NestJS meetup Online #2 登壇資料 https://nest-jp.connpass.com/event/244015/
中川 裕太 @ Beatrust SRENestJS + Prisma2 で歩むRLS の世界
View Slide
今日の登壇内容Today's topic去年のちょうど今頃に運用を始めた NestJS + Prisma2 による RLS 適用の後日談です※ 資料に載せているコードは概念的な簡易コードなのでそのままでは動きません
AgendaRLS とは NestJS + Prisma2による RLS 実装性能問題の改善1 2 3
2020年12月に Beatrust にジョイン運用がラクにできるように色々と改善したり、セキュリティ向上したり、インフラ作ったり API 開発したりしています中川 裕太Yuta NakagawaSRE & Tech Lead@ Beatrust@ynakaSoftTennis社員インタビュー https://note.com/beatrust/n/n24ac6848907b
Beatrust は、会社や組織のなかでいっしょに働く人のことをもっと知り、助け合い、そして協業しやすい状態を実現するためのタレントコラボレーション プラットフォームです。Beatrust が提供しているサービスWhat we do
創業以来のユーザー数の推移Growth2020 年 3 月Beatrust 創業2021 年 1 月1,000 名突破2021 年 10 月10,000 名突破2022 年 3 月15,000 名突破2020 年 3 月に創業して以来、1 年間で 1,000 名、2 年間で 15,000 名 のユーザーにご利用をいただいています。※ 2020 年 3 月から 2022 年 3 月までに Beatrust に登録された累積ユーザー数です。
導入企業とケーススタディの例Customer storiesすでに日本を代表とする大企業での導入事例があり、実際の従業員による協業・活用事例が生まれています。普段社内の他部門を支援させていただく仕事を担当していますが、そうした日常業務の中で、実際にBeatrust が役に立ち始めています。生産性技術革新部 ビジネスプロセス支援グループご担当者様自分一人で悶々としているよりは話を聞いてもらってアドバイスをもらうことで気持ちを切り替えることが大事だと強く実感できました。ビジネス開発センター ビジネスインキュベーション ご担当者様社内にはまだ一度もお会いしたり、仕事をご一緒したことのない方も多くいらっしゃいますが、少しでも人となりを知ることができ、心構えができて仕事がしやすくなっています。事業管理本部FHR・購買部ご担当者様国内総合証券会社 不動産デベロッパー コワーキングスペース大手製薬メーカー 大手通信会社大手自動車メーカーほか、数多くの導入・トライアル実績(2022 年 4 月現在)医療機器メーカー大手通信機器メーカー大手広告代理店システムインテグレーター
RLS とは NestJS + Prisma2による RLS 実装性能問題の改善1 2 3
Multi-tenantin 1 database1 tenantin 1 database1 tenantin 1 instancedatabase structure system cost migration cost security Multi-tenant でのデータベース構成
Multi-tenantin 1 database1 tenantin 1 database1 tenantin 1 instancedatabase structure system cost migration cost security コストの観点から multi-tenant in 1 database を採用
アプリケーション側でtenant を WHERE 句で指定する必要がある
ダルいしミスも発生しやすい
そこで Row Level Security (RLS)PostgreSQLNestJS
ALTER TABLE "User" ENABLE ROW LEVEL SECURITY;CREATE POLICY "UserIsolationPolicy" ON "User" USING ("tenantId" = current_setting('app.current_tenant'));事前に table 単位でデータアクセスに対するポリシーを定義PostgreSQLNestJS
実行時設定パラメータ に tenant id を指定SET app.current_tenant = {tenant_id};PostgreSQLNestJS
事前定義したポリシーが正になるデータだけ取得PostgreSQLNestJSUser WHERE "tenantId" = current_setting('app.current_tenant')
アプリケーション側だけでなくDB レイヤーである種の WHERE 句をかけられる
tenant を指定しないとデータ取得できないのでfail safe な作りになる
RLS とは 性能問題の改善1 3NestJS + Prisma2による RLS 実装2
リクエストごとに独立したコネクションを張り tenant id を設定するPostgreSQLNestJSClient SidePrisma 2
tenant 情報をリクエストの JWT から取得PostgreSQLNestJSClient SidePrisma 2tenant in JWT
新規にコネクションを張り tenant id を設定PostgreSQLNestJSClient SidePrisma 2SET app.current_tenant = {tenant_id};
tenant id に従ったデータを取得PostgreSQLNestJSClient SidePrisma 2User WHERE "tenantId" = current_setting('app.current_tenant')
Client にデータを返すと同時にコネクションをクローズPostgreSQLNestJSClient SidePrisma 2User data Close connection
これをどう NestJS + Prisma 2 で実装しているか
PostgreSQLNestJSClient SidePrisma 2MWNestJS の Middleware と Interceptor で実装Interceptor
