URL短縮サービスの設計

URL短縮サービス — ハイレベル設計 機能要件 ユーザーは長いURLを送信し、一意の短いコード（例：https://short.ly/aB3xYz）を受け取ることができます。短いURLにアクセスすると、ブラウザは元の宛先にリダイレクトされます。短いリンクは、設定可能なTTL後にオプションで有効期限が切れます。ユーザーはオプションでカスタムエイリアスを要求できます。基本的なクリックカウンターがリンクごとに維持されます。 非機能要件 システムは、月間約2000万件の書き込みと2億件の読み取りを処理する必要があります。これは、平均で約8件の書き込み/秒と80件の読み取り/秒に相当し、ピーク時はその数倍になります。リダイレクトのレイテンシは、95パーセンタイルで50ミリ秒未満である必要があります。サービスは非常に利用可能である必要があります（目標稼働率99.9%）。短いコードはグローバルに一意である必要があります。システムは水平スケーリング可能であり、単一ノードの障害を正常に許容する必要があります。 APIエンドポイント POST /api/links: JSONボディ（フィールド：longUrl（必須）、customAlias（オプション）、ttlDays（オプション））を受け付けます。shortCodeとshortUrlを含むJSONレスポンスを返します。これは書き込みパスです。 GET /{shortCode}: リダイレクトエンドポイントです。サーバーはコードを検索し、元のURLに対してHTTP 301（永続）または302（一時、分析に推奨）で応答します。 GET /api/links/{shortCode}: メタデータ（元のURL、作成時間、有効期限、クリック数）を返します。 DELETE /api/links/{shortCode}: リンクを削除済みとしてマークします（ソフト削除）。 データモデル コアデータを保持する単一のプライマリテーブル、linksがあります。主要な列：short_code（varchar、主キー）、long_url（text、not null）、created_at（timestamp）、expires_at（timestamp、nullable）、is_deleted（boolean、デフォルトfalse）、click_count（integer、デフォルト0）、owner_id（varchar、匿名リンクの場合はnullable）。expires_atのインデックスは、効率的な有効期限スイープをサポートします。カスタムエイリアスがサポートされている場合、short_codeは一意性チェック後にユーザー提供の値に設定されるだけです。 ショートコード生成 デフォルトのアプローチは、一意の整数IDのbase-62エンコーディング（文字a-z、A-Z、0-9）を使用します。7文字のbase-62コードは、62^7 ≈ 3.5兆の可能なコードを提供し、予見可能な需要をはるかに超えています。整数IDは、Snowflakeスタイルのサービスやデータベースシーケンスなどの分散IDジェネレーターによって生成されます。これにより、アプリケーションレイヤーでの調整オーバーヘッドなしに一意性が保証されます。書き込み時に、アプリケーションは生成されたIDをエンコードしてショートコードを生成し、両方を保存します。カスタムエイリアスの場合は、アプリケーションは挿入前にそのshort_codeを持つ既存の行をチェックします。取得済みの場合、呼び出し元に競合エラーを返します。 読み取りおよび書き込みフロー 書き込みパス：クライアントはAPIサービスにPOSTします。サービスはURLを検証します（基本的な形式チェック、オプションのブロックリストチェック）。IDジェネレーターから新しい一意のIDを取得し、それをショートコードにエンコードして、プライマリデータベースに1行挿入します。新しいマッピングは、オプションでキャッシュに事前ウォームされます。ショートURLがクライアントに返されます。 読み取りパス：クライアントはGET /{shortCode}を発行します。APIサービスはまず分散キャッシュ（Redis）をチェックします。キャッシュヒットの場合、すぐに302リダイレクトを返し、非同期でクリックカウンターをインクリメントします。キャッシュミスの場合、プライマリデータベースにクエリを実行し、結果をTTL（例：24時間）付きでキャッシュに書き込み、その後リダイレクトします。コードが見つからない、期限切れ、または削除されている場合は、404を返します。 