www.oreilly.co.jp

1章 eBPF とは何か？なぜ重要なのか？

eBPF の歴史

• [1993年] 「BSD Packet Filter（BPF）」が論文に登場
  • eBPF のルーツは「BSD Packet Filter（BPF）」で、ローレンス・バークレー国立研究所の Steven McCanne と Van Jacobson により書かれた論文で初めて登場した。BPF は、プログラマが自分で書いたフィルタプログラムをカーネルの中で実行できるようにする機能で、プログラムは汎用的な BPF 命令セットを使って書くことができた。
• [1997年] Linux にカーネルバージョン2.1.75 で初めて導入
  • tcpdump の中でトレースされるべきパケットをキャプチャするためのより効率的な方法として使われはじめた。
• [2012年] seccomp-bpf がカーネル v3.5 で導入
  • この機能を使うと、ユーザー空間のアプリケーションがシステムコールを呼び出すことについて、BPF プログラムを使って許可するか禁止するかを決定できる。この機能はパケットフィルタの範囲を超えていて、この辺りから「packet filter」という名前はあまり意味を持たなくなった。
• [2014年] 拡張された（extended）BPF（eBPF） がカーネルバージョン 3.18 でリリース
  • eBPF の基盤部分が追加され、この後の大きな進化につながる。
• [2015年] eBPF プログラムを kprobe にアタッチする機能が追加
  • kprobe（kernel probe）はカーネル内のほとんどの命令に対してフックを入れて、追加の命令を実行できる。開発者は kprobe に関数をアタッチしたカーネルモジュールを書いて、デバッグや性能評価の目的に利用できる。
  • 同時期に、カーネルのネットワークスタック内部にフックが追加され、eBPF プログラムはより多くのネットワーク機能に対して利用できるようになった
• [2020年] LSM（Linux Security Module）BPF が登場
  • これは eBPF プログラムに LSM カーネルインターフェースへのアタッチを可能にするもので、これによって eBPF はネットワークと可観測性に加えて、セキュリティツールとしての用途が可能になった。

なぜ eBPF？

eBPF によって、開発者はカーネルの振る舞いを変更できるカスタムコードを、カーネルの内部にロードし、実行することができるようになった。

今までこれを行うには、カーネルに新機能を追加するか、カーネルモジュールを書く必要があった。問題は前者はリリースまでに時間がかかるし、またどちらもカーネルプログラミングの技術が必要になる。また、安全に実行できるカーネルのコードを書くのが難しい問題もある。

その点、eBPF プログラムは動的ロードをサポートしているので、カーネルのアップグレードもマシンの再起動も必要ない利点がある。また、eBPF 検証器が eBPF プログラムが安全に実行できると判定されたときのみロードされることを保証する仕組みになっている。

2章 eBPF の 「Hello World」

BCC の Hello World

MacOS を使っている場合は https://github.com/lizrice/learning-ebpf の手順に沿って、VM 上で実行環境を用意するといい。

# クローン
$ git clone --recurse-submodules https://github.com/lizrice/learning-ebpf
$ cd learning-ebpf

# lima のインストール
$ brew install lima 

# VM 起動
limactl start learning-ebpf.yaml

# VM ログイン
limactl shell learning-ebpf

VM ログイン後、次のように hello.py を実行すると、使用中のマシンで execve() システムコールが呼び出されるたびに "Hello World" の文字列を含むトレースが出力される。execve() システムコールは、新しいプログラムを実行しようとするたびに呼び出される。

