ASP.NET Core の OpenID Connect Middleware を使って Azure AD B2C なログインを GitHub で公開されているサンプルとほぼ同じように実装したら、よくわからないエラーが多発して困ったという話です。

実際に Application Insights からデータを引っ張ってきました。本番のデータなので URL は隠しました。

エラーメッセージの内容自体は Remote Authentication Handler が自動的に使っている CSRF 対策のクッキー検証に失敗したというだけなんですが、正直なところこのエラーの発生率は異常でした。

よくわからないし、実害あまりなさそうなので放っておいたのですが、件数多いし何とか対応しないといけない機運になったので、詳細に調べてみました。GitHub にも Issue がいくつか上がっているようでしたが、決定的な原因と言えるものは見当たらず。

再現しないなーと思っていたら、ブラウザで戻った時に発生するという話が Stack Overflow で見つかったので、あーこれが原因なんだろうなとほぼ確信しました。

signin-oidc に戻ってしまった場合にエラー画面に飛ぶのは、明らかに問題が多いです。理想的な挙動としては Correlation failed の場合はもう一度サインイン画面に飛ばすべきでしょう。

エラー時の処理は OnRemoteFailure イベントを使えばよいので簡単です。AAD B2C のサンプルでは以下のようなイベントハンドラが登録されています。

public Task OnRemoteFailure(RemoteFailureContext context)
{
    context.HandleResponse();
    // Handle the error code that Azure AD B2C throws when trying to reset a password from the login page 
    // because password reset is not supported by a "sign-up or sign-in policy"
    if (context.Failure is OpenIdConnectProtocolException && context.Failure.Message.Contains("AADB2C90118"))
    {
        // If the user clicked the reset password link, redirect to the reset password route
        context.Response.Redirect("/Session/ResetPassword");
    }
    else if (context.Failure is OpenIdConnectProtocolException && context.Failure.Message.Contains("access_denied"))
    {
        context.Response.Redirect("/");
    }
    else
    {
        context.Response.Redirect("/Home/Error?message=" + context.Failure.Message);
    }
    return Task.FromResult(0);
}

context.Failure.Message に Correlation failed が含まれていたら、サインイン画面にリダイレクトするように条件を追加すればよい感じですね。

Correlation failed とは別に、AAD B2C 固有っぽいエラーも発生していました。これもまた Application Insights から本番のエラーデータを引っ張ってきました。

何故か改行コードがヘッダーに混ざっていると言ってます。まあ、普通はあり得ないです。

調べてみるとどうやら AAD B2C が返すエラーメッセージは改行されているものがあるらしく、Redirect で URL エンコードしていないサンプルコードのせいで発生していたみたいです。

public Task OnRemoteFailure(RemoteFailureContext context)
{
    context.HandleResponse();
    // Handle the error code that Azure AD B2C throws when trying to reset a password from the login page 
    // because password reset is not supported by a "sign-up or sign-in policy"
    if (context.Failure is OpenIdConnectProtocolException && context.Failure.Message.Contains("AADB2C90118"))
    {
        // If the user clicked the reset password link, redirect to the reset password route
        context.Response.Redirect("/Session/ResetPassword");
    }
    else if (context.Failure is OpenIdConnectProtocolException && context.Failure.Message.Contains("access_denied"))
    {
        context.Response.Redirect("/");
    }
    else if (context.Failure.Message.Contains("Correlation failed"))
    {
        context.Response.Redirect("/Session/SignIn");
    }
    else
    {
        context.Response.Redirect("/Home/Error?message=" + WebUtility.UrlEncode(context.Failure.Message));
    }
    return Task.FromResult(0);
}

ちゃんと URL エンコードしてから渡すことでエラーは発生しなくなりました。

そもそもこの処理が必要かどうかは別の話なので、実際の場合は汎用的なエラー画面を出しておきつつ、内部では Application Insights にテレメトリを送っておけば良いです。

自宅で Windows Server 2016 用として動かしていた Intel NUC を流用して、Windows 10 Pro をインストールし直し Azure Functions Runtime の環境に作り変えました。

Windows Server 2016 より Windows 10 Pro の方が FCU が扱いやすいので、個人的にお勧めしてます。ドキュメントには Creators Update と書いてましたが、FCU でも問題なく動きました。

インストールの詳細な手順はドキュメントに任せて、自分がはまった部分だけ軽く書いておきます。

Azure Functions Runtime をインストールして、セットアップを行っている途中に SQL Server と接続する必要があります。ドキュメントには書いてないですが、TCP を有効にしないと繋がらないみたいでした。