ストレージとキャッシング プライマリストレージは、強力な一貫性、ACID保証、および簡単な一意キー強制のためのリレーショナルデータベース（PostgreSQLまたはMySQL）です。月間2000万件のリンクと控えめな行サイズ（約500バイト）で、1年間のデータは約120 GBとなり、単一のプライマリとリードレプリカで容易に管理できます。書き込みパスのために、プライマリデータベースの前に分散インメモリキャッシュ（Redis）が配置されます。少数のリンクがほとんどのトラフィックを占める（べき乗則分布）ことを考えると、LRU（Least Recently Used）エビクションポリシーと24時間のTTLを持つキャッシュは、控えめなメモリで高いヒット率を達成するでしょう。約200バイトのホットリンク1000万件を想定すると、キャッシュメモリは約2 GBで済みます。クリック数はRedis（INCR）でバッファリングされ、書き込み増幅を回避するために定期的にデータベースにフラッシュされます。 大量の読み取りトラフィックのスケーリング API層はステートレスであり、ロードバランサーの後ろで水平にスケールします。データベースのリードレプリカは、キャッシュミスによる読み取りクエリを吸収します。キャッシュクラスター（Redis Cluster）はshort_codeでシャーディングできます。CDNをリダイレクトエンドポイントの前に配置して、最も人気のあるリンクを提供できます。これにより、オリジンに一切ヒットすることなく、エッジノードから302レスポンスを提供できます。ブラウザはデフォルトで302レスポンスをキャッシュしないため、CDNは効果的であるために短時間（例：60秒）キャッシュするように設定する必要があります。 期限切れまたは削除されたリンクの処理 期限切れは読み取り時にチェックされます。expires_atが過去であるか、is_deletedがtrueの場合、サービスは404を返し、エントリをキャッシュから削除します。バックグラウンドジョブが定期的に（例：夜間）実行され、expires_atが経過した行をハード削除またはアーカイブし、アクティブなデータセットを小さく保ち、インデックススキャンを高速に保ちます。ソフト削除（is_deletedフラグ）は、監査証跡と、永久削除前の回復の可能性を可能にします。 不正利用防止とレート制限 レート制限は、IPアドレス、および認証済みユーザーの場合はユーザーIDをキーとするトークンバケットまたはスライディングウィンドウアルゴリズムを使用してAPIゲートウェイレイヤーで実施されます。合理的なデフォルト：匿名ユーザーの場合はIPあたり1分あたり10件の書き込み、認証済みアカウントの場合はより高い制限。書き込みパスでは、送信されたURLは、既知の悪意のあるまたはフィッシングドメインのブロックリスト（Redisセットまたは小さなインメモリtrieとして維持）に対してチェックされます。CAPTCHAまたは電子メール検証は、バルクまたは疑わしい送信パターンに対して要求される場合があります。異常に急増した404レスポンス（例：列挙攻撃）を受信するショートコードは、一時的なIPブロックをトリガーする可能性があります。 信頼性とボトルネック プライマリデータベースは最も重要な単一障害点です。緩和策：自動フェイルオーバー（例：Patroniのようなツールを使用）を備えた少なくとも1つのスタンバイへの同期レプリケーション。キャッシュレイヤーは、一時的なデータベースの劣化中でも読み取りを提供することで可用性を向上させます。IDジェネレーター自体も高可用性である必要があります。各APIノードに埋め込まれたSnowflakeスタイルのジェネレーター（ノードID +タイムスタンプ +シーケンスを使用）は、これを個別の依存関係として排除します。可能性のあるボトルネック：トラフィックピーク時のデータベース書き込みパス（接続プーリングと可能な場合の書き込みバッチングで緩和）、および一意のショートコードの突然の急増時のキャッシュエビクション（人気のあるリンクの事前ウォームとキャッシュサイズの調整で緩和）。 トレードオフと仮定 302（一時）リダイレクトを301（永続）の代わりに​​使用すると、ブラウザはリダイレクトをキャッシュしないため、すべての訪問がサービスにヒットします。これは意図的であり、正確なクリックカウントを可能にし、リンクの更新または削除を可能にします。トレードオフは、301よりもわずかに高いレイテンシと負荷です。シーケンシャルIDのBase-62エンコーディングは、おおよその作成順序を漏らします。