Uber's Failover Architecture: Reconciling Reliability and Efficiency in Hyperscale Microservice Infrastructure

Uber は、ビジネスの重要度に応じた差別化アーキテクチャを導入し、非クリティカルなサービスがクリティカルなサービスの予備容量を平時に共有し、ピーク時のフェイルオーバー時にのみ選択的に中断・復元される仕組み（UFA）を構築することで、2 倍の冗長構成から 1.3 倍へリソースを削減しつつ 99.97% の可用性を維持し、400 万コア中 100 万コア以上を削減することに成功しました。

要約

Uber の「UFA（Uber Failover Architecture）」という仕組みについて、難しい専門用語を使わず、身近な例え話を使って解説します。

🚕 結論：「無駄な予備車」を減らして、より賢く、安く、安全にする仕組み

この論文は、世界中で何百万人ものドライバーと乗客を支える巨大なシステム（Uber）が、**「いつも予備の車を大量に用意しすぎていた」という問題に気づき、それを「賢い使い分け」**に変えた話です。

その結果、100 万台以上の CPU（コンピューターの頭脳）を節約し、コストを大幅に下げつつ、サービスが止まるリスクも減らすことに成功しました。

---

1. 昔のやり方：「無駄な 2 倍の準備」

昔の Uber は、どんな小さなトラブルでもシステムが止まらないように、**「常に 2 倍の車（サーバー）」**を用意していました。

• イメージ：
  東京と大阪にそれぞれ「本拠地」があります。もし東京のシステムが壊れても、大阪のシステムですべての注文を処理できるように、大阪には「東京の分＋大阪の分」の車が常に待機していました。
• 問題点：
  東京が壊れるなんて、1 年に 20 時間くらいしか起きません。つまり、1 年中、大阪の「予備の車」はほとんど動かず、ガソリン代（電気代）だけがかかっている状態でした。
  • 利用率：20%（車の 8 割は空っぽで止まっている）
  • コスト：非常に高い

2. 新しい仕組み（UFA）：「賢い使い分けと非常用スペース」

Uber は、「本当に大規模な災害（システム全体が止まるようなこと）は滅多に起きない」というデータ分析に基づき、新しいルールを作りました。

A. サービスを「重要度」でランク付けする

すべてのサービスを同じ扱いにするのをやめました。

• 重要サービス（T0, T1）： 配車マッチングなど、止まったら大変なサービス。
• 重要度低いサービス（T3〜T5）： 内部ツールやテスト用など、少し止まっても大丈夫なサービス。

B. 「非常用スペース」を有効活用する

重要サービスのために用意していた「予備の車（非常用スペース）」を、普段は**「重要度の低いサービス」に貸し出します。**

• 普段（安定時）： 予備スペースを使って、低優先度のサービスも走らせています。これで車の利用率が 20% から 30% に上がります。
• 非常時（システム障害）： 重要度が低いサービスは、**「すみません、今から退いてください」**と即座に追い出します（プリエンプション）。
  • 重要サービスは、空いたスペースですぐに 2 倍の処理能力を発揮します。
  • 追い出された低優先度サービスは、後でクラウドの空きスペースや、別の場所（バッチ処理用のサーバー）に移動させて、1 時間以内に復活させます。

3. なぜこれが安全なのか？「依存関係の整理」

ここが最大のポイントです。
もし「重要サービス」が「低優先度サービス」に頼りすぎていたら、低優先度を追い出した瞬間に、重要サービスも止まってしまいます。これを**「依存関係の整理」**と呼びます。

• 昔の問題： 重要な配車システムが、テスト用のツールに「エラーが出たら止まる」という依存関係を持っていた。
• UFA の対策：
  • 自動検査： コードを自動でチェックし、「低優先度のサービスが止まっても、重要サービスは止まらないように（エラーを無視して進むように）」直すルールを作りました。
  • シミュレーション： 本番環境で実際に「低優先度を止めてみる」練習（ドリル）を何度も行い、システムが壊れないことを確認しました。

4. 具体的な成果：「100 万台の CPU 削減」

この仕組みを実際に導入した結果、以下のような素晴らしい成果が出ました。

• コスト削減： 400 万台あった CPU のうち、100 万台以上を削減できました（不要な予備を整理したため）。
• 効率アップ： 車の利用率が 20% から 30% に向上しました。
• 安全性： 重要な配車サービスの可用性は、**99.97%**を維持（ほぼ止まらない）。
• スピード： 実際にシステムが切り替わる際、必要な容量を8 分以内に確保できました。