サーバー名も最初 localhost や .\SQLEXPRESS など試行錯誤しましたが、SQL Browse サービスが動いてないので名前付きインスタンスは TCP で使えず、結局マシン名だけで良いという結論でした。

書いてある通りに sysadmin の権限を持ったログインを作っておく必要があります。データベースの prefix は空っぽで問題なかったのでそのままにしました。

後は設定を順番にポチポチしていけばはまることなく完了します。最後にポータルを開けば完了です。

Function Portal は Windows 認証を使っているみたいなので、Windows へのログインユーザーとパスワードで入れます。Windows 認証をアプリではあまり使ったことないですが、地味に便利。

ログインすると、Azure Portal っぽさある画面になります。

書いてある通りに、最初にサブスクリプションを作成します。将来的には Function の上限をサブスクリプション単位で指定できるのかもしれないですが、今は単なる入れ物っぽいです。

選べる項目も DefaultPlan しかないので、適当に名前を付ければ OK です。

ローカルマシンに対する処理なので、一瞬で作成などは完了するのが新鮮です。

サブスクリプションを作成したら Function App を作成します。この辺りからは普通の Azure Functions と変わりないですが、作成時に Function Runtime のバージョンを選べます。

.NET Framework を選んだ方が選べるトリガーが多いですが、例によって Server Core で実行されるので多少重いです。.NET Core の方は Nano Server なので有利ではあります。

ちなみに HttpTrigger 系はありません。なので多少デバッグが行いにくいですが、大体の場合は TimerTrigger で動作を確認すればよい感じです。

実際に TimerTrigger な Function を作成すると、いろいろと興味深いログが出力されています。

今の App Service のように ACL でサンドボックスを頑張るのではなく、Docker を利用して環境への依存を減らしつつ、Hyper-V Containers を使った高度な分離まで実現出来ているようです。

同時にインストールされる Command Pronpt ショートカットを管理者として起動すれば、Docker コマンドを使ってもうちょっと中身を詳細にみることが出来ます。

Creators Update を対象としているので、FCU からの軽量化されたイメージが使えていないのは残念ですが、Azure Functions Runtime に App Service の未来を見た気がしました。

Windows Containers ベースの App Service への期待が個人的に高まっています。

GitHub の Issue を眺めていたら、West Central US の App Service には Windows Server 2016 をデプロイしたと書いてあったので、早速新しく Web App をデプロイして試していました。

中の人曰く、West Central US をテストの場として使っているみたいです。ちゃんと 2016 です。

軽く触ってみましたが、当然ながら構成は全く同じです。なので互換性を気にする程ではないです。

Kudu API に OS の名称とビルド番号を返す機能が追加されたので、それを使って使われているバージョンを詳細に取ってきました。この辺りは予告通りですね。

14393.1794.amd64fre.rs1_release(bryant).171110-1651

ちまちま確認するのはアレなので、GitHub に置いてあるバージョンなどをいい感じに表示するアプリをデプロイして、サクッと確認してみました。

ちゃんと .NET Framework 4.7.1 がインストールされています。App Service で動かしているアプリが 2016 で動くか心配な場合は、West Central US で試して見ると良いでしょう。

さて、アナウンスでは HTTP/2 対応は後回しと書いてありましたが、West Central US にデプロイしたアプリを確認すると、既に HTTP/2 が有効になっていました。

気になったので確認すると、West Central US だけ先行して有効にしたらしいです。なので、今後グローバルでロールアウトされる場合には HTTP/2 は無効な状態となるはずです。

他に変更された部分がないか気になったので、Qualys の SSL Server Test を実行しました。このリージョンは HTTP/2 が有効なので ALPN が対応になってます。

そして HTTP/2 で必要な暗号スイートである TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 が追加されています。この辺りは HTTP/2 が無効になっていても影響を受けない気がしますね。

後は ECC 向けに secp384r1 曲線が追加されてました。Windows Server 2016 で追加された感あります。

TCP Fast Open が有効になっているかとか気になりますが、確認がめんどくさかったのでやりません。数年振りとなるプラットフォーム側のアップデートなので、今後の展開にも期待しています。

Visual Studio 2017 の 15.5 が出たので、やっと Azure Functions の新しいツールがインストール出来ると楽しみにしてましたが、無情にも謎のエラーが出てアップデートできませんでした。

インストールの途中ぐらいで以下の画像のようなエラーが出てしまいます。

なんだと pic.twitter.com/GjSA8zCv4U

— しばやん (@shibayan) 2017年12月5日

エラーログには Azure Functions のツールをアンインストールしろと書いてますが、Visual Studio Installer からアンインストールすると Azure 開発周りもごっそり削除する割に、結局直らなかったので最悪です。

