<p><meta/> { “focus”: “Robust Shell Scripting & Error Handling”, “technologies”: [“Bash”, “set -euo pipefail”, “trap”, “jq”, “curl”, “systemd”], “approach”: “SRE-driven Automation Draft” } 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">堅牢な運用自動化：シェルスクリプトの障害耐性と安全なリソース管理の徹底</h1> <p>【導入と前提】 API経由でのメタデータ取得と資材の更新処理を自動化し、エラー発生時に不整合な状態を残さない堅牢な仕組みを構築します。 前提環境：GNU/Linux (Bash 4.4+), curl, jq 1.6+, 標準的なcoreutils。</p> <p>【処理フローと設計】</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["スクリプト開始"] --> B["trap設定/一時ファイル作成"] B --> C["APIリクエスト: curl"] C --> D["JSON解析: jq"] D --> E{"バリデーション"} E -->|OK| F["資材のダウンロード/配置"] E -->|NG| G["エラー終了"] F --> H["後処理/正常終了"] G --> I["trap発動: クリーンアップ"] H --> I </pre></div> <p>実行開始と同時に終了トラップを定義し、処理の成否に関わらず一時ファイルを破棄することで、システム内のゴミ蓄積（副作用）を最小限に抑えます。</p> <p>【実装：堅牢な自動化スクリプト】</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/usr/bin/env bash # 堅牢な動作設定 set -euo pipefail # -e: コマンドの失敗で即時終了 # -u: 未定義変数の参照でエラー # -o pipefail: パイプ途中の失敗を最終的な戻り値に反映 # ロギング関数 log() { echo "[$(date +'%Y-%m-%dT%H:%M:%S%z')] $*" } # クリーンアップ関数（trapで実行） cleanup() { local exit_code=$? if [[ -f "${TMP_FILE:-}" ]]; then rm -f "$TMP_FILE" log "INFO: Temporary file removed." fi log "INFO: Script finished with exit code $exit_code." } # シグナル/終了時のトラップ登録 trap cleanup EXIT trap 'log "ERROR: Script interrupted by user"; exit 130' INT TERM # 変数定義 API_ENDPOINT="https://api.example.com/v1/config" TMP_FILE=$(mktemp /tmp/deploy_config.XXXXXX) log "INFO: Starting operation..." # APIからJSONを取得し、jqで特定の値を抽出 # -s: サイレント, -S: エラー表示, -f: HTTPエラーを戻り値に反映 # -L: リダイレクト追従 log "INFO: Fetching configuration from $API_ENDPOINT" curl -sSfL "$API_ENDPOINT" -o "$TMP_FILE" # jqによるJSONバリデーションと値の抽出 # raw-output (-r) でクォートを除去 DEPLOY_VERSION=$(jq -r '.version // empty' "$TMP_FILE") if [[ -z "$DEPLOY_VERSION" ]]; then log "ERROR: Failed to parse version from JSON." exit 1 fi log "INFO: Target version detected: $DEPLOY_VERSION" # 実際の配置処理（例） # ここで失敗しても set -e により即座に cleanup が走り、不完全な状態での続行を防止 # cp "$TMP_FILE" "/etc/myapp/config.json" log "SUCCESS: Operation completed successfully." </pre> </div> <h3 class="wp-block-heading">systemd タイマー設定例</h3> <p>定期実行が必要な場合は、以下のユニットファイルを作成して冪等性を維持した運用を行います。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># /etc/systemd/system/myapp-update.service [Unit] Description=Robust Config Update Script [Service] Type=oneshot ExecStart=/usr/local/bin/update-script.sh User=deploy-user # 環境変数の分離 EnvironmentFile=/etc/default/myapp-update [Install] WantedBy=multi-user.target </pre> </div> <p>【検証と運用】</p> <ol class="wp-block-list"> <li><p><strong>構文チェック</strong>: <code>bash -n script.sh</code> で静的解析を実施。</p></li> <li><p><strong>正常系テスト</strong>: スクリプトを実行し、終了コード <code>echo $?</code> が <code>0</code> であること、および <code>/tmp</code> にゴミが残っていないことを確認。</p></li> <li><p><strong>異常系テスト</strong>: </p> <ul> <li><p><code>curl</code> 先のURLを無効なものに変え、<code>set -e</code> により即時停止するか確認。</p></li> <li><p><code>journalctl -u myapp-update.service</code> で実行ログと終了ステータスを追跡。</p></li> </ul></li> </ol> <p>【トラブルシューティングと落とし穴】</p> <ul class="wp-block-list"> <li><p><strong>pipefailの副作用</strong>: <code>grep</code> でヒットがない場合も終了コード <code>1</code> を返すため、意図せずスクリプトが止まる場合があります。その場合は <code>command | grep pattern || true</code> 等で許容します。</p></li> <li><p><strong>権限管理</strong>: スクリプト内での <code>sudo</code> 利用は避け、systemd ユニットの <code>User=</code> オプションで適切な権限を付与してください。</p></li> <li><p><strong>環境変数の漏洩</strong>: APIキーなどの機密情報はスクリプト内にハードコードせず、<code>EnvironmentFile</code> または <code>export</code> 済みの変数から読み込みます。</p></li> </ul> <p>【まとめ】</p> <ol class="wp-block-list"> <li><p><strong>エラーの早期検知</strong>: <code>set -euo pipefail</code> で「静かに失敗する」のを防ぐ。</p></li> <li><p><strong>確実な後処理</strong>: <code>trap</code> を用いて、異常終了時でも一時ファイルやロックを確実に解放する。</p></li> <li><p><strong>疎結合な設計</strong>: ロジック（Bash）と外部設定（EnvironmentFile）を分離し、環境差分を吸収する。</p></li> </ol>

