<p><!-- META: VERSION=1.1 STYLE=SRE_TECHNICAL_DRAFT CATEGORY=SHELL_AUTOMATION --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">堅牢なシェルスクリプト設計：API連携を伴うデプロイ自動化の失敗耐性向上</h1> <p>【導入と前提】 外部APIから構成定義をJSONで取得し、システムへ安全に反映するための自動化スクリプトの堅牢化手法を解説します。</p> <ul class="wp-block-list"> <li><strong>実行環境</strong>: GNU/Linux (Ubuntu/Debian推奨), Bash 4.4+, curl, jq</li> </ul> <p>【処理フローと設計】</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["開始"] --> B["一時ファイルの作成"] B --> C["APIからJSON取得: curl"] C --> D{"取得成功?"} D -- No --> E["Error Trap起動"] D -- Yes --> F["JSON解析・フィルタ: jq"] F --> G["システム更新処理"] G --> H["終了・一時ファイル削除"] E --> I["ロールバック/通知"] I --> H </pre></div> <p>スクリプトは開始時に一時ファイルを確保し、途中でエラーが発生した場合や正常終了時に、<code>trap</code>を用いて確実にリソースを解放します。<code>set -euo pipefail</code>により、多段パイプラインの途中の失敗も検知可能です。</p> <p>【実装：堅牢な自動化スクリプト】</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/usr/bin/env bash # -e: エラー発生時に即座に終了 # -u: 未定義変数の参照時にエラー # -o pipefail: パイプライン途中のエラーも戻り値に反映 set -euo pipefail # ロギング関数 log() { echo "[$(date +'%Y-%m-%dT%H:%M:%S%z')] $1" } # 異常終了時および終了時のクリーンアップ処理 cleanup() { local exit_code=$? if [ -f "${TMP_JSON:-}" ]; then rm -f "$TMP_JSON" # 一時ファイルの確実な削除 log "Cleanup: Temporary files removed." fi if [ $exit_code -ne 0 ]; then log "Error: Script failed with exit code $exit_code." fi } # 終了時、またはシグナル受信時にcleanupを実行 trap cleanup EXIT trap 'exit 1' INT TERM # 環境変数と設定 API_URL="https://api.example.com/v1/config" TMP_JSON=$(mktemp /tmp/deploy_config.XXXXXX.json) # 安全な一時ファイル作成 log "Step 1: Fetching configuration from API..." # curlの堅牢な実行 # -s: 進捗非表示, -S: エラー時は表示, -f: HTTPエラーを終了コードに反映, -L: リダイレクト追従 # --retry: 一時的なネットワークエラーへの対応 curl -sSfL --retry 3 --retry-delay 5 "$API_URL" -o "$TMP_JSON" log "Step 2: Parsing configuration..." # jqによるJSONバリデーションと値抽出 # r: 生出力, e: 終了コードに結果を反映 (値がnull等の場合に便利) APP_VERSION=$(jq -re '.version' "$TMP_JSON") DEPLOY_TARGET=$(jq -re '.target_dir' "$TMP_JSON") log "Step 3: Applying deployment to $DEPLOY_TARGET (Version: $APP_VERSION)..." # 実際の処理（例：ディレクトリ作成やファイル配置） # ここで失敗しても set -e により即座に停止し、trapが呼ばれる mkdir -p "$DEPLOY_TARGET" # cp /path/to/artifact "$DEPLOY_TARGET/" log "Success: Deployment completed." </pre> </div> <h3 class="wp-block-heading">systemd ユニットファイル設定例</h3> <p>定時実行を行う場合は、<code>Type=oneshot</code> を用いて、スクリプトの終了コードを監視します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Robust Config Updater After=network-online.target [Service] Type=oneshot ExecStart=/usr/local/bin/deploy_script.sh User=deploy-user Group=deploy-user # 環境変数の漏洩防止 EnvironmentFile=-/etc/default/deploy_script [Install] WantedBy=multi-user.target </pre> </div> <p>【検証と運用】</p> <ul class="wp-block-list"> <li><p><strong>正常系の確認</strong>: <code>systemctl start deploy_script.service</code> 実行後、<code>journalctl -u deploy_script.service</code> でタイムスタンプ付きのログを確認。</p></li> <li><p><strong>異常系の確認</strong>: <code>API_URL</code> を存在しないURLに変更し、スクリプトが即座に中断され、<code>Cleanup</code> メッセージが出力されるか確認。</p></li> </ul> <p>【トラブルシューティングと落とし穴】</p> <ul class="wp-block-list"> <li><p><strong>sudoの扱い</strong>: スクリプト内で <code>sudo</code> を多用すると、非対話実行（Cron/Timer）でパスワード入力待ちとなり停止します。<code>NOPASSWD</code> 設定を行うか、Unitファイル側で実行 <code>User</code> を指定してください。</p></li> <li><p><strong>一時ファイルの競合</strong>: <code>mktemp</code> を使用せず <code>/tmp/config.json</code> のように固定名にすると、複数インスタンス実行時に競合や権限エラーが発生します。</p></li> <li><p><strong>環境変数の漏洩</strong>: <code>set -x</code> (デバッグモード) は、APIトークンなどの機密情報もログに出力するため、本番環境のデフォルトでは使用しないでください。</p></li> </ul> <p>【まとめ】</p> <ol class="wp-block-list"> <li><p><strong>フェイルファースト</strong>: <code>set -euo pipefail</code> で、小さな不整合も見逃さず停止させる。</p></li> <li><p><strong>後始末の徹底</strong>: <code>trap</code> を使い、成功・失敗に関わらず一時ファイルやロックを解除する。</p></li> <li><p><strong>外部依存の制御</strong>: <code>curl</code> のリトライや <code>jq</code> のバリデーションにより、不確実な外部入力をフィルタする。</p></li> </ol>