PostgreSQLNestJSClient SidePrisma 2MWMiddleware で Request Scope の ContextService に情報を格納Interceptorthis.contextService.set('tenantId', jwt.tenantId)
PostgreSQLNestJSClient SidePrisma 2MWPrisma 2 の Middleware を使って各クエリの前に SET を実行Interceptor@Injectable({ scope: Scope.REQUEST })export class PrismaService extends PrismaClient {constructor(private readonly contextService: ContextService) {this.$use(async (params, next) => {const tenantId = this.contextService.get('tenantId');await this.$executeRaw(`SET app.current_tenant='${tenantId}';`);return next(params);});}}
PostgreSQLNestJSClient SidePrisma 2MW最後に Interceptor でコネクションをクローズするInterceptor@Injectable({ scope: Scope.REQUEST })export class PrismaInterceptor implements NestInterceptor {intercept(context: ExecutionContext, next: CallHandler): Observable {return next.handle().pipe(finalize(() => this.prisma.$disconnect()));}}
RLS とは NestJS + Prisma2による RLS 実装1 2性能問題の改善3
RLS 適用してから数ヶ月は順調に運用できていました
が
次第に明らかになる性能問題...
アクセスが集中すると異常に遅くなる
何が起きていたのかPostgreSQLNestJSClient SidePrisma 2
コネクションを張る度に Query Engine のプロセスが立ち上がるPostgreSQLNestJSClient SidePrisma 2Query Engine※ Prisma 3 ならデフォルトで Node-API Library として動作するので問題化はしない可能性は高いです
プロセスなので当然実行時間は遅く全体に対して支配的PostgreSQLNestJSClient SidePrisma 2Query Engine< 100msec> 500msec
そこで
Query Engine でちゃんとコネクションプーリングするように変更PostgreSQLNestJSClient SidePrisma 2Query Engine
つまり
Prisma 2 の Client をグローバルなシングルトンとして実装PostgreSQLNestJSClient SideGlobal Prisma 2Query EngineMWReq Prisma 2
Request Scope の Client はメソッドをパススルー + RLSPostgreSQLNestJSClient SideGlobal Prisma 2Query EngineMWReq Prisma 2constructor(conf?: RlsConfig) {this.user.findUnique = this._rebuildQueryMethod(client.user.findUnique);}private _rebuildQueryMethod(method: Function) {return (client.$transaction([this.$executeRaw(`SET app.current_tenant='${tenantId}';`),Reflect.apply(method, client, args),this.$executeRaw(`SET app.current_tenant='';`),]).then((results) => results[1]));};
tenant 情報は同様に Middleware で JWT から取得PostgreSQLNestJSClient SideGlobal Prisma 2Query EngineMWReq Prisma 2this.contextService.set('tenantId', jwt.tenantId)
10倍近い latency の改善
まとめToday's summaryNestJS の Request Scope を使うことでリクエストごとのRLS を実装しセキュアなデータ操作を実現231性能問題は発生したがPrisma 2 が推奨するグローバルなシングルトンを作ることで解決ちょっと強引な方法でもフレームワークの思想にそった実装をするのが大事
Beatrust on note Beatrust techBlogBeatrust のオフィシャルメディアOur official mediaTwitter@jp_beatrustFacebookLinkedInnote.com/beatrust社員のバックグラウンドや、働き方に関する記事をアップデートしています。tech.beatrust.comBeatrust の開発者チームによる取り組みと技術に込めた想いを掲載している開発者ブログです。Beatrust のメンバーに関する記事、開発メンバーの取り組み、最新ニュースリリースなどを随時更新しています。facebook.com/beatrust.officiallinkedin.com/company/beatrust
doradora09
startree
takmin
soracom
hiboma
newrelic2023
devops_vtj
yoshidashingo
heirhabarov
ryohatanmonolog
.png){kind=avatar}
jisungbin
mineo_matsuya
myddelton
malarkey
tanoku
sferik
sachag
lauravandoore
mclloyd
panda_program
tenderlove
dougneiner
stephaniewalter
yeseniaperezcruz