graph TD
A["スクリプト開始"] --> B["trap設定/一時ファイル作成"]
B --> C["APIリクエスト: curl"]
C --> D["JSON解析: jq"]
D --> E{"バリデーション"}
E -->|OK| F["資材のダウンロード/配置"]
E -->|NG| G["エラー終了"]
F --> H["後処理/正常終了"]
G --> I["trap発動: クリーンアップ"]
H --> I

#!/usr/bin/env bash

# 堅牢な動作設定

set -euo pipefail

# -e: コマンドの失敗で即時終了


# -u: 未定義変数の参照でエラー


# -o pipefail: パイプ途中の失敗を最終的な戻り値に反映

# ロギング関数

log() {
  echo "[$(date +'%Y-%m-%dT%H:%M:%S%z')] $*"
}

# クリーンアップ関数（trapで実行）

cleanup() {
  local exit_code=$?
  if [[ -f "${TMP_FILE:-}" ]]; then
    rm -f "$TMP_FILE"
    log "INFO: Temporary file removed."
  fi
  log "INFO: Script finished with exit code $exit_code."
}

# シグナル/終了時のトラップ登録

trap cleanup EXIT
trap 'log "ERROR: Script interrupted by user"; exit 130' INT TERM

# 変数定義

API_ENDPOINT="https://api.example.com/v1/config"
TMP_FILE=$(mktemp /tmp/deploy_config.XXXXXX)

log "INFO: Starting operation..."

# APIからJSONを取得し、jqで特定の値を抽出


# -s: サイレント, -S: エラー表示, -f: HTTPエラーを戻り値に反映


# -L: リダイレクト追従

log "INFO: Fetching configuration from $API_ENDPOINT"
curl -sSfL "$API_ENDPOINT" -o "$TMP_FILE"

# jqによるJSONバリデーションと値の抽出


# raw-output (-r) でクォートを除去

DEPLOY_VERSION=$(jq -r '.version // empty' "$TMP_FILE")

if [[ -z "$DEPLOY_VERSION" ]]; then
  log "ERROR: Failed to parse version from JSON."
  exit 1
fi

log "INFO: Target version detected: $DEPLOY_VERSION"

# 実際の配置処理（例）


# ここで失敗しても set -e により即座に cleanup が走り、不完全な状態での続行を防止


# cp "$TMP_FILE" "/etc/myapp/config.json"

log "SUCCESS: Operation completed successfully."

# /etc/systemd/system/myapp-update.service

[Unit]
Description=Robust Config Update Script

[Service]
Type=oneshot
ExecStart=/usr/local/bin/update-script.sh
User=deploy-user

# 環境変数の分離

EnvironmentFile=/etc/default/myapp-update

[Install]
WantedBy=multi-user.target