yoheimuta@lima-learning-ebpf:/Users/yoheimuta/lizrice/learning-ebpf$ sudo -s

root@lima-learning-ebpf:/Users/yoheimuta/lizrice/learning-ebpf# cd chapter2/
root@lima-learning-ebpf:/Users/yoheimuta/lizrice/learning-ebpf/chapter2# python3 hello.py
b'           <...>-5873    [003] d...1   787.501458: bpf_trace_printk: Hello World!'
b'            bash-5873    [003] d...1   787.507280: bpf_trace_printk: Hello World!'
b'           <...>-5874    [001] d...1   787.509545: bpf_trace_printk: Hello World!'
b'           <...>-5875    [002] d...1   787.511014: bpf_trace_printk: Hello World!'
b'           <...>-5876    [000] d...1   787.512891: bpf_trace_printk: Hello World!'
b'           <...>-5879    [001] d...1   787.524347: bpf_trace_printk: Hello World!'
b'           <...>-5880    [000] d...1   787.525203: bpf_trace_printk: Hello World!'
b'           <...>-5882    [001] d...1   787.526269: bpf_trace_printk: Hello World!'
b'           <...>-5883    [000] d...1   787.527529: bpf_trace_printk: Hello World!'
b'           <...>-5885    [001] d...1   908.367247: bpf_trace_printk: Hello World!'

hello.py は次のようなコードで、BCC Python フレームワークを使って記述されている。このコードは二つの部分から構成されていて、最初の program 変数に C 言語で書かれた eBPF プログラムが定義されている。後半は、その eBPF プログラムをカーネルにロード、イベントにアタッチ、トレース結果を読み出すためのユーザー空間のコードになる。

• ref. https://github.com/iovisor/bcc

#!/usr/bin/python3  
from bcc import BPF

program = r"""
int hello(void *ctx) {
    bpf_trace_printk("Hello World!");
    return 0;
}
"""

b = BPF(text=program)
syscall = b.get_syscall_fnname("execve")
b.attach_kprobe(event=syscall, fn_name="hello")

b.trace_print()

BPF Map

BPF Map は eBPF プログラムとユーザー空間の両方からアクセスできるデータ構造で、典型的なユースケースは次の通り:

• ユーザー空間で設定情報を書き込み、eBPF プログラムからその情報を取得する
• eBPF プログラム間で状態を共有する
• eBPF プログラムから実行結果やメトリクスを書き込み、ユーザー空間のアプリケーションから取得して結果を表示する

様々な種類の Map が定義されており、例えばハッシュテーブル、Perf リングバッファ、配列として利用できる。

次のサンプルはハッシュテーブル Map を作成し、その Key に Linux のユーザーID、Value にそのユーザーが動かすプロセスが execve() を呼び出した回数のカウンタを記録する。 別ターミナルを立ち上げてみることで、このプログラムが execve() を記録できていることが確認できる。

# ターミナル1
# python3 hello-map.py

ID 501: 1
ID 501: 2
ID 501: 2
ID 501: 2
ID 501: 11
ID 501: 11

# ターミナル2
12:40:09 ~/lizrice/learning-ebpf $ limactl shell learning-ebpf

$ ls
LICENSE  README.md  chapter10  chapter2  chapter3  chapter4  chapter5  chapter6  chapter7  chapter8  learning-ebpf-cover.png  learning-ebpf.yaml  libbpf

$ echo $UID
501

前半が C 言語風で書かれた eBPF プログラムで、counter_table ハッシュテーブルにカウンタを書き込んでいる。 後半が python で書かれたユーザー空間のアプリケーションで、b["counter_table"] ハッシュテーブルからカウンタを呼び出している。

#!/usr/bin/python3  
from bcc import BPF
from time import sleep

program = r"""
BPF_HASH(counter_table);

int hello(void *ctx) {
   u64 uid;
   u64 counter = 0;
   u64 *p;

   uid = bpf_get_current_uid_gid() & 0xFFFFFFFF;
   p = counter_table.lookup(&uid);
   if (p != 0) {
      counter = *p;
   }
   counter++;
   counter_table.update(&uid, &counter);
   return 0;
}
"""

b = BPF(text=program)
syscall = b.get_syscall_fnname("execve")
b.attach_kprobe(event=syscall, fn_name="hello")

while True:
    sleep(2)
    s = ""
    for k,v in b["counter_table"].items():
        s += f"ID {k.value}: {v.value}\t"
    print(s)

3章 eBPF プログラムの仕組み

この章からしばらく内部構造の説明が続く。eBPF の利用者に詳細の把握は必要ないが、これ以降の章を理解するための最低限は整理しておく。

eBPF 仮想マシン

eBPF プログラムのソースコードが実行されるまでには次の変換を辿る:

