質問の歴史
トランザクションアウトボックスパターンは、分散システムアーキテクチャに内在する「二重書き」の問題に対する重要な解決策として浮上しました。サービスがデータベースを更新し、同時にブローカーにメッセージを発行する場合、これら2つの操作は、スケーラビリティと可用性の制約のために、現代のマイクロサービスが避けるコストのかかる分散トランザクション(例:2PC)無しでは原子的であることができません。このパターンは、ビジネスデータの更新と同じローカルデータベーストランザクションの中でイベントをアウトボックステーブルに書き込み、それらをメッセージバスに発行するために別のリレー処理に依存します。
問題
根本的な検証の課題は、PostgreSQLフェイルオーバーやKafkaブローカーのリバランスなどのインフラストラクチャの障害中に正確に一度だけのセマンティクス(または、保証された冪等性をもつ少なくとも一度)を確保することです。厳格な自動テストが無ければ、レース条件によりイベントが複数回発行されたり、完全に失われたりする可能性があり、データの不整合や財務の不一致を引き起こします。また、下流の消費者が重複メッセージを正しく処理するかを検証するためには、手動テストでは一貫して再現できない複雑なネットワークの分断やクラッシュ回復シナリオをシミュレーションする必要があります。
解決策
TestContainersを基にしたフレームワークを実装し、プライマリ-レプリカのPostgreSQLクラスター、Kafkaブローカー、そしてテスト中のアプリケーションサービスをオーケストレーションします。重要な瞬間にデータベースとリレーサービスの間に正確なネットワーク分断を注入するためにToxiproxyを統合します。検証スイートは、ユニークな冪等性キーを持つイベントがアウトボックステーブルに書き込まれ、リレー処理(ポーリングまたはDebezium CDCベースのいずれか)がこれらのイベントをキーを保持して発行することを確認し、消費者がこれらのキーに基づいて重複を拒否するためにデデュープライオリティストアを維持することを要求します。全てのテストワーカーは、交差テストの汚染を防ぐために孤立したDocker ネームスペースで実行される必要があります。
-- 冪等性制約を持つアウトボックステーブルスキーマ CREATE TABLE outbox ( id UUID PRIMARY KEY DEFAULT gen_random_uuid(), aggregate_id UUID NOT NULL, event_type VARCHAR(255) NOT NULL, payload JSONB NOT NULL, idempotency_key VARCHAR(255) UNIQUE NOT NULL, created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP, processed BOOLEAN DEFAULT FALSE ); -- 消費者重複排除テーブル CREATE TABLE processed_messages ( idempotency_key VARCHAR(255) PRIMARY KEY, processed_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP );
// 消費者の冪等性ロジック public void handleEvent(Message event) { try { deduplicationRepository.insert(event.getIdempotencyKey()); businessService.processOrder(event.getPayload()); } catch (DuplicateKeyException e) { log.info("冪等性の重複を無視しました: {}", event.getIdempotencyKey()); } }
問題の説明
私たちのeコマースプラットフォームでは、PostgreSQLデータベースからApache Kafkaに注文イベントを発行するためにアウトボックスパターンを利用し、在庫と支払いサービスが同期することを確保していました。重要なブラックフライデーイベント中に、プライマリデータベースからリードレプリカへの突然のフェイルオーバーが発生し、ポーリングパブリッシャサービスが予期せず再起動し、すでに処理された15,000件の「OrderCreated」イベントが再度発行される結果となりました。このカスケードは、下流の消費者が適切な冪等性チェックを欠いていたため、顧客への重複請求や在庫の過剰販売を引き起こし、著しい財務上の損失と顧客の信頼の喪失をもたらしました。
解決策A:ステージングでの手動フェイルオーバーテスト
利点:追加の自動化ツールや複雑なスクリプトを必要とせず、プロダクションに似たインフラを利用でき、経験豊富なQAエンジニアが障害シナリオ中のシステム挙動を直感的に観察できます。欠点:データベースのフェイルオーバーは本質的に予測不可能で、テスト実行と正確にタイミングを合わせることが難しい; CI/CDパイプラインに統合できず、継続的な回帰テストができない; 再現性が欠け、人的調整なしに並行して実行できない。
