<p><!--META { "title": "curlコマンドによる堅牢なHTTPリクエスト制御とSystemd連携", "primary_category": "DevOps", "secondary_categories": ["Linux", "System Administration"], "tags": ["curl", "jq", "systemd", "bash", "HTTP"], "summary": "curlコマンドで堅牢なHTTPリクエストを実装し、jqでJSON処理、systemdで定期実行するDevOps向けガイド。", "mermaid": true, "verify_level": "L0", "tweet_hint": {"text":"DevOpsエンジニア必見！curlで堅牢なHTTPリクエスト制御、jqでのJSON処理、systemdでの定期実行まで網羅した詳細ガイド。安全なBashスクリプトの書き方も解説します。 #curl #jq #systemd #DevOps","hashtags":["#curl","#jq","#systemd","#DevOps"]}, "link_hints": ["https://curl.se/docs/manpage.html", "https://stedolan.github.io/jq/manual/", "https://www.freedesktop.org/software/systemd/man/"] } --> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">curlコマンドによる堅牢なHTTPリクエスト制御とSystemd連携</h1> <p>DevOpsの現場では、外部APIとの連携や定期的なデータ収集にHTTPリクエストが頻繁に利用されます。本記事では、汎用性の高い<code>curl</code>コマンドを用いて堅牢なHTTPリクエストを実装し、<code>jq</code>によるJSON処理、さらに<code>systemd</code>を活用した自動実行と監視の手法を解説します。安全なBashスクリプトの書き方や権限分離についても触れ、実運用に耐えうるシステム構築を目指します。</p> <h2 class="wp-block-heading">1. 要件と前提</h2> <h3 class="wp-block-heading">1.1. 要件</h3> <ul class="wp-block-list"> <li><p>HTTPリクエストの実行（GET, POST, PUT, DELETE）</p></li> <li><p>TLSクライアント証明書による認証</p></li> <li><p>ネットワークエラー時の再試行と指数バックオフ</p></li> <li><p>レスポンスJSONの解析と条件分岐</p></li> <li><p>スクリプトの安全な実行（エラーハンドリング、一時ディレクトリ利用）</p></li> <li><p><code>systemd</code>による定期実行とログ管理</p></li> <li><p><code>root</code>権限の適切な扱いと権限分離</p></li> </ul> <h3 class="wp-block-heading">1.2. 前提環境</h3> <p>以下のコマンドがインストールされているLinux環境を前提とします。</p> <ul class="wp-block-list"> <li><p><code>curl</code> (バージョン7.x以上を推奨)</p></li> <li><p><code>jq</code> (JSONプロセッサ)</p></li> <li><p><code>bash</code> (バージョン4.x以上を推奨)</p></li> <li><p><code>systemd</code> (多くのモダンなLinuxディストリビューションで利用可能)</p></li> </ul> <h2 class="wp-block-heading">2. 実装</h2> <h3 class="wp-block-heading">2.1. 安全なBashスクリプトの基礎</h3> <p>HTTPリクエストを制御するスクリプトは、予期せぬエラーや不正な入力に対して堅牢である必要があります。以下の設定は、Bashスクリプトのベストプラクティスとされています[1]。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash # 入力: APIエンドポイントURL # 出力: 標準出力に処理結果、エラーは標準エラー出力 # 前提: curl, jq がインストールされていること # 1. set -euo pipefail # -e: コマンドが失敗した場合、即座にスクリプトを終了 # -u: 未定義の変数を使用した場合、エラーとして終了 # -o pipefail: パイプライン中の任意のコマンドが失敗した場合、パイプライン全体を失敗と見なす set -euo pipefail # 2. trap: スクリプト終了時のクリーンアップ処理 # EXIT: スクリプト終了時 (正常/異常問わず) # ERR: コマンド失敗時 (set -e と併用) cleanup() { echo "スクリプトが終了しました。一時ディレクトリを削除します。" >&2 if [ -n "${TMP_DIR:-}" ] && [ -d "${TMP_DIR:-}" ]; then rm -rf "${TMP_DIR:-}" fi } trap cleanup EXIT ERR # 3. 一時ディレクトリの利用 # mktemp -d: 一意で安全な一時ディレクトリを作成 TMP_DIR=$(mktemp -d) if [ ! -d "${TMP_DIR}" ]; then echo "エラー: 一時ディレクトリの作成に失敗しました。" >&2 exit 1 fi echo "一時ディレクトリ: ${TMP_DIR}" >&2 # ここからスクリプトのメインロジック # ... </pre> </div> <p><strong>コメント:</strong></p> <ul class="wp-block-list"> <li><p><code>set -euo pipefail</code>: 早期エラー検知と停止により、問題を迅速に特定します。