1. eBPF コードを開発者が C または Rust 言語で書く
2. Clang コンパイラなどで eBPF バイトコードにコンパイルする
3. カーネル内にある eBPF 仮想マシンが eBPF バイトコードを動かす
4. 実行時にバイトコードが JIT コンパイルされて機械語命令（ネイティブマシン命令）に逐次翻訳される

カーネルへの eBPF プログラムの操作

ここでは bpftool というコマンドを使って、プログラムのロード・情報の確認・イベントへのアタッチなどを行う。 bpftool を使うと、BCC で記述して実行していた操作を、コマンドライン経由で行える。

man でも説明されている通り、ここでもデバッグ用途で使っていく。

BPFTOOL - tool for inspection and simple manipulation of eBPF programs and maps https://man.archlinux.org/man/bpftool.8.en

# ロード
$ bpftool prog load hello.bpf.o /sys/fs/bpf/hello

# イベントにアタッチ
$ bpftool net attach xdp id 540 dev eth0

4章 bpf() システムコール

ユーザー空間のアプリケーションがカーネルに eBPF プログラムをロードするには、bpf() システムコールを呼ぶ必要がある。

eBPF プログラムを作るときには、eBPF を高レベルで抽象化したライブラリを使うことが多いので、bpf() システムコールを直接呼ぶことはない。 ただ、ライブラリ関数は bpf() システムコールから呼び出す様々なコマンドとおおよそ 1対1 で対応しているので、bpf() システムコールの概要を知っておくのは必要である。

bpf() のシグネチャは次の通り:

int bpf(int cmd, union bpf_attr *attr, unsigned int size);

• cmd はどのコマンドを実行するかを指定する。eBPF プログラムのロード、Map の作成、プログラムのイベントへのアタッチ、Map の Key-Value ペアへのアクセスと更新などに対応するコマンドがある
• attr はコマンドのパラメーターを指定する。

以降は BCC プログラムを strace して、出力された bpf() のコマンドを詳説している。何か作るときにまた読むと良さそう。

5章 CO-RE、BTF、libbpf

多くの eBPF プログラムはカーネルのデータ構造にアクセスするため、あるマシンでコンパイルされた eBPF プログラムが別の Linux カーネルのバージョンで動く保証はない。 このカーネル間の移植性の問題には二つのアプローチが存在する:

BCC のアプローチ

BCC はマシン上で実際に実行するときに eBPF コードをコンパイルすることで移植性の問題を解決している。 ただし、このアプローチには次のような問題がある:

• プログラムを実行したいすべてのマシンにコンパイルチェーンとカーネルのヘッダファイルをインストールしておく必要がある
• プログラムを実行するたびにコンパイル処理が走るため、実行開始までに時間がかかる

このような問題があるため、BCC は実運用で使う eBPF プログラムの開発には向いていない。 一方で、Python のユーザー空間コードはコンパクトで読みやすいので、凝ったことをせずに即座に動かしたい場合は、BCC は第一候補になる。

CO-RE のアプローチ

CO-RE は compile once, run everywhere の略で、BCC よりもはるかに上手にカーネル間移植性に対処しているため、実運用ではこちらを検討することになる。

このアプローチでは、まずコンパイルされたデータ構造のレイアウト情報を eBPF プログラムに含める必要がある。この情報は BTF（BPF Type Format）と呼ばれる。Linux カーネルv5.4以降サポートされている。 そして、そのレイアウトが実行しようとしているマシンとで異なる場合に、フィールドのアクセス方法を調整することで移植が可能になる。

ライブラリによって、この調整を行う。この調整が可能なライブラリはいくつか存在する:

• libbpf（Cライブラリ）。bpftool の裏側は libbpf
• Cilium eBPF（Goライブラリ）
• Aya（Rustライブラリ）

以降は libbpf を使用したコードを書く方法を紹介している。何か作るときにまた読むと良さそう。

6章 eBPF 検証器

eBPF プログラムをカーネルにロードするときは、検証プロセスによってプログラムが安全であることを保証している。 「検証（verification）」とは、プログラムを通して考えうるすべての実行経路をチェックし、どの命令も安全であると保証することを指す。