解決策B:モックリポジトリを用いた単体テスト
利点:外部インフラ依存なしで実行時間が100ms未満と非常に速く、テストが完全に決定的でIDE環境内で簡単にデバッグができます。リアルな分散システムでトリガーするのが難しい理論的エッジケースをシミュレートすることができます。欠点:モックはリアルなPostgreSQLトランザクション隔離レベル、Kafka消費者グループのリバランスの挙動、またはTCPネットワークスタックのニュアンスをシミュレートすることには失敗します; 実際のJDBCドライバやカーネルレベルの実装でのレース条件を検出できません。
解決策C:TestContainersを用いたコンテナ化されたカオスエンジニアリング
利点:実際のPostgreSQLストリーミングレプリケーションとKafkaブローカーを使用してリアルな環境を構築し、ToxiproxyやPumbaを使用してネットワーク分断とレイテンシの精密注入が可能です。完全に再現可能で、CI/CDパイプラインに統合し、並行実行をサポートします。欠点:テストスイートごとに5-10分の初期セットアップ時間を必要とし、より高い計算リソースとメモリアロケーションを要求します; ポート枯渇や残存コンテナを防ぐために慎重なクリーンアップロジックが必要です。
選ばれた解決策
私たちは解決策Cを採用しました。なぜなら、実際のインフラの相互作用だけが、プライマリノードでトランザクションが正常にコミットされたが、ネットワーク分断中に確認が失われて、パブリッシャが失敗を仮定し再試行する特定のレース条件を露出させるためです。私たちは、重要なトランザクションフェーズ中にネットワークカオスをシミュレートするためにPumbaを用いてDocker ComposeをオーケストレーションするカスタムJUnit 5拡張を実装しました。
結果
自動テストスイートはすぐに、私たちのアウトボックステーブルがidempotency_key列にユニーク制約を欠いていたことを検出し、パブリッシャが再試行中に重複行を作成できるようにしました。制約を追加し、消費者内でデデュープレイヤーを実装した後、テストは現在すべてのCIビルドで実行され、8分以内にフィードバックを提供し、メッセージの重複に関連する本番インシデントを95%削減しました。これは、次四半期における$50Kの潜在的な重複請求を防ぎました。
アウトボックスパターンはサガパターンと根本的にどのように異なり、なぜ二相コミット(2PC)がマイクロサービスに適さないのか?
アウトボックスパターンは、単一のサービス境界内でローカルデータベースの状態変更とイベントの発行間の原子性を保証するのに対し、サガパターンは補償アクションを使用して複数のサービスにわたる長期間の分散トランザクションを調整します。2PCはマイクロサービスには不適であるのは、サービス境界を越えてリソースをロックするために中央コーディネーターが必要であり、緊密な時間的結合と可用性リスクが生じるためです—もし一つの参加サービスが無応答になると、コーディネーターはタイムアウトまで他のすべての参加者をブロックし、マイクロサービスの自立原則に違反します。
ポーリングパブリッシャとDebeziumのようなログベースの変更データキャプチャ(CDC)をオーバーレイする際の重要なトレードオフは何ですか?
ポーリングパブリッシャは、間隔でアウトボックステーブルをクエリし、追加のインフラを必要とせずに実装が簡単ですが、1〜5秒のレイテンシを導入し、ポーリング頻度が増すにつれてデータベースへのクエリ負荷が増加します。Debeziumや同様のCDCソリューションは、最小限のデータベースインパクトで、WAL(Write-Ahead Log)を読み取ることでほぼリアルタイムのイベントストリーミングを提供しますが、特定のデータベース構成(論理レプリケーションスロットなど)を必要とし、消費前にWALセグメントが切り詰められた場合のデータ損失のリスクがあります。
ネットワーク分断の修復後に古いアプリケーションインスタンス(「ゾンビインスタンス」」)がスタレアウトボックスイベントを発行するのを防ぐにはどうすればよいですか?
ゾンビインスタンスは、ネットワーク分断が修復された後、新しいプライマリインスタンスが選出され、古いインスタンスがその古いバックログを処理し続ける場合に発生します。これを防ぐために、ZooKeeperやetcdに保存されたフェンシングトークンやエポック番号を実装します; リレー処理は発行前に自分のエポックが最新であることを確認する必要があります。あるいは、Kafkaのトランザクショナルプロデューサーを使用して、ユニークなtransactional.idを持ち、新しいインスタンスが起動すると古いプロデューサーが自動的にフェンスされるようにし、現在のアクティブインスタンスだけがトピックにイベントを発行できるようにします。