ぎたい場合は、

のような関係を保つように、database.ymlを設定する必要があります。

Herokuの記事では、コネクションプール数とスレッド数を同じ値にすることを推奨しているようです。実際に、これらの値が同じであっても上記の条件は満たされますし、スレッド数よりも過剰に大きいコネクションプール数を作成したとしても、その分サーバー上のメモリが無駄になるため、基本的にはHerokuの推奨のやり方に従うのが良いでしょう。

アプリケーションサーバーとjobワーカーの数

一般的なRailsアプリケーションにおいて、データベースに接続するのは、pumaやunicornのようなアプリケーションサーバーからだけではなく、sidekiqのようなjobワーカーも存在します。

次節で説明するように、データベース側に接続上限数が存在するため、jobワーカーが存在するか、そして、それが存在する場合どれくらいの数があり、合計何スレッドくらい実行されるか、も考慮にいれる必要があります。

データベースの同時接続数

データベース側の同時接続数の上限値も把握しておく必要があります。

データベース側の同時接続数が分かれば、全サーバーの全プロセスで作られるスレッド数の合計値が、その同時接続数を超えないようにパラメータを調整しなければなりません。

したがって、結果的に、データベースの同時接続数は、各サーバーのプロセス数やスレッド数の上限値に影響します。

メモリ以外のパラメータの大小関係

これまでの説明を考慮すると、メモリに関するパラメータを除外すれば、少なくとも以下のような大小関係がなりたつように、各パラメータを設定する必要があります。

ただし、この大小関係を満たすという条件は変わりませんが、実際は、次の節で考慮に入れる利用可能なメモリ量で頭打ちになることが多いように思います。

メモリ関連のパラメータの大小関係

上記の大小関係とは別に、メモリによってもパラメータの大小関係が決まってきます。

これは、単純に、以下になります。

Heroku環境での設定例

最後に、当社で良く利用するHeroku環境の例をもとに、具体的な設定例を考えてみます。

前提とする環境

以下のような架空の本番環境を想定することにします。

項目

値

CPU数（web dynoで使用できるvCPUの数）

今回の想定では、web dynoはpremium Mとする。

利用可能なメモリの量（premium Mで利用可能なメモリ量）

2.5GB

1スレッドで必要なメモリの量（本記事用に、適当に想定）

600MB

Railsで設定しているコネクションプールの数（スレッド数と同じ値を設定）

あとで計算

アプリケーションサーバーとjobワーカー数（説明を簡単にするため、アプリケーションサーバー数（web dynoの数）を2、jobワーカー数を0と想定）

データベースの接続上限数（Heroku Postgresのmax connectionsの数）

400

前提環境で設定すべき値

CPU数は2なので、プロセス数の適切な値は2です。

ただし、メモリ関連のパラメータの大小関係を考慮すると、1スレッドで必要なメモリ量が600MBなので、合計スレッド数 × 600 <= 2500MB となるように、合計スレッド数を4にすると良さそうです。

したがって、仮にプロセス数を2とすると、設定可能なスレッド数は2です。もし、プロセス数を1とすると、スレッド数は4です。

おそらく、後者の方がメモリの利用効率は高そうですが、GVLを考慮すると、アプリケーションによっては前者の方がスループットが大きい可能性もあります。これは、実際にステージング環境などで、どちらが良さそうかを確認すると良いかもしれません。

ここでは、仮に、プロセス数を2、スレッド数を2にすると決めたことにします。また、これに合わせて、コネクションプール数は2にします。

web dynoは、2つ使用するので、各web dynoごとに2プロセス、2スレッド作る場合、プロセス数は、合計で2 x 2= 4だけ作成することになります。

さて、この前提で、合計のデータベース接続数を念の為に計算すると、

となるため、データベースの接続上限数の400には、まだまだ余裕があり、問題ありません（この前提の場合、もっとスペックの低いデータベースを使用してもいいのかもしれません）。

実際にプロセス数とスレッド数を指定する環境変数

pumaを使用する想定の場合、デフォルトでは、/config/puma.rbに以下のような起動設定が用意されています。

なお、実際には、説明用のコメントもつけられているはずですが、コードが長くなるので、以下では割愛しています。

threads_count = ENV.fetch("RAILS_MAX_THREADS") { 5 }
threads threads_count, threads_count

port        ENV.fetch("PORT") { 3000 }

environment ENV.fetch("RAILS_ENV") { "development" }

workers ENV.fetch("WEB_CONCURRENCY") { 2 }

preload_app!

plugin :tmp_restart

rackup DefaultRackup

この設定ファイルの

threads_count = ENV.fetch("RAILS_MAX_THREADS") { 5 }

の部分がスレッド数を指定している部分で、

workers ENV.fetch("WEB_CONCURRENCY") { 2 }

の部分がプロセス数を指定している部分です。

したがって、具体的なパラメータとしては、RAILS_MAX_THREADSを2に、WEB_CONCURRENCYを2に設定することになります。設定しない場合、このコードの例では、デフォルト値としてスレッド数5とプロセス数2が使われるので、サーバーのスペックが不十分な場合は、障害が発生するかもしれません。

Railsを6.1系から7.0系へアップグレードした時に調査したこと

先日、Rails6.1系で動いていたシステムをRails7.0系にアップグレードしました。

そのシステムは

Rails製APIアプリケーション
コード量・利用者ともに小規模
テストコードが充実している

と比較的アップグレードしやすかったこともあり、無事に完了しました。

この記事ではアップグレードの際に調べたことをまとめておきます。

なお、作業はピクシブ株式会社さんの永久保存版Railsアップデートガイドを参考にしながら進めました。ありがとうございました。

リリースノートやRailsガイドのアップグレードガイドを読む

Rails6.1から7.0へアップグレードを計画した段階で、Railsの公式BlogRails7.0系のリリースノートを読みました。

また、Railsガイドのアップグレードガイドの Rails 6.1からRails 7.0へのアップグレードました。

資料を読み終えたところで、対象のシステムは問題なさそうと判断し、準備を進めることにしました。

各gemがRails7.0対応しているか確認する

Rails7.0がリリースされた直後は、使っているgemがRails7.0対応していないものがありました。

そこで、定期的に各gemのリポジトリを見に行き、Rails7.0対応に関するissueやPull Requestを確認しました。

その後、使用しているすべてのgemがRails7.0対応がなされているのが確認できたため、具体的な作業に入りました。

各gemをバージョンアップする

今回は小規模だったこともあり、

bundle outdated でバージョンアップできるgemを確認
Rails以外を bundle update --conservative <gem名> でバージョンアップ
- --conservative オプションにより、指定したgemと指定したgemが直接依存しているgemのみバージョンアップするようになります (Bundlerの公式ドキュメント)
Railsを bundle update --conservative rails でバージョンアップ

の順で作業をしました。

また、各gemをバージョンアップするごとに、テストを流してパスすることを確認した上でGitブランチにコミットしました。

各種設定ファイルを更新する

次に、6.1系と7.0系間のRailsDiffを見て各種設定ファイルの差分を確認しました。

まず、削除された設定について見てみましたが、主に

Rails7から、Springがデフォルトに含まれなくなったため、Springに関する設定だった
Rails7で config/initializers/ 以下が整理されたが、対象システムでは使っていない設定だった

ため、システムから削除しても問題なさそうでした。

次に、設定ファイルの変更で気になった点(後述)については調査を行いました。その結果、変更による影響がなさそうだったため、Rails7.0系での変更を各種設定ファイルに取り入れました。

なお、調査をする際はTechRachoさんの記事が参考になりました。ありがとうございました。

ここでは、今回気になった点とその対応について以下にまとめます。

app/models/application_record.rb

RailsDiffでの差分を引用します。

class ApplicationRecord< ActiveRecord::Base
-  self.abstract_class = true
+  primary_abstract_class
end

TechRachoさんの記事を読むと primary_abstract_class の方が良さそうでしたので、差し替えました。

config/environments/development.rb

RailsDiffでの差分のうち、気になった点は以下でした。

+ config.server_timing = true

- config.assets.debug = true

- config.file_watcher = ActiveSupport::EventedFileUpdateChecker

TechRachoさんの記事を読むと、server timing ミドルウェアは便利そうでしたので追加することにしました。

一方、

config.assets.debug は使っていないシステムだった
config.file_watcher はDockerを使っていると影響ありそうな情報が散見されるものの、今回の環境では不要そうだった

ため、これらは設定ファイルから削除することにしました。

config/environments/production.rb

RailsDiffの差分のうち、気になった点は以下でした。

-  # Send deprecation notices to registered listeners.
-  config.active_support.deprecation = :notify
-
-  # Log disallowed deprecations.
-  config.active_support.disallowed_deprecation = :log
-
-  # Tell Active Support which deprecation messages to disallow.
-  config.active_support.disallowed_deprecation_warnings = []
+  # Don't log any deprecations.
+  config.active_support.report_deprecations = false

config.active_support.report_deprecations = false については、TechRachoさんの記事によると一括でdeprecation warningを消せるオプションでした。ただ、できる限りdeprecation warningは表示したいため、 true にしておきました。

他の項目については、対象のシステムで無効にしていた設定だったため、対応は不要でした。

config/environments/test.rb

RailsDiffの差分のうち、気になった点は以下でした。

-  # Do not eager load code on boot. This avoids loading your whole application
-  # just for the purpose of running a single test. If you are using a tool that
-  # preloads Rails for running tests, you may have to set it to true.
-  config.eager_load = false
+  # Eager loading loads your whole application. When running a single test locally,
+  # this probably isn't necessary. It's a good idea to do in a continuous integration
+  # system, or in some way before deploying your code.
+  config.eager_load = ENV["CI"].present?