それが懸念事項である場合、IDはハッシュされるか、一意性チェック（衝突時のリトライ）でランダムコードが生成される可能性があります。この設計は、匿名リンク作成が許可されていることを前提としています。認証を追加すると、不正利用制御が改善されますが、アクセシビリティが低下します。クリックカウントは、厳密なトランザクションインクリメントではなく、最終的な一貫性（Redisでバッファリングされ、非同期でフラッシュされる）を使用し、データベースへの書き込み負荷を大幅に低減する代わりに、わずかな不正確さを受け入れます。カスタムエイリアスはサポートされていますが、少数派のユースケースとして扱われ、コア生成パイプラインには影響しません。

## URL短縮サービス設計 このドキュメントでは、公開URL短縮サービスのハイレベルな設計について概説します。 ### 主要な機能要件: 1. **URLの短縮**: ユーザーは長いURLを送信し、一意の短いコードを受け取ることができます。 2. **リダイレクト**: 短いURLにアクセスした訪問者は、元の長いURLにリダイレクトされます。 3. **カスタムエイリアス (オプション)**: ユーザーはオプションで、短いコードにカスタムエイリアスを指定できます。 ### 主要な非機能要件: 1. **高可用性**: サービスは最小限のダウンタイムで利用可能である必要があります。 2. **低レイテンシ**: 短縮とリダイレクトの両方が高速である必要があります。 3. **スケーラビリティ**: システムは大量かつ増加し続けるリクエスト（月間2000万件の新規リンク、月間2億件のリダイレクト）を処理できる必要があります。 4. **耐久性**: 短縮されたURLとそのマッピングは失われてはなりません。 5. **一貫性**: 書き込みに対する強い一貫性が理想的ですが、一部のシナリオでは読み取りに対する結果整合性も許容される場合があります。 ### 主要なAPIエンドポイント: * **POST /shorten** * **リクエストボディ**: `{"url": "<long_url>", "alias": "<custom_alias_optional>"}` * **レスポンスボディ**: `{"short_code": "<short_code>", "short_url": "<short_url>"}` * **説明**: 新しい短いURLを作成します。エイリアスが提供され、利用可能な場合はそれが使用されます。そうでない場合は、一意の短いコードが生成されます。 * **GET /{short_code}** * **レスポンス**: 元のURLへのHTTP 301（恒久的リダイレクト）または302（一時的リダイレクト）。 * **説明**: ユーザーを`short_code`に関連付けられた元の長いURLにリダイレクトします。 * **DELETE /{short_code}** (オプション、管理用) * **説明**: 短いURLのマッピングを削除します。 ### データモデル: スケーラビリティと可用性のために、CassandraやDynamoDBのようなNoSQLデータベースを使用できます。スキーマは以下のようになります。 * **テーブル: `urls`** * `short_code` (主キー、文字列) * `long_url` (文字列) * `created_at` (タイムスタンプ) * `user_id` (文字列、オプション、所有権追跡用) * `is_active` (ブール値、削除処理用) * `alias` (文字列、オプション、ルックアップに使用する場合はインデックス化) ### 短いコードの生成と一意性: 一意の短いコードを生成することは非常に重要です。いくつかの方法があります。 1. **連番IDのBase-62エンコーディング**: 一般的で効率的な方法です。一意で常に増加する64ビット整数を生成するために、分散カウンタサービス（例: Apache ZooKeeper、またはRedisやデータベースを使用したカスタム構築サービス）を使用できます。これらの整数は、Base-62文字列（0-9、a-z、A-Z）にエンコードされます。これにより、一意性が保証され、数十億件のIDに対して予測可能な長さ（例: 7〜8文字）の短いコードが提供されます。 2. **ハッシュ化**: `long_url`をハッシュ化（例: MD5またはSHA-1を使用）し、最初の数文字を取得します。