形式手法による分散システムの検証 #builderscon / builderscon tokyo 2019

#builderscon #bc100a
形式手法による
分散システムの検証
チェシャ猫 (@y_taka_23)
builderscon tokyo 2019 (2019/08/31)

View Slide

本日のアジェンダ
● 分散システムの例と問題設定
● はじめての形式手法
● 実際のモデリングの様子
● 分散システムにおける故障の分析

View Slide

分散システムの難しさ
Why Are Distributed Systems So Hard?
1

View Slide

世はまさに分散システム時代！

View Slide

とある決済サービスの仕様
● 統合された決済基盤
○ 複数の EC サイトから利用される
● 複数の決済手段をサポート
○ 銀行引き落とし / ポイント払い / ギフト券
○ 各々が別のマイクロサービスとして稼働
○ 複数の手段に按分して支払うことも可能

View Slide

決済サービス
1000 pt
ポイント管理
1000 円
銀行口座管理
1000 円
ギフト券管理

View Slide

決済サービス
1000 pt
ポイント管理
1000 円
銀行口座管理
1000 円
ギフト券管理
1000 円分の購入

View Slide

決済サービス
1000 pt
ポイント管理
1000 円
銀行口座管理
1000 円
ギフト券管理
- 500 円 - 500 pt

View Slide

決済サービス
500 pt
ポイント管理
500 円
銀行口座管理
1000 円
ギフト券管理

View Slide

決済サービス
500 pt
ポイント管理
500 円
銀行口座管理
1000 円
ギフト券管理
OK OK

View Slide

決済サービス
500 pt
ポイント管理
500 円
銀行口座管理
1000 円
ギフト券管理
OK

View Slide

もし DB でエラーが発生したら

View Slide

決済サービス
Error
ポイント管理
500 円
銀行口座管理
1000 円
ギフト券管理

View Slide

決済サービス
1000 pt
ポイント管理
500 円
銀行口座管理
1000 円
ギフト券管理
OK Error

View Slide

決済サービス
1000 pt
ポイント管理
500 円
銀行口座管理
1000 円
ギフト券管理
OK or Retry?

View Slide

雑なマイクロサービス化で
簡単にデータの整合性が壊れる

View Slide

TCC パターン
● 全体を二つのフェイズに分ける
● Try フェイズ
○ あらかじめ更新内容を仮登録させる
● Confirm / Cancel フェイズ
○ 全員から OK が帰って来たら改めて Confirm
○ 一箇所でも失敗した場合は全員 Cancel させる

View Slide

ポイント管理ギフト券管理
銀行口座管理
決済サービス

View Slide

銀行口座管理
決済サービス
Try

View Slide

銀行口座管理
Reserved
決済サービス
Try
OK

View Slide

ポイント管理
Reserved
ギフト券管理
銀行口座管理
Reserved
決済サービス
Try
OK

View Slide

ポイント管理
Reserved
ギフト券管理
銀行口座管理
Reserved
決済サービス
Confirm

View Slide

ポイント管理
Confirmed
ギフト券管理
銀行口座管理
Reserved
決済サービス
Confirm
OK

View Slide

ポイント管理
Confirmed
ギフト券管理
銀行口座管理
Confirmed
決済サービス
Confirm
OK

View Slide

エラーが発生した場合

View Slide

ポイント管理
Error
ギフト券管理
銀行口座管理
Reserved
決済サービス
Try
Canceled

View Slide

ポイント管理
Reserved
ギフト券管理
銀行口座管理
Reserved
決済サービス
Cancel

View Slide

ポイント管理
Canceled
ギフト券管理
銀行口座管理
Canceled
決済サービス
Cancel

View Slide

buiderscon tokyo 2019「Open SKT: メルペイ開発の裏側」
https://speakerdeck.com/kazegusuri/builderscon-tokyo-2019-open-skt

View Slide

分散していても整合性が保てる

View Slide

ご清聴ありがとうございました
Presented by チェシャ猫 (@y_taka_23)

View Slide

それで済んだら世界は平和

View Slide

本当に大丈夫？
● 変なタイミングでサーバが死んだら？
● 実は生きていて遅れて通信してきたら？
● 通信パケットが欠落したら？
● 通信パケットの順序が入れ替わったら？
● 複数の値に対して手続きが交錯したら？