</p></li> <li><p><code>trap cleanup EXIT ERR</code>: スクリプトの終了（成功・失敗問わず）時に一時ファイルを確実に削除し、リソースリークを防ぎます。</p></li> <li><p><code>mktemp -d</code>: 予測不能なファイル名の一時ディレクトリを作成し、セキュリティリスクを低減します。</p></li> </ul> <h3 class="wp-block-heading">2.2. <code>curl</code> によるHTTPリクエスト制御</h3> <h4 class="wp-block-heading">2.2.1. 基本的なリクエスト</h4> <p><code>curl</code>は、<code>-X</code>でHTTPメソッド、<code>-H</code>でヘッダ、<code>-d</code>でボディデータを指定できます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">API_URL="https://example.com/api/v1/data" AUTH_TOKEN="your_auth_token" # GETリクエスト例 echo "GETリクエスト実行..." GET_RESPONSE=$(curl -sS -X GET \ -H "Accept: application/json" \ -H "Authorization: Bearer ${AUTH_TOKEN}" \ "${API_URL}" \ --cacert "${TMP_DIR}/ca-bundle.crt") # CA証明書を指定 echo "GETレスポンス: ${GET_RESPONSE}" # POSTリクエスト例 echo "POSTリクエスト実行..." POST_DATA='{"key":"value","status":"active"}' POST_RESPONSE=$(curl -sS -X POST \ -H "Content-Type: application/json" \ -H "Authorization: Bearer ${AUTH_TOKEN}" \ -d "${POST_DATA}" \ "${API_URL}" \ --cacert "${TMP_DIR}/ca-bundle.crt") echo "POSTレスポンス: ${POST_RESPONSE}" </pre> </div> <p><strong>コメント:</strong></p> <ul class="wp-block-list"> <li><p><code>-sS</code>: <code>-s</code>で進捗表示を抑制し、<code>-S</code>でエラー表示を強制します。</p></li> <li><p><code>--cacert</code>: サーバー証明書の検証に利用するCA証明書バンドルを指定します。これにより、信頼されたルート証明書以外の自己署名証明書などを利用する場合にセキュリティを確保できます[2]。</p></li> </ul> <h4 class="wp-block-heading">2.2.2. TLSクライアント証明書認証</h4> <p>Mutual TLS (mTLS) 認証が必要な場合、<code>--cert</code>と<code>--key</code>でクライアント証明書と秘密鍵を指定します[2]。</p> <div class="codehilite"> <pre data-enlighter-language="generic">CLIENT_CERT="${TMP_DIR}/client.crt" CLIENT_KEY="${TMP_DIR}/client.key" # 証明書と鍵は事前にTMP_DIRに配置しておくか、安全な方法で取得・生成します。 echo "mTLS認証付きGETリクエスト実行..." MTLS_RESPONSE=$(curl -sS -X GET \ -H "Accept: application/json" \ --cacert "${TMP_DIR}/ca-bundle.crt" \ --cert "${CLIENT_CERT}" \ --key "${CLIENT_KEY}" \ "${API_URL}/mtls" \ --output "${TMP_DIR}/mtls_response.json") # レスポンスをファイルに保存 echo "mTLSレスポンスが ${TMP_DIR}/mtls_response.json に保存されました。" </pre> </div> <p><strong>コメント:</strong></p> <ul class="wp-block-list"> <li>クライアント証明書と秘密鍵は、安全な方法（例: 環境変数、安全なファイルシステム上のパス）で管理し、スクリプト内にハードコードしないことが重要です。</li> </ul> <h4 class="wp-block-heading">2.2.3. 再試行と指数バックオフ</h4> <p>ネットワークの一時的な障害に対応するため、<code>curl</code>の再試行機能と指数バックオフを組み合わせます[2]。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># curlの再試行オプション: # --retry <num>: 最大試行回数 # --retry-delay <seconds>: 初回再試行までの待機時間 (秒) # --retry-max-time <seconds>: 全試行の最大時間 (秒) # --retry-all-errors: すべてのエラーで再試行 (デフォルトは特定のネットワークエラーのみ) MAX_RETRIES=5 INITIAL_DELAY=1 # seconds RETRY_URL="https://unstable.example.com/api/v1/data" echo "再試行付きGETリクエスト実行..." RETRY_RESPONSE=$(curl -sS \ --retry "${MAX_RETRIES}" \ --retry-delay "${INITIAL_DELAY}" \ --retry-max-time 60 \ --retry-all-errors \ "${RETRY_URL}") if [ $? -ne 0 ]; then echo "エラー: ${RETRY_URL} へのリクエストが ${MAX_RETRIES} 回の試行後も失敗しました。" >&2 exit 1 fi echo "再試行後レスポンス: ${RETRY_RESPONSE}" </pre> </div> <p><strong>コメント:</strong></p> <ul class="wp-block-list"> <li><p><code>--retry-delay</code>は初回再試行までの待機時間であり、その後の待機時間は<code>curl</code>が指数バックオフ的に自動調整します。