この変更を提供したところ、Github Actionsのデフォルトの環境変数では CI = true が設定されていたことから config.eager_loadが true になってしまい、CI/CDまわりで不具合が出ました。

そのため、 config.eager_load は従来のまま false と明示的に設定しました。

デフォルト値の影響調査

RailsDiffで差分が出たデフォルト値に、 config/application.rb の中のconfig.load_defaults があり、値が 7.0 に変わっていました (該当箇所)。

そこで、Railsのデフォルト値の変更を調べることにしました。

まず、7.0 とした場合の影響については Railsガイドの load_defaults の結果を参照しながら調査しました。

調査する中で、 rails7へのバージョンアップを安全に行うために使用するnew_framework_defaults_7_0.rbの各項目をさらっと解説 - Qiita に変更内容がまとまっていたため、参考にいたしました。ありがとうございます。

上記の記事にある項目を確認しましたが、今回のシステムに対して影響するものはありませんでした。

次に、さきほどのQiitaの記事で触れられていなかったものについて調査しました。それらを以下にまとめます。

config.active_support.disable_to_s_conversion: true

Railsガイドには

ある種のRubyコアクラスに含まれる#to_sメソッドの上書きを無効にします。この設定は、アプリケーションでRuby 3.1の最適化をいち早く利用したい場合に使えます。

とあります。

今回は小規模なシステムだったこともあり影響がなかったため、デフォルト値の変更を受け入れました。

action_dispatch.return_only_request_media_type_on_content_type: false

edgeのRailsガイドに詳細な記載がありました。

TechRachoさんの記事を読み、今回のシステムには影響しなかったため、デフォルト値の変更を受け入れました。

active_storage.multiple_file_field_include_hidden: true

edgeのRailsガイドに詳細がありました。

In Rails 7.1 and beyond, Active Storage has_many_attached relationships will default to replacing the current collection instead of appending to it.

とのことですが、今回のシステムには影響しなかったため、デフォルト値の変更を受け入れました。

おわりに

Rails7.0系にアップグレード後も開発・運用を継続していますが、今のところ大きな問題は発生していません。

今後もRailsのバージョンアップを継続して行うとともに、作業で気になったこと等はTechBookに記載していこうと思います。

本サイトの更新情報は、Twitterの株式会社プレセナ・ストラテジック・パートナーズエンジニア公式で発信しています。ご確認ください。

schema.rbで差分が発生する事例とその復旧について

Railsには、スキーマファイルと呼ばれる schema.rb があります。

Active Recordはマイグレーションの時系列に沿ってスキーマを更新する方法を知っているので、履歴のどの時点からでも最新バージョンのスキーマに更新できます。Active Recordは db/schema.rb ファイルを更新し、データベースの最新の構造と一致するようにします。

とあるように、schema.rb はデータベース関連の機能で使われます。

その schema.rb ですが、チームで開発をしている時に

自分の作業を中断して、プルリクエストのレビューをする
自分の作業に戻って、開発を続ける

を繰り返している中で、意図しない差分が schema.rb に発生していると気づき、戸惑うことがあるかもしれません。

そこで、schema.rb に差分が発生してしまうことについて

発生する事例
差分が発生していると何が起こるか
どう復旧するか

を記事としてまとめます。

発生する事例

発生する事例として、「どのような流れで発生してしまうのか」を体験できるチュートリアルを用意しました。

チュートリアルは以下の流れで進めます。なお、Railsのバージョンは 7.0.4.2 を想定しています。

mainブランチで、Railsのモデルを作成
mainから派生した第2のブランチ（feature/add_unique_index）で、モデルの変更を伴うマイグレーションを適用
mainから派生した第3のブランチ（feature/add_column）で、モデルの変更を伴うマイグレーションを適用

1. mainブランチで、Railsのモデルを作成

最小構成で rails new します。後ほどgemを追加するため、現時点では bundle install を行いません。

今回の動作確認をRSpecで行うため、 Gemfile の末尾に追加します。

Gemfileの準備ができたため、一連のgemをインストールします。

RSpecのセットアップも行います。

続いてモデルを用意します。今回は isbn 列を持つBookモデルとします。

マイグレーション適用後に、状態を確認しておきます。

ここまでをコミットします。 (もし vendor/bundle 以下をコミットしたくない場合は .gitignore に追加しておきます)

2. mainから派生した第2のブランチ（`feature/add_unique_index`）で、モデルの変更を伴うマイグレーションを適用

main ブランチから第2のブランチ( feature/add_unique_index )を新しく作成し、「Bookの isbn にUNIQUE制約を追加する」ためのマイグレーションファイルを生成します。

生成したマイグレーションファイルにて、Bookの isbnにUNIQUE制約を追加します。

マイグレーションを適用後、状況を確認します。

作業が終わったため、コミットします。

3. mainから派生した第3のブランチ（`feature/add_column`）で、モデルの変更を伴うマイグレーションを適用

ここからが、意図しない差分を発生させてしまう手順になります。

本来ならば、第2のブランチ（feature/add_unique_index）を離れる前にマイグレーションをロールバックします。

ただ、今回は schema.rbに差分を発生させるため、マイグレーションを適用したまま、

第3のブランチ（feature/add_column）を新しく作成・切り替え
モデルに列 nameを追加
マイグレーションを適用

を行います。

続いて、マイグレーションの状態を確認します。作業2.のマイグレーションが適用されたまま、今回のマイグレーションも適用されているのが分かります。

schema.rb を見ると isbn 列にUNIQUE制約が定義されており、意図しない状態となっています。

最後に、「この状態に気づかずに、うっかりコミット」した想定にしておきます。

差分が発生していると何が起きるか

今回はテストコードを使って、何が起こるかを見ていきます。

「第3のブランチ（feature/add_column）ではまだUNIQUE制約を付けるマイグレーションがないから、テストはパスするだろう」と考え、以下のテストコードを書いたとします。

しかし、RSpecを実行すると

expected no Exception, got #<ActiveRecord::RecordNotUnique: SQLite3::ConstraintException: UNIQUE constraint failed: books.isbn> with backtrace:

とテストが失敗してしまいます。

今回の場合、UNIQUE制約を追加するマイグレーションファイルが存在しない第3のブランチ（feature/add_column）でも、UNIQUE制約付きでテスト用のデータベースが作成されてしまった結果、テストが失敗しました。

どう復旧するか

今回は、以下の流れで復旧していきます。

UNIQUE制約を追加した第2のブランチ（feature/add_unique_index）へ切り替え、UNIQUE制約のマイグレーション適用をロールバックする
第3のブランチ（feature/add_column）へ切り替え、 db:migrate を実行する

順に見ていきます。

1. UNIQUE制約を追加した第2のブランチ（`feature/add_unique_index`）へ切り替え、UNIQUE制約のマイグレーション適用をロールバックする

UNIQUE制約を追加した第2のブランチ( feature/add_unique_index )へ切り替え、マイグレーションの状況を確認します。

Migration IDに対するNameのうち、NO FILE と表示されていたものが Add index to book という表示へと切り替わりました。

続いて、第2のブランチ( feature/add_unique_index )上で、不要なマイグレーション適用を元に戻します。

なお、 db:migrate:rollback コマンドでは1ステップずつしか戻せないので、バージョンを指定できるコマンドで戻します。

再度マイグレーションの状況を確認すると、当該Migration IDが down という未適用状態になりました。

ただ、この時点では schema.rb に変更が入っていることから、第3のブランチ（feature/add_column）へ切り替えようとしても

と、エラーになってしまいます。

そこで、 schema.rb の変更を、当ブランチのコミット時点に戻しておきます。

2. 第3のブランチ（`feature/add_column`）へ切り替え、 `db:migrate` を実行する

あらためて第3のブランチ（feature/add_column）へ切り替えます。

ここでマイグレーション適用状況を確認すると、第3のブランチ(feature/add_column )のマイグレーションのみが適用・表示されています。

ただ、まだ schema.rb にはUNIQUE制約の定義が残ったままになっています。

そこで、もう一回 db:migrate を実行し、 schema.rb を更新します。

ターミナルの実行結果には何も表示されないものの、git status ではschema.rb の更新が確認できます。

更新後の schema.rb を見ると、UNIQUE制約の定義が削除されています。

これでようやく schema.rb が復旧しました。

あとは忘れずに schema.rbを第3のブランチ（feature/add_column）へコミットすれば、復旧は完了です。

おわりに

今回は schema.rbに差分が発生する事例とその復旧方法を見てきました。

復旧するのには手間がかかることから、もしプルリクエストにマイグレーションファイルが含まれている場合は、schema.rb に余分な更新がないかチェックするのが良さそうです。

tmux + overmind を利用して、複数システムを1コマンドで起動できるよう設定する

はじめに

当社のRailsシステム間連携では、各システムで公開しているWeb APIを使っています。

今までは各システムを bin/rails s で起動し、開発を行ってきました。

ただ、連携するシステムが増えたり、各システムで使うジョブワーカーが増えたりした結果、現在では各システムを起動する手間が増えてきました。

そこで、今後も効率的に開発できるよう、以下の設定を行いました。

tmux + overmind にて、連携する各システムやワーカーを1つのコマンドで起動できるようにした
RubyMine にて、 overmind で起動したプロセスにアタッチし、デバッグできるようにした