View Slide

分散システムは罠だらけ
● 各ノードが非同期に動く
○ 考えるべきパターンが多すぎる
● ノードやネットワークが信頼できない
○ 独立にランダムなタイミングで故障が発生
● 仕様そのものが複雑になりがち
○ 特定の瞬間ではなく一連の動作が問題になる

View Slide

設計
開発 / テスト
運用

View Slide

設計
開発 / テスト
運用
性質の保証が困難

View Slide

Chaos Engineering
● 運用環境であえて障害を発生させる
○ サービス不能状態に陥らないか
○ 障害状態から正しく復旧できるか
● 隠れていた問題点が炙り出せる
○ 安定状態を「正しい」として差分を解析
○ 意図して発生させることが難しいバグも見つかる

View Slide

第 1 章のまとめ
● ナイーブな分散システムは危険
○ 整合性を保つビルトイン機能に頼れない
● 分散システムは考えることが多すぎる
○ 実際に動かさずにテストするのは非現実的
● 実際に動かしてテストする手も
○ 故障を注入することで問題点を発見する

View Slide

設計
開発 / テスト
運用
性質の保証が困難
???

View Slide

一つの答えは「形式手法」

View Slide

形式手法を覗いてみよう
Hello, Formal Methods!
2

View Slide

形式手法とは
● システムを数学的対象により表現
○ その対象の性質に基づいて検証を行う
○ 対象として何を選ぶかでツールの性質が決まる
● 通常のテストと比較すると
○ テストケースの抜けや漏れが生じない
○ 実装ではなく仕様・設計に対して検査できる

View Slide

形式手法の分類
● モデル検査
○ システムが取りうる値を列挙して探索
○ 有限個のパターンに収まれば自動化できる
● 定理証明
○ いわゆる数学的な証明をプログラム的に表現
○ 真に無限個の入力を扱うことができる

View Slide

TLA+
https://lamport.azurewebsites.net/tla/tla.html

View Slide

TLA+ の特徴
● モデル検査系のツール
○ 多機能な IDE とセットになっている
○ Lamport (Paxos の人) が中心となって開発
○ Temporal Logic of Actions と呼ばれる論理が基盤
● システムを状態遷移系として定式化
○ 起こりうる動作の前後で成り立つ関係を記述

View Slide

TLA+ は目を引く事例が豊富

View Slide

TLA+ の採用事例
● AWS DynamoDB、S3
○ https://dl.acm.org/citation.cfm?id=2699417
● CockroachDB の並列コミット
○ https://github.com/cockroachdb/cockroach/tree/master/docs/tla-plus
● FINAL FANTASY XV POCKET EDITION
○ DynamoDB の結果整合性が許容できるかどうか検査
○ https://d1.awsstatic.com/events/jp/2018/summit/tokyo/customer/37.pdf

View Slide

サンプル：LampLighter
● まず非常に単純なシステムを考える
● フラグが一つだけ存在する
○ 変数名は lamp とする
● プロセスが一つだけ稼働している
○ 断続的にフラグを反転させる
○ 式で書けば lamp = ~ lamp

View Slide

lamp: true lamp: false
lamp’ = ~ lamp
lamp’ = ~ lamp

View Slide

VARIABLE lamp
(* 初期状態 *)
Init ==
lamp = TRUE
(* 状態遷移時の関係 *)
Next ==
lamp' = ~ lamp

View Slide

サンプル：TwinLighter
● フラグが二つ存在する
○ 変数名は lamp1 と lamp2 とする
● プロセスが二つ並行して稼働している
○ それぞれ P1 と P2 とする
○ P1 は lamp1 を、P2 は lamp2 を反転させる
○ ただし同時には片方しか動かない

View Slide

lamp1: false
lamp2: true
lamp1: false
lamp2: false
lamp1: true
lamp2: true
lamp1: true
lamp2: false

View Slide

VARIABLES lamp1, lamp2
(* 初期状態 *)
Init ==
lamp1 = TRUE /\
lamp2 = TRUE
Next ==
lamp1' = ~ lamp1 \/
lamp2' = ~ lamp2

View Slide

(* 初期状態 *)
Init ==
lamp1 = TRUE /\
lamp2 = TRUE
Next ==
lamp1' = ~ lamp1 \/
lamp2' = ~ lamp2
状態 : 各パーツの論理積

View Slide

(* 初期状態 *)
Init ==
lamp1 = TRUE /\
lamp2 = TRUE
Next ==
lamp1' = ~ lamp1 \/
lamp2' = ~ lamp2
遷移 : 各パーツの論理和