</p></li> <li><p><code>--retry-all-errors</code>は、HTTP 5xxエラーやタイムアウトなど、より広範なエラーで再試行をトリガーします。</p></li> </ul> <p><strong>カスタム指数バックオフの実装例:</strong> <code>curl</code>の組み込み機能だけでは不十分な場合、Bashでカスタムの指数バックオフを実装することも可能です。</p> <div class="codehilite"> <pre data-enlighter-language="generic">attempt=0 max_attempts=5 base_delay=1 # seconds status_code=0 API_URL="https://example.com/api/fail_occasionally" while [ ${attempt} -lt ${max_attempts} ]; do attempt=$((attempt + 1)) echo "試行 ${attempt}/${max_attempts}..." >&2 # レスポンスヘッダとボディを分離して取得 response=$(curl -sS -w "%{http_code}" \ -H "Accept: application/json" \ -o "${TMP_DIR}/response_body.json" \ "${API_URL}") status_code=${response:(-3)} # 最後の3桁がステータスコード if [ "${status_code}" -ge 200 ] && [ "${status_code}" -lt 300 ]; then echo "リクエスト成功 (HTTP ${status_code})" >&2 cat "${TMP_DIR}/response_body.json" break else echo "リクエスト失敗 (HTTP ${status_code})" >&2 if [ "${attempt}" -lt "${max_attempts}" ]; then delay=$((base_delay * 2 ** (attempt - 1))) echo " ${delay}秒待機して再試行します..." >&2 sleep "${delay}" fi fi done if [ "${status_code}" -ge 200 ] && [ "${status_code}" -lt 300 ]; then echo "最終的に成功しました。" >&2 else echo "エラー: ${API_URL} へのリクエストが ${max_attempts} 回の試行後も失敗しました。" >&2 exit 1 fi </pre> </div> <p><strong>コメント:</strong></p> <ul class="wp-block-list"> <li><p><code>-w "%{http_code}"</code> オプションで、HTTPステータスコードをボディの直後に出力させ、スクリプトで解析します。</p></li> <li><p><code>-o</code> でレスポンスボディをファイルに保存し、パイプラインの途中でボディが消費されないようにします。</p></li> <li><p><code>base_delay * 2 ** (attempt - 1)</code> で指数バックオフを計算します。</p></li> </ul> <h3 class="wp-block-heading">2.3. <code>jq</code> によるJSON処理</h3> <p><code>jq</code>はJSONデータを効率的に処理するための強力なツールです[3]。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 前のcurl例で取得したJSONレスポンスをファイルから読み込む JSON_RESPONSE=$(cat "${TMP_DIR}/response_body.json") # キー 'data.items' の配列から 'id' と 'name' を抽出 echo "JSON解析例1: 特定のキーと値の抽出" echo "${JSON_RESPONSE}" | jq -r '.data.items[] | "\(.id): \(.name)"' # ステータスが 'active' の項目をフィルタリング echo "JSON解析例2: 条件に基づくフィルタリング" echo "${JSON_RESPONSE}" | jq '.data.items[] | select(.status == "active")' # 特定の値に基づいて条件分岐 ITEM_COUNT=$(echo "${JSON_RESPONSE}" | jq '.data.items | length') if [ "${ITEM_COUNT}" -gt 0 ]; then echo "APIレスポンスには ${ITEM_COUNT} 件のアイテムが含まれています。" else echo "APIレスポンスにアイテムはありません。" fi </pre> </div> <p><strong>コメント:</strong></p> <ul class="wp-block-list"> <li><p><code>jq -r</code>: raw出力 (引用符なし) で値を出力します。</p></li> <li><p><code>.</code> は現在のオブジェクト/配列、<code>[]</code> は配列の要素を展開、<code>|</code> はパイプです。