<p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">GitOps CLIツール活用入門</h1> <p>GitOpsは、Gitリポジトリを宣言的なインフラストラクチャおよびアプリケーションの「唯一の真実の源 (Single Source of Truth)」として活用し、システムの状態を自動的に同期させる運用モデルです。このモデルにおいて、CLIツールは日々の操作、自動化スクリプト、緊急時の対応など、多岐にわたる重要な役割を担います。本記事では、GitOps環境でCLIツールを安全かつ効率的に活用するための具体的な方法を紹介します。</p> <h2 class="wp-block-heading">要件と前提</h2> <p>GitOpsにおけるCLIツールの活用は、以下の要件と前提に基づきます。</p> <h3 class="wp-block-heading">GitOpsの基本原則</h3> <p>GitOpsは、Infrastructure as Code (IaC) の原則に基づいており、Gitリポジトリに全てのシステム構成を記述します。これにより、変更履歴の追跡、ロールバック、コードレビューによる変更管理が可能になります。CLIツールは、このGitリポジトリの状態をKubernetesクラスタなどのターゲット環境に適用し、その状態を監視するために利用されます。</p> <h3 class="wp-block-heading">CLIツールの役割</h3> <ul class="wp-block-list"> <li><p><strong>CI/CDパイプラインへの組み込み</strong>: 自動化されたデプロイメントや同期処理をトリガーします。</p></li> <li><p><strong>緊急操作</strong>: 手動での介入が必要な状況で、迅速に状態を確認したり、限定的な変更を加えたりします。</p></li> <li><p><strong>監視とレポート</strong>: クラスタの状態、アプリケーションのヘルスチェック、同期状況などを定期的に取得し、レポートやアラートの材料とします。</p></li> </ul> <h3 class="wp-block-heading">前提知識</h3> <p>本記事のスクリプト例を理解するためには、以下の知識が役立ちます。</p> <ul class="wp-block-list"> <li><p>Linux/Unixの基本的なコマンド操作とBashスクリプトの作成</p></li> <li><p>Gitの基本的な操作</p></li> <li><p>YAML形式のファイル構造</p></li> <li><p>Kubernetesの基本的な概念と<code>kubectl</code>コマンド</p></li> <li><p>対象となるGitOpsツール（例: Argo CD, Flux CD）の基本操作</p></li> </ul> <h3 class="wp-block-heading">必要なツール</h3> <ul class="wp-block-list"> <li><p><code>git</code>: バージョン管理操作</p></li> <li><p><code>jq</code>: JSONデータの整形と抽出</p></li> <li><p><code>curl</code>: HTTP/HTTPS通信によるAPI連携</p></li> <li><p><code>kubectl</code>: Kubernetesクラスタ操作 (GitOpsツールがKubernetes上で動作する場合)</p></li> <li><p><code>argocd</code>または<code>flux</code>: 各GitOpsツールのCLI</p></li> </ul> <h2 class="wp-block-heading">実装</h2> <p>ここでは、GitOps CLIツールを安全に、そして効率的に活用するための具体的な実装方法を解説します。例としてArgo CD CLI (<code>argocd</code>) を用いますが、Flux CLI (<code>flux</code>) など他のGitOpsツールでも同様の原則が適用可能です。</p> <h3 class="wp-block-heading">安全なBashスクリプトの基本</h3> <p>CLIツールを使ったスクリプトは、意図しない挙動やエラーを防ぐために安全な書き方を心がける必要があります。</p> <h4 class="wp-block-heading"><code>set -euo pipefail</code> の活用</h4> <p>スクリプトの冒頭で <code>set -euo pipefail</code> を宣言することで、堅牢性が向上します。</p> <ul class="wp-block-list"> <li><p><code>set -e</code>: エラーが発生したコマンドがあった場合、スクリプトを即座に終了させます。</p></li> <li><p><code>set -u</code>: 未定義の変数を参照した場合、エラーとしてスクリプトを終了させます。</p></li> <li><p><code>set -o pipefail</code>: パイプライン (<code>|</code>) 内でいずれかのコマンドが失敗した場合、パイプライン全体の終了コードを失敗とします。これにより、途中のコマンドが失敗してもパイプラインの最終コマンドが成功したと見なされる問題を回避できます。</p></li> </ul> <h4 class="wp-block-heading"><code>trap</code> を用いたクリーンアップ処理と一時ディレクトリの利用</h4> <p>一時ファイルやディレクトリは、スクリプト終了時に確実に削除することが重要です。