衝突は、既存のエントリをチェックすることで処理する必要があります。衝突が発生した場合は、一意のサフィックスを追加するか、別のハッシュを試みます。 この設計では、一意性と予測可能な長さの保証の単純さから、**連番IDのBase-62エンコーディング**を推奨します。分散ID生成サービスが不可欠になります。 ### 読み取りおよび書き込みリクエストフロー: * **書き込みリクエスト（URLの短縮）**: 1. ユーザーが`long_url`とオプションの`alias`を含むPOSTリクエストを`/shorten`に送信します。 2. APIゲートウェイがリクエストを**書き込みサービス**にルーティングします。 3. **短いコードの生成**: エイリアスが提供されない場合、書き込みサービスはID生成サービスから一意のIDを要求し、それをBase-62にエンコードします。 4. **エイリアスチェック（該当する場合）**: エイリアスが提供されている場合は、既に使用されていないか確認します。使用されている場合は、エラーを返します。そうでない場合は、エイリアスを`short_code`として使用します。 5. **データベース書き込み**: マッピング（`short_code`、`long_url`、`created_at`など）を`urls`データベースに保存します。エイリアスが使用されている場合、エイリアスベースのルックアップのために追加のエントリまたはインデックスが必要になる場合があります。 6. 書き込みサービスが、`short_code`と`short_url`をユーザーに返します。 * **読み取りリクエスト（リダイレクト）**: 1. ユーザーが`short_url`（例: `short.domain/abcd123`）を入力します。 2. リクエストがAPIゲートウェイに到達し、**読み取りサービス**（またはリダイレクトサービス）にルーティングされます。 3. **キャッシュチェック**: 読み取りサービスはまず、分散キャッシュ（例: Redis）で`short_code`から`long_url`へのマッピングをチェックします。 4. **データベースルックアップ**: キャッシュに見つからない場合、読み取りサービスは`short_code`を使用して`urls`データベースにクエリします。 5. **キャッシュ更新**: データベースから取得されると、そのマッピングが後続のリクエストのためにキャッシュに追加されます。 6. **リダイレクト**: 読み取りサービスは、元の`long_url`と共にHTTPリダイレクト（301または302）をユーザーのブラウザに返します。 ### ストレージの選択とキャッシング戦略: * **プライマリストレージ**: **Cassandra**や**DynamoDB**のような分散NoSQLデータベース。これらは、サービスの読み取り中心の性質に適した、高可用性、耐障害性、水平スケーラビリティを提供します。 * **キャッシング**: **Redis**や**Memcached**のような分散インメモリキャッシュは、読み取り中心のトラフィックにとって非常に重要です。これは、頻繁にアクセスされる`short_code`から`long_url`へのマッピングを格納します。これにより、データベースの負荷が劇的に減少し、リダイレクトのレイテンシが改善されます。キャッシュエントリにTTL（Time-To-Live）を設定するか、書き込み時に無効化することができます（ただし、これは複雑さを増します）。 ### 大量の読み取りトラフィックに対するスケーリングアプローチ: 1. **読み取りレプリカ**: リレーショナルデータベースの場合、読み取りレプリカを使用します。NoSQLの場合、その分散性質により、読み取りのスケーリングは本質的に処理されます。 2. **キャッシングレイヤー**: 堅牢な分散キャッシュが主要なメカニズムです。Redis/Memcachedを水平にスケールアウトします。 3. **ステートレスサービス**: Read ServiceとWrite Serviceがステートレスであることを保証します。これにより、ロードバランサーの後ろにインスタンスを追加するだけで、容易に水平スケーリングが可能です。 4. **ロードバランシング**: 堅牢なロードバランサー（例: AWS ELB、Nginx）を使用して、トラフィックをサービスインスタンスに分散させます。 