• JSConf JPに参加してきました。
• 1日目の参加メモです

jsconf.jp

タイムテーブル

The State of JavaScript

• Raphaël Benitte
• Sacha Greif

JavaScriptの歴史

• 1995年JavaScript誕生
• 2006年jQuery誕生

stateofjs.com

stateofcss.com

ES2019

• Array.flat()
• Object.formEntries()
• Optional Catch Binding

フレームワーク

• React
  • 使ってる人多いしそのほとんどがまた使いたいと言ってる
• Vue
  • Reactよりは少ないけどのびてる
• Svelte
  • 使ってる人は少ないけど学んでみたいという人は多い
• Gatsby
  • 横ばい
• Next.js
  • のびてる
• ホスティングサービスも充実してきている
  • Netlify
  • Now
• TypeScriptは60%くらいの人が使っている

WebAuthnで実現する安全・快適なログイン

• Eiji Kitamuraさん

パスワードの問題点

• Weak
• Forgotten
• Reused
• Stolen

パスワードどうやって盗まれるか

• フィッシング
• キーロガー
• Data breach

ハックされる確率

• キーロガーだと通常の40倍
• フィッシングだと500倍
  • パスワード以外の情報もとられているケースが多いから
• 被害の80%がフィッシング

パスワードが盗まれないようにする対策

• 2段階認証
• ワンタイムパスワード
  • SMS
  • フィッシングには弱い
  • 短時間有効なパスワードでもその場で送られたら意味がない
• そこでWebAuthn

WebAuthn

• これまでよりも強力なブラウザの認証
  • EdgeもFFも対応
  • Safariは部分的（でも時期に対応するだろう）
• ハードウェアの鍵を使う(Authenticator)
• 公開鍵暗号を活用した方式
• Authenticatorにキーペアを作らせる
  • 公開鍵をサービスに送ってRegistrationする
• 秘密鍵で署名をしてそれをサービスに送る
  • サービスは公開鍵で検証
  • 同じハードウェアを持っている人であると証明できる
• 鍵はWebサイトのオリジンと紐付いて生成される
  • フィッシングに強い
  • たとえ盗んでも成功しない

二要素認証

• ハードウェアをもっているという認証 + 記憶による認証
  • 多要素と多段階は違う
  • 記憶、所持、生体といった要素を複数組み合わせるのが多要素認証
• セキュリティキー
  • PCに接続するとブラウザにポップアップ出る
  • ジェスチャーをすると署名を生成して送ってくれる
    • ジェスチャーすることが大事
  • 名前をつけて登録する
    • キーをなくしてしまったら消せるように
  • SMS Codeも強いけどセキュリティキーの方が強固
• 署名をサーバに送って登録されているものと同一であることを確認する
  • このサーバをFIDOサーバと呼ぶ

Authenticator

Roaming Authenticator

• Authenticatorの1つにセキュリティキーがある
  • U2FかFIDO2に対応しているAuthenticatorであれば間違いない
• R持ち運びできるからoaming Authenticatorと呼ばれる
  • 指紋認証できると勘違いされることが多い(そういうのもあるけど)
  • タッチしてジェスチャーするだけ

Platform Authenticator

• デバイスに埋まってるから専用のものを買わせる必要がない
• 指紋認証などで使うことも多いけど端末のロックNoなども同等の扱い
• Local User Verification(LUV)
  • ローカルで生体と所持の二要素認証する
  • スマホで生体認証とかするとこれが実現できる
  • 生体情報はデバイスにしかないから安心(だからLocal User Verification)
    • つまり新しいデバイスに替えたら再登録が必要

再認証(Re-authentication)

• お金を払う手前とかで再度認証させるやつとか
  • ログインしてる状態でもう一度認証を求めるやつ
• Pixel4の顔認証はまだ使えないけどChrome79から使える

参考

• https:/goo.gle/FIDO
• WebAuthnのコードラボもある

覚醒するアクセシビリティ

• Lena Moritaさん

アクセシビリティ

• 蔑ろにされることが多い
  • 不便と思う人を低く見積もりすぎ
  • 誰でも使えるようになることのよさを知らない
• 障害者/健常者という区別がよくない
  • 環境や状況によって不便に感じることは誰でも起こりうる

Webにおけるアクセシビリティ

• Webは世界中どこからでもアクセスできる
  • ブラウザの拡張などでカスタマイズできる

広義のアクセシビリティ

• UIのアクセシビリティ
• APIのアクセシビリティ

Wrap-up: High Performance JavaScript

• Sho Miyamotoさん

intro

Layers

• JavaScriptのレイヤー
  • Product
  • Runtime
    • Node
    • ブラウザ
    • Electron
  • Engine
    • V8
    • SpiderMonkey
• JavaScriptの実装
  • サーバサイド
  • クライアントサイド

RuntimeとEngine

• RuntimeとEngineどう違うか
  • Engine
    • parser/compile/execute
    • JIT/VM
  • Runtime
    • Engineが埋め込まれている
    • プラットフォームそれぞれのGlobalObjectを持っている
    • EventLoopをオーバーライドしてる

Optimization

• 最適化
  • Product-level
    • memo化
    • キャッシュ
  • Runtime-level
    • 非同期
  • Engine-level
    • インラインキャッシュ
• 効果
  • Product > Runtime > Engine
• Micro Optimizationをするな
  • 自分でやらなくてもエンジンがやってくれる

Optimization

Server Side runtime

• Node.js
  • シングルスレッド
  • 非同期ノンブロッキング
  • V8が入ってる
• イベントループ
  • 処理に時間のかかる動機処理があるとループをとめてしまう
  • 非同期でできるものはそうした方がよい
• StreamAPI
  • Fileの読み出しとかを効率的に行える
  • Streamでないと情報を全てメモリにおいてそれを扱ってとなってしまって効率悪い

Client Side Runtime

• ブラウザでJSが動くまで
  • fetch -> load -> parse -> compile -> execute
• できるだけCodeCachingを使う
  • 次使う時にcompile済みになってるようにする
  • 頻繁に使われるものはServiceWorkerでcacheするといい
• ESModules
  • ブラウザ上でimport/export
  • Preloading scripts
    • 実行はしないけどparseとcompileをしておいてくれる
• idling
  • Idle Until Urgent
  • requestIdleCallbackを使うとCPUとかが暇な時に実行してくれる