<code>trap</code> コマンドと <code>mktemp</code> を組み合わせることで、これを実現できます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash # シェルオプション: エラー時に即時終了、未定義変数禁止、パイプライン失敗時に全体を失敗とする set -euo pipefail # 一時ディレクトリの作成 # -d オプションでディレクトリを作成。mktempは一意な名前を生成し、セキュリティリスクを軽減する。 TMP_DIR=$(mktemp -d) echo "一時ディレクトリ: $TMP_DIR" # スクリプト終了時に一時ディレクトリを削除するトラップを設定 # EXITシグナルは、正常終了・異常終了にかかわらずスクリプトが終了する際に必ず実行される。 trap 'echo "クリーンアップ: 一時ディレクトリ $TMP_DIR を削除します"; rm -rf "$TMP_DIR"' EXIT # ここにCLIツールの処理を記述 # 例: 一時ディレクトリに設定ファイルをダウンロード CONFIG_FILE="$TMP_DIR/config.yaml" echo "--- apiVersion: apps/v1 kind: Deployment metadata: name: my-app spec: replicas: 1 ---" > "$CONFIG_FILE" echo "設定ファイル $CONFIG_FILE を作成しました。" # 実際の処理の例 (ダミー) echo "アプリケーションのデプロイメント状態を確認中..." # argocd app get my-app -o json > "$TMP_DIR/app_status.json" sleep 2 # 処理のシミュレーション echo "処理が完了しました。" # スクリプトの実行がここまで来れば、EXITトラップによってTMP_DIRが自動的に削除される。 </pre> </div> <h4 class="wp-block-heading">root権限の扱いと権限分離</h4> <p>GitOps CLIツールを自動化スクリプトやサービスとして実行する場合、root権限での実行は避けるべきです。</p> <ul class="wp-block-list"> <li><p><strong>最小権限の原則</strong>: スクリプトやサービスには、そのタスクを遂行するために必要最小限の権限のみを付与します。</p></li> <li><p><strong>専用ユーザーの作成</strong>: <code>argocd</code>コマンドなどを実行する専用のシステムユーザーを作成し、そのユーザーでサービスを実行します。Kubernetesクラスタへのアクセスに必要な<code>kubeconfig</code>ファイルやトークンも、そのユーザーのみがアクセスできる場所に配置し、適切なパーミッションを設定します。</p></li> <li><p><strong>User Unitの活用</strong>: <code>systemd</code>でサービスを定義する際、<code>[Service]</code>セクションに<code>User=gitops-user</code>、<code>Group=gitops-group</code>のように指定することで、非rootユーザーで実行できます。</p></li> </ul> <h3 class="wp-block-heading">GitOps CLIツール連携例</h3> <p>ここでは、Argo CD CLI (<code>argocd</code>) を使った具体的な操作例と、<code>jq</code>、<code>curl</code> との連携方法を示します。</p> <h4 class="wp-block-heading">Argo CDでのアプリケーション状態確認とjqによるJSON処理</h4> <p>Argo CDで管理されているアプリケーションの状態をJSON形式で取得し、<code>jq</code>で必要な情報を抽出する例です。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash set -euo pipefail # 前提: argocd CLIがインストールされており、Argo CDサーバへの認証が済んでいること。 # (例: argocd login <ARGOCD_SERVER> --username <USER> --password <PASS> ) # または環境変数ARGOCD_AUTH_TOKENが設定されていること。 APP_NAME="guestbook" # 確認したいアプリケーション名 echo "アプリケーション '$APP_NAME' の状態をJSONで取得します..." # argocd CLIでJSON形式の出力を取得し、jqでヘルスステータスを抽出 # [1] Argo CD CLI Reference: https://argo-cd.readthedocs.io/en/stable/cli_reference/ (最終更新: 2024-05-16) # [6] jq Manual: https://stedolan.github.io/jq/manual/ (jq 1.7.1リリース: 2023-08-01) APP_HEALTH_STATUS=$(argocd app get "$APP_NAME" -o json | jq -r '.status.health.status') echo "アプリケーション '$APP_NAME' のヘルスステータス: $APP_HEALTH_STATUS" if [ "$APP_HEALTH_STATUS" != "Healthy" ]; then echo "警告: アプリケーション '$APP_NAME' はHealthyではありません。" # 必要に応じて、さらに詳細なログを出力したり、アラートを送信する処理を追加 # argocd app get "$APP_NAME" -o wide # exit 1 # エラーとしてスクリプトを終了 fi </pre> </div> <h4 class="wp-block-heading">curlを用いたAPI連携（TLS、再試行、バックオフ）</h4> <p>GitOps環境では、外部サービス（例: GitHub, GitLab）のWebhookをトリガーしたり、ステータスを更新したりするためにHTTP/HTTPSリクエストを送信することがよくあります。