5. **CDN**: （もしあれば）Webインターフェースの静的部分や、エッジロケーションからのリダイレクトの提供には、Content Delivery Network（CDN）を採用できます。 ### 期限切れまたは削除されたリンクの処理: * **削除**: データベースの`is_active`フラグを使用できます。リンクが削除されるときに、`is_active`を`false`に更新します。読み取りサービスは、データベースルックアップ中にこのフラグをチェックします。エントリはキャッシュからも削除できます。 * **期限切れ**: `urls`テーブルに`expires_at`タイムスタンプを追加します。読み取りサービスは、このタイムスタンプをチェックします。自動化されたバックグラウンドジョブが、期限切れのエントリをデータベースから定期的にクリーンアップできます。 ### 基本的な不正利用防止とレート制限: * **レート制限**: APIゲートウェイまたは書き込みサービス内でレート制限を実装します。これは、IPアドレス、ユーザーID（認証されている場合）、またはAPIキーに基づることができます。一般的なアルゴリズムには、トークンバケットやリーキーバケットがあります。 * **URL検証**: 短縮する前に、入力された`long_url`を検証し、明らかに悪意のある、または不正な形式のURLを防ぎます。 * **不正コンテンツ検出**: フィッシングサイト、マルウェア、スパムを指すURLを監視します。これには、サードパーティのブラックリストとの統合や、機械学習モデルの使用が含まれる場合があります。 * **カスタムエイリアス制限**: 不正利用を防ぐために、カスタムエイリアスの使用を登録済み/検証済みのユーザーに制限します。 ### 信頼性に関する考慮事項と可能性のあるボトルネック: * **可能性のあるボトルネック**: * **ID生成サービス**: 高スループットと可用性のために設計されていない場合、書き込みのボトルネックになる可能性があります。 * **データベース**: 高い書き込み量や複雑な読み取りクエリ（例: インデックス化されていないエイリアスルックアップ）がデータベースに負荷をかける可能性があります。 * **キャッシュ**: 非常に高い読み取り量でのキャッシュミスは、データベースを圧倒する可能性があります。キャッシュエビクションポリシーとスケーリングが重要です。 * **ネットワークレイテンシ**: サービス間、特にアベイラビリティゾーン間。 * **信頼性**: * **冗長性**: 複数のアベイラビリティゾーンにサービスとデータベースをデプロイします。 * **フェイルオーバー**: 重要なコンポーネントの自動フェイルオーバーを実装します。 * **監視とアラート**: システムの健全性、パフォーマンスメトリクス、エラー率を包括的に監視し、異常に対してアラートを発します。 * **正常な機能低下**: キャッシュが失敗した場合でも、システムは（遅くはなりますが）データベースから直接読み取ることで機能し続ける必要があります。 ### トレードオフと仮定: * **仮定**: * 分散環境で一意の連番IDを生成するための信頼できるメカニズムがあること。 * リクエストの大部分が読み取り（リダイレクト）であり、キャッシングと読み取りスケーリングへの多大な投資を正当化できること。 * リンク作成に対する強い一貫性が望ましいが、短い伝播遅延後のリダイレクトルックアップに対する結果整合性も許容されること。 * **トレードオフ**: * **キャッシュ vs. 一貫性**: 積極的なキャッシング戦略は、短期間のデータ不整合を引き起こす可能性があり、慎重なキャッシュ無効化またはTTL管理が必要です。 * **ID生成の複雑さ**: 連番IDの使用は一意性においては単純ですが、専用の高可用性ID生成サービスが必要です。ハッシュ化は初期実装が単純ですが、堅牢な衝突処理が必要です。 * **カスタムエイリアス**: カスタムエイリアスのサポートは、データモデル（セカンダリインデックス、競合解決）と書き込みパスに複雑さを加えます。 * **永続的 vs. 一時的リダイレクト**: HTTP 301（恒久的）の使用は、短いURLが常に同じ長いURLにマッピングされることを前提としています。302（一時的）の使用は、マッピングが変更される可能性がある場合に、より柔軟ですが、わずかなSEOへの影響やブラウザのキャッシング動作があるかもしれません。 この設計は、URL短縮サービスのスケーラブルで信頼性の高い、パフォーマンスの高い基盤を提供します。