Engine

• V8
  • たくさん使われた処理ははやくとれるようにとか最適化してくれる
• Inline Cache
  • Objectにどんな情報があるかを予め用意しておく？
  • ヒットしたらはやい

How to Boost Your Code with WebAssembly

• FUJI Goroさん

WebAssemblyとは

• ブラウザに搭載するバイトコードとその処理系仕様
• JVMに近いけどランタイムはない

WebAssembly前夜

• EmscriptenによってC/C++をJSにコンパイルすることができていた(2012)
  • ただし動作が非常に遅い
• WebAssemblyに仕様議論開始(2015)
• ブラウザにMVPレベルのサポート完了(2017)

WebAssemblyの価値

• ブラウザにおいてはJSとできることは同じ
• JSよりも速い
  • それが圧倒的価値
  • JSだと遅くて現実的でないことが可能になる
• Cよりは数倍遅い
  • 安全性のために未定義動作(UB)をなくしてるから
  • この安全性が大きな利点

WebAssemblyのサポート状況

• IE11以外は使える
  • 9割くらいのシェアのブラウザで使える

WebAssemblyの事例

• eBayの事例
  • バーコードスキャナ

tech.ebayinc.com

言語ごとの速度イメージ

• 1倍: C, C++, Rust
• 3倍: Java, C#, Go, Swift
• 5倍: JS(V8), Dart
• 50倍: Ruby, Python, Perl, PHP
• WebAssembly
  • WasmをV8で動かすと5倍の中では速い方

Streams APIをちゃんと理解する

• 加藤 健志さん

StreamAPI

• Readable Stream
• Transform Stream
• Writable Stream

Readable Stream

• 読み込み可能なストリーム
• データを分割して少しずつ読み込むことができる
• fetchAPIのレスポンスのbodyは実はReadableStream

Writable Stream

• 書込み可能なストリーム
• pipeTo()を使うとReadableStreemのデータをそのままWritableStremに書き込める
• 書き込み時にPromiseを返すと解決するまで待つので順序を保証できる
• 分割されたデータを1つずつ順番に書き込むことができる

Transform Stream

• 変換ストリーム
• WritableStreamに書き込まれたデータをTransformStreamで変換してReadableStreamで読み込む
• ReadableStreamからpipeThrough()でTransfirmStreamに渡してpipeTo()でWritableStreamに書き込める

バックプレッシャー

• キューに空きがなくなったら通知して止めてもらう
• Underlying Source
  • Push Source
    • 自発的にenqueueする
  • Pull Source
    • リクエストに応じてenqueueする
• QueuingStrategy
  • highWaterMark
    • キャパシティを設定する
  • size(chunk)
    • 何をもってキューのサイズを決めるか

Streamsの今後

• 5Gが来る
  • これまでボトルネックとされていたことが改善される

  • 大容量のファイルを配信できるようになる github.com

    - クライアントがボトルネックになる
        - Streamが役立つ！
    

Live Demo

• PWA Night vol.10 ～PWA × 技術～に参加してきました。

pwanight.connpass.com

とある個人開発PWAのSEO奮戦記

• 大岡由佳さん(@oukayuka)

Mangarel

• 個人でPWAなアプリを作った
  • 技術書典で出した本のサンプルがベース
  • https://mangarel.com/
• Googleで検索しても3件しかひっかからない
  • 1万ページ以上存在してるのに
  • 最近のクローラーはJS解釈してくれるんじゃなかったのか・・
• Problem
  • ページがインデックスされない
  • タイトルや詳細が個別に表示されない
  • コンテンツがレンダリングされない

ページがインデックスされない

• サイトマップを作って送った
• 正常に処理されましたと返ってきたけど
  • 認識はされるけどExclusionに入ってる
  • 内部リンクされてないのが原因？
• ページを増やして内部リンクを増やした
  • 少しずつインデックスされるページが増えてきた！

タイトルや詳細が個別に表示されない

• React HelmetでHTMLヘッダを上書き
  • ブラウザからは書き換わってるけどGoogle上では変わってない
• CloudFunctionsで動的にヘッダを書き換えた
  • ボットからのアクセスの時だけ発動するように

コンテンツがレンダリングされない

• SearchConsoleで試してみたらFirestoreからデータをとってくるはずがとってこれてない
  • ページによっては運がよければ表示される
  • レンダリングに時間がかかると諦めてるっぽい
• Lighthouseで計測したらパフォーマンス50点台
• TreeShakingした
  • ビルド時に不要なコードを削除
• CodeSplitting
  • 初回のレンダリング時には必要なJSだけロードしそれ以外は遅延ロード
• Lighthouse60点台
• 無限スクロール
  • クローラーは無限スクロールを認識してくれない
  • こういうふうに実装すれば認識してやるとデモサイトが公開されている
  • https://scrollsample.appspot.com/items

PWA×クラウドゲーミング

• おりばーさん@Black Inc.(@oliver_diary)

クラウドゲーミング

• ユーザからの操作を受け取ってクラウド上で演算して映像を返す
• PlayStation Now
• Google Stadia

OOParts

• 開発してるクラウドゲーミング
• ゲームをWebブラウザでアクセスするときの残念なところ
  • アドレスバーが邪魔
  • 余白がもったいない
  • アクセスするまでの導線が長い
  • => PWA化で解決！
• 他にも
  • 起動時の初期表示が速い
  • アプリと違って審査いらない
• PWAとクラウドゲーミングの相性抜群

コードサイズの大きなプログラムのロード時間：WebAssemblyの場合

• @chikoskiさん

WebAssembly

• バイナリ
• 他の言語で書いてコンパイルして作る
  • C++/Rust/AssemblyScript/go/kotlin/.net
• ブラウザで動く2つ目のプログラミング言語

WebAssemblyのいいところ

• JSあるのになぜWebAssembly?
  • エコシステム
    • 他の言語の資産を使える
  • パフォーマンス
    • 速いけどそれだけじゃなくてブレが少なくて安定感が高い
• 音声ファイルの扱い
  • ファイルサイズでかいので圧縮してmp3にして扱いたいとか
  • でもJSだけではできないのでWebAssemblyが役立つ