</p></li> <li><p><code>select()</code> は条件に合致する要素のみをフィルタリングします。</p></li> </ul> <h3 class="wp-block-heading">2.4. HTTPリクエスト処理フロー (Mermaid)</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A["スクリプト開始"] --> B{"一時ディレクトリ作成<br>Trap設定"}; B --> C{"CA証明書/クライアント証明書配置"}; C --> D["curl HTTPリクエスト実行"]; D -- エラー発生 --> E{"再試行ポリシー適用?"}; E -- はい --> F["指数バックオフ待機"]; F --> D; E -- いいえ --> G["エラーログ記録<br>スクリプト終了"]; D -- 成功 --> H["HTTPステータスコード確認"]; H -- 2xx以外 --> G; H -- 2xx --> I["レスポンスJSONをjqで処理"]; I --> J{"処理結果に基づく判定"}; J -- 異常 --> G; J -- 正常 --> K["結果出力/次の処理"]; K --> L["スクリプト正常終了"]; G --> M["Trapによるクリーンアップ"]; L --> M; </pre></div> <p><strong>コメント:</strong></p> <ul class="wp-block-list"> <li>上記フローは、スクリプトの開始からHTTPリクエスト、再試行、JSON処理、エラーハンドリング、そして終了までの一連の流れを図示しています。これにより、スクリプトの動作概要を視覚的に把握できます。</li> </ul> <h3 class="wp-block-heading">2.5. <code>systemd</code> によるシステム統合</h3> <p>定期的なHTTPリクエストは<code>systemd</code>の<code>Unit</code>と<code>Timer</code>を用いて自動化できます[4], [5]。</p> <h4 class="wp-block-heading">2.5.1. サービススクリプト (<code>http-request.sh</code>)</h4> <p>上記で作成したスクリプトを<code>/usr/local/bin/http-request.sh</code>として配置します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/bin/bash set -euo pipefail trap cleanup EXIT ERR cleanup() { if [ -n "${TMP_DIR:-}" ] && [ -d "${TMP_DIR:-}" ]; then rm -rf "${TMP_DIR:-}" fi } TMP_DIR=$(mktemp -d) if [ ! -d "${TMP_DIR}" ]; then echo "ERROR: Failed to create temporary directory." >&2 exit 1 fi # 一時ディレクトリにCA証明書などを配置 (例としてダミーパス) # cp /etc/ssl/certs/ca-bundle.crt "${TMP_DIR}/ca-bundle.crt" # cp /path/to/client.crt "${TMP_DIR}/client.crt" # cp /path/to/client.key "${TMP_DIR}/client.key" API_URL="https://httpbin.org/get" # テスト用のURL MAX_RETRIES=3 INITIAL_DELAY=1 echo "$(date '+%Y-%m-%d %H:%M:%S JST') - Starting HTTP request..." >&2 attempt=0 success=false while [ "${attempt}" -lt "${MAX_RETRIES}" ]; do attempt=$((attempt + 1)) echo "Attempt ${attempt}/${MAX_RETRIES} to ${API_URL}" >&2 # curlコマンドを実行し、ステータスコードとボディを取得 response_output=$(curl -sS -w "\n%{http_code}" --retry 0 \ -H "User-Agent: systemd-http-agent" \ -o "${TMP_DIR}/response_body.json" \ "${API_URL}") # ステータスコードは出力の最後の3文字 status_code="${response_output: -3}" if [ "${status_code}" -ge 200 ] && [ "${status_code}" -lt 300 ]; then echo "Request successful (HTTP ${status_code})." >&2 jq_output=$(jq -r '.origin' "${TMP_DIR}/response_body.json") echo "Origin IP: ${jq_output}" success=true break else echo "Request failed (HTTP ${status_code})." >&2 if [ "${attempt}" -lt "${MAX_RETRIES}" ]; then delay=$((INITIAL_DELAY * 2 ** (attempt - 1))) echo "Waiting ${delay} seconds before retry..." >&2 sleep "${delay}" fi fi done if ! "${success}"; then echo "ERROR: HTTP request failed after ${MAX_RETRIES} attempts." >&2 exit 1 fi echo "$(date '+%Y-%m-%d %H:%M:%S JST') - HTTP request finished." >&2 </pre> </div> <p><strong>コメント:</strong></p> <ul class="wp-block-list"> <li><p><code>httpbin.org/get</code>はテスト用のエンドポイントです。