この記事では、複数システムを1コマンドで起動できるようにするために、 tmux + overmind + RubyMine にてどのような設定をしたか、チュートリアル形式で共有します。

前提となる環境について

システム全体の構成について

このチュートリアルでは、以下のシステム構成とします。

mac上で、2つのRailsシステム(frontend_appとbackend_app)を開発している
- frontend_app について
  - 外部からのHTTPリクエストを受け付ける
  - Delayed::Job でジョブを管理している
    bin/rails jobs:work にて Delayed::Job Worker を起動する
各Railsシステムは、ローカルマシン上での bin/rails s 実行により起動する
各Railsシステムは、データベースを適切に設定している

ディレクトリ構成について

次の図のように、overmind ディレクトリの中に frontend_app と backend_app という2つのRailsシステムのリポジトリがあるものとします。

用語について

tmuxとは

terminal multiplexer と呼ばれるソフトウェアのうちの1つです。

1つのターミナルの画面を、複数に分割して利用します。

overmindとは

Herokuで使う Procfile と同じ書式で定義することで、定義したプロセスを管理できます。

チュートリアル

tmux + overmind でシステム全体を起動できるようにする

tmux + overmind をセットアップする

tmuxの設定を行う

tmuxはデフォルト設定のままでも問題なく使えます。

ただ、慣れないうちはマウス操作はできたほうが便利なため、 tmux の設定を追加します。

~/.tmux.conf ファイルを追加し、以下を記載します。

Procfileを作成する

チュートリアルのルートディレクトリである overmind に、ファイル Procfile を作成します。

Procfile には、各Railsシステムやジョブワーカーを起動する時のコマンドを記載します。

なお、ワーキングディレクトリを考慮するため、 && を使ってコマンドをチェーンしています。

tmuxにてovermindを起動する

macのターミナルから tmux を起動します。

次に、 Procfile のあるディレクトリに移動し、overmind にて各プロセスを起動します。

tmux の画面では、 Procfile で定義した各プロセスの様子が表示されています。

動作確認

外部からのHTTPリクエストを受け付ける frontend_app に対し、 curl でアクセスします。

すると、 frontend_app からJSONレスポンスが返ってきます。

tmuxを見ると、各システムやジョブワーカーが連携し、JSONレスポンスを返したことが分かります。

動作確認ができたため、いったん Ctrl + C にて overmind での実行を停止します。

1つのプロセスをtmuxの別ペインで表示する

現在はtmuxの1つのペインに、 Procfile で起動したすべてのプロセスのログが表示されています。

ただ、この状態のままでは各プロセスのログを追いづらいです。

そこで、別ペインで表示するよう設定します。

このチュートリアルでは、ウィンドウを上下ペインに分けます。

上ペインはここまで通り overmind のログを表示します。

一方、下ペインでは backend_app のログのみを表示するようにします。

別ペインで表示するための準備

以下の準備を行います。

tmuxで Ctrl + b + " を入力し、水平ペインを開く
上ペインにて、以下の操作を行う
- overmind s を実行し、各システム・ワーカーを起動する
下ペインにて、以下の操作を行う
- Procfile のあるディレクトリに移動する
- overmind connect backend_app を実行し、overmindで実行している backend_app のプロセスに接続する

動作確認

再びcurlで frontend_app にアクセスしてみます。

すると、上ペインでは、各システム・ワーカーのログが出力されています。

一方、矢印部分の下ペインでは、 backend_app のログのみ表示されています。

RubyMineにて、overmindで起動したプロセスのデバッグを行う

今までの操作にて、各システム・ワーカーを overmind s だけで起動できるようになりました。

ただ、何か不具合があった時には、各システムをデバッグしたくなるかもしれません。

もしRubyMineを使っている場合は、 overmind で起動したプロセスにアタッチ・デバッグできます。

このチュートリアルでは、RubyMineを使って backend_app のプロセスにアタッチしてみます。

RubyMineでの設定

以下の順番で設定を行います。

RubyMineにて、プロセスにアタッチしたいシステムのリポジトリを開く
- このチュートリアルでは backend_app リポジトリを開きます。
RubyMineのメニューにて、 Run > Attach to Process を選択する
実行しているプロセスが表示されるため、 backend_app のプロセスを選択する
- 下部のイメージ参照
RubyMineでブレークポイントを設定する

以上で、デバッグの準備が整いました。

動作確認

curlで frontend_app にアクセスしてみます。

すると、RubyMineで設定したブレークポイントで停止します。

実行時の各変数の内容も表示され、デバッグできていることが分かります。

まとめ

tmux + overmind を利用して、連携する一連のシステムやワーカーを起動できるようにしたことにより、より開発を効率的に行うことができるようになりました。

今後も開発を効率的に行う方法をTechBookにて共有していこうと思います。

Rails Migrationチートシート

Rails歴が長い人でも、意外とmigrationの追加用のコマンドを覚えていられず、毎回調べていているので、実装で使ったもの・使いそうなものを少しずつ追加しています。

この記事は定期的に内容が追加される予定です。

よく使うパターン

空のマイグレーションファイルを作成する

以下のように、マイグレーションの名前を指定しながらrails generate コマンドを入力します。

% rails g migration AddXXXXsToSomeRecords

特定の型のカラムを既存のテーブルに追加する

以下のようにコマンドでカラムと型を指定する（YYY はテーブル名）か、

$ rails g migration AddXXXXToYYY カラム名:データ型

あるいは、空のマイグレーションファイルを作った後、次のように、直接、change メソッド内にadd_column メソッドを記載します。

class AddXXXXsToSomeRecords < ActiveRecord::Migration
  def change
    add_column :some_records, :column_name, :string
  end
end

ときどき使うパターン

既存のテーブルに、カラム名からは参照先を自動的に推定できない外部キーを追加する

some_master_records というテーブルがある前提で、別のsome_transaction_records テーブルにdefault_some_master_record_id というカラムを追加して、そのカラムを使ってsome_master_records テーブルを参照したい場合に使います。

やり方はいくつかあると思いますが、筆者が使うのは、以下です。

まず、空のマイグレーションファイルを作ります。

その後、以下のようにadd_reference メソッドにforeign_key オプションを指定し、そのオプションの中でto_table を指定します。

class AddXXXXsToSomeTransactionRecords < ActiveRecord::Migration
  def change
    add_reference :some_transaction_records, #カラムを追加したいテーブル
                  :default_some_master_record, #これでdefault_some_master_record_idカラムが作られる
                  {
                    foreign_key: {to_table: :some_master_records}
                  }  
  end
end

これで、some_transaction_records テーブルに、default_some_master_record_id カラムが追加され、some_master_records テーブルへの外部キー制約も作られます。

なお、この場合、ActiveRecordのモデルクラス（SomeTransactionRecord　クラス）にも参照に使う外部キーと参照先のモデルの設定が必要になります（この記事での説明は省略します）。

本サイトの更新情報は、Twitterの株式会社プレセナ・ストラテジック・パートナーズエンジニア公式で発信しています。ご確認ください。

GithubのプライベートリポジトリをGemfileで参照する方法

背景

当社では、社内で共通に使いたい機能をgemに切り出し、機能の利用側のGemfileでプライベートリポジトリを参照しています。

ローカル端末でのみ利用する場合はgitのURLはgit@ やssh@ で始まるURLを使えば問題なくbundle installできます。しかしCI/CD環境でもbundle installするため、httpsで始まるURLで登録しています。