<code>curl</code>はこれらの操作に非常に強力です。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash set -euo pipefail API_URL="https://api.github.com/repos/argoproj/argo-cd/releases/latest" OUTPUT_FILE="/tmp/argo_cd_latest_release.json" # curl コマンドの例 # [7] curl Man Page: https://curl.se/docs/manpage.html (curl 8.8.0リリース: 2024-05-15) # -sS: エラー表示のみ (Silent, Show errors) # --retry 5: 失敗時に最大5回再試行 # --retry-delay 5: 再試行間隔を5秒から開始 # --retry-max-time 60: 再試行を含めて最大60秒でタイムアウト # --cacert /etc/ssl/certs/ca-certificates.crt: システムのCA証明書を使用 (信頼された通信) # (自己署名証明書の場合は `--cacert path/to/your/ca.pem` を指定) # -o: 出力ファイルを指定 # -L: リダイレクトを追跡 echo "GitHub APIからArgo CDの最新リリース情報を取得します..." curl -sS --retry 5 --retry-delay 5 --retry-max-time 60 \ --cacert /etc/ssl/certs/ca-certificates.crt \ -L "$API_URL" -o "$OUTPUT_FILE" echo "最新リリース情報を $OUTPUT_FILE に保存しました。" # jqでバージョン情報を抽出 LATEST_VERSION=$(jq -r '.tag_name' "$OUTPUT_FILE") echo "Argo CDの最新バージョン: $LATEST_VERSION" # 例: WebhookをトリガーするPOSTリクエスト # WEBHOOK_URL="https://your-webhook-endpoint.com/trigger" # PAYLOAD='{"event":"gitops_sync_request", "repo":"my-app"}' # curl -sS -X POST -H "Content-Type: application/json" -d "$PAYLOAD" "$WEBHOOK_URL" </pre> </div> <h3 class="wp-block-heading">systemdとの連携</h3> <p>CLIスクリプトを定期的に実行したり、サービスとして永続的に管理したりする場合、<code>systemd</code>は強力なツールです。ここでは、定期的にGitOpsツールの状態を確認するサービスとタイマーの例を示します。</p> <h4 class="wp-block-heading">GitOps状態監視サービス（<code>gitops-status-checker.service</code>）</h4> <p><code>systemd.service</code>は、実行するコマンド、実行ユーザー、再起動ポリシーなどを定義します。</p> <p><code>/etc/systemd/system/gitops-status-checker.service</code></p> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=GitOps Application Status Checker After=network-online.target # ネットワークが利用可能になった後に起動 Wants=network-online.target [Service] # GitOps CLIツールを実行するスクリプトへのパス ExecStart=/usr/local/bin/check_gitops_status.sh # サービス実行時の作業ディレクトリ WorkingDirectory=/var/lib/gitops-checker # サービスを実行するユーザーとグループを指定（セキュリティ強化のため） User=gitops-user Group=gitops-group # サービスが失敗した場合に自動的に再起動 Restart=on-failure # 最大再起動回数や間隔を設定することも可能 (例: RestartSec=5 RestartSteps=5) # 環境変数が必要な場合は Environment=KEY=VALUE の形式で指定 # Environment=KUBECONFIG=/home/gitops-user/.kube/config [Install] WantedBy=multi-user.target # 通常のマルチユーザーシステム起動時に有効化 </pre> </div> <p><strong>注意</strong>: <code>User=gitops-user</code>と<code>Group=gitops-group</code>は、事前にシステムに作成しておく必要があります。また、このユーザーが<code>kubeconfig</code>ファイルや<code>argocd</code> CLIへの適切な権限を持っていることを確認してください。