5. 全体像を一言で言うと？

「いつも 2 倍の予備を用意して、大半は放置していた『無駄なコスト』を、低優先度の仕事に『臨時バイト』として使わせていた。
そして、いざという時は『バイト』を即座に解雇して、本職（重要サービス）に全力で働いてもらう。
そのために、バイトが辞めても本職が倒れないよう、事前に『依存関係』を整理した」

という、**「賢いリソース管理」**の成功物語です。

---

読者へのメッセージ

この論文は、単に「サーバーを減らした」という話ではありません。
「信頼性（止まらないこと）」と「効率性（安くすること）」は、実は両立できるということを、データと工夫で証明した画期的な事例です。
巨大なシステムを動かすには、単に「予備を多く持つ」だけでなく、「何が本当に重要で、何が犠牲にできるか」を冷静に判断し、自動化する仕組みを作ることが大切だと教えてくれます。

技術概要

Uber のフェイルオーバーアーキテクチャ（UFA）に関する技術的サマリー

本論文は、Uber の大規模マイクロサービスインフラにおいて、信頼性（Reliability）とコスト効率（Efficiency）の両立を実現するために開発された「Uber Failover Architecture (UFA)」について詳述しています。従来の「2 倍の容量モデル」を、ビジネスの重要度に応じた差別化されたアーキテクチャへと転換し、リソース利用率の向上とコスト削減を達成した事例を報告しています。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細をまとめます。

---

1. 問題定義 (Problem)

Uber のプラットフォームは、数百万のドライバーと数億のユーザーを支えるグローバルなリアルタイムシステムであり、従来のアーキテクチャには以下の重大な課題がありました。

• 非効率な 2 倍容量モデル: 従来、すべてのサービスに対して「2 倍の容量（2x Capacity）」を確保していました。つまり、リージョン A と B の両方がそれぞれ世界のトラフィック 100% を処理できるだけのリソースを常時用意しており、平常時（Steady State）には片方のリージョンのリソースが半分ほど遊休状態でした。これにより、CPU 利用率は約 20% にとどまっていました。
• 均一な SLA の非現実性: すべてのマイクロサービス（クリティカルな乗車マッチングから内部テストまで）に同じ可用性 SLA を適用していました。これは設計を単純化しますが、非クリティカルなサービスに対しても過剰なリソースを割り当てており、不必要なコストを生んでいました。
• フェイルクローズ依存関係（Fail-Close Dependencies）: クリティカルなサービスが、非クリティカルなサービスに依存している場合、後者の障害が前者に伝播して大規模な停止を引き起こす「フェイルクローズ」現象が発生していました。これを防ぐためには、依存関係の解消と、非クリティカルなサービスの安全な中断（プリエンプション）メカニズムが必要でした。
• フェイルオーバーの頻度: データ分析によると、2 倍容量モデルの根拠となる「フルピーク時の完全なリージョンフェイルオーバー」は、年間平均 20 時間未満（0.23%）しか発生していませんでした。つまり、高コストな冗長化はほとんど無駄遣いでした。

2. 手法とアーキテクチャ (Methodology & Architecture)

UFA は、ビジネスの重要度に基づいてサービスを階層化し、フェイルオーバー時の挙動を差別化するアーキテクチャです。

2.1 サービスの階層化とフェイルオーバー分類

サービスを 4 つのフェイルオーバー挙動クラスに分類し、それぞれ異なる SLA とリソース割り当てを適用します。

1. Always-On: 最も重要なサービス（T0, T1）。フェイルオーバー中も中断されず、専用バッファ内でスケールアップします。
2. Active-Migrate: 重要なビジネスサービス（T2）。フェイルオーバー中は、バッチクラスターやクラウドに一時的に移動（Live Migration）させ、継続的な可用性を維持します。
3. Restore-Later: 中程度の重要度（T3-T5）。フェイルオーバー直後に停止され、1 時間以内の RTO（復旧目標時間）でバッチクラスターやクラウドで復旧されます。
4. Terminate: 非生産環境や最も重要度の低いサービス（NP）。フェイルオーバー中は停止され、復旧はフェイルバック後にのみ行われます。