View Slide

この調子で書くの辛くない？

View Slide

PlusCal の使用
● 生の TLA+ を書くのは人間には辛い
○ というか「分散システムの難しさ」そのもの
● 付属の DSL “PlusCal” からコード生成
○ Pascal 風の記法と C 言語風の記法がある
● AWS の事例では重要な役割を果たした
○ 現場のプログラマへの心理的障壁を下げる

View Slide

--algorithm LampLighter
process P \in { 1,2 }
variable lamp = TRUE;
begin
while TRUE do
lamp := ~lamp;
end while;
end process
end algorithm

View Slide

begin
while TRUE do
lamp := ~lamp;
end while;
end process
end algorithm
普通のループっぽい記法

View Slide

begin
while TRUE do
lamp := ~lamp;
end while;
end process
end algorithm
複数プロセスの生成

View Slide

● 形式手法
○ システムを数学的な対象にマッピング
○ 大きく分けて定理証明とモデル検査がある
● 今回は TLA+ をモデル検査器として使用
○ 国内含み、興味深い産業界の事例がある
○ PlusCal により「数学」は気にならない

View Slide

分散システムのモデリング
Model Our System With TLA+
3
参考文献：http://muratbuffalo.blogspot.com/2018/12/2-phase-commit-and-beyond.html

View Slide

銀行口座管理
決済サービス

View Slide

fair algorithm TCC
fair process Payment = 0
begin
(* 決済サービス側の挙動 *)
end process
fair process Method \in METHOD
begin
(* 各決済手段側の挙動 *)
end process
end algorithm

View Slide

fair algorithm TCC
begin
(* 決済サービス側の挙動 *)
end process
begin
(* 各決済手段側の挙動 *)
end process
end algorithm
それぞれをプロセスとして合成

View Slide

決済サービスの仕様
● まず Try リクエストを出す
○ モデリングは Try した状態でスタート
● 確定なら Confirm を指示
○ 全員が準備 OK 状態になった場合
● 取り消すなら Cancel の指示
○ 一人でも準備 OK にならなかった場合

View Slide

ポイント管理
reserved
ポイント管理
reserved
ポイント管理
reserved
決済サービス
try -> confirm

View Slide

ポイント管理
canceled
ポイント管理
reserved
ポイント管理
reserved
決済サービス
try -> cancel

View Slide

try
cancel
confirm

View Slide

try
cancel
confirm
全員 reserved

View Slide

try
cancel
confirm
一人でも canceled

View Slide

variables paymentState = "try";
begin
either
(* confirm リクエスト発行 *)
await canConfirm;
paymentState := "confirm";
or
(* cancel リクエスト発行 *)
await canCancel;
paymentState := "cancel";
end either;
end process

View Slide

begin
either
await canConfirm;
or
await canCancel;
end either;
end process
either A or B or … で
状態遷移の分岐を作る

View Slide

begin
either
await canConfirm;
or
await canCancel;
end either;
end process
await で遷移するための
条件をかける

View Slide

define
(* 全員が準備 OK なら確定できる *)
canConfirm ==
\A m \in METHOD : methodState[m] \in {"reserved"}
(* ひとりでもキャンセルされていればキャンセルできる *)
canCancel ==
\E m \in METHOD : methodState[m] \in {"canceled"}
end define

View Slide

define
(* 全員が準備 OK なら確定できる *)
canConfirm ==
\A m \in METHOD : methodState[m] \in {"reserved"}
(* ひとりでもキャンセルされていればキャンセルできる *)
canCancel ==
\E m \in METHOD : methodState[m] \in {"canceled"}
end define
forall: 任意の...
exists: 少なくとも一つの...

View Slide

決済手段サービスの仕様
● Try に対して準備動作を行う
○ 待機状態の時 Try を受信すると準備状態に
● Confirm に対して確定動作を行う
○ 自分が準備状態なら確定する動作が可能
● Cancel に対してキャンセル操作を行う
○ さらに自分自身が失敗した場合もキャンセル

View Slide

idling confirmed
reserved
canceled

View Slide

idling confirmed
reserved
canceled
try 受信

View Slide

idling confirmed
reserved
canceled
confirm 受信

View Slide

idling confirmed
reserved
canceled
cancel 受信

View Slide

idling confirmed
reserved
canceled
cancel 受信
または自分が失敗

View Slide

variables mathodState =
[ m \in METHOD |-> "idling" ];
begin
while methodState[self] in {"idling", "reserved"} do
either
(* idling -> reserved : 次ページ*)
or
(* reserved -> confirm : 次ページ *)
or
(* x -> canceled : 次ページ *)
end either;
end while;
end process