</p></li> <li><p><code>-o "${TMP_DIR}/response_body.json"</code> と <code>-w "\n%{http_code}"</code> を組み合わせて、ステータスコードとレスポンスボディを確実に分離して扱います。</p></li> </ul> <h4 class="wp-block-heading">2.5.2. <code>systemd</code> Unitファイル (<code>http-request.service</code>)</h4> <p><code>/etc/systemd/system/http-request.service</code> を作成します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Perform periodic HTTP request Wants=network-online.target After=network-online.target [Service] Type=oneshot ExecStart=/usr/local/bin/http-request.sh User=http_req_user # スクリプトを実行するユーザーを指定（推奨） Group=http_req_group # スクリプトを実行するグループを指定（推奨） WorkingDirectory=/var/log/http-request # 作業ディレクトリ StandardOutput=journal # 標準出力をジャーナルに記録 StandardError=journal # 標準エラー出力をジャーナルに記録 Restart=on-failure # サービスが失敗した場合に再起動 RestartSec=5s # 再起動までの待機時間 [Install] WantedBy=multi-user.target </pre> </div> <p><strong>コメント:</strong></p> <ul class="wp-block-list"> <li><p><code>Type=oneshot</code>: スクリプトが一度実行されて終了するタイプです。</p></li> <li><p><code>ExecStart</code>: 実行するスクリプトの絶対パスを指定します。</p></li> <li><p><code>User</code>, <code>Group</code>: <strong>セキュリティ上非常に重要です。</strong> サービスは<code>root</code>権限ではなく、専用の非特権ユーザー（例: <code>http_req_user</code>）で実行すべきです[4]。これは<strong>権限分離</strong>の原則に則り、スクリプトに脆弱性があった場合の被害を最小限に抑えます。事前に<code>sudo useradd -r -s /bin/false http_req_user</code>などでユーザーを作成しておく必要があります。</p></li> <li><p><code>StandardOutput</code>, <code>StandardError</code>: 出力を<code>systemd-journald</code>に送り、ログの一元管理を可能にします。</p></li> </ul> <h4 class="wp-block-heading">2.5.3. <code>systemd</code> Timerファイル (<code>http-request.timer</code>)</h4> <p><code>/etc/systemd/system/http-request.timer</code> を作成します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">[Unit] Description=Run http-request.service every 5 minutes [Timer] OnBootSec=1min # システム起動1分後に初回実行 OnUnitActiveSec=5min # サービスがアクティブになった後、5分ごとに実行 Unit=http-request.service # 実行するサービスユニットを指定 [Install] WantedBy=timers.target </pre> </div> <p><strong>コメント:</strong></p> <ul class="wp-block-list"> <li><p><code>OnBootSec</code>: システム起動後の初回実行タイミングを指定します。</p></li> <li><p><code>OnUnitActiveSec</code>: サービス実行後、指定した間隔で繰り返し実行されます。これにより、サービスが完了した時間から次の実行までの間隔が確保されます[5]。</p></li> </ul> <h3 class="wp-block-heading">2.6. <code>systemd</code>の起動とログ確認</h3> <p>UnitファイルとTimerファイルを作成したら、<code>systemd</code>にそれらを認識させ、起動します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># systemdの設定ファイルをリロード sudo systemctl daemon-reload # http-request.serviceを起動（手動実行） sudo systemctl start http-request.service # http-request.timerを有効化し、起動（定期実行を開始） sudo systemctl enable http-request.timer sudo systemctl start http-request.timer # タイマーのステータス確認 systemctl list-timers http-request.timer # サービスのログを確認 journalctl -u http-request.service -f </pre> </div> <p><strong>コメント:</strong></p> <ul class="wp-block-list"> <li><p><code>daemon-reload</code>: 新しいユニットファイルを<code>systemd</code>に読み込ませます。