このプライベートリポジトリをbundle install時に参照する方法について記載します。

Personal Access Tokenを使う方法について

ローカル端末の場合

Github CLIを使う方法

まずCLIをインストールしておきます。Macの場合はbrewコマンドでインストールできます。

次に以下のコマンドを実行するとブラウザが開きますので、Githubの認可を行います。

これで、bundle installが成功します。

git configを使う方法

そうすると、sshで参照するようになるためbundle installが成功します。

CI/CD環境の場合

github actionsやAWS codebuildなどのCI/CD環境について記載します。

Github Appsの作成

パーミッションについては、プライベートリポジトリを参照してbundle installするだけであれば、「Contents：Read-only」を選択するだけで良いでしょう。

作成後にPrivate Keyを作れるようになりますので、ひとつ作成して秘密鍵をダウンロードしておきます。

画面上部に表示されているAppIDを控えます

作成したGithub Appのリポジトリへの導入

Github App 左メニューのInstall Appを選択し、歯車アイコンをクリックします。

必要なリポジトリを選択し、Saveします。

Github Actions

控えておいたGITHUB_APP_IDおよびGITHUB_APP_PRIVATE_KEYを、下図のようにActionのsecretsに、登録しておきます。

Github App経由でtokenを取得します。その値を、環境変数BUNDLE_GITHUB__COMに設定します。以下にGithub Actionsの設定例を掲載します。

AWS CodeBuild

Github Actionsとやっていることは同じです。Github Appsを用意し、GITHUB_APP_IDとGITHUB_APP_PRIVATE_KEYを使って、Access Tokenを取得します。ただしgithub actionsのように公開された再利用可能ワークフローがないため、自前でスクリプトを実行してtokenを取得します。

以下が、buildspec.ymlから呼ぶスクリプトです。

ActiveSupportのto_jsonメソッドの注意点

to_jsonメソッドの注意点

ActiveSupportには、to_jsonという便利なメソッドがあります。 Railsで開発しているときに使う場面としては、DBから取得したレコードをAPIのレスポンスとして返す場合があります。

しかし、deviseを認証に使っているサービスなどで、何も考えずに、user.to_jsonのようなコードを書いてしまうと、以下のようなJSONがレスポンスに返されてしまいます。

{
  \"id\":1111111,
  \"email\":\"xxxxx@yyyyy.zzzzz\",
  \"created_at\":\"2023-09-06T14:29:22.188+09:00\",
  \"updated_at\":\"2023-09-06T15:29:38.638+09:00\",
  \"last_sign_in_user_agent\":\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36\"
  }

出力される属性がこれだけなら、それほど大きな問題がないようにも見えます。しかし、userモデルには、サービスへの機能追加に伴ってプライベートな情報が追加されやすいため、そういった情報がto_jsonメソッドで出力されてしまったり、あるいは、本人以外のuser情報も併せて一覧で取得するような場合に、他人の emailやプライベートな情報が含まれてしまったりすると個人情報の漏洩問題になる可能性があります。

したがって、to_jsonメソッドで出力する属性を制限するべきかどうかについて、注意し検討する必要が出てきます。

解決策

幸い、to_jsonメソッドでは、オプションを指定することで、出力を絞り込むことができます。

option

内容

only

特定の属性のみに絞り込む場合に使います。

except

特定の属性を除外したい場合に使います。

include

特定のassociation（has_manyやbelongs_toで指定しているような別のモデル）を出力に含めたい場合に使います。

methods

特定のメソッドを呼び出した結果を含めたい場合に使います。

methodsオプションは、特定の属性を絞り込むというよりかは、追加で情報を出力する用途に使いますが、関連する機能なので併せて説明します。

以下、各オプションの使用例を示します。

only

さきほどの例で、onlyを指定すると、以下のように指定した属性だけが出力されます。

> user.to_json(only: [:id])
=> "{\"id\":1111111}"

except

さきほどの例で、exceptを指定すると、以下のように指定した属性以外のものが出力されます（※）。 ※読みやすくするために、改行を入れています。

> user.to_json(except: [:email])
=> 
{
  \"id\":1111111,
  \"created_at\":\"2023-09-06T14:29:22.188+09:00\",
  \"updated_at\":\"2023-09-06T15:29:38.638+09:00\",
  \"last_sign_in_user_agent\":\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36\"
}

include

さきほどの例で、includeを指定すると、以下のように指定したassociationの属性も併せて出力されます（※）。 ※ some_associationという属性がある前提です。

> user.to_json(include: [:some_association])
=> 
{
  \"id\":1111111,
  \"created_at\":\"2023-09-06T14:29:22.188+09:00\",
  \"updated_at\":\"2023-09-06T15:29:38.638+09:00\",
  \"last_sign_in_user_agent\":\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36\",
  \"some_association\":{\"id\":222222,\"name\":\"名前1\"}
}

なお、includeで指定したassociation内でも出力する属性を制限したい場合は、以下のように書けます。

> user.to_json(include: [{some_association: {only: :name}}])
=> 
{
  \"id\":1111111,
  \"email\":\"xxxxx@yyyyy.zzzzz\",
  \"created_at\":\"2023-09-06T14:29:22.188+09:00\",
  \"updated_at\":\"2023-09-06T15:29:38.638+09:00\",
  \"last_sign_in_user_agent\":\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36\",
  \"some_association\":{\"name\":\"名前1\"}
}

methods

さきほどの例で、methodsを指定すると、以下のように指定したメソッドの呼び出し結果も併せて出力されます（※）。 ※some_methodというメソッドがある前提です。

> user.to_json(methods: [:some_method])
=> 
{
  \"id\":1111111,
  \"email\":\"xxxxx@yyyyy.zzzzz\",
  \"created_at\":\"2023-09-06T14:29:22.188+09:00\",
  \"updated_at\":\"2023-09-06T15:29:38.638+09:00\",
  \"last_sign_in_user_agent\":\"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36\",
  \"some_method\": \"some_output\"}
}

本サイトの更新情報は、X(旧Twitter)の株式会社プレセナ・ストラテジック・パートナーズエンジニア公式で発信しています。ご確認ください。

危険なJSON出力を禁止するRuboCopカスタムルールの作成方法

背景

userの情報を返すAPIを実装する際、render json: user とするとuserモデルのすべてのフィールドを含むJSONを返してしまい危険です。パスワードはハッシュ化されているものの、deviseが提供するフィールドlast_sign_in_ip などクライアントに返してはならない個人情報が含まれており、情報漏えいにつながってしまうためです。こちらの記事も参考にしてください。

上述のような危険な実装をコードレビューのみに頼らずに、Rubyの静的コード解析ツールであるRuboCopで機械的にチェックする方法を、当ページでは記載します。

手順

基本的には公式ドキュメントの手順通りです。

rubocop gemはインストール済みの前提で記載します。

チェック対象のコード

以下の4行目をエラーとすることを目標にします。

# some_controller.rb
class SomeController < ApplicationController
  def some_method
    user = User.first
    render json: user, status: 200  # これを検知したい。statusパラメータは省略可能
  end
end

ASTの出力

rubocop gemを入れていれば使えるruby-parse というコマンドでASTを出力します。

$ ruby-parse some_controller.rb
(class
  (const nil :SomeController)
  (const nil :ApplicationController)
  (def :some_method
    (args)
    (begin
      (lvasgn :user
        (send
          (const nil :User) :first))
      (send nil :render
        (kwargs
          (pair
            (sym :json)
            (lvar :user))
          (pair
            (sym :status)
            (int 200)))))))

検知したいのは、この

(send nil :render
        (kwargs
          (pair
            (sym :json)
            (lvar :user))
          (pair
            (sym :status)
            (int 200))))))

の部分です。また、renderメソッドの第二引数のstatusは省略可能な引数ですので、第二引数の有無にかかわらず検知できるようにしたいです。

カスタムルールの作成

上記パターンにマッチするようにマッチャを記述します。_や...はワイルドカードです。詳細はドキュメントをご確認ください。

renderメソッドを呼び出していて
その引数にはjsonという名前付き引数を指定しており
第二引数以降は問わない

というマッチャを記述しlib/custom_cops/dangerous_render_json.rb として配置します。

module CustomCops
  class DangerousRenderJson < RuboCop::Cop::Cop
    # キーワード引数jsonを第一引数にしているrenderメソッド
    def_node_matcher :render_json_call?, <<~PATTERN
    (send ... :render
                (hash
                  (:pair
                    (:sym :json)
                    (_ ...)
                  )
                  ...
                )
    )
    PATTERN
    MSG = 'Do not use render json.'

    def on_send(node)
      return unless node.method_name == :render
      add_offense(node) if tojson_call?(node)
    end
  end
end

次に、.rubocop.ymlにて、今作ったカスタムルールを読み込む設定を追記します。

require:
  - rubocop-rails
  - rubocop-rspec
  - ./lib/custom_cops/dangerous_render_json