</p> <h4 class="wp-block-heading">スクリプト本体（<code>/usr/local/bin/check_gitops_status.sh</code>）</h4> <p>このスクリプトは、先に示した「Argo CDでのアプリケーション状態確認とjqによるJSON処理」の例をベースに作成します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash # /usr/local/bin/check_gitops_status.sh set -euo pipefail # Kubeconfigのパスを明示的に指定 (User Unitではないため、絶対パスが必要な場合がある) # export KUBECONFIG="/home/gitops-user/.kube/config" # 必要に応じてコメント解除 APP_NAME="guestbook" # 確認したいアプリケーション名 # ログはjournalctlで確認されるため、標準出力に出力 echo "$(date +'%Y-%m-%d %H:%M:%S') - アプリケーション '$APP_NAME' の状態を確認中..." # エラーハンドリングを強化し、必要に応じてSlack通知など if ! APP_STATUS_JSON=$(argocd app get "$APP_NAME" -o json 2>&1); then echo "ERROR: argocd コマンドの実行に失敗しました。" echo "$APP_STATUS_JSON" # エラーメッセージを出力 exit 1 fi APP_HEALTH_STATUS=$(echo "$APP_STATUS_JSON" | jq -r '.status.health.status') echo "アプリケーション '$APP_NAME' のヘルスステータス: $APP_HEALTH_STATUS" if [ "$APP_HEALTH_STATUS" != "Healthy" ]; then echo "CRITICAL: アプリケーション '$APP_NAME' はHealthyではありません。要確認！" # ここにアラート通知ロジック (例: curlでSlack WebhookにPOST) を追加 # curl -X POST -H 'Content-type: application/json' --data '{"text":"GitOps Status Alert: App '"$APP_NAME"' is '"$APP_HEALTH_STATUS"'"}' YOUR_SLACK_WEBHOOK_URL exit 1 # systemdに失敗を伝える fi echo "$(date +'%Y-%m-%d %H:%M:%S') - アプリケーション '$APP_NAME' はHealthyです。" </pre> </div> <p>このスクリプトに実行権限を付与します: <code>sudo chmod +x /usr/local/bin/check_gitops_status.sh</code></p> <h4 class="wp-block-heading">定期実行タイマー（<code>gitops-status-checker.timer</code>）</h4> <p><code>systemd.timer</code>は、指定されたサービスユニットをスケジュールに基づいて起動します。</p> <p><code>/etc/systemd/system/gitops-status-checker.timer</code></p> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Run GitOps Application Status Checker hourly [Timer] # 毎時実行 (例: 毎時0分) OnCalendar=hourly # または具体的な時刻 (例: 毎日午前3時) # OnCalendar=*-*-* 03:00:00 # システム起動後5分後に初回実行、その後OnCalendarに従う # OnBootSec=5min # 最後に実行されてから指定時間経過後に起動 # OnUnitActiveSec=1h [Install] WantedBy=timers.target # タイマーが有効になるための標準的なターゲット </pre> </div> <h4 class="wp-block-heading">systemdサービスの有効化と起動</h4> <ol class="wp-block-list"> <li><p><strong>systemd設定のリロード</strong>: 新しいユニットファイルを認識させる</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl daemon-reload </pre> </div></li> <li><p><strong>タイマーの有効化と起動</strong>:</p> <div class="codehilite"> <pre data-enlighter-language="generic">sudo systemctl enable gitops-status-checker.timer # 起動時にタイマーを有効化 sudo systemctl start gitops-status-checker.timer # タイマーを今すぐ起動 </pre> </div></li> <li><p><strong>タイマーとサービスの状態確認</strong>:</p> <div class="codehilite"> <pre data-enlighter-language="generic">systemctl status gitops-status-checker.timer systemctl status gitops-status-checker.service </pre> </div> <p>タイマーが正常に動作していれば、スケジュールされた時間にサービスが起動されます。