Makuakeの認証基盤とRe-Architectureチーム

Makuakeの認証基盤とRe-Architectureチーム    株式会社マクアケ / 竹内健太（@bmf_san）    サービスの当たり前を支える認証認可　〜マネーフォワードxマクアケ〜  2023/01/19(木) 

竹内健太（Twitter: @bmf_san）  株式会社マクアケ　開発本部　Re-Architectureチーム所属    - 2019年入社  - チームリーダー  - Re-Architectureチームの業務以外は
PHP・FWのアップデートプロジェクトだったり、 E2E導入プロジェクトだったりやっています  - Goで何かつくるのが好きです   - https://github.com/bmf-san/goblin  自己紹介  Copyright © Makuake, Inc. All Rights Reserved.  2 

お話すること  Copyright © Makuake, Inc. All Rights Reserved.  3  -
Re-Architectureチーム is 何？  - 認証基盤概要紹介  - 認証基盤への移行における当たり前事例  

4 Re-Architectureチーム is 何？ 

Re-Architectureチームとは？  Copyright © Makuake, Inc. All Rights Reserved.  5  -
ミッション  - 「Makuakeがスケールし続けるためのシステム・アーキテクチャを実現」  - マクアケの事業成長に耐えうるシステム基盤を提供する  - 柔軟なスケーラビリティの担保  - 機能的なスケーラビリティだけではなく、運用面でもスケーラビリティを担保する  - 安心・安全に活用できるシステム基盤  - Makuakeの他サービスやアライアンス先が、安心・安全に利活用できる基盤を提供する  - 高い信頼性を担保（可用性）  - 事業の可能性を広げるReArchitecting  - 技術基盤の開発・運用により、ビジネスの可能性を広げる 

やっていること  Copyright © Makuake, Inc. All Rights Reserved.  6  認証基盤だけ専門にやるチームではないのです！ 
- Auth  - 認証基盤  - OIDC  - 認可基盤  - メッセージングサービス（今後取り組む予定）  - 通知基盤    アーキテクチャのスケーラビリティを担保するという観点で、主にサービス基盤の開発・運用を行っているチームです！ 

7 認証基盤概要紹介 

  - 会員数220万人〜のMakuakeを支える認証基盤（Authサービスと呼称）  - ユーザー登録・ログインの機能等を提供   - Email/Password  - 各種SNSプロバイダ 
- Facebook / Twitter / LINE / Yahoo! JAPAN / Apple  - 2021年9月〜　運用開始  - 運用体制（Authサービスに関わるエンジニア数）   - 開発フェーズは〜4人  - 運用フェーズは現在 4人  Makuakeの認証基盤とは  Copyright © Makuake, Inc. All Rights Reserved.  8 

Makuakeの認証今昔  Copyright © Makuake, Inc. All Rights Reserved.  9  昔 
- FuelPHPのSessionを利用した認証  - モノリスでFuelPHPに依存した実装  - 非コンテナ環境（EC2）※現在はECS  今  - JWTを使ったトークンベースの認証  - マイクロサービスにおける1つのサービスとして実装  - コンテナ環境（GKE） 

なぜ認証基盤をサービスとして切り出したのか？  Copyright © Makuake, Inc. All Rights Reserved.  10  背景 
- モノリスなアーキテクチャからの脱却   - マイクロサービス化の推進  - ”認証”切り出しがマイクロサービス化の最初の 1歩であった    解決したい課題  - 複雑化したコードベースにおける機能の改修・追加が難しい問題の解決   - 複数システム間で使える共通の認証基盤の必要性   - ユーザー数の増加を見据えた可用性の担保    

アーキテクチャ構成（簡略版）  Copyright © Makuake, Inc. All Rights Reserved.  12  -
GCP上でサービス構築 - Kubernetesをベースとしたサービス構築 - 通信プロトコルはgRPCを採用 - grpc-gatewayでHTTP→gRPCへ変換 - Spannerの採用 - 開発環境向けにもサーバーを用意（認証プロキシに IAPを利用）