View Slide

variables mathodState =
[ m \in METHOD |-> "idling" ];
begin
while methodState[self] in {"idling", "reserved"} do
either
(* idling -> reserved : 次ページ*)
or
(* reserved -> confirm : 次ページ *)
or
end either;
end while;
end process
confirmed か canceled に
なったら停止

View Slide

either
(* idling -> reserved *)
await methodState[self] = "idling";
methodState[self] := "reserved";
or
(* reserved -> confirmed *)
await
methodState[self] = "reserved" /\
paymentState = "confirm";
methodState[self] := "confirmed";
or
end either;

View Slide

either
(* idling -> reserved *)
await methodState[self] = "idling";
methodState[self] := "reserved";
or
(* reserved -> confirmed *)
await
methodState[self] = "reserved" /\
paymentState = "confirm";
methodState[self] := "confirmed";
or
end either;
Confirm 命令

View Slide

either
(snip...)
or
(* x -> canceled *)
await
methodState[self] = "idling" \/
(methodState[self] = "reserved" /\
paymentState = "cancel");
methodState[self] := "canceled"
end either;

View Slide

either
(snip...)
or
(* x -> canceled *)
await
end either;
Cancel 命令

View Slide

either
(snip...)
or
(* x -> canceled *)
await
end either;
自分自身が失敗したパターン

View Slide

さて、それで何が知りたい？

View Slide

検証したい TCC の性質
● トランザクションとしての一貫性
○ Confirmed と Canceled が混在しないか？
○ 混在すると不整合が発生する
● 一連の手続きが完了する保証
○ いつかは Confirmed もしくは Canceled になる？
○ デッドロックや無限ループに陥りたくない

View Slide

安全性と活性
● 安全性 (Safety)
○ 何か悪い状況が「起こらない」ことを要求
○ 通常の言語のアサーションに近い
● 活性 (Liveness)
○ 何か期待することが「起こる」ことを要求
○ 何もしないシステムは無意味なので検証に必須

View Slide

A A
「A が成り立つか？」:
「いずれ A が成り立つか？」:
A

View Slide

A A
「A が成り立つか？」: 状態に対する条件
「いずれ A が成り立つか？」:
A
true false true false

View Slide

A A
「A が成り立つか？」: 状態に対する条件
「いずれ A が成り立つか？」: 状態列に対する条件
A
true false true false
true
false

View Slide

普通の条件式では書けない

View Slide

時相論理 (Temporal Logic)
● 通常の論理式に記号を追加した体系
○ [] A : 現時点以降、常に A が成り立つ
○ <> A : 現時点以降、いずれ A が成り立つ
● 状態の「列」に対して真偽を判定
○ 時間的な幅がある実行パスの性質に言明できる
○ 真偽の与え方は何種類か (CTL, LTL など) 存在

View Slide

<> A : 現時点以降、いずれは A が成り立つ
A
true
false
[] A : 現時点以降、常に A が成り立つ
A A A
A A
false
true

View Slide

(* 確定されたになった決済手段と *)
(* キャンセルになった決済手段が混在しない *)
Consistency ==
\A m1, m2 \in METHOD :
~ (methodState[m1] = "confirmed" /\
methodState[m2] = "canceled")
(* どの決済手段もいつかは確定もしくはキャンセルになる *)
Completed ==
<>(\A m \in METHOD :
methodState[m] \in {"confirmed", "canceled"})

View Slide

(* 確定されたになった決済手段と *)
(* キャンセルになった決済手段が混在しない *)
Consistency ==
\A m1, m2 \in METHOD :
~ (methodState[m1] = "confirmed" /\
methodState[m2] = "canceled")
(* どの決済手段もいつかは確定もしくはキャンセルになる *)
Completed ==
<>(\A m \in METHOD :
methodState[m] \in {"confirmed", "canceled"})
時相演算子

View Slide

No errors!