この章では検証器がどのようなことをしているかについて解説する。eBPF コードを書くときに発生する検証器のエラーを理解したくなったら、また読むと良さそう。

7章 eBPF のプログラムとアタッチメント

eBPF プログラムを書くときにはプログラムタイプを指定する必要がある。これによってそのプログラムがどのイベントにアタッチできるかを決定する。 プログラムタイプは大きく二つのカテゴリに分類される。トレーシングとネットワーク関連である。

トレーシング

Perf 関連のプログラムとも呼ばれる。このカテゴリに分類されるプログラムタイプには次のようなものがある:

• kprobe: カーネル関数の入り口へのアタッチに使う。関数の引数にアクセスできる。
• kretprobe: カーネル関数の終了時へのアタッチに使う。関数の戻り値にアクセスできる。
• fentry: kprobe のより新しく効率的な代替。
• fexit: kretprobe のより新しく効率的な代替。さらに戻り値だけでなく引数にもアクセスできる。
• Tracepoint: カーネルコード内でマークされた場所。5.15 のカーネルでは 1400 以上の Tracepoint が定義されている。以前から SystemTap のようなツールでトレース出力に使われてきた。

ユーザー空間へのアタッチもできる。例えば、OpenSSL の SSL_write 関数の開始地点にアタッチできる。

• uprobe/uretprobe: ユーザー空間の関数の開始と終了の地点へのアタッチに使う。
• USDT(User Statically Defined Tracepoint): ユーザー空間のコードの特定の Tracepoint にアタッチできる。

ネットワーク

ネットワーク関連のプログラムタイプでは、トレーシング関連のプログラムタイプと違って、ネットワークの振る舞いをカスタマイズするために使われる。 例えば、ネットワークパケットをドロップしたりリダイレクトしたり、ソケットの設定パラメーターの変更を行う。

• ソケット操作: TCP 接続に割り込んだり、TCP タイムアウトを設定したりできる
• トラフィックコントール: 帯域制限の設定を変更したりできる
• XDP: XDP プログラムは eth0 インターフェースなどにアタッチして、ネットワークデバイス上でパケットを処理できる。Linux のネットワークスタックに通る前に処理するので高速に動く
• cgroup: 特定の cgroup において、ソケットの操作やデータ転送の実行を禁止できる

8章 ネットワーク用 eBPF

eBPF をベースにしたネットワークツールは広く使われている:

• CNCF の Cilium プロジェクトによる Kubernetes ネットワークのカスタマイズ
• Meta の Load Balancer
• Cloudflare の DDos 防衛機能

これらはパケットのドロップや転送を XDP プログラムで実現することで、既存のものに比べて高いパフォーマンスを発揮している。 一部のネットワークカードは XDP オフローディング機能をサポートしている。これを使えば、全ての処理はネットワークカード上で完結するため、ホストマシンの CPU サイクルは 1 クロックも使わなくていい。

eBPF と Kubernetes ネットワーク

Kubernetes は CNI (Container Network Interface) を通して、どのネットワーク実装を利用するかをユーザーが選べる。 多くの CNI プルグインは Kubenetes における L3/L4 のネットワークポリシーを実装するために iptables を利用している。

Kubernetes では Pod とその IP アドレスが動的に更新されるため、iptables の更新に数時間かかる場合がある。 また、iptables のルール検索はルールの数に比例して時間がかかる問題もある。

Cillium は eBPF ハッシュテーブルで kube-proxy の iptables を置き換えることで、高いスケーラビリティを実現している。 Cillium は AWS, GCP, Azure で使える。

9章 セキュリティ用 eBPF

eBPF は不正な活動を検出・禁止するセキュリティツールを作成するためにも使われている。

Linux において、セキュリティイベントを検知するために使われるイベントは次の二つ:

• システムコール
  • Docker や Kubernetes では BPF を使ってシステムコールを制限する seccomp という機能が使える
  • システムコールの追跡をベースにしたセキュリティツールで有名なものは、CNCF プロジェクトの Falco がある。Falco はセキュリティアラート機能を提供している。
• LSM インターフェース
  • システムコールのフックは厳密なセキュリティツールの実装には不十分という問題を解決するために、LSM（Linux Security Module） API に eBPF プログラムをアタッチする新しい機能、 BPF LSM がある。
  • セキュリティの観点で好ましくないことが起こりうるシステムコールには、それに対応する LSM のフックが存在するので、eBPF プログラムをシステムコールの入り口の代わりにそちらにアタッチさせればいい。

10章 プログラミング eBPF

eBPF プログラムを書くときの最もシンプルな方法は bpftrace を使うこと。bpftrace を使えば、カーネル空間とユーザー空間の分離を意識せずにコードを書ける。 https://github.com/bpftrace/bpftrace/tree/master?tab=readme-ov-file#one-liners には便利なワンライナーのサンプルがたくさん載っている。

例えば、2章で BCC を使って書いた execve システムコールが呼ばれた回数を uid 別に集計するコードは bpftrace だと次のように書ける。

# 動作中のマシン上で利用できる kprobe の一覧を表示
$ sudo bpftrace -l "*execve*"
...
kprobe:__arm64_compat_sys_execve
kprobe:__arm64_compat_sys_execveat
kprobe:__arm64_sys_execve
kprobe:__arm64_sys_execveat
...

$ sudo bpftrace -e 'kprobe:__arm64_sys_execve { @[uid] = count(); }'
Attaching 1 probe...
^C

@[501]: 2
@[0]: 2

📝 https://github.com/bpftrace/bpftrace/blob/master/docs/tutorial_one_liners.md にあるチュートリアルはわかりやすい。

どんな本？

Prometheus の概要から実践的な運用ノウハウまでまとまっていて、それを日本語で読めるのがポイント。 また、雑多になるのでここにはメモしてないが PromQL の解説も詳しいので、クエリの書き方に迷ったときの辞書としても便利そう。

Prometheus のアーキテクチャ

Prometheus のシステムを構成するコンポーネントは主に次の四つ:

• Prometheus Server: Prometheus 本体。Exporter から受け取ったメトリクスを保存してクエリの実行を担う。
• Exporter: メトリクスの収集。監視したい対象に合わせて必要なものを導入する。種類は非常に多く、200 以上存在する。
• AlertManager: アラートの発報
• Grafana: 収集したメトリクスの可視化

これらのコンポーネントは Go 言語で実装されており、シンプルなバイナリで提供されている。

Why Prometheus?

一つ目の理由は、他の監視システムに比べて構成がシンプルであること。 Web サーバーやデータベースといったミドルウェアが必要ないので、どんな環境でも導入が容易になってる。

二つ目の理由は、クラウドネイティブな監視が可能であること。 ここでいうクラウドネイティブな監視とは、監視対象となるシステムが頻繁に変化しても適切に追従でき、システム全体の正常性が常に把握できること を意味してる。 そのために Prometheus は、監視サーバーがクライアントに対してメトリクスを収集しに行く、 Pull 型のメトリクス収集の仕組みを採用している。 同時に、クラウドシステムではサーバーの IP アドレスもクライアントの数も固定されていないので、Prometheus はサービスディスカバリの仕組みも備えている。 サービスディスカバリは、クラウドサービスの API などを利用して対象の情報を能動的に取得・更新して、構成の変化に動的に追従して監視を継続できるようにする仕組みのこと。

三つ目の理由は、Kubernetes 上での監視のデファクトスタンダードになっているため、エコシステムが充実していること。 結果、エクスポーターが豊富に提供されている。サーバーのメトリクス監視には Node exporter、nginx の監視には nginx-prometheus-exporter、MySQL の監視には mysqld_exporter などが利用できる。 また、Kubernetes とともに CNCF にホスティングされている。Kubernetes 上で Prometheus を構築するための Prometheus Operator というプロジェクトもある。