</p></li> </ol> <h4 class="wp-block-heading">Mermaid図: GitOps CLIワークフロー</h4> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["開発者/CI/CD"] --> B{"GitOps CLIスクリプト実行"}; B --> C["安全なBashスクリプト環境"]; C --> D{"CLIコマンド実行"}; D -- Kubernetes API操作 --> E["Kubernetes Cluster"]; E -- Gitリポジトリ同期 --> F["Git Repository"]; D -- 外部API連携 (例: GitHub API) --> G["外部サービス"]; C -- ログ出力 --> H["Systemd Journal/ログファイル"]; C -- 状態取得/結果出力 --> I["標準出力/JSON"]; I -- jq処理 --> J["整形済み出力"]; </pre></div> <h2 class="wp-block-heading">検証</h2> <p>作成したスクリプトや<code>systemd</code>サービスは、本番環境に適用する前に十分な検証が必要です。</p> <ul class="wp-block-list"> <li><p><strong>ドライラン/ステージング環境</strong>: 可能な限り、本番環境と同等のステージング環境でスクリプトを実行し、意図した通りの動作と結果が得られるかを確認します。</p></li> <li><p><strong>ログ確認</strong>: <code>journalctl -u gitops-status-checker.service</code> を使用して、サービスが期待通りに実行され、エラーが発生していないかを確認します。スクリプト内の<code>echo</code>出力は、このログに記録されます。</p></li> <li><p><strong>エラーパスのテスト</strong>: 意図的にCLIコマンドを失敗させる、ネットワーク接続を切断するなどして、スクリプトのエラーハンドリングが正しく機能するかをテストします。</p></li> </ul> <h2 class="wp-block-heading">運用</h2> <p>GitOps CLIツールを組み込んだシステムを安定して運用するためには、以下の点に留意します。</p> <ul class="wp-block-list"> <li><p><strong>CI/CDパイプラインへの組み込み</strong>: 手動実行ではなく、CI/CDパイプラインの一部としてGitOps CLIスクリプトを自動実行することが理想です。これにより、一貫性と信頼性が向上します。</p></li> <li><p><strong>監視とアラート</strong>: <code>systemd</code>サービスからのログ出力を監視システム（Prometheus/Grafana, ELK Stackなど）に取り込み、異常があった際にはアラートを発する仕組みを構築します。</p></li> <li><p><strong>バージョン管理とアップデート戦略</strong>: CLIツール自体も定期的に更新されます。<code>argocd</code>や<code>flux</code>などのCLIツールのバージョンはGitで管理し、CI/CDプロセスを通じて安全にアップデートする戦略を立てましょう。</p></li> </ul> <h2 class="wp-block-heading">トラブルシュート</h2> <p>CLIツールを使ったスクリプトのトラブルシューティングは、体系的なアプローチが重要です。</p> <ul class="wp-block-list"> <li><p><strong>CLIエラーメッセージの解読</strong>: 各CLIツールは通常、詳細なエラーメッセージを出力します。まずはそのメッセージを注意深く読み、問題の原因を特定します。必要に応じて、公式ドキュメントやオンラインリソースでエラーコードやメッセージの意味を調べます。</p></li> <li><p><strong>ログ分析</strong>: <code>journalctl -u <unit_name></code> コマンドで<code>systemd</code>サービスのログを確認します。スクリプトが生成するログや、CLIツール自身のデバッグ出力を参照します。スクリプトに<code>set -x</code>を追加することで、実行されるコマンドとその引数を詳細にトレースできます（デバッグ時のみ使用し、本番環境では削除）。</p></li> <li><p><strong>ネットワーク問題</strong>: <code>curl</code>などがネットワークエラーで失敗する場合、<code>ping</code>, <code>traceroute</code>, <code>netstat</code>, <code>ss</code>などのツールを使って接続性やポートの問題を確認します。ファイアウォールやプロキシの設定も確認が必要です。</p></li> </ul> <h2 class="wp-block-heading">まとめ</h2> <p>GitOpsの文脈において、CLIツールは宣言的な管理と自動化を補完する不可欠な要素です。本記事では、GitOps CLIツールを安全なBashスクリプトとして記述する方法、<code>jq</code>や<code>curl</code>といった汎用ツールと連携させる方法、そして<code>systemd</code>を利用してこれらをサービスとして管理する方法について解説しました。 <code>set -euo pipefail</code>や<code>trap</code>による安全なスクリプト作成、最小権限の原則に基づく権限分離、そして<code>systemd</code>による堅牢なサービス管理は、GitOps環境の安定稼働に不可欠です。これらのプラクティスを導入することで、DevOpsエンジニアはより信頼性が高く、運用しやすいGitOpsワークフローを構築できるでしょう。</p>

