この記事で学べること

Corda 4.11 enterpriseにて追加されたLedger RecoveryのFinality Recovery Flowの詳細について把握できます。

目次

• はじめに
• 前提
• Finality Recovery Flowとは？
• Finality Recovery Flowの始点
• 送信者が始点になり得るのは・・
• 受信側が始点になり得るのは・・
• Finality Recovery Flowの使い方
• 手法1. FlowRPCOps APIの拡張機能として実行
• 参考
• 手法2. Corda Node shellから実行
• 手法３. RPC Client経由での実行
• 備考
• まとめ

はじめに

Corda 4.11 enterpriseでは、それまでのversionから大きくアップデートされ、複数の新機能が追加されました。

前回に引き続き、今回は第二弾として、新規Ledger Recovery手法の一部であるFinality Recovery Flowをご紹介したいと思います。

Finality Recovery Flowの導入により、障害によって中断されたファイナリティ処理をリカバリーすることが可能になり、ファイナリティ処理のリトライが柔軟に実行できるようになりました。このflowは、Corda enterprise Nodeを起動した時点で既に利用可能です。

前提

前提として大事な箇所を、前回の記事から持ってきました。

Two Phase Finalityでは、IN_FLIGHTとい新しいトランザクションのstatusが導入され、ファイナリティ処理が開始した段階で、statusはUNVERIFIEDからIN_FLIGHTへ遷移します。また、ファイナリティ処理の終了後には、statusはVERIFIEDとなります。

Finality Recovery Flowが、リカバリーと対象とするのは、障害（ノードダウン・通信エラー等）により滞留するIN_FLIGHTのトランザクションとなります。（参考URL）

Finality Recovery Flowとは？

Finality Recovery Flowとは、Corda Nodeのクラッシュや通信エラーによって、失敗したファイナリティ処理を回復させ、トランザクションのNotarization, Sharing, Recordingを確定させるFlowです。Finality Recovery Flowのリカバリー対象は、IN_FLIGHT状態のトランザクションになります。

リカバリの手法は、前回の記事で紹介したTwo Phase Finalityのプロセスで共有されるDistribution record (トランザクションのメタデータ)が使用されます。

Cordaに詳しい方々は、Flow Hosiptalとの差異について気になっておられるかもしれません。（R3のドキュメントでは、Finality Recovery FlowとFlow Hospitalの棲み分けについて言及はありませんが）筆者はFlow Hospitalで回復できないflow（flow status: FAILED）を、Finality Recoveryで回復させるという理解をしております。これまでは、flow status: FAILEDになった場合は、障害のパターンに関わらず、再度flowを実行する必要がありました。一方、Finality Recovery Flowの導入により、Nodeのクラッシュや通信エラーなど回復可能な要素を含む場合、flowを一から実行しなおす必要がなくなりました。

以上がFinality Recovery Flowの概要と意義についてでした。

Finality Recovery Flowの始点

Two Phase Finalityの導入によって、Distribution Record (トランザクションのメタデータ)が共有され、flowの送信者・受信者のどちらからでもFinality Recovery Flowの実行が可能になります。

※以下の説明は、片方のNodeで障害が起きた場合と両方のNodeで障害が起きた場合を含みます。どちらの場合でも、回復した方からリカバリーの始点になることができます。

送信者が始点になり得るのは・・

• ファイナリティ処理にてNotarization前に、障害が発生した場合
• ファイナリティ処理にてNotarization後に、障害が発生した場合

※送信者が先にリカバリ処理を行えば、受信側では必要ありません

※flowの送信者側にてファイナリティ処理を終えた場合のみ、トランザクションIDを指定して、リカバリーを行うことで、障害が発生した受信者のNodeを回復させることが可能

受信側が始点になり得るのは・・

• ファイナリティ処理にてNotarization後に、障害が発生した場合

※ ただし、送信側でのNotarization後に障害が起こった場合は、送信者側でもFinality Recovery Flowを実行する必要がある

以上が、送信側・受信側が始点となりFinality Recovery Flowを実行する場合になります。

Finality Recovery Flowの使い方

Corda 4.11 enterpriseのNodeを起動し、Node shellにてFinalityRecoveryFlowが存在することを確認します。

>>> flow list
com.template.flows.TemplateFlow$TemplateFlowInitiator
net.corda.core.flows.ContractUpgradeFlow$Authorise
net.corda.core.flows.ContractUpgradeFlow$Deauthorise
net.corda.core.flows.ContractUpgradeFlow$Initiate
net.corda.core.flows.FinalityRecoveryFlow
net.corda.core.flows.LedgerRecoveryFlow