graph TD
A["開始"] --> B["一時ファイルの作成"]
B --> C["APIからJSON取得: curl"]
C --> D{"取得成功?"}
D -- No --> E["Error Trap起動"]
D -- Yes --> F["JSON解析・フィルタ: jq"]
F --> G["システム更新処理"]
G --> H["終了・一時ファイル削除"]
E --> I["ロールバック/通知"]
I --> H

#!/usr/bin/env bash

# -e: エラー発生時に即座に終了


# -u: 未定義変数の参照時にエラー


# -o pipefail: パイプライン途中のエラーも戻り値に反映

set -euo pipefail

# ロギング関数

log() {
    echo "[$(date +'%Y-%m-%dT%H:%M:%S%z')] $1"
}

# 異常終了時および終了時のクリーンアップ処理

cleanup() {
    local exit_code=$?
    if [ -f "${TMP_JSON:-}" ]; then
        rm -f "$TMP_JSON" # 一時ファイルの確実な削除
        log "Cleanup: Temporary files removed."
    fi
    if [ $exit_code -ne 0 ]; then
        log "Error: Script failed with exit code $exit_code."
    fi
}

# 終了時、またはシグナル受信時にcleanupを実行

trap cleanup EXIT
trap 'exit 1' INT TERM

# 環境変数と設定

API_URL="https://api.example.com/v1/config"
TMP_JSON=$(mktemp /tmp/deploy_config.XXXXXX.json) # 安全な一時ファイル作成

log "Step 1: Fetching configuration from API..."

# curlの堅牢な実行


# -s: 進捗非表示, -S: エラー時は表示, -f: HTTPエラーを終了コードに反映, -L: リダイレクト追従


# --retry: 一時的なネットワークエラーへの対応

curl -sSfL --retry 3 --retry-delay 5 "$API_URL" -o "$TMP_JSON"

log "Step 2: Parsing configuration..."

# jqによるJSONバリデーションと値抽出


# r: 生出力, e: 終了コードに結果を反映 (値がnull等の場合に便利)

APP_VERSION=$(jq -re '.version' "$TMP_JSON")
DEPLOY_TARGET=$(jq -re '.target_dir' "$TMP_JSON")

log "Step 3: Applying deployment to $DEPLOY_TARGET (Version: $APP_VERSION)..."

# 実際の処理（例：ディレクトリ作成やファイル配置）


# ここで失敗しても set -e により即座に停止し、trapが呼ばれる

mkdir -p "$DEPLOY_TARGET"

# cp /path/to/artifact "$DEPLOY_TARGET/"

log "Success: Deployment completed."

[Unit]
Description=Robust Config Updater
After=network-online.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/deploy_script.sh
User=deploy-user
Group=deploy-user

# 環境変数の漏洩防止

EnvironmentFile=-/etc/default/deploy_script

[Install]
WantedBy=multi-user.target