#!/bin/bash


# シェルオプション: エラー時に即時終了、未定義変数禁止、パイプライン失敗時に全体を失敗とする

set -euo pipefail

# 一時ディレクトリの作成


# -d オプションでディレクトリを作成。mktempは一意な名前を生成し、セキュリティリスクを軽減する。

TMP_DIR=$(mktemp -d)
echo "一時ディレクトリ: $TMP_DIR"

# スクリプト終了時に一時ディレクトリを削除するトラップを設定


# EXITシグナルは、正常終了・異常終了にかかわらずスクリプトが終了する際に必ず実行される。

trap 'echo "クリーンアップ: 一時ディレクトリ $TMP_DIR を削除します"; rm -rf "$TMP_DIR"' EXIT

# ここにCLIツールの処理を記述


# 例: 一時ディレクトリに設定ファイルをダウンロード

CONFIG_FILE="$TMP_DIR/config.yaml"
echo "---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
spec:
  replicas: 1
---" > "$CONFIG_FILE"
echo "設定ファイル $CONFIG_FILE を作成しました。"

# 実際の処理の例 (ダミー)

echo "アプリケーションのデプロイメント状態を確認中..."

# argocd app get my-app -o json > "$TMP_DIR/app_status.json"

sleep 2 # 処理のシミュレーション

echo "処理が完了しました。"

# スクリプトの実行がここまで来れば、EXITトラップによってTMP_DIRが自動的に削除される。

#!/bin/bash

set -euo pipefail

# 前提: argocd CLIがインストールされており、Argo CDサーバへの認証が済んでいること。


#       (例: argocd login <ARGOCD_SERVER> --username <USER> --password <PASS> )


#       または環境変数ARGOCD_AUTH_TOKENが設定されていること。

APP_NAME="guestbook" # 確認したいアプリケーション名

echo "アプリケーション '$APP_NAME' の状態をJSONで取得します..."

# argocd CLIでJSON形式の出力を取得し、jqでヘルスステータスを抽出


# [1] Argo CD CLI Reference: https://argo-cd.readthedocs.io/en/stable/cli_reference/ (最終更新: 2024-05-16)


# [6] jq Manual: https://stedolan.github.io/jq/manual/ (jq 1.7.1リリース: 2023-08-01)

APP_HEALTH_STATUS=$(argocd app get "$APP_NAME" -o json | jq -r '.status.health.status')

echo "アプリケーション '$APP_NAME' のヘルスステータス: $APP_HEALTH_STATUS"

if [ "$APP_HEALTH_STATUS" != "Healthy" ]; then
    echo "警告: アプリケーション '$APP_NAME' はHealthyではありません。"

    # 必要に応じて、さらに詳細なログを出力したり、アラートを送信する処理を追加


    # argocd app get "$APP_NAME" -o wide


    # exit 1 # エラーとしてスクリプトを終了

fi

#!/bin/bash

set -euo pipefail

API_URL="https://api.github.com/repos/argoproj/argo-cd/releases/latest"
OUTPUT_FILE="/tmp/argo_cd_latest_release.json"

# curl コマンドの例


# [7] curl Man Page: https://curl.se/docs/manpage.html (curl 8.8.0リリース: 2024-05-15)


# -sS: エラー表示のみ (Silent, Show errors)


# --retry 5: 失敗時に最大5回再試行


# --retry-delay 5: 再試行間隔を5秒から開始


# --retry-max-time 60: 再試行を含めて最大60秒でタイムアウト


# --cacert /etc/ssl/certs/ca-certificates.crt: システムのCA証明書を使用 (信頼された通信)


#          (自己署名証明書の場合は `--cacert path/to/your/ca.pem` を指定)


# -o: 出力ファイルを指定


# -L: リダイレクトを追跡

echo "GitHub APIからArgo CDの最新リリース情報を取得します..."
curl -sS --retry 5 --retry-delay 5 --retry-max-time 60 \
     --cacert /etc/ssl/certs/ca-certificates.crt \
     -L "$API_URL" -o "$OUTPUT_FILE"

echo "最新リリース情報を $OUTPUT_FILE に保存しました。"

# jqでバージョン情報を抽出

LATEST_VERSION=$(jq -r '.tag_name' "$OUTPUT_FILE")
echo "Argo CDの最新バージョン: $LATEST_VERSION"