WebAssemblyの注意点

• コンパイルするとjsとwasmが出力される
  • ファイルサイズがでかい
  • キャッシュを活用する
  • ネイティブのコードはブラウザにキャッシュされる
• キャッシュにのったコードをいかに使い続けるか
  • 不必要なコードの変更をしない
    • ドメインとファイルを対応づけて保存されている
    • コンテンツが変わったら破棄されてしまう
  • URLを変更しない
    • クエリも変わらないように
  • ステータスコードを正しく返す
    • 200が返ると新しいコンテンツが来たと認識する
    • 変わってなければ304を返す
  • wasmのファイルを小さくしすぎない
    • 小さすぎるとキャッシュが破棄される(150kb以下くらい)
  • 最適化オプションをつける
  • システムライブラリをシェアする
  • application/wasmをつける
    • 全部のデータをダウンロードする前にある程度溜まったらコンパイルするという動きをしてくれる

うわさのJAMStackでPWAをさわってみた

• のまどまんさん

JAMStack

• 動的なデータコンテンツを取り扱う静的サイト
• 事前に静的ページを生成しておく

JAMStack作ってみた

• Gatsby
• Netlify
• Netlify CMS

PWA化してみた

• GatsbyにPWAのプラグインがある
• キャッシュ使ったらパフォーマンス上がった
  • コンテンツがユーザ単位などで頻繁に変わる場合はキャッシュが活かしきれないかも

Monaca × PWA × 3D

• VMT-Yamashitaさん

Monaca

• ハイブリット開発環境
• PWAのテンプレートがある

• Android Dev Summit 2019 Extended Tokyo #gdgtokyoに参加してきました。

gdg-tokyo.connpass.com

• 普段Anrdoidの開発をしているわけではありませんが、新しい機能を知ることができて便利な機能がたくさん登場してきていることを実感できました。

【Session1】Conference Overview & Keynote Session

• mhidakaさん

概要

• 10/23-24
• 700人
• 60セッション

キーワード

• Modern Development
  • 素早く簡単に
• Modern distribution channel
  • PlayStoreの強化
• Modern OS
  • OSのリリース戦略

Keynote

• Androidはユーザと開発者をつなぐプラットフォーム

Modern Development

• Innovation
  • 利用シーンの拡大
• Updatability
  • 柔軟な機能アップデート
  • Android10からAPKだけでなくAPEXに対応
  • APKだとなかなかアップデートしてくれない
  • APEXだと動的に自動でアップデート(ユーザの同意が必要)
• Secirity & Privacy
  • Popup Block
    • 運転中にスマホ操作を防ぐとか
• Developer Experience
  • PlayStoreのTop1000のうち60%がKotlin
  • 開発者の53%がKotlinを使用(母数は何？)

Modern OS

• Android11からα,βといった提供になる
  • 今まではstable1,2,finalみたいな感じだった
• targetSDKは1つ前までしか認めなくなる
  • どんどん上げていかないといけなくなる

【Session2】Android Studio 4.0 最新アップデート

• Daichi Furiyaさん

Desugaring in D8 & R8

• 新たにいろいろなパッケージ、クラスがサポートされた

Multi Preview

• さまざまな解像度のデバイスでプレビューできる
• 各国の言語設定でもプレビューできる

Build Speed

• ビルドのどこにどれくらい時間かかってるか可視化できるようになった

Google Maps Emulator Integration

• Google Mapsのナビゲーションをシミュレートできるようになたｔ

Proguard Editing

• コード補完の精度向上
  • クラス名とかきかなかったけど補完されるようになった

Live Layout Inspector

• エミュレータで動作しているものを3Dで要素の階層とか見られる
  • 要素をクリックするとプロパティが表示されたり
• Experimentalなので設定をonにしないと使えない

Emulator embedded inside the IDE

• コード書いてる横でエミュレータ表示できる

【Session3】かんたんべんりなMotionEditorの使い方講座

• mochicoさん

Motion Editor

• Motion Layoutを使ってアニメーション
• Motion Layout
  • ConstraintLaayoutのサブクラス
  • motionをXMLで定義できる

Modern Editorの使い方

• 要件
  • Android Studio4.0+
  • ConstraintLaayout2.0.0beta3+
• エディター上でアニメーションのstartとendを設定できる
  • 動かすとアニメーションしてくれる
• keyframesでもっといろいろ設定できる

【Session4】What's new in CameraX

• Takasyさん

Camera2 API

• 高度な機能の実装ができる
• でも細かなことができるせいで使いづらい
• 様々なデバイスで動くものを作るのが大変

CameraX 3

• Camera2をラップしたもの
• 新機能を追加するときデバイス固有のものを使わないようにしてる
• 2億台のactiveなデバイスでテストしてるから様々な機種で動く

CameraXのユースケース

• プレビュー
• 画像解析
• 画像キャプチャ
• CameraViewが簡単に使えて便利

新しいAPI

• Tap to focus
• Pinch to zoom
• Zoom Slider

【Session5】Jetpack Composeの解説です！

• Yuki Anzaiさん

Jetpack Compose

• AndroidのUIを作るためのモダンなツールキット
• 既存のコードと混ぜて使える(予定)

Jetpack Composeはやりたいこと

• シンプルにしたい
  • UIを作るのにたくさんコード書かないといけない場面がある
  • フレームワークからはさわれるけど3rdパーティからはさわれないとかいう場面がある
  • Material + AnimationなUIを作りたい
    • AndroidはFlutterなんかと比べてMaterialなコンポーネントが揃ってない
• Single Source of Truethにしたい
  • CheckBoxの状態とModekの状態どっちが正しいの？ってなっている
• ReactiveなUIにしたい
  • Modelで状態を管理し変更されたら再描画
• UIパーツの再利用性高めたい
  • 従来はカスタムViewあるけど作るの大変
  • 小さなcomponentを組み合わせてUIを作っていく

Jetpack Composeの今後

• まだ開発中
  • 本番で使うな危険
• 来年betaが出る(来年のいつだかは不明)

