依存関係が失敗したときのグレースフルデグラデーションとは何ですか？

Question

Accepted Answer

**グレースフルデグラデーション**とは、依存関係が失敗したときに、システムが**コアフローを動作させ続け**、エラーを返す代わりに低下したまたは部分的な体験を提供することです。目標は**ソフトフェイル**であり、ハードフェイルではありません。低下したページは500エラーよりましです。

## テクニック

- **ソフトフェイル** — 依存関係が停止している場合、エラーを出す代わりに**キャッシュ、部分的、またはデフォルト**データを提供します。古いが存在する結果は、通常、何もないより良いです。
- **重要でないパスの機能フラグ** — 推奨事項、分析、凝った機能をオフにして、そこでのエラーがメインページを壊せないようにします。
- **タイムアウト + フォールバック** — 遅い依存関係を無限に待たない。タイムアウトしてフォールバック値またはパスに切り替えます。
- **障害の分離（バルクヘッド）** — 依存関係ごとにリソース（スレッドプール、接続プール）をパーティション化し、1つの失敗したサービスがすべてを枯渇させ、残りを引きずることを防ぎます。
- **コアフローを保護** — 必須パス（閲覧、チェックアウト）を特定し、非必須機能がそれを壊せないようにします。

## 例：検索バックエンドがダウンしている

```text
BAD  (fail hard):
  search() → backend timeout → throw → user sees HTTP 500 (whole page dead)

GOOD (fail soft):
  result = search()
         catch timeout → return cached_results OR empty + notice
  page renders:
    [ "Showing recent results — live search is temporarily unavailable." ]
    + cached listings, working nav, working checkout
  → user keeps browsing; core flow intact
```

デッドページの代わりに、ユーザーはキャッシュされたрезультatと小さな通知を取得し、ナビゲーションとチェックアウトは動作し続けます。障害は1つの機能に限定されます。

## なぜ重要なのか

依存関係は*失敗します* — サードパーティAPI、検索クラスタ、推奨サービス。グレースフルデグラデーションがなければ、1つの障害がカスケード的に完全な障害に変わります。ソフトフェイル（キャッシュ/部分的/デフォルトデータ）を設計し、重要でないパスをフラグオフし、フォールバックでタイムアウトし、バルクヘッドで障害を分離することで、部分的な障害中もプロダクトが使用可能に保たれます。これは小さな不具合と重大なインシデントの違いです。