どうしようもないので Visual Studio Gallery の Q&A を見たら、同じ状況の人と回答を発見しました。割と前から発生していたようで、GitHub の Issue が割と伸びていました。

正直この Issue も解決したのかしてないのかわからない感じですが、エラーログからアンインストール出来ない拡張のパスを拾ってきて、そのディレクトリを削除するとアップデート出来るようになりました。

以下のようにディレクトリ名はランダムなので、エラーログから間違えないように拾ってきます。

削除後には Visual Studio を起動して、機能拡張のアップデートを確認すると良いです。そこでアップデートか、もしくはインストールを実行すれば最新版が正しく入りました。

上手くいった pic.twitter.com/RGtsNsi5CC

— しばやん (@shibayan) 2017年12月6日

少しイレギュラーな対応をしてしまったので、動作に問題がないか少し不安でしたが、ちゃんと .NET Core 向けの Azure Functions が作れるようになっていたので問題なさそうです。

ありがとう、ありがとう pic.twitter.com/YPqLSi3syQ

— しばやん (@shibayan) 2017年12月6日

3 回ぐらい Azure 開発周りの再インストールを繰り返してしまったので、忘れないように残します。

Surface Book 2 でもアップデートを試しましたが、こっちはすんなりとアップデートが行えたので、特定のバージョンが入っている環境でのみ発生する問題のようでした。

仕事で Cosmos DB を使ってアプリケーションを書きましたが、最近はあらかじめ割り当てておいた RU を突き抜けることがあって原因の調査を行っていました。

その時に Cosmos DB のメトリックだけではコレクション別でしか RU を確認出来ず、Application Insights では処理時間しか取得されておらず不便だったので、自前で消費した RU を送信するようにしました。

RU を送信する処理は Repository のベースクラスに仕込んだので、少しの修正だけで済みました。

上で挙げたサンプルクラスに以下のような処理を追加して、適当なタイミングで呼び出しているだけです。RU 以外にも送っても良い気がしますが、今回は RU だけで十分でした。

TelemetryClient はサンプルなので DI を使って直接渡しましたが、適当にインターフェースを用意した方が Application Insights への依存関係を含めずに済むのでスマートかもしれません。

protected async Task<IList<T>> ExecuteQueryAsync<T>(IDocumentQuery<T> documentQuery, [CallerMemberName] string methodName = null)
{
    var requestCharge = 0.0;
    var list = new List<T>();

    while (documentQuery.HasMoreResults)
    {
        var response = await documentQuery.ExecuteNextAsync<T>();

        requestCharge += response.RequestCharge;

        list.AddRange(response);
    }

    TrackRequestCharge(requestCharge, methodName);

    return list;
}

private void TrackRequestCharge(double requestCharge, [CallerMemberName] string methodName = null)
{
    Telemetry.TrackEvent($"Executed operation {CollectionId}.{methodName} in {requestCharge} RUs", new Dictionary<string, string>
        {
            { "Collection", CollectionId }
        },
        new Dictionary<string, double>
        {
            { "Request units", requestCharge }
        });
}

ExecuteQueryAsync に関しては前回用意してなかったですが、モリス先輩がタイミングよく書いていたので参考にして組み込みました。

複数回 ExecuteNextAsync を呼び出す可能性があるので RU は集計するようにしてます。

そんなこんなでアプリケーションを実行してみると、カスタムイベントとして Application Insights に Cosmos DB で消費された RUs と実行したメソッド情報が表示されます。

サンプルなのでデータの偏りがなく、RU が一定になっているのでありがたみは感じないかもしれません。

しかし実際のアプリケーションでの調査では、このカスタムイベントと Application Insights の Session Timeline が非常に強力でした。処理の流れが時系列で簡単に表示できる、最高に素晴らしい機能です。

組み合わせることで、どのページからの呼び出しで RU を過剰に消費しているか一目で確認出来ました。

ちなみに、カスタムプロパティとしてコレクション名を送信しているので、Metrics Explorer から簡単にコレクション単位での RU 消費をグラフにすることが出来ます。

グルーピングを設定しないと、関係なく集計してしまってあまり意味がありません。

実際に設定すると、以下のような表示になります。一目で状況を把握することが出来ますね。

Cosmos DB は RU の消費状態を把握し、最適化を行うかが重要だと再認識しました。そのためには組み込みのメトリックだけでは不十分で、APM と上手く組み合わせると幸せになれるという話です。

実際に仕事で作ったアプリケーションで発生していた RU の過剰消費は一瞬で解決しました。それは余計なデータまで読みに行くという、単純なバグだったというオチでした。