【Session6】Jetpack Roomの最新情報が届きます！

• Yuichi Arakiさん

Jetpack Room

• N対Nにも対応するようになった
• デフォルト値設定できるようになった
• Incremental Build
  • Buildがはやくなる
• Expand Projection
  • select文の結果で一部のカラムしか必要ない時に対応できるようになった
  • 空気を呼んで全カラム返さなくなる

• FRONTEND CONFERENCE 2019に参加してきました。

2019.kfug.jp

タイムテーブル

11:00〜

11:45〜

13:00〜

13:45〜

14:30〜

15:15〜

16:00〜

モダンJavaScript再入門

• 尾上 洋介さん

なぜJS

• 本格的なSPAが作れる
• モダンなツールやフレームワークを学ぶのにJSの知識が必要なものが多い
• ツールが移り変わっても通用する技術

基本的なオブジェクト

• 数値/文字列/配列/オブジェクト

変数の宣言

• const/let
  • 基本はconst
  • 再代入必要な時だけlet
  • varは使わない

アロー関数

• 関数は第一級オブジェクト
  • 変数に入れたり関数へ渡したりできる

非同期処理

• asyncをつけた関数内ではawaitが使える
• awaitつけるとPromiseが解決されるまで待ってくれる

レガシーなフロントエンドをリプレイスする

• 小島大基さん

レガシーとは

• 古い
• 代替すべき新しいシステムがある
• フロントエンドにおいて
  • 新しい技術がすぐに入ってくる

アーキテクチャ

• UIとロジックのディレクトリ(ファイル)を分ける
  • UIライブラリが変わっても使い回せる状態に
• コンポーネントはなるべくステートレスに

テスト

• ライブラリ
  • Jest
  • Mocha + chai
• コンポーネントのテスト
  • スナップショットテスト

苦労したところ

• ライブラリのバージョン上げたらテストが通らなくなった
  • BootstrapVue 1.5 -> 2
• class style apiが非推奨になってしまった

Nuxt.js + Firebaseでの開発と高速化に挑んだ話

• カンボ@沖縄(鈴木孝之)さん

なぜFirebase

• RDSも使ってる
  • FirebaseはChatの部分だけ
• 使っているサービス
  • Firebase Authentication
  • Cloud Firestore
  • CloudFunction

チャット機能をFirebaseで

• 候補
  • WebSocket
  • ロングポーリング
  • Firebase
    • Firebaseに決定
    • 導入コスト低くてメンテコストも低い
    • 採用のウリになりそう
• 導入前の懸念
  • DBの無料枠1GB
  • 検索条件に制限

Firebase導入してどうだったか

• Firestoreの構成
  • usersコレクション
  • roomsコレクション
  • usersのサブコレクションにrooms
    • 深い層への検索がやりづらそうだったから
• CloudFunctionの初期起動遅い
  • 一定時間アクセスがないとスリープモードになる

ビルド高速化

• Webpack Bundle Analyzer
  • webpackの処理で遅いloaderやpluginが分かる
  • bundleしたファイルがどのライブラリがどれくらい占めてるか分かる
• バンドルサイズ
  • Chart.jsが重い
  • memoment.jsが重い
    • 不要なlocaleも入ってて重い
  • lodashが重い
    • ほとんど使ってないから消そうとした
    • 関数単位でimportするやり方があったからそれにした

AWSを活用したフロントエンド開発

• 前田 圭介さん

AWS

• 使ってるサービス
  • S3
    • ストレージ
  • Cognito
    • 認証サービス
• 今後よさそう
  • AppSync
    • GraphQLでやりとりする
    • リアルタイムデータアクセス
    • オフラインのデータ同期

導入編

• AWS Amplify
  • CognitoやAppSyncやS3の設定をやってくれるフレームワーク
• amplify initで雛形生成できる
  • Auth.signin()でCognito Signin
  • GraphQLのqueryを生成したりもできる
• amplify pushでデプロイできる

まとめ

• Amplifyで簡単に認証からAPI作成・実行Storage利用ができる

私たちはなぜ SPA で開発するのか

• 花谷拓磨(@potato4d)さん

なぜSPAを選定するのか

• User Experiences(UX)
  • 要件を満たすための選ぶ場面
• Developer Experiences(DX)
  • 開発効率を上げて生産性を上げる
  • エンジニアを確保するために新しい技術を使う

UX要件の強い事例

• InstagramがPWA/SPAで提供している
  • 新興国での利用など考慮してWebで提供
  • twitterも同じようなことしてる
• ページ遷移にアニメーションをつけたりリッチにしたいけど各ページでURLは持ちたい

DX要件の強い事例

• コーポレートサイトをSPAで作成
  • コンテンツのアップデートを簡単にやりたいからSPAを選択

SPAの技術をどこまで使うか

• SPAに付随してくる技術はすべて必要？
  • たとえばReduxとか
• 要件ごとに検討していく必要がある
  • 常にバランスが大事

間違った技術選定

• 想定する最大のアーキテクチャ規模が重要
• 故意か過失かを問わずエゴのための選定をする人がいる
  • 判断できないときはセカンドオピニオンに頼る
  • 技術専門の技術顧問

フロントエンドエンジニアのためのセキュリティ対策

• 平野 昌士さん

Webのセキュリティ動向

• IPAが出している脆弱性届出受付数
  • Webがソフトウェアの倍以上
  • XSSが半分を占めている
• 脆弱性の多くはWebサイトでXSSが多い

脆弱性(XSS)の仕組みと対策

XSS

被害例

• コンテンツ改竄
• セッションハイジャック
• 個人情報漏洩

XSSの種類

• Reflected XSS(反射型)
  • フィッシングサイト的なの用意してアクセスしたらスクリプト実行
• Stored XSS(蓄積型)
  • スクリプトをPOSTする
• DOM Based XSS