2.2 インテリジェントなオーバーサブスクリプション

• 平常時: 非クリティカルなサービス（Restore-Later, Terminate）は、クリティカルなサービスのために予約された遊休バッファ容量上で「機会主義的」に実行されます。これにより、平常時のリソース利用率を向上させます。
• フェイルオーバー時: 障害発生時には、非クリティカルなサービスが即座にプリエンプト（強制終了または移動）され、クリティカルなサービスが 2 倍のトラフィックを処理するためのリソースを確保します。
• 復旧: プリエンプトされた非クリティカルなサービスは、バッチクラスター（Batch Clusters）の転用やクラウドのバースト機能（Cloud Bursting）を用いて、差別化された RTO 内で迅速に復旧されます。

2.3 セーフティと依存関係の管理

UFA の成功には、クリティカルなサービスが非クリティカルなサービスの停止に耐えられる「フェイルオープン（Fail-Open）」な設計が不可欠です。

• 多層的な安全性ツール:
  • ランタイム分析: 本番トラフィックを監視し、非クリティカルなサービスの停止がクリティカルなサービスにエラーを伝播する「フェイルクローズ」依存関係を特定します。
  • 静的解析: コードレベルで依存関係を検証し、デプロイ前に危険なパターンを排除します。
  • カナリア回帰ゲート: 本番導入前に、非クリティカルなサービスへのトラフィックを遮断するテストを行い、安全性を確認します。
  • AI 駆動 E2E テスト: GenAI を用いてモバイルアプリの動作を検証し、依存関係違反を自動検出します。
• **Outage Mitigator **(OMG) フェイルオーバーのオーケストレーションを自動化し、トラフィックの遮断、サービスの移動、リソースの割り当てを数分単位で実行します。

3. 主要な貢献 (Key Contributions)

1. 大規模マイクロサービスインフラの実データ: 6,000 以上のマイクロサービス、16,000 以上の環境における実運用データと分析。
2. オーバーサブスクリプションとワークロードの Shedding によるフェイルオーバー管理: 平常時に非クリティカルなワークロードをクリティカルなサービスのバッファで実行し、障害時に自動的に Shedding（ shedding）と復旧を行う新しいアーキテクチャ。
3. 多層的な安全性と回帰防止戦略: CI/CD パイプラインに統合された自動化されたツール群による、不安全な依存関係の事前検出と防止。
4. 大規模な本番環境でのデプロイと評価: 6,000 以上のマイクロサービスに対する実証実験と、その結果としての大幅なリソース削減の達成。

4. 結果 (Results)

UFA の導入により、以下のような定量的な成果が得られました。

• リソース削減: ベースライン約 400 万コアから、約 100 万コア（25%）削減されました。
• 利用率の向上: 平常時の CPU 利用率が 約 20% から 31% へ 向上しました（P99 で 42% まで上昇）。
• 可用性の維持: 2026 年 1 月に発生した 17 時間にわたる大規模なフェイルオーバー（フルピーク時）において、主要都市のサービス可用性は 99.97% を維持 しました。
• 高速なリソース変換: フェイルオーバー開始後、バッチクラスターをバーストクラスターに変換し、必要な容量を約 8 分で確保することに成功しました。
• 依存関係の解消: 4,000 件以上の「不安全な依存関係」を特定・修正し、クリティカルなサービスのフェイルオーバー安全性を強化しました。

5. 意義と結論 (Significance & Conclusion)

• 信頼性と効率性の両立: 従来の「信頼性のためにはコストがかかる」というトレードオフを打破し、データドリブンなアプローチと差別化された SLA によって、両立が可能であることを実証しました。
• 社会技術的変革の成功: 技術的なアーキテクチャ変更だけでなく、6,000 以上のマイクロサービスを持つ数百のチームを巻き込んだ組織的な変革（ドリル、教育、ツール導入）の重要性を示しました。
• クラウド依存からの脱却: 大規模なフェイルオーバーにおいて、クラウドプロバイダーのオンデマンド容量の保証が困難であるという課題に対し、自社のバッチリソースを転用する「バースト」戦略の有効性を示しました。
• 将来への示唆: 本論文は、大規模分散システムにおけるリソース管理、フェイルオーバー戦略、および依存関係の安全性確保に関する重要な知見を提供しており、他の大規模プラットフォームにも応用可能なモデルとなっています。

結論として、UFA は単なるコスト削減プロジェクトではなく、大規模システムにおける「レジリエンス（回復力）」と「効率性」を再定義した画期的なアーキテクチャであり、その成功は体系的なドリル、厳格な検証、そして多層的な安全性ツールに支えられたものでした。