13 認証基盤への移行における当たり前事例 

当たり前の認証を支えるために・・  Copyright © Makuake, Inc. All Rights Reserved.  15  当たり前に使える認証基盤を提供し続けるために取り組んでいること
  - ユーザーファースト  - ユーザーへの影響を最小限に抑える意識や努力   - 可用性の担保  - SLOを定義、目標とするサービスレベルを維持する   - 監視  - アラート・メトリクス監視など  - 継続的なバージョンアップ  - システムやライブラリなど定期的に更新。溜め込まない  

当たり前の認証を支えるために・・  Copyright © Makuake, Inc. All Rights Reserved.  16  当たり前に使える認証基盤を提供し続けるために取り組んでいること
  - ユーザーファースト  - ユーザーへの影響を最小限に抑える意識や努力   - 可用性の担保  - SLOを定義、目標とするサービスレベルを維持する   - 監視  - アラート・メトリクス監視など  - 継続的なバージョンアップ  - システムやライブラリなど定期的に更新。溜め込まない。     当たり前のことを当たり前にやっている！と思います  

サービス移行要件  Copyright © Makuake, Inc. All Rights Reserved.  17  “認証”という当たり前の機能の提供を停止させない
  - ユーザーへの影響を最小限に抑える必要がある   - 認証に何か問題が発生すると、サービス全体への影響に波及する可能性が高い     要件を満たすために・・・  - 「データの不整合を防止」 - 「フェイルセーフ」 - 「切り戻ししやすい仕組み」  

当たり前を維持するために取り組んだこと  Copyright © Makuake, Inc. All Rights Reserved.  18  サービス移行を3つのPhaseに分けて、段階的に移行作業を実施
  - Phase1：ダブルライト  - データ移行ツールの実行  - 新規登録のAPIの利用開始（厳密には他のAPIも色々ある）   - 移行元DB・移行先DBの両方への書き込み  - makuake側とAuth側のデータが同期されている状態をつくる   - データ整合性チェックツールの定期実行   - フィーチャーフラグの実装・運用開始   - AuthサービスAPIの利用ON・OFF  - エラーハンドリングの調整  - ユーザーへのエラーを返さない 

  - Phase2：疑似認証  - Authサービスの認証の仕組み（JWT）の利用開始  - 既存の認証処理を行いつつ、Authサービス側の認証処理も行う  - 既存認証で利用しているCookieと認証で利用するCookieを両方保つ  - Authサービスへの完全切り替え時のログアウト多発を防止   - ログイン移行率（Authサービスを利用してログインしているユーザ数）の計測   - 各種メトリクスやエラーの監視（性能に問題ないかチェック）   - AuthサービスのほとんどのAPIが開放されるため、Authサービスが本格的にトラフィックを受け付けることになる   

  - Phase3：認証切り替え  - Authサービスへの完全切り替え  - ログイン移行率やエラー状況を元に、切り替え判定   - このフェーズでは切り戻しができなくなる   - 後処理  - 用済みとなったコードやデータの削除等を実施     ←とある日に普段の機能リリースのように余りにも自然にリリースされたの図（着想から3~4年くらいのプロジェクトだったのですが）

21 当たり前の維持は当たり前ではないかも😤 

まとめ  Copyright © Makuake, Inc. All Rights Reserved.  22  -
ReArchitectureチームはマクアケのスケーラビリティを支えるチーム   - 認証基盤以外もやっています  - 認証基盤は独立した1つのマイクロサービス  - 既知の課題解決や今後のニーズを見据えたサービス   - サービス移行でも当たり前を考える   - いつでも使える、ユーザー影響を最小限に抑えたサービス切り替え    

23 We are hiring!  ご清聴ありがとうございました！ 

Makuakeの認証基盤とRe-Architectureチーム

Makuakeの認証基盤とRe-Architectureチーム

bmf_san

More Decks by bmf_san

Other Decks in Programming

Featured

Transcript