主な対策

• 特殊文字のエスケープ
  • & -> &とか
• 危険な文字列の削除
  • javascript:alert()とか入ってたら消すとか
  • 自前でやれなくもないけど大変
    • OSSなどを活用しましょう
    • 例えばReactはデフォルトでいろいろやってくれる
    • DOMPurify
• ブラウザの機能を使う
  • Content Security Policy
    • HTTPレスポンスヘッダーに入れる
    • <meta>でも指定できる
  • Content-Security-Policy-Report-Only
    • レポートをとれるから本番適用前に確認すると良い
  • nonce
    • metaタグで設定したnonce値と同じ値が設定されたscriptタグしか実行できないようにする
    • nonceはリクエストの都度変える必要があり推測困難なランダムな値にする
  • Trusted Types
    • URLの文字列を安全な型に検証して扱う
    • まだexperimentalな機能
      • chromeはflag立てれば動く
      • Polyfillもある

セキュリティへの意識

• 脆弱性とは悪用できるバグ by 徳丸先生
• セキュリティに関しても
  • 要件定義でfixする
  • セキュリティテストする
• どうやってチェックする?
  • IPAでチェックリスト公開してる
    • https://www.ipa.go.jp/security/vuln/websecurity.html
  • OWASP ZAP
  • Vlus
  • Vaddy

• ServerlessDays Tokyo 2019に参加してきました。

tokyo.serverlessdays.io

• 事例紹介のセッションではかなり踏み込んだ設計の話をしてくれることが多く参考になることが多かったです！

10x Serverless Product Development for a Startup with Microsoft Azure

• Yutaka Tachibana(EBILAB)

スタートアップ × Microsoft Azure

EBILAB

• ゑびや
  • 伊勢神宮の近くにある飲食店の老舗
• EBILAB
  • ゑびやをテクノロジーで最適化する
• 勘と経験からテクノロジーとデータへ

開発しているもの

• BIツール
  • どれくらいの人が来客するか予測
• 画像解析
  • 入店客の人数や属性をカウント
  • 通行人数もカウント

Microsoft Azureのサーバーレスコンポーネント

• Functionse
  • DBにデータを入れるところまで
  • LogicApp
• PwoerBI
  • エクセルのデータをもとに表示することもできる
  • DBとかAPIから取得したJSON
• WebApp
  • Nuxt
  • Laravelで認証
  • PwoerBIで作ったレポートをiframeで呼び出し

サーバーレスで作ったメリット

• 開発運用コストが従来のモノリシックより少ない
• 責務分離が自然と行われる
• 将来的にスケールしても問題ないと楽観視できる
• 不要になったパーツを捨てやすい
• 分業協業しやすい

Keynote

• Keisuke Nishitani (AWS)

Event Driven

• LambdaはサーバーレスよりもEvent Drivenをキーワードにしたサービスだった
• 状態の変化をイベントとして捉えて処理を実行する
• Event Driven出ない場合処理が増えると呼び出し元にも手を入れないといけない
• Event Drivenならサブスクライブを追加するだけ
  • 疎結合
  • 分離して開発できる

Lambda

• 2014年に発表
• 当初はEvent Drivenや関数実行がキーワードだった
• 2015年にAPI Gatewayが出てきてサーバーレスという言われ方をし始めた

Lambdaのネットワーキング

• Lambdaの実行環境ははサービスチームのVPCで動いている
• ユーザのVPCにElastic network interfaceを通じて接続できる
• スケールするとサブネット内のIPアドレスを使っていく
• ENIの作成に10~30秒時間がかかる

AWS Hyperplane

• internal network load balancing service
• 内部的に動いてるサービス
• ユーザは使えない

VPC環境の改善

• AWS HyperplaneをベースにしたVPC to VPC NATを使う
  • コールドスタートレイテンシの改善
  • ネットワークインターフェースの共有
  • スケーリング
• LambdaからRDSへの接続
  • VPCのコールドスタート問題が解決する

モダンアプリケーション

• 特徴
  • 市場投入を加速
  • イノベーションの向上
  • 信頼性の向上
  • コスト削減
• アプリケーション実行環境
  • EC2
  • ECS/EKS/Fargate
  • Lambda
• マイクロサービス
  • サービスごとにデータを永続化するので疎結合
• APIはマイクロサービスの玄関
  • API Gateway
• メッセージングを活用してコードからステートを取り除く
• クラウドネイティブなアーキテクチャ
  • 小さいピースで構成され疎結合

Keynote: Infinite Scaling, Finite Failures: Serverless Resiliency Patterns and Lessons Learned

• Katy Shimizu (Microsoft)

サーバーレス

• サーバの抽象化
• イベント駆動型
• 従量制課金

すべての依存は障害になりうる

• レースコンディション
• ネットワーク障害
• レート制限
• ハードウェア障害
• => 再試行のデザインパターン

グローバル展開のコネクティッドカーを支える大規模サーバーレスシステム事例

• Yuya Urayama (TOYOTA)
• Takanori Suzuki (Acroquest Technology)
• Eiichiro Uchiumi (AWS)

はじめての大規模アジャイル

• トヨタでアジャイルチームを作ってサーバーレスアーキテクチャで開発
• AWSの人にサポートに入ってもらった

トヨタのコネクティッドサービス

• 車載デバイスがネットワークに繋がる
• 車のヘルスチェックがスマホでわかる
• 盗難の検知追跡エンジンの再始動停止

サーバーレス

• 日中と夜でアクセス数の差が顕著
  • 通勤や業務で車に乗る人が多い
  • サーバーレスなら不必要にリソースを確保しなくていい
• ライフサイクルが長い
  • 買い換えるまで7〜8年
• コネクティッドカー国ごとにまだ法規制が違う
  • 国ごとにプラットフォームを確保
  • サーバーレスならシェアの大きい地域と小さい地域に合わたサイズにできる
• データは蓄積せずにリアルタイムで流している

アーキテクチャ

指針

• 十分にシンプルな粒度
• ライフサイクルが異なるコンポーネントを自立
• プロセスをステートレスに

アーキテクチャスタイル

• Nティアー
  • 役割に応じていくつかの層に分割
  • Gateway
  • Logic
  • Data
• ウェブキュー/イベントドリブン
  • Webプロセス
  • インテグレーションコンポーネント
  • Workerプロセス
• マイクロサービス
  • ライフサイクルを共有できる単位のまとまり
• 車載デバイスと地域サービスをつなぐプラットフォーム