動作確認

rubocopコマンドを実行して動作確認をします。

うまくいけば、以下のように、エラーとして検知できます。

% bundle exec rubocop
・・・中略・・・
app/controllers/some_controller.rb:4:5: C: CustomCops/DangerousRenderJson: Do not use render json.
    render json: user, status: 200  # これを検知したい。statusパラメータは省略可能
    ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

本サイトの更新情報は、X(旧Twitter)の株式会社プレセナ・ストラテジック・パートナーズエンジニア公式で発信しています。ご確認ください。

Scala

Validated を直列に処理したい

概要

cats に含まれる Validated は、複数の入力値のバリデーションを一つにまとめて返すことができる大変便利な型です。

業務において、入力値のバリデーションを行った値をさらに別の入力値として使いたいというケースがままあり、プロジェクトの新規参入者が悩むことがあるため備忘録として記します。

Validated の値を使って、別の Validated を作りたい

以下のようなコードがあります。

case class Error(message: String)

case class Age(age: Int)
object Age {
  def validate(age: Int): Either[Error, Age] =
    Either.cond(age < 1000, Age(age), Error("そんなに生きられません"))
}

case class Child(age: Age)
object Child {
  def validate(age: Age): Either[Error, Child] = // チェック済みの Age を使いたい
    Either.cond(age.age < 18, Child(age), Error("もう大人です"))
}

バリデーション済みの Age を使って Child のバリデーションを行いたい。

次に記すように flatMap を使って書けないものでしょうか。

import cats.syntax.all._

val uncompilableValidatedChild = for {
  validatedAge <- Age.validate(15).toValidated // flatMap がないのでコンパイルエラー
  validatedChild <- Child.validate(validatedAge).toValidated
} yield validatedChild

しかし Validated には flatMap がないのでコンパイルエラーになってしまいます。

その理由は Validatedは Monad を実装できず Applicative であるからで、公式ドキュメントに詳しくかかれていました。

https://typelevel.org/cats/datatypes/validated.html#of-flatmaps-and-eithers

解法：andThen メソッドを使う

andThen メソッドを使うことで Validated な値を直列に処理することができます。

val validatedAge = Age.validate(15).toValidatedNec
val validatedChild = validatedAge.andThen(age => Child.validate(age).toValidatedNec)

当然ですが、直列になるため Age でバリデーションエラーになった場合には Child のバリデーションは評価されません。 Age も Child も満たさない値 2000 で実行してみましょう。

console

scala> val validatedChild = Age.validate(2000).toValidatedNec.andThen(age => Child.validate(age).toValidatedNec)
val validatedChild: cats.data.Validated[cats.data.NonEmptyChain[example.Error],example.Child] = Invalid(Chain(Error(そんなに生きられません)))

Child のバリデーションエラー Error("もう大人です") は追加されていないことが確認できますね。

複数の Validated の値を使って、別の Validated を作りたい

一つ前の例は入力が1つでしたが、今度は入力が2つ以上のケースです。

case class Age(age: Int)
object Age {
  def validate(age: Int): Either[Error, Age] =
    Either.cond(age < 1000, Age(age), Error("そんなに生きられません"))
}

case class Job(name: String)
object Job {
  def validate(name: String): Either[Error, Job] =
    Either.cond(name.nonEmpty, Job(name), Error("空文字はダメです"))
}

case class Adult(age: Age, job: Job)
object Adult {
  def validate(age: Age, job: Job): Either[Error, Adult] = // 入力が2つ
    Either.cond(18 <= age.age, Adult(age, job), Error("まだ子供です"))
}

普通に書くとネストしてしまいますが、先ほどと同様に flatMap がないためこのように書くことはできません。

val validatedAge = Age.validate(2000).toValidatedNec
val validatedJob = Job.validate("").toValidatedNec

val nestedValidatedAdult: ValidatedNec[Error, ValidatedNec[Error, Adult]]　=
  (validatedAge, validatedJob).mapN((age, job) => Adult.validate(age, job).toValidatedNec)
val validatedAdult: ValidatedNec[Error, Adult] = nestedValidatedAdult.flatten // flatMap がないのでコンパイルエラー

解法：一度 Either にする

withEither メソッドを使うと、一旦 Either に変換してから Validated に戻せるため、 flatMap を使ってネストを解消できます。

val validatedAdult = (validatedAge, validatedJob)
  .mapN((age, job) => Adult.validate(age, job).toValidatedNec.toEither)
  .withEither(_.flatten)

または

val validatedAdult = (validatedAge, validatedJob)
  .mapN((age, job) => Adult.validate(age, job).toValidatedNec)
  .withEither(_.flatMap(_.toEither))

実行してみましょう。両方のバリデーションエラーが合成できていることを確認できます。

console

scala> (validatedAge, validatedJob).mapN((age, job) => Adult.validate(age, job).toValidatedNec.toEither).withEither(_.flatten)
val res2: cats.data.Validated[cats.data.NonEmptyChain[example.Error],example.Adult] = Invalid(Chain(Error(そんなに生きられません), Error(空文字はダメです)))

ダメな例

andThen を2回使うことでも一応可能ですが、本来並列にできるはずの Age と Job のバリデーションも直列になってしまい、 Age でバリデーションエラーになると Job が評価されなくなってしまいます。

val validatedAdult = validatedAge
  .andThen(age => validatedJob
    .andThen(job => Adult.validate(age, job).toValidatedNec))

実行すると、次のように Job のバリデーションエラーは表示されず Age のバリデーションエラーだけが表示されてしまいます。

console

scala> validatedAge.andThen(age => validatedJob.andThen(job => Adult.validate(age, job).toValidatedNec))
val res1: cats.data.Validated[cats.data.NonEmptyChain[example.Error],example.Adult] = Invalid(Chain(Error(そんなに生きられません)))

利用したコード

コード

/build.sbt

import Dependencies._

ThisBuild / scalaVersion     := "2.13.10"
ThisBuild / version          := "0.1.0-SNAPSHOT"
ThisBuild / organization     := "com.example"
ThisBuild / organizationName := "example"

lazy val root = (project in file("."))
  .settings(
    name := "validated_sandbox",
    libraryDependencies ++= Seq(
      "org.typelevel"       %% "cats-core"                % "2.9.0",
      munit % Test
    )
  )

/src/main/scala/example/Main.scala

package example

import cats.data.ValidatedNec
import cats.implicits._

object ValidateTest extends App {
  /*
   * 通常パターン
   */
  val validatedAge = Age.validate(2000).toValidatedNec
  val validatedJob = Job.validate("").toValidatedNec

  val param: ValidatedNec[Error, InputParam] = (validatedAge, validatedJob).mapN(InputParam.apply)

  /*
   * ケース1：Validated の値を使って、別の Validated を作りたい場合
   */

  // ダメな例：flatMap がないのでこうは書けない
  val uncompilableValidatedChild = for {
    validatedAge <- Age.validate(15).toValidated // flatMap がないのでコンパイルエラー
    validatedChild <- Child.validate(validatedAge).toValidated
  } yield validatedChild

  // 解法：andThen を使う
  val validatedChild = validatedAge.andThen(age => Child.validate(age).toValidatedNec)

  /*
   * ケース2：複数の Validated から Validated を作りたい
   */

  // ダメな例： 入れ子になってしまうが、 flatMap 使えないしどうすれば...
  val nestedValidatedAdult = // ValidatedNec[Error, ValidatedNec[Error, Adult]]
    (validatedAge, validatedJob).mapN((age, job) => Adult.validate(age, job).toValidatedNec)
  val validatedAdult = nestedValidatedAdult.flatetn // コンパイルエラー

  // 解法： 一旦 Either にして flatMap してから Validated にもどす
  val validatedAdult1 = (validatedAge, validatedJob)
    .mapN((age, job) => Adult.validate(age, job).toValidatedNec.toEither) // ValidatedNec[Error, Either[NonEmptyChain[Error], Adult]]
    .withEither(_.flatten)
  val validatedAdult2 = (validatedAge, validatedJob)
    .mapN((age, job) => Adult.validate(age, job).toValidatedNec) // ValidatedNec[Error, ValidatedNec[Error, Adult]]
    .withEither(_.flatMap(_.toEither))

  // よくない解法： 並列に処理できるところも直列にしてしまう
  val badValidatedAdult = validatedAge
    .andThen(age => validatedJob
      .andThen(job => Adult.validate(age, job).toValidatedNec))
}

case class Error(message: String)

case class Age(age: Int)

object Age {
  def validate(age: Int): Either[Error, Age] =
    Either.cond(age < 1000, Age(age), Error("そんなに生きられません"))
}

case class Child(age: Age)

object Child {
  def validate(age: Age): Either[Error, Child] =
    Either.cond(age.age < 18, Child(age), Error("もう大人です"))
}

case class Job(name: String)

object Job {
  def validate(name: String): Either[Error, Job] =
    Either.cond(name.nonEmpty, Job(name), Error("空文字はダメです"))
}

case class Adult(age: Age, job: Job)

object Adult {
  def validate(age: Age, job: Job): Either[Error, Adult] =
    Either.cond(18 <= age.age, Adult(age, job), Error("まだ子供です"))
}

case class InputParam(age: Age, job: Job)