データ構造とクエリ

Prometheus では、すべてのデータがメトリクスとして表現される。メトリクスは Key-Value 構造になっている。 たとえば、localhost:9090 マシンの CPU 使用率が 50% というメトリクスは、cpu_usage{instance="localhost:9090"} が Key で、50 が Value になるデータで表せる。 このとき、cpu_usage は メトリクス名、instance="localhost:9090" はラベルと呼ばれる。

メトリクスを取得するには、PromQL を使ってクエリを実行する。http_requests_total{instance="prometheus"} というクエリを実行すると、http_requests_total というメトリクスのうち、サーバー名に "prometheus" という文字列が含まれる情報を取得できる。

k8s 上のセットアップ

Prometheus の管理の効率化と自動化が可能になる、Prometheus Operator を使うのが良い。 カスタムリソースによって監視ターゲット設定を簡単に定義できる。

監視ターゲットを追加するには ServiceMonitor や PodMonitor を、ルールを追加するには PrometheusRule といった対応する CRD を定義する。

冗長構成

Prometheus の可用性を高めるためには、Prometheus 本体の冗長化と、AlertManager の冗長化をそれぞれ行う必要がある。

Prometheus 本体には冗長化の仕組みは備わっていないので、実現するには同一の設定を持つ Prometheus を二つ構築する方法が取られる。 こうすることで Prometheus はそれぞれ独立してメトリクスを収集する。

AlertManager では単純に複数起動するとそれぞれの AlertManager からアラートが発報されてしまうので、クラスタリングの仕組みが用意されている。 AlertManager を起動する際に別の AlertManager のアドレスをフラグで渡すことで、クラスターが構成される。 Prometheus からはクラスタ化された二つの AlertManager の両方にアラートを通知すればよく、あとは重複排除されて一つだけアラートが発報されるようになる。

ストレージ

Prometheus が利用するストレージには、ローカルストレージとリモートストレージの二種類がある。

• ローカルストレージは、Prometheus を起動しているサーバー上に作成されるストレージである。デフォルトでは、Prometheus のバイナリと同じディレクトリに data ディレクトリを作成し、そこに TSDB（Time Series Database）を構築する。
• リモートストレージは、外部のストレージソフトウェアへメトリクスを転送する機能のことを指す。リモートストレージを利用するには、Prometheus のリモートストレージ機能に対応したソフトウェアを用意する必要がある。たとえば InfluxDB は標準機能として Prometheus のリモートストレージ API をサポートしており、比較的安定している OSS の時系列データベースである。

短期間かつ小規模であればローカルストレージでも十分実用に耐える。逆に、長期間データを運用する場合、PromQL のパフォーマンス低下などが問題になるのでそのような現象に陥った場合はリモートストレージの利用を検討すべき。

あけましておめでとうございます。2023年もお世話になりました。

2024 年もよろしくお願いします。

私生活

• 体調管理
  • 健康です。熱が突然出るとかはあった気がしつつ、仕事を休むほどにはならなかったです
  • 家族の体調に左右されてリモートワークを選択することが何度かありました。アフターコロナ時代で気を遣った面もあります
• 旅行
  • 5月に軽井沢に二泊三日しました。東京からのアクセスは抜群で、北陸新幹線なら70分です。ゴールデンウィークの翌週に行ったので混雑なく過ごせました。山を散策したり、いちご狩りしたり、自然を満喫できました。
  • お気に入りの白馬キャンプは、当日に子どもが高熱でキャンセルしました 😿