AWSのサービス

• リアクティブスケーリング
  • LambdaとAPI Gateway
  • クラウド側に全部オフロードできるリクエストに応じてスケール
• プロアクティブスケーリング
  • ALBとFargate
  • ユーザ側で閾値を決めてスケールをコントロールできる
• データは全部DynamoDB
  • プロアクティブスケーリングならプロビジョンキャパシティにする

開発の課題

クラウドで動かさないといけないのでテストしづらい

• CI/CDでテスト実行環境整備
• サービス単体テスト
  • LocalStack
  • プロキシで向き先無理やり変えてテストしてる
• サービス間連携テスト
  • Karate

全体のトレーシングが難しい

• ログはCloudWatchに
• 想定以上にコストが高くなるから注意
• X-Rayで分散トレーシング

自動スケール便利だが問題になるケースも

• Lambda失敗して再試行するようにしてた
  • 再処理のLambdaが数千実行されてしまった
  • 同時実行数の上限はアカウント単位
  • 他のLambdaの起動を妨げる危険性
  • 変に上限までいかないように関数ごとに設定する

All You Need Is JavaScript

• Jensen Hussey / Cloudflare

Cloudflare

• 世界中にデータセンターがある
• ユーザに近いデータセンターでJavaScriptを実行することができる

なぜJavaScript

• 一番使われている言語だから
• サーバーサイド
  • Node
• モバイル
  • ReactNative
• ネイティブ
  • Electron
• サーバーレス
  • Cloudflare Workers

Cloudflare Workers

• ServiceWorkerをベースに考えられたもの
• v8で実行される
• WebAssemblyにも対応している

Zero Scale Abstraction in Knative Serving

• Tsubasa Nagasawa (CyberAgent)

Knative

• Build
  • 卒業してなくなった
  • Tektonになった
• Serving
• Eventing

Knative Serving

• HTTPリクエスト駆動でスケールする
• 素のk8sを使うとyamlをたくさん書かないといけない
  • Knative使うと簡単になる
• Kanative Serviceを書いていく

事例

• なぜKnative？
  • k8sを抽象化できるから
    • ネットワークのレイヤーも含めて抽象化
  • yaml地獄から脱却
  • ゼロスケールできること
    • パフォーマンス < 可用性 のサービス
  • Dual Stack
    • knativeとk8sのリソース併用
  • Portability
    • k8sのクラスタがあればどこでもいい
• イベントを受けて処理をするところだけzero scalingを使う
• Eventingはまだ未成熟だから採用見送り

空調設備向けIoTシステムにおけるクラウドランニングコスト

• 野原 健太 / ダイキン工業株式会社

ダイキン工業とIoT

• 空調機を売っている
• 全世界の空調機をインターネットにつなぐ
• 空猟奇の運転データをクラウドに集める

システム規模

• 各機器から毎分データ発生
  • 膨大なアクセス
  • 高い処理性能とスケーラビリティ
  • 無限に発生するデータを扱えるストレージ
• スモールスタート
  • 徐々に接続する機器を増やしていく
• => サーバーレスでNoSQLで

サーバーレス開発

• サーバーレス開発はクラウドランニングコストとの戦い
  • 目標のランニングコスト以内で動くシステムを作れるかどうか
  • IoTのように負荷が高いシステムだと従量課金でもコストは嵩む
  • サービスごとの課金体系を把握し設計する

システム構成

• 空調機 - kinesis - lambda - dynamo - lambda - api gateway - アプリ

空調機 -> AWS

• 変化のあった項目を毎分送るようにした

アプリ -> AWS

• 一度のコールで同時に複数機器のデータを取得
• 毎分データを取り出す

ランニングコスト

• コストのかかる部分
  • Dynamoへの書き込みでのWCUコスト
  • データ取得時のLambdaの処理時間
• DynamoDBのデータ構造が肝になる

DynamoDBのデータ構造

• 数十kmの項目があると一部だけ更新する場合もWCUを消費してしまう
• 運転データごとにアイテムをわける
  • 1機器Nアイテムとしてデータを持つ
• Lambdaからアクセス時に機器数×N個分アクセスしないといけない
  • Partition Keyを建物IDとして建物ごとにまとめて取得できるようにした

まとめ

• 今回の要件は書き込みは少しずつ、読み込みはまとめて
• 要件にあった構成にすることでコストを削減できる
• DynamoDBは書き込みのほうが読み込みより10倍課金額が高い

ISPがサーバレスに手を出した

• 伊藤良哉 & 松田丈司 (NTTコミュニケーションズ)

ISP

• Internet Service Privider
• 家 - 回線 - ISP - インターネット

サーバーレスどこで使ってるか

• 通信する前にルールを取得する必要がある
  • そのAPIをサーバーレスで作ってる

サーバーレス以外の選択肢

• 選択肢
  • 物理サーバ
  • 自社IaaSサービス
  • 他社IaaSサービス
• 納期3ヶ月
  • サーバーレスじゃなきゃ無理

社内基準と通信事業としての基準

• 社内クラウドを使わない理由
  • IPv6対応してなかった
• 信頼性の担保
  • マルチクラウドへ
• 100万ユーザついているサービスが1時間止まると総務省に報告しないといけない

IPv6の受難

• API GatewayがIPv6対応してない
  • CDNかませた

リリース後

• 構成変更
  • AzureやめてAWS一本化
  • 東京とシンガポール
  • DBはSQSで同期

テストの自動化

• 全般
  • ローカルで軽量に行えること
  • デプロイして行うテストは最小限に

ローカルでテスト

• Serverless Frameworkとプロアグ員を駆使
  • serverless-offline
  • serverless-dynamodb-local

負荷試験/長時間試験

• Gatlingで叩いてる
  • レポートが見やすい
• テストをやって・・・
  • DynamoDBのaute-scaling忘れに気がつくことができた

CIパイプライン

• GitLab CI/CD
  • ローカルでしか動かないということがないように
  • dockerコンテナで実行することで環境が汚れない
  • commitとテスト結果をバインドすることで証跡を残せる
• serverless-offlineのテストとかをCIで動かしてる