</p></li> <li><p><code>start</code>: サービスやタイマーを即座に起動します。</p></li> <li><p><code>enable</code>: システム起動時にサービスやタイマーが自動で起動するように設定します。</p></li> <li><p><code>journalctl -u ... -f</code>: <code>systemd-journald</code>に記録されたログをリアルタイムで表示します。</p></li> </ul> <h2 class="wp-block-heading">3. 検証</h2> <p>スクリプトと<code>systemd</code>の設定が正しく機能しているかを確認します。</p> <ol class="wp-block-list"> <li><p><strong>スクリプト単体での動作確認</strong>: <code>bash -x /usr/local/bin/http-request.sh</code> を実行し、デバッグ出力を確認しながら、エラーハンドリングや再試行ロジックが期待通りに動作するか検証します。</p></li> <li><p><strong><code>systemd</code>サービスの手動実行確認</strong>: <code>sudo systemctl start http-request.service</code> を実行後、<code>journalctl -u http-request.service</code> でログを確認します。成功メッセージやエラーメッセージが期待通りに出力されているか確認します。</p></li> <li><p><strong><code>systemd</code>タイマーの動作確認</strong>: <code>systemctl list-timers http-request.timer</code> で次回実行時刻を確認します。また、実際に指定した間隔でサービスが起動し、ログが更新されていることを<code>journalctl -u http-request.service -f</code>で確認します。</p></li> <li><p><strong>異常系の確認</strong>:</p> <ul> <li><p>ネットワークを切断したり、無効なURLを指定して、<code>curl</code>の再試行とスクリプトのエラー終了が正しく行われるか確認します。</p></li> <li><p><code>jq</code>のパースに失敗するような不正なJSONレスポンスをシミュレートし、スクリプトが適切にエラーを処理するか確認します。</p></li> </ul></li> </ol> <h2 class="wp-block-heading">4. 運用</h2> <ul class="wp-block-list"> <li><p><strong>監視</strong>: <code>systemd</code>のログ(<code>journalctl</code>)を定期的に監視ツール（Prometheus, Grafanaなど）と連携させ、異常を検知できるようにします。</p></li> <li><p><strong>設定管理</strong>: スクリプト内のAPIキーや秘密鍵などの機密情報は、環境変数、HashiCorp Vault、または<code>systemd</code>の<code>EnvironmentFile</code>オプションなどを利用して、スクリプト本体やユニットファイルに直接記述しないようにします。</p></li> <li><p><strong>バージョン管理</strong>: スクリプトや<code>systemd</code>ユニットファイルはGitなどのバージョン管理システムで管理し、変更履歴を追跡できるようにします。</p></li> <li><p><strong>セキュリティアップデート</strong>: <code>curl</code>, <code>jq</code>, <code>systemd</code>を含むOSパッケージは常に最新の状態に保ち、セキュリティ脆弱性に対応します。</p></li> </ul> <h2 class="wp-block-heading">5. トラブルシュート</h2> <figure class="wp-block-table"><table> <thead> <tr> <th style="text-align:left;">問題点</th> <th style="text-align:left;">考えられる原因</th> <th style="text-align:left;">解決策</th> </tr> </thead> <tbody> <tr> <td style="text-align:left;"><code>curl</code>でTLSエラーが発生する</td> <td style="text-align:left;">CA証明書が不正/不足、クライアント証明書/秘密鍵のパスが不正、パーミッションエラー</td> <td style="text-align:left;"><code>curl --verbose</code> (<code>-v</code>) オプションで詳細なエラー情報を確認します。CA証明書（<code>--cacert</code>）、クライアント証明書（<code>--cert</code>）、秘密鍵（<code>--key</code>）のパスとパーミッションを確認します。</td> </tr> <tr> <td style="text-align:left;">スクリプトが途中で終了する</td> <td style="text-align:left;"><code>set -e</code>によりコマンドが失敗したため</td> <td style="text-align:left;"><code>journalctl -u http-request.service</code> でエラーログを確認します。<code>bash -x /usr