View Slide

検証したい TCC の性質（再掲）
● トランザクションとしての一貫性
○ Confirmed と Canceled が混在しないか？
○ 混在すると不整合が発生する
● 一連の手続きが完了する保証
○ いつかは Confirmed もしくは Canceled になる？
○ デッドロックや無限ループに陥りたくない

View Slide

● TLA+ による TCC のモデリング
○ 一つ一つのコンポーネントごとに記述
○ どんな条件のときどんな動きをし得るかを整理
● 時相論理による検証
○ Confirmed と Canceled の両方は生じない
○ いつかは Confirmed / Canceled のいずれかになる

View Slide

分散システムと故障
Detect Failure in Pre-Runtime
4

View Slide

決済サービスが SPoF では？

View Slide

決済サービスの故障
● 先ほどのモデリングは故障しない仮定
○ 分散システムの難しさが十分見えない
○ 分散システムは故障を考慮してこその華
● Confirm または Cancel 命令後に故障
○ 故障後はいかなる命令も出さなくなる
○ 故障後はずっと故障していて、復旧はしない

View Slide

try
cancel
confirm

View Slide

try
cancel
confirm
crash

View Slide

Error!

View Slide

エラートレースの内容
1. Try 命令が出されている状態
2. 決済手段サーバ 1 -> 2 -> 3 の順で Try が到達し、
3 台とも Reserved 状態に
3. 決済サーバが Confirm 命令を出す
4. 直後に決済サーバが故障して沈黙
5. Confirm 命令は決済手段サーバに到達せず
6. 決済手段サーバが Reserved のままデッドロックに

View Slide

性質の良いシステム
性質の悪いシステム

View Slide

故障しない

View Slide

故障しない
Crash-Stop 故障 : 故障後、完全に沈黙

View Slide

故障しない
Crash-Recovery 故障 : 故障後、復活の可能性

View Slide

故障しない
Crash-Recovery 故障 : 故障後、復活の可能性
ビザンチン故障：サーバが嘘をつく可能性

View Slide

SPoF なら冗長化できないか？

View Slide

フェイルオーバによる冗長化
● 決済サービスの代替サーバを準備
○ 代替サーバは故障しないと仮定する
● 代替サーバの仕様
○ 決済サービス本体が故障に陥っていないか監視
○ 本体が正常なら何もしない
○ 故障した場合は代わりに Confirm / Cancel 命令

View Slide

ポイント管理
reserved
ギフト券管理
reserved
銀行口座管理
reserved
決済サービス
crash
代替サーバ

View Slide

ポイント管理
reserved
ギフト券管理
reserved
銀行口座管理
reserved
決済サービス
crash -> confirm
代替サーバ

View Slide

ポイント管理
confirmed
ギフト券管理
confirmed
銀行口座管理
confirmed
決済サービス
confirm
代替サーバ

View Slide

crash
cancel
confirm

View Slide

crash
cancel
confirm
全員 reserved

View Slide

crash
cancel
confirm
一人でも canceled

View Slide

Error!

View Slide

エラートレースの内容
1. Try 命令が出されている状態
2. 決済手段サーバ 1 -> 2 -> 3 の順で Try が到達し、3 台とも Reserved
状態に
3. 決済サーバが Confirm 命令を出す
4. 直後に決済サーバが故障して沈黙
5. Confirm 命令は決済手段サーバ 1 にのみ到達し、
決済手段サーバ 1 のみが Confirmed 状態に
6. 「全員が Reserved」ではないので代替サーバは動けず

View Slide

crash
cancel
confirm
全員 reserved

View Slide

crash
cancel
confirm
全員 reserved
もしくは最低一人
confirmed が存在

View Slide

No errors!

View Slide

● 分散システムは故障時の挙動が重要
○ 正常系よりもずっとパターンが豊富
○ そもそもそれが分散アルゴリズムの存在意義
● TLA+ による検査
○ 全探索により、仕様に合わない検出
○ 人間がぱっと思いつかない条件の漏れを指摘

View Slide

本日のまとめ
Conclusion
5

View Slide

本日のまとめ
● 分散システムの設計は難しい
○ すべての場合を網羅して考慮するのが困難
● 形式手法を用いて検証が可能
○ モデル検査によるシステム状態の探索
● 様々な実行パターンに関する検証
○ 長く複雑な実行パスであっても自動で検出できる

View Slide

Think Formally, Act Theoretically!
Presented by チェシャ猫 (@y_taka_23)

View Slide

形式手法による分散システムの検証 #builderscon / builderscon tokyo 2019

形式手法による分散システムの検証 #builderscon / builderscon tokyo 2019

y_taka_23

More Decks by y_taka_23

Other Decks in Technology

Featured

Transcript