FinalityReocveryFlowの実行結果は次の３つのいずれかです。

Finality Recovery Flowの実行方法は３つほど存在しますので、それぞれ解説します。

1. FlowRPCOps APIの拡張機能として利用する手法
2. Corda node shellから実行する手法
3. 3. RPC clientを立てる場合の手法

手法1. FlowRPCOps APIの拡張機能として実行

FlowRPCOps APIは、例としてnetworkMapSnapshot, nodeInfo, vaultQuery等の関数がAPIとして使用できます。

この拡張機能として、FinalityRecoveryFlowが実行でき、引数次第で６つの実行方法が存在します。関数の名前が微妙に異なるので、注意してください。

参考

①FinalityRecoveryFlow実行時の引数：forceRecoverについて

通常flow status: FAILEDをリカバリーの対象としますが、forceRecover: trueによって、RUNNABLE, PAUSED, HOSPITALIZEDステータスのトランザクションを、リカバリーの対象にすることができます。ただし、PAUSED や HOSPITALIZED のflowは、ノードの再起動時に自動的にリトライされるため、forceRecover を使用しなくてもファイナリティ処理は再度行われる可能性があります。

②FinalityRecoveryFlow実行時の引数：FlowRecoveryQueryについて

クエリの詳細は以下の通りタイムフレームやFinalityFlowを実行したCordaX500nameとその相手を指定することが可能になります。

data class FlowRecoveryQuery(
    val timeframe: FlowTimeWindow? = null,
    val initiatedBy: CordaX500Name? = null,
    val counterParties: List<CordaX500Name>?  = null)

③FinalityRecoveryFlowの対象になるトランザクションを把握する方法

NodeFlowStatusRpcOps RPC APIが新たに拡張され、ファイナリティリカバリーの対象になるトランザクションの発見が容易になりました。

手法2. Corda Node shellから実行

続いて、Corda Node shellからFinality Recovery Flowを実行する手法の紹介です。

ファイナリティリカバリーを行うflow idやtransactionのidは、次のコマンドにて確認できます。

続いて、Finality Recovery Flowの実行方法を５つほど紹介します。明記したid群は、あくまで一例です。

手法３. RPC Client経由での実行

最後に、RPC clientを立て、flow呼び出しコールを活用することで、外部からflowを呼び出すことが可能です。こちらの機能を用いて、FinalityRecoveryFlowを実行することが可能です。

※ 詳細は、flow呼び出しコール一覧を参照ください。

以下にRPC client経由で、Finality Recovery Flowを呼び出すコードを解説します。

1. まず複数のCorda nodeに対して、同一のインターフェースで、RPC接続を確立・管理するために、MultiRPCClientをインスタンス化します

val username = "testuser"
val password = "password"
val rpcHostAndPort = NetworkHostAndPort("localhost", 10006)
val flowClient = MultiRPCClient(rpcHostAndPort, FlowRPCOps::class.java, username, password).start().getOrThrow()

2. 続いて、Finality Recovery Flowの実行部分になります。こちらも手法１，２と同様、複数の呼び出し方法が存在します。

手法３を使用する場合は、サーバー側のリソースリーク（不要なリソースが解放されずに残り続けること）を防ぐために、処理が終了した段階で flowClient.close() を呼び出し、RPC clientを適切にクローズしてください。

備考

Ledger RecoveryのFinality Recovery Flowは、Corda enterpriseの機能がゆえ、コードは一般公開されていません。しかしながら、ドキュメントには限定的ですが、いくつか公開されている情報が存在します。

1. Corda nodeによって、FinalityRecoveryFlowが呼び出されると、Flowの送信者か受信者によって呼び出されるflowが異なります。
Copy

Initiator: `net.corda.node.internal.recovery.FinalityInitiatorRecoveryFlow`
Receiver: `net.corda.node.internal.recovery.FinalityPeerRecoveryFlow`

2. FinalityPeerRecoveryFlowの補助機能として、TransactionNotarizationCheckFlowが導入

Flowの受信者側は、送信側から送られてきたSignedTransactionが、Notarizationのプロセスを経たかどうかを確認することはできません。そこで、TransactionNotarizationCheckFlowを使用することで、目的のstateをReference stateとしてNotary側に問い合わせることで、トランザクション内のstateの消費状態を確認することができます。

まとめ

本記事では、Finality Recovery Flowの導入によって、双方向のリカバリーや手法の拡充をはじめ、リカバリーの柔軟性が大幅に向上しました。リカバリーの３種類の手法に関しては、テスト目的であればNode shellからの実行を、運用を意識するのであれば、RPC Client経由での実行をお勧めします。

✍️

Written by 井本 翔太 (Shota Imoto)

SBI R3 Japanインターン エンジニアリング部所属

Cordaの技術調査・検証や記事執筆など多岐に渡ります

趣味：英語学習（まだまだですが…）・テニス・映画鑑賞

イギリス大学院進学 2025年9月～🇬🇧

→筆者の記事一覧