Infra as Code

• Serverless Frameworkとにかく便利
  • ローカルでのテスト
  • 本番へのデプロイ
• Azureは対応してるのが多くない
• AWSもすべてをコード化できるわけではない
  • sls deployのあとにaws-cli使ってるところもある
• 構成変更
  • 移行後の構成をsls deploy
  • 切り替えて古い方をsls remove

AWS Lake Formation で実現、マイクロサービスのサーバーレスな分散トレーシング

• 江藤武司 & 岩井良和 (Sony Corporation)

背景

• aiboやMultifunctional Lightなどのバックエンドをサーバーレスで作ってる
• マイクロサービス構成
• 呼び出しチェーンが長い
• 非同期も多い
• クロスアカウントやオンプレとの連携も
• 1ヶ月立ってから問い合わせや障害のトレースをすることがある

分散トレーシング

• 分散アーキテクチャの処理の可視化や追跡性を向上させるための仕組み
  • どのサービスをどういう経路でたどったか
  • どこにどれくらい時間がかかったか
• 共通のIDを受け渡していって経路を特定できるようにする

Lake Formation

• 複数のAWSアカウントにまたがったログを集約分析できる
• サーバーレスで実現できる
• リアルタイムな分析はDataDogで長期的に残しておくのはLakeFormation

トレーシング基盤の構成

• Step Functionsでログの出力
• Lake Formationで各アカウントからログを集約

トレーシングIDの取得と伝播

• X-Rayだけでは非同期イベントのトレースが困難
• それぞれ工夫して対応した

Don’t think Serverless Security, think Application Security

• Ido Neeman (Nuweba)

サーバーレスは新しい攻撃の窓口になりうる

• イベント駆動アーキテクチャはサーバーレスに限った話ではない
• むしろサーバーレスの方がセキュアな場面もある

サーバーレスはマネージしにくい

• 小さい単位の関数にすることで管理しやすくなる

サーバーレスで過剰なアクセスがきたらどうするか

• スケールするのが仇となって大量の課金につながる
• 関数ごとに制限を設定しておく

サーバーレスの実行権限が広くなりすぎないか

• IAMの権限を最小限にしぼっておくこと

Azure でサーバーレス、 Infrastructure as Code どうしてますか？

• Kazumi Ohira

Infrastructure as Code

• インフラのリソース構成/管理をコードで行うこと
• メリット
  • 自動化できる
  • ミスが減る
  • レビューしやすい
  • バージョン管理できる

クラウドにおけるリソース管理

• IaaS
  • Terraform
  • AWS Cloud formation
• Container
  • Dockerfile
  • Docker Compose
  • Kubernetes
• Serverless
  • ???
  • クラウドごとに異なるけどどうする？

AzureでIaC

• ARM templateを使う
  • 冪等性を管理してくれる
  • エラーハンドリングしてくれる
  • 差分デプロイ並列デプロイできる

The hidden cost and technical debt of running huge Serverless service on production

• James Nguyen / MaaS Global

クラウドサービスを使うこと

• クラウドベンダーに預けてるデータが壊れたら？
  • 最近もAWSの大規模障害があった
• 技術的制約
  • Lambdaで最新のNodeが使えるようになるまで3ヶ月くらいかかる
  • 最新の情報を入手してアップデートし続けないといけない
    • 知らないところでAPIが廃止されてしまわないように
  • よりよいサービスに置き換わっていくこともある
    • 状況に合わせて移行していく必要がある
• ベンダーロックイン
  • マルチベンダーは簡単ではない
  • Serverless Frameworkで抽象化はできる

• CROSS Party 2019に参加してきました。

2019.cross-party.com

業務ハック 〜業務効率化にコミットする職人達の世界〜

• 野秋 拓也さん(DMM.com)
• 廣氏 宣勇さん(DMM.com)
• 廣野 美里さん(freee)
• 髙木 咲希さん(SonicGarden)

業務ハック

• 業務改善をエンジニアリング行うこと

事例

• Slackで相手の名前とか入れると参加者の開いてる予定検索して提示してくれる
  • 裏はGoogleカレンダー
• 受託開発で業務ハック
• slackとかgsuiteと使うようになって業務ハックしやすくなっている
• 全部自分でゴリゴリに作るとかはそんなない
  • いろんなサービスを組み合わせて解決させる
• kintone
• Zpier

[基調講演] 夢を形にする技術 〜 大規模開発におけるサイエンスとエンジニアリングの境界を科学する

• 山崎秀人さん(さくらインターネット株式会社)
• 川口淳一郎さん(国立研究開発法人宇宙航空研究開発機構)
• 及川卓也さん(Tably株式会社)

はやぶさプロジェクト

• 無人探査機によるサンプルリターンミッション

ユーザ要求

• IT
  • 自分たちもユーザ
  • 自分たちが使いたいもの
• 探査プロジェクト
  • イノベーションは技術が主導して立ち上げるもの
  • 顧客は今しかみてないからそのニーズに答えるだけでは発展しない

技術の継承

• IT
  • 多くのシステムが負債化している
    • 古い技術が動いているからといって放置されている
    • 開発できるエンジニアを持っていなくて委託しているからノウハウのある人がどこにいるかわからない
    • 人材の流動が激しいと数年でいなくなることを想定して作れる
  • ペアプロ、モブプロ
• 探査プロジェクト
  • 親方と弟子の関係
  • コーチングして技能は得られるが使えるものは得られない
  • 自ら獲得しないといけない
  • はやぶさとはやぶさ2の間は10年以上
  • 若いうちからプロジェクトに参加して見せていきたい

チームビルディング

• IT
  • 同じ方向を向ける中で多様性を持つことが重要
  • 根本から違う方向向いてしまうのは採用ミス
  • 考え方の違う人を入れてしまうよりも才能をある人を貶してしまう方がましというくらい
  • ローコンテキストを前提にビジョンを共する有
• 探査プロジェクト
  • 向いているところに向いている人を配置する

緊急企画！漫画村再検証！

• 村田篤紀さん(DMM.com/日本インターネットプロバイダー協会理事)
• 森亮二さん(弁護士法人英知法律事務所)
• 宮本久仁男さん(一般社団法人日本ハッカー協会理事)
• 高木浩光さん(産業技術総合研究所主任研究員/情報法制研究所理事)