# 例: WebhookをトリガーするPOSTリクエスト


# WEBHOOK_URL="https://your-webhook-endpoint.com/trigger"


# PAYLOAD='{"event":"gitops_sync_request", "repo":"my-app"}'


# curl -sS -X POST -H "Content-Type: application/json" -d "$PAYLOAD" "$WEBHOOK_URL"

[Unit]
Description=GitOps Application Status Checker
After=network-online.target # ネットワークが利用可能になった後に起動
Wants=network-online.target

[Service]

# GitOps CLIツールを実行するスクリプトへのパス

ExecStart=/usr/local/bin/check_gitops_status.sh

# サービス実行時の作業ディレクトリ

WorkingDirectory=/var/lib/gitops-checker

# サービスを実行するユーザーとグループを指定（セキュリティ強化のため）

User=gitops-user
Group=gitops-group

# サービスが失敗した場合に自動的に再起動

Restart=on-failure

# 最大再起動回数や間隔を設定することも可能 (例: RestartSec=5 RestartSteps=5)


# 環境変数が必要な場合は Environment=KEY=VALUE の形式で指定


# Environment=KUBECONFIG=/home/gitops-user/.kube/config

[Install]
WantedBy=multi-user.target # 通常のマルチユーザーシステム起動時に有効化

#!/bin/bash


# /usr/local/bin/check_gitops_status.sh

set -euo pipefail

# Kubeconfigのパスを明示的に指定 (User Unitではないため、絶対パスが必要な場合がある)


# export KUBECONFIG="/home/gitops-user/.kube/config" # 必要に応じてコメント解除

APP_NAME="guestbook" # 確認したいアプリケーション名

# ログはjournalctlで確認されるため、標準出力に出力

echo "$(date +'%Y-%m-%d %H:%M:%S') - アプリケーション '$APP_NAME' の状態を確認中..."

# エラーハンドリングを強化し、必要に応じてSlack通知など

if ! APP_STATUS_JSON=$(argocd app get "$APP_NAME" -o json 2>&1); then
    echo "ERROR: argocd コマンドの実行に失敗しました。"
    echo "$APP_STATUS_JSON" # エラーメッセージを出力
    exit 1
fi

APP_HEALTH_STATUS=$(echo "$APP_STATUS_JSON" | jq -r '.status.health.status')

echo "アプリケーション '$APP_NAME' のヘルスステータス: $APP_HEALTH_STATUS"

if [ "$APP_HEALTH_STATUS" != "Healthy" ]; then
    echo "CRITICAL: アプリケーション '$APP_NAME' はHealthyではありません。要確認！"

    # ここにアラート通知ロジック (例: curlでSlack WebhookにPOST) を追加


    # curl -X POST -H 'Content-type: application/json' --data '{"text":"GitOps Status Alert: App '"$APP_NAME"' is '"$APP_HEALTH_STATUS"'"}' YOUR_SLACK_WEBHOOK_URL

    exit 1 # systemdに失敗を伝える
fi

echo "$(date +'%Y-%m-%d %H:%M:%S') - アプリケーション '$APP_NAME' はHealthyです。"

[Unit]
Description=Run GitOps Application Status Checker hourly

[Timer]

# 毎時実行 (例: 毎時0分)

OnCalendar=hourly

# または具体的な時刻 (例: 毎日午前3時)


# OnCalendar=*-*-* 03:00:00


# システム起動後5分後に初回実行、その後OnCalendarに従う


# OnBootSec=5min


# 最後に実行されてから指定時間経過後に起動


# OnUnitActiveSec=1h

[Install]
WantedBy=timers.target # タイマーが有効になるための標準的なターゲット

graph TD
    A["開発者/CI/CD"] --> B{"GitOps CLIスクリプト実行"};
    B --> C["安全なBashスクリプト環境"];
    C --> D{"CLIコマンド実行"};
    D -- Kubernetes API操作 --> E["Kubernetes Cluster"];
    E -- Gitリポジトリ同期 --> F["Git Repository"];
    D -- 外部API連携 (例: GitHub API) --> G["外部サービス"];
    C -- ログ出力 --> H["Systemd Journal/ログファイル"];
    C -- 状態取得/結果出力 --> I["標準出力/JSON"];
    I -- jq処理 --> J["整形済み出力"];