DB

PostgreSQLにおける、削除行に対するロック獲得時の挙動

直感とは異なる挙動が観察されたため、記事として残します

環境

RDB
- PostgreSQL 13.3
- トランザクション分離レベル read committed (デフォルト)
実験環境
- IntelliJ IDEA 2024.3 (Ultimate Edition)

TLDR

PostgreSQLにおいて、トランザクション内で同一キーの行を delete - insert する場合、同時に実行される他のトランザクションからは当該の行が参照できない場合があります。

現象の説明

次のようなSQLを考えます。

SQL1

begin;

-- delete-insertによってデータを更新する
delete from users where id = 1;  -- id が p_key
insert into users (id, name) values (1, 'jane doe');

commit;

実験のためIntellijを使い、2つのセッション分のクエリコンソールを開きます。これら2つをそれぞれセッション１、セッション２とします。

セッション１で5行目まで実行する。この時 delete によってロックが獲得される
セッション２で4行目まで実行する。するとセッション１で行がロックされているため、待ち状態になる
セッション１で7行目の commit まで実行する。これによりセッション１で獲得されていたロックが解放される
セッション１のロックが解放されたことでセッション２の delete が実行される

この時、4 の結果セッション２では delete が空振りし、insert を実行するもすでに id = 1 の行が存在するため、 [23505] ERROR: duplicate key value violates unique constraint "users_pkey" となります。

比較実験

MySQLの場合

MySQL 8.0.28 で同様の実験を行ったところ、エラーは発生しませんでした。データの更新結果はcommitを後に実行している、セッション２の結果が保存されます。 MySQLのトランザクション分離レベルは repeatable read(デフォルト) です。

PostgreSQLでトランザクション分離レベルをrepeatable readとした場合

ひょっとしたら分離レベルに依存した挙動なのでは？ということでPostgreSQLにて分離レベルをrepeatable readとして実験を行いました。結果前述4のステップで、以下のようなエラーが返されました。

[40001] ERROR: could not serialize access due to concurrent update

これはPostgreSQLの仕様によるもので、リピータブルリードトランザクションでは、トランザクションが開始された後に別のトランザクションによって更新されたデータは変更またはロックすることができないためとあります。 https://www.postgresql.jp/docs/9.4/transaction-iso.html

MySQLでトランザクション分離レベルをread committedとした場合

MySQLではrepeatable readの場合と挙動は変わらず、1行返却されました。

select for updateによるロック獲得の場合

PostgreSQLにおいて、delete 文ではなくselect for updateでロックを獲得した場合の挙動についても確認しました。

SQL2

begin;

-- for update により、行ロックを取得する
select * from test where id = 1 for update;

-- delete-insertによってデータを更新する
delete from test where id = 1;
insert into test (id, name) values (1, 'jane doe');

commit;

この場合、セッション２は select for update の行で待ち状態となり、セッション１のcommit後、セッション2の select for update が実行され 0行の返却となりました。

終わりに

今回、別の問題を調査していく中でたまたまこの現象に遭遇しました。個人的には全く想定していない挙動でした。

PostgreSQLでは削除データはすぐには物理削除されませんが、この辺りが関係しているような気もします。 https://www.postgresql.jp/docs/9.4/sql-vacuum.html

改めてこちらの記事はPostgreSQLでの挙動になります。前述の通りMySQLでは異なる挙動となりましたので、RDBMSの実装に依存するようです。

ご興味があれば、ぜひお手持ちの環境でも試してみてください。

フロントエンド

React

インフラ開発

AWS

IAM

スイッチロールの設定手順

概要

AWS上で稼働するアプリが増えてくると、アプリごとにOrganizationを作りたくなります。この際、スイッチロールという機能を使うとOrganizationごとにIAMユーザーを作る必要がなくなり、ユーザー管理をシンプルにできます。本記事ではスイッチロールの方法について記載します。

以下、「スイッチ元Organization」および「スイッチ先Organization」のことを単に「スイッチ元」および「スイッチ先」と記載します。

スイッチ先ごとに一度だけやれば良い設定

スイッチ先での設定

管理者アカウントで、スイッチ先にログインします。

ロールを新規作成します。

「別のAWSアカウント」を選択し、アカウントIDにスイッチ元のAWSアカウントIDを入力します。「MFAが必要」にもチェックをつけた方が良いでしょう。

次に進み、スイッチ先で割り当てたい権限をつけます。この例では、Administrator権限を割り当てています。

最後にロール名をつけて、ロールの作成完了します。ロール名は「delegate_root_organization」といった分かりやすい名前が良いでしょう。

作成したロールのARNを控えておきます。

スイッチ元での設定

管理者アカウントで、スイッチ元にログインします。

ポリシーを新規作成します。Resourceには、スイッチ先で作成したロールのARNを入力します。

次へ進み、ポリシーの名前をつけて、ポリシーの作成を完了します。ポリシー名には「delegate_from_スイッチ先Organization名」といった分かりやすい名前が良いでしょう。また、複数のスイッチ先にスイッチできる権限を持つポリシーも作成できますが、スイッチ先ごとにポリシーを作成し各人が関わる必要最低限の権限を付与できるようにした方が良いでしょう。

スイッチ先を利用する各人が実施する必要のある設定

スイッチ元にログインします。

ポリシーの追加

スイッチしたいIAMユーザーに、「スイッチ元での設定」で作成したポリシーを追加します。

スイッチ実行

ではスイッチをしてみましょう。メニューから「ロールの切り替え」を選択します。

スイッチ先のアカウントID、ロール名、表示名を入力します。

「ロールの切り替え」ボタンをクリックすると、スイッチ先にログインしたのと同じ状態になります。

スイッチしていることは、右上のメニューで分かります。上部のバナー全体に色が変わるなどもう少し目立つと良いのですが。

スイッチ元に戻りたい場合は以下のようにメニューから選択します。

AWS CLIでのスイッチロールの設定手順

概要

開発中にスイッチロール先でAWS CLIを利用したい場面もあるかと思います。その場合の設定内容について記載します。

状況定義

以下のようにアカウント設定されているとします。

スイッチ元アカウント
- ID: 123456789012
- aws configure でデフォルトのプロファイルに設定済
スイッチ先アカウント1
- ID: 210987654321
- スイッチで引き受けるロール: arn:aws:iam::210987654321:role/delegate_root_organization
- スイッチするときに使うプロファイル名: sw-staging
スイッチ先アカウント2
- ID: 111111111111
- スイッチで引き受けるロール: arn:aws:iam::111111111111:role/delegate_root_organization
- スイッチするときに使うプロファイル名: sw-production

準備: configファイルでの設定

スイッチ元のアカウントを aws configure で設定済みであれば、およそ以下のような設定になっているはずです。

~/.aws/config に設定を追記し、以下のようにします。

このとき、設定内容は以下のようにします。

プロファイル名（sw-staging, sw-production）: 任意の名前で大丈夫です。CLIで利用するときにこの名前を指定します
source_profile: スイッチ元のプロファイルを指定します
role_arn: スイッチロールで引き受けるロールのARNを指定します
mfa_serial: スイッチ元でMFAを設定している場合、MFAデバイスのARNを設定します

実行方法

インタラクティブに実行できるかどうかで方法が変わってきます。

CLIをインタラクティブに実行するとき

ユーザー自身が aws s3 ls を実行する場合など、インタラクティブに実行できる場合は、以下の2通りの方法が利用できます。

--profile 引数にプロファイル名を指定
AWS_PROFILE 環境変数にプロファイル名を指定

例としては以下のとおりです。

個人的には、以下のように使い分けると便利かと思います。

引数: チーム内で同じアカウントは同じ名前に統一しておけば、コマンドを共有するだけでスイッチロールして実行させることができます
環境変数: シェルスクリプトにまとまっているときなど、コマンドを書き換えたくないときに便利です

CLIをバッチ実行する必要があるとき

role_wrapper.sh という名前で以下スクリプトを作成します（jq コマンドが必要です）。

これを使って、以下のように実行します。

AWS Vaultを使ったスイッチロール設定手順

背景

AWS CLIやterraformでスイッチロール時にMFAを利用する際、コマンドを実行する都度MFAコードを入力するのは煩雑です。AWS Vaultを使うとスイッチロール後のプロファイルのシェルに入れるようになります。

構成

defaultプロファイルでIAM ユーザーによるログインをし、some-profileというプロファイルに設定しているAWSアカウントにスイッチロールする、という構成を前提に、本記事は記載します。具体的には以下の設定を前提とします。

% cat ~/.aws/config
[default]
region = ap-northeast-1
output = json
cli_pager=cat

[profile some-profile]
source_profile = default
role_arn = arn:aws:iam::1234567890:role/some_role_for_delegation
mfa_serial = arn:aws:iam::987654321:mfa/someone@example.com

% cat ~/.aws/credentials
[default]
aws_access_key_id=AKIA.....
aws_secret_access_key=........