漫画村

• 海賊版サイト
• 政府がサイトのブロッキングを実施
• 4つの闇
  • 法解釈の闇
  • 法改正の闇
  • 報道の闇
  • 広告の闇

海賊版サイト対策検討会議はなぜ紛糾したのか

事務局による進行の問題

• 「著作権侵害のブロッキングは世界42過酷で導入されているだから日本もやるべき」
  • 2001年にEUが司令を出してEU各国で法制化
  • 法制化されているが実施したことある国は半分くらいしかない
  • EUで28カ国が法制化17年間実績なしの国が15カ国

被害額3000億円

• 漫画村の被害額が3000億円という試算は本当か
• 年間コミック市場は4000億前後
• 総アクセス数に単価をかけたのが3000億円
  • アクセスが有った分全部売り上げた前提

Coinhive事件/WizardBible事件にみる不正指令電磁的記録に関する罪

法が問題としていること

• 意図に沿うべき動作をさせず不正な司令を与える電磁的記録
  • マルウェア

事件

• Coinhive事件
  • 自分のページにWebブラウザにマイニングさせるJSを貼った
• WizardBible事件
  • リモートシェルを埋め込み
• アラートループ
  • アラートを閉じてもアラートが出続ける

この状況が続くと

• サイバーセキュリティ分野の活動が衰退する懸念
• 海外に優秀な人材が(今以上に)流出

フロントエンドエンジニアがこの先さらに生き残るには

• mizchiさん(plaid)
• lacoさん
• 奥野賢太郎さん(クレスウェア)

働き方のスタイル

• フリーランスになった
  • もともとのつながりで仕事を得られた
• 週1日副業
  • サラリーマン感なくなった
• フリーランス時代の仕事
  • フロントエンドは管理画面の需要が高い
  • エクセル再実装

フロントエンドエンジニアの尖り方

• アーキテクチャより(奥野さん/lacoさん)
  • API周りとか
  • ドメイン設計とか
• パフォーマンス(mizchiさん)
• セキュリティ(azuさんとか)

日本人がOSSにあまり貢献していない

• 一部貢献している人がいてもスター扱いしてそれで終わってる
• OSSは大企業が作るものに集約されてきていってる
  • GAFA
• バグバウンティの方がまだある
• 翻訳のコントリビューションする人はけっこういる
• GitHubのトレンドに日本人作者のライブラリがのることがほとんどない
  • 最近だとhiroppyさんのfusuma
  • 中国勢が強い

フロントエンドのカバーする領域

• フロントエンドがサーバーサイドに入り込むようになってきた
  • Next.js, Nuxt.js
  • BFF
  • FaaS
• フロントエンドの大事なところはフロントエンドであることユーザに最初に触れるところ
  • パフォーマンス
  • デザイン
  • UX
  • その反対側にデータを堅牢にする役割の人も必要
• SPAを作るのが大変だった時代から当たり前に作れる時代になった
  • 注力できる範囲が広がってきてカバーできる領域が増えてきた

フロントエンドのDeveloperExperience

• webpackのビルド時間が長すぎて改善の妨げになっていたり

次にくるものは

• 数年前にReactの仮想DOMに魂が震えた
• 次はWebWorker
  • off the main thread
  • メインスレッドの奪い合い

Rust

• 今のWebをRustで書くことは今はなさそう
  • ライフタイムとかフロントエンドとは違った難しさ
  • ゲームとか作るのにはいいかもしれないけどメインでやることはなさそう
• メインスレッドに登場してくることはなさそう
  • workerで動かす処理を書くとかはありそう
  • Backend in Frontend

フロントエンドの技術選定

• TypeScriptは大前提
• フレームワークを使うかどうかから
  • ampを使うとか
• 複雑にならないからと思っても作り変えるときは絶対来る
• バックボーンの成り立ちや考え方を気にしてもいいかも

• JSUG勉強会 2019その9 Spring＆AWSに参加してきました。

jsug.doorkeeper.jp

• Springの勉強会ですが個人的にECSの話をきけたのがとても勉強になって嬉しかったです。

Spring BootをKotlinで作成し Amazon Elastic Container Service (ECS) で稼働させる話

• 白山 文彦 (Fumihiko Shiroyama)

Kotlin

• いわゆるAlt Java
• 完結で強力な記法
  • data class
  • 関数リテラル
• Null安全
  • 型の時点でnullが入りうるかわかる
  • 自然な形で具象型にできる
• JetBrains製

Spring with Kotlin

• Spring Initializr
• Docker化
  • 簡単に捨てられる開発環境
  • ステートレスなアーキテクチャの強制
  • 本番運用を見据えられる
• DBもDocker化
  • 設定は環境変数で渡すようにする
• AWSにデプロイ

Spring on AWS

Amazon Aurora

• 自動でスケールする(RDSでは昔はできなかった)
• マルチリージョン
• 1つのライターと複数のリーダ
• 書き込みエンドポイントと読み込みエンドポイントが違う
• ローカルからでもアクセスできる

Amazon ECS

概要

• Dockerコンテナを簡単にデプロイ管理するためのサービス
• コントロールプレーンはECS or EKS
• データプレーンはEC2 or Fargate
  • Fargateは中を意識しないで簡単に使える
  • EC2は自分で好きなようにできる
• Fargateを使うとリソースを意識する必要ない

使い方

• ECRにイメージ登録
• タスク作成
• タスクを束ねるクラスタ作成
• クラスタ作成

登場人物

• タスク
  • Dockerコンテナ
  • タスク定義から作る
• サービス
  • タスクを複数束ねる
  • 「APIサーバ」や「HTTPサーバ」のような役割の単位
• クラスタ
  • 複数のサービスを束ねる

まとめ

• ローカルから段階的にDocker化することで簡単にECS化できた
• Fargeteは簡単にコンテナを扱える
• CI/CDツールと連携するとECSの作成やデプロイを自動化できる

AWSで作るクラウドネイティブアプリケーションの基本とDevOps

• 川畑 光平 (APN AWS Top Engineers & Ambassadors)

AWSで作るクラウドネイティブアプリケーションの基本

• AWSを活用したアーキテクチャの記事を連載している

news.mynavi.jp