• 子育て
  • 四歳になって色々できるようになってきたので、サッカー教室に入れました。気に入ったようで、公園遊びのレパートリーに「サッカーボールで遊ぶ」が増えました
  • 本がそんなに好きそうでなかったので、毎日朝晩絵本の読み聞かせ + 隔週で図書館通いを一年間徹底したら、本好きになりました。表紙が飾れるラックに借りてきた絵本を並べておくと興味が向きやすくなるのでオススメです。
• 読書
  • 英語の勉強も兼ねて、2023年は小説を多めに読みました。「Secret Garden」「Matilda」「To Kill a Mockingbird」など。
  • 中でも 「Anne of Green Gables（赤毛のアン）」は実は続編があって、シリーズ2と3まで読むほどには面白かったです。シリーズ3「Anne of the Island」はアンの大学時代（18~22）の話です。1915年出版にも関わらず、大学生活は今とそんなに変わらないのが読んでいて新鮮な驚きでした。
• 雑感
  • 夏の間、貸菜園でトマト・きゅうり・なす・ピーマンなどの夏野菜を育てました。1~2週間ごとに通うのは大変でしたが、収穫は週末の楽しみになってました。10月になると寒いので一夏でやめましたが、また機会があればやりたいです。
  • インフレと円安もあって、2023年はお金のことを考える機会が多かったです。

仕事

• 入社から三年半経ちました
• 開発チーム全体を振り返ると、施策の開発スピードは相変わらず早く、一方で安定性と開発生産性をバランス良く維持できたと思います 👍
• 個人的に大きな issue として、前半に Vitess の本番導入が、後半に Flink のステージング導入ができました。Vitess は当初から期待していた MySQL 接続集約による接続上限の回避に加えて、Thread_running が下がったことで slow query を大きく減らす効果もありました。一方で、proxy の割にリソース消費量が大きいのは意外でした。Flink は今後のシャーディングを見据えて、複雑な JOIN クエリのマテリアライズテーブルをリアルタイムに作成するために使う予定です。
• 2024 年のあけおめピークは無事障害もなく乗り越えることができて感無量です 😂
• 2023/12/21 4:00 に障害がありました。GKE クラスタの Pod が問題なく起動するにも関わらず LB（NEG）に入るタイミングで Error syncing to GCP: error running backend syncing routine: googleapi: Error 400: Invalid value for field 'zone': ''. Must be a match of regex '(?:[a-z](?:[-a-z0-9]{0,61}[a-z0-9])?)', invalidという身に覚えのないエラーが発生しはじめて、リクエストが全く届かなくなりました。結局、その場で GKE クラスタをコピーして Ingress 含めた主要リソースを全部移行するという大工事で乗り切りました。GCP サポートとともに原因特定に取り組んでますが、GKE 自体に根本原因がある可能性も残ってます。

ソフトウェアエンジニアリング

• 2023 年も Vitess に bug fix や feature request の PR を送り続けました。中でもパラレルのユースケースで特に対応が必要だった issue は次の三つです。
  • github.com
    • v15, v16 には、MySQL サーバーが高負荷で一時的に応答不能になるとその前段にある vttablet component の再起動が走るバグがありました。v17 では修正されてます。
  • github.com
    • v15, v16 には、vttablet の rolling update 時に最大1分間リクエストが MySQL まで届かなくなるバグがありました。こちらも v17 で修正されてます。
  • github.com
    • vitess-operator で unmanaged MySQL 構成を実現する場合、MySQL Replica ごとに vtgate/vttablet のセットが必要です。次にリリース予定の v2.12 ではこの冗長な設定は不要になります。
• 自分のプロジェクトだと protolint 関連のメンテナンスが中心でした。
  • protolint のインストール方法がさらに増えました。Maven Central 経由 と npm パッケージ経由 でも利用できるようになりました。
  • もともと実装されていた、キャメルケースをスネークケースに変換する処理（例: accountStatus -> account_Status）でエッジケースの要望対応に少し苦労しました。小文字と大文字の間に _ を入れるというシンプルな実装になっていたので、ITDepartmentRegion は ITD_epartment_Region に変換されてました。それを IT_Department_Region に変換したいという話です。最初、大文字二つと小文字があったら大文字間に _ を入れるルールを追加したら、この例は解決しました。一方、今度は ListAccountOAuthsEnabledFilter が List_Account_O_Auths_Enabled_Filter になるデグレが報告されました。結局、大文字が三つ以上並んで最後が小文字のときに限定して、末尾の大文字二つの間に _ を入れるとちょうど良くまとまりました。こういう地味な作業は ChatGPT ならすぐに書いてくれると思ってましたが、全く要件を満たしていないコードを生成し続けるので、愚直にやりました。