[some-profile]
source_profile = default
role_arn = arn:aws:iam::1234567890:role/some_role_for_delegation
mfa_serial = arn:aws:iam::987654321:mfa/someone@example.com

設定手順

homebrewでコマンドをインストールします。

% brew install --cask aws-vault

インストールの確認を兼ねてコマンドを打ってみます。

% aws-vault list
Profile                    Credentials              Sessions
=======                    ===========              ========
default                    -                        -
some-profile               -                        -

default profileにcredentialを追加します。以下のコマンドを実行すると、IAMキーとシークレットを求めるプロンプトが出るので、入力します。

% aws-vault add default

最後に、以下のコマンドを実行します。するとMFAのコードを入力を求めるプロンプトが出るので、入力します。

% aws-vault exec some-profile
Starting subshell /bin/zsh, use `exit` to exit the subshell

以上で、上記コマンドを実行したターミナルではsome-profileにスイッチロールした状態になります。

Github ActionsでIAMロールを利用してAWSリソースを操作する

はじめに

弊社ではAWSリソースをTerraformやCloudFormationで管理し、plan/applyの実行にはGithub Actionsを使っています。本稿ではGithub ActionsからAWSリソースを操作するためのIAMロールの設定について説明します。

IAMロールを利用するメリット

Github ActionsからAWSリソースを操作するために利用する認証方法には以下のふたつが挙げられます。

アクセスキーおよびシークレットキー
IAMロール

アクセスキーによる方法にはセキュリティリスクが伴います。アクセスキーとシークレットキーがありさえすればどこからでも使え、漏洩すると不正利用される可能性があるためです。さらに、TerraformやCloudFormationによる処理に割り当てられるIAMポリシーは広大になりがちなので、漏洩した時の被害が甚大になる可能性があります。

一方、IAMロールを利用する方法では、一時的な認証情報（STSトークン）を発行することで、安全かつ柔軟にAWSリソースへアクセスできます。特に、GitHub ActionsのようなCI/CD環境では、OIDC（OpenID Connect）を活用することで、アクセスキーを不要にし、より安全な認証フローを実現できます。

設定手順

IAMロール（OIDC）の設定手順

OIDCプロバイダーをAWSに設定

IAMのメニューから「IDプロバイダ」を選択し「プロバイダを追加」をクリックします。

プロバイダのタイプで「OpenID Connect」を選択します。

以下を入力します。

URLにtoken.actions.githubusercontent.com
対象者にsts.amazonaws.com

IAMロールの作成とポリシー設定

GitHub Actions用のIAMロールを作成します。

作成したロールに、必要十分なIAMポリシー（S3、CloudFormation、Lambda等）を設定します。

信頼ポリシーの設定（GitHubリポジトリを許可）

作成したロールの信頼関係タブで以下のように信頼ポリシーを設定します。PrincipalのARNやgithubのリポジトリ名は環境に合わせて変更してください。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::1234567890:oidc-provider/token.actions.githubusercontent.com"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "token.actions.githubusercontent.com:aud": "sts.amazonaws.com",
                    "token.actions.githubusercontent.com:sub": "repo:precena-dev/some-amazing-repository:ref:refs/heads/main"
                }
            }
        }
    ]
}

GitHub ActionsでIAMロールを利用する

GitHub Actionsワークフローの更新

利用したいGithub Actionsのyamlに以下を記載します。

    - name: Assume AWS Role
        uses: aws-actions/configure-aws-credentials@v4
        with:
          role-to-assume: ${{ env.AWS_ROLE_ARN }}
          aws-region: ap-northeast-1

次に、Github ActionsのSecretsに AWS_ROLE_ARN を登録します。

AWS CLI / SDK での認証確認

これは必ずしも必須ではありませんが、Github Actionsが意図通りに動かない場合は、以下のコードをyamlに追記してIAMロールを適切に引き受けられているのかを確認すると良いです。

  - name: Verify identity
        run: aws sts get-caller-identity

以上で設定完了です。アクセスキー方式より煩雑ではありますが、一度行えばセキュリティを保ってGithub Actionsを運用できます。

ECS

SES

CloudWatch

Amazon SNS + Slack Workflowを使って、CloudWatch Alarmの通知をSlackチャンネルへ投稿する

AWSリソースに対する異常検知として、CloudWatch Metricsに対して設定したしきい値を超過した場合、CloudWatch Alarmで通知を飛ばすことができます。

日頃Slackをよく見ている身としては、何かあったらSlackチャンネルへ通知されると嬉しいことから、仕組みを考えました。

Slackへ通知する仕組みとして思い浮かぶのはLambdaやChatBotです。

ただ、監視対象が異常となることは稀なものについては、Lambdaよりメンテナンス不要、かつ、ChatBotよりもカスタマイズ可能なものを採用したくなりました。

調べてみたところ、以下のStack OverflowにあるSam氏の回答 Amazon SNS + Slack Workflow 構成で設定・運用できそうでした。

ここでは、実際に構成してみた時の内容を記載します。

設定が必要な各リソースについて

今回設定が必要な各リソースは以下となります。

AWS
- CloudWatch Alarm
- Amazon SNS (以降、SNSと表記)
  - 今回はSlack通知のみ行い、Eメール通知は行わない
Slack
- Slack Workflow

では、実際に各サービスを設定していきます。

Eメール通知不要なSNSトピックを作成

CloudWatch Alarmを設定する際のウィザードではSNSトピックを作成可能です。ただ、そのときに作るSNSトピックではEメール通知が必須となってしまいます。

そこで、今回は事前にEメール通知が不要なSNSトピックを作成します。その後、CloudWatch Alarmへ割り当てることにします。

今回のSNSトピックの設定は以下の通りです。なお、残りの項目はデフォルトのままにします。要件に応じて変更してください。

CloudWatch Alarmを設定

続いて、CloudWatch Alarmを設定します。

今回必要なCloudWatch Alarmの設定は以下の通りです。

なお、設定する途中にあるEメールエンドポイントにて トピックにエンドポイントがありません と表示されますが、Eメール通知を行わない設定の場合はこのままで問題ありません。

ここまででAWS側の準備ができました。次はSlack Workflowの設定になります。

Slack WorkflowでSNSトピックのサブスクリプションを確認できるよう設定

Slack Workflowでは、SNSトピックのサブスクリプションを受け取れるように設定します。

ただ、AWSのSNSトピックのサブスクリプションを受け取るには、受け取る側で事前に SNSトピックのサブスクリプションの確認 (以降 サブスクリプション確認 と表記)を済ませておく必要があります。

そこで、Slack Workflowでサブスクリプションの確認ができるよう設定します。

まず、Slackチャンネルの詳細にある Integrations タブから Add Automation > New Workflow > Build Workflow の順にクリックします。

新しいSlackウィンドウが開きます。右側に表示されているメニューから From a webhook をクリックします。

Choose how to start the workflow ダイアログが表示されます。ここでは何も入力せず、 Continue をクリックします。

Slackウィンドウの表示が変わります。次は Starts with a webhook をクリックします。

Change how this workflow starts ダイアログが表示されます。ここでは Set Up Variables をクリックします。

KeyとData Typeの入力が求められるので、それぞれ次の値を設定し、 Done をクリックします。

ここで SubscribeURL というキー名は、サブスクリプション確認をするときに、AWSから渡されてくる項目を指しています。

そのため、 SubscribeURL というキー名以外で設定した場合はサブスクリプション確認ができなくなるため、注意してください。

次に、Web request URLにある Copy Link をクリックし、URLをコピーします。このURLは、AWSの設定でSNSトピックをサブスクライブするときに使います。

これで Change how this workflow starts ダイアログでの設定は完了するため、 Save をクリックします。

続いて、 Then, do these things の設定を行います。

まず、右側のStepsの検索窓に send と入力します(①)。

次に Send a message to a channel をクリックします(②)。

Send a message to a channel ダイアログが表示されるため、設定を行います。

サブスクリプション確認用のメッセージを設定するため、右下にある {} Insert a variable をクリックし、先ほど作成した SubscribeURL を選択します。

すると、 Add a message の中に、 SubscribeURL が指定されます。これにより、Slackチャンネルへ投稿する際に、Slack Workflowへ通知された時にキー SubscribeURL の値が展開されます。

あとはこのまま Save をクリックします。

設定が終わったので、右上の Finish Up をクリックします。

Finish Up ダイアログにて、 Name に任意の名前(今回は hello_world_slack )を設定した上で、 Publish をクリックします。

以上で、Slack Workflowでサブスクリプション確認を可能にする設定は完了です。

SNSトピックにサブスクリプションを作成

再びAWSの設定へと戻り、SNSトピックにSlack Workflow向けのサブスクリプションを作成します。

上記で作成したSNSトピック hello_alarm_topic を表示し、 サブスクリプションの作成 をクリックします。

続いて、以下の設定を持つサブスクリプションを作成します。

なお、 rawメッセージ配信の有効化 をチェックしないことで、CloudWatch Alarmの情報はSNSの Message キーへと設定されます。一方、rawメッセージ配信を有効化してしまうと Message キーがなくなってしまうので、注意してください。

Slackチャンネルでサブスクリプション確認を行う

ここまででサブスクリプション確認向けの設定が完了したため、実際にサブスクリプション確認を行います。

今回の場合、SNSにサブスクリプションを作成した時点で、Slackチャンネルにサブスクリプション確認用URLが投稿されます。

投稿されたURLをクリックすると、ブラウザが開き、 ConfirmSubscriptionResponse のXMLが表示されます。

続いて、AWSのサブスクリプションページをリロードすると、ステータスが 確認済 になります。

これでサブスクリプション確認は完了です。

正式版にSlackへ投稿するメッセージを修正

サブスクリプションの確認ができたので、Slackへ投稿するメッセージを正式版へと修正します。

今回は、

SNSから受け取った Message キーの値
独自メッセージ

を投稿します。

最初に、先ほど作成したWorkflowを開きます。

続いて、 Starts with a webhook をクリックし、 Data Variables を編集します。

Key SubscribeURL をKey Message へと変更します。

続いて、 Then, do these things の Add a message を編集します。

独自メッセージを テストアラートが届きました へと変更
Insert a variable で Message を挿入

最終的には、以下のスクリーンショットのような設定になります。

以上で設定は終わりです。 Save をクリックした後、右上の Publish Changes をクリックし、変更後のWorkflowを公開します。

AWS CLIによる動作確認

以上で全体の仕組みが完成したため、動作確認を行います。

動作確認をするためには CloudWatch Alarmのステータスを アラーム状態 にする必要があります。

メトリクス対象を操作して アラーム状態 とすることもできますが、手間がかかります。そこで今回はCloudWatch AlarmのステータスをAWS CLIで強制的に変更することで、動作確認とします。

まずは適切なAWS環境を使えるよう、AWS Vaultを使って適切なシェルに入ります。

CloudWatch Alarmを見ると、ステータスが アラーム状態 へと変化しています。

Slackのチャンネルを見ると、CloudWatch Alarmからの情報が投稿されていました。動作は良さそうです。

確認が終わったので、CloudWatch Alarmのステータスを OK へと戻しておきます。

もし、今回作成したCloudWatch Alarmを無効化しておきたい場合は、以下の手順で行えます。

アクション > アラームアクション > 無効化

おわりに

以上で、Amazon SNS + Slack Workflowを使って、CloudWatch Alarmの通知をSlackチャンネルへ投稿することができました。

CloudWatch AlarmからSlackチャンネルへの投稿する方法について、Lambdaよりメンテナンス不要、かつ、ChatBotよりもカスタマイズ可能としたい場合の参考となれば幸いです。

Lambda

lambrollでAWS Lambda関数をデプロイしたときのTips

前置き

AWS Lambda関数について、

ソースコードはgitで管理したい
ソースコードのデプロイは容易に行いたい
AWSの各リソースはTerraformで管理しており、別途Lambda向けのものを作る必要はない

という場合には、Lambdaのデプロイツールである lambroll を使うのが便利です。 fujiwara/lambroll: lambroll is a minimal deployment tool for AWS Lambda.

lambrollはREADMEが充実していることもあり、悩むところは少なくてすみました。

それでも、組織のAWS環境で lambroll を使う場合にはいくつか考慮することがあったため、この記事で紹介していきます。

スイッチロール + MFAなAWS環境にてlambrollを使うには

スイッチロール時にMFAを利用するAWS環境の場合、lambrollだけではデプロイすることができません。

そこで、別記事でも紹介している AWS Vault と組み合わせることでデプロイできるようになります。 AWS Vaultを使ったスイッチロール設定手順 | Precena Tech Book

実際に見ていきます。

まず、 aws-vault exec により、スイッチロール後の some-profile のシェルに入ります。

% aws-vault exec some-profile

続いて、lambrollで関数のデプロイを行います。

% lambroll deploy

同一のソースコードを別環境へデプロイするには

例えば

staging
production

の2つの環境があり、各環境へ同一ソースコードの関数をデプロイしたくなったとします。

この場合、以下の方法で実現できます。

lambrollでLambdaを定義する時に使うJSON (function.json) を環境ごとに用意する
- 例
  - staging環境向けは function.staging.json
  - production環境向けは function.production.json
各環境の環境変数は、JSONの Environment キーの下にそれぞれ定義する
- 環境変数の値をJSONに含めたくない場合は、AWS SSMから取得するよう定義する
  - https://github.com/fujiwara/lambroll?tab=readme-ov-file#expand-ssm-parameter-values
デプロイ時、 --function で環境にあったJSONファイルを指定する

実際に見ていきます。

まずは function.staging.json を用意します。

なお、スペースの都合上、例では FunctionName と Environment キーだけ記載しています。

{
  "FunctionName": "foo-staging",
  "Environment": {
    "Variables": {
      "FOO": "{{ ssm `/bar/baz` }}"
    }
  }
}

　続いて、AWS Consoleなどから、AWS SSMにキーを作成します。

今回は /bar/baz というキーに値を設定します。

最後に、staging環境向けにデプロイします。

% lambroll deploy --function=function.staging.json

　一方、production環境向けにデプロイする場合は以下となります。

% lambroll deploy --function=function.production.json

lambrollでLambda Layer相当を使うには

lambrollではLambda Layerを作成することができません。

その代わり、lambrollではContainer Imageでのデプロイにて代替できます。 https://github.com/fujiwara/lambroll?tab=readme-ov-file#deploy-container-image

　実際に見ていきます。

最初に、 aws-vault exec にて some-profile のシェルに入ります。

% aws-vault exec some-profile

次に、AWS ECRへdocker loginします。なお、 <> の部分は適宜読み替えてください。

% aws ecr get-login-password --profile some-profile --region <region> | docker login --username AWS --password-stdin <account-id>.dkr.ecr.<region>.amazonaws.com

Enter MFA code for arn:aws:iam::***: 
Login Succeeded

　続いて、デプロイするDockerfileを用意します。ここでは省略します。

その後、docker buildにて、タグ付きでDockerイメージをビルドします。

% docker build . -t <tag>:latest

　 docker pushにて、AWS ECRへDockerイメージをpushします。

% docker push <tag>:latest

　さらに、lambrollでAWS ECRにあるコンテナイメージを使うよう、 function.json へ PackageType と Code キーへ設定を追加します。

例えば、以下では、AWS SSMにある「ECRにあるイメージのURL( /path/to/ecr_image_url )」を指定しています。

{
  // ...
  "PackageType": "Image",
  "Code": {
    "ImageUri": "{{ ssm `/path/to/ecr_image_url` }}:latest"
  }
  // ...
}

　最後に、上記のJSONを使ってAWS ECRにあるコンテナイメージをAWS Lambdaへデプロイします。

% lambroll deploy --function=function.json

lambrollとAWS Vaultを使っていてエラーが出たときは

lambrollとAWS Vaultを使ってデプロイをしていると、以下のようなエラーメッセージが表示されるかもしれません。

2024/**/** **:**:** [error] FAILED. failed to load function: template attach failed: template: conf:*:*: executing "conf" at <ssm `/path/to/config`>: error calling ssm: failed to lookup ssm parameter: something went wrong calling get-parameter API: operation error SSM: GetParameter, https response error StatusCode: 400, RequestID: ***, api error ExpiredTokenException: The security token included in the request is expired

　これはAWS Vaultのセッションが切れたのが原因です。

解消するには、一度AWS Vaultのセッションを exit で抜けた後、再度AWS Vaultのセッションに入ります。

Heroku

HerokuのStackの設定

Stackとは

Herokuで稼働するサーバーのベースとするOSのバージョンのようなものです。

公式サイトを見ると分かりますが、Ubuntu Linuxのバージョン番号とStack名が揃えられているようです。

Stack関連のコマンド

使用中のStackを確認

以下で、Stackの確認ができます。2021年10月現在は、heroku-20がデフォルトStackです。

% heroku stack --app (自分のheroku app名)
=== ⬢ （自分のheroku app名） Available Stacks
  container
  heroku-18
* heroku-20

使用するStackを変更

新しいStackに切り替えたい場合や、ステージング環境を作るときに本番に合わせて少し古めのStackを使いたい場合など、StackをデフォルトStackから変更したい場合は、以下のコマンドを使います。

% heroku stack:set heroku-18 --app （自分のheroku app名）

なお、Stackのupgradeは、Herokuの管理者用のWeb画面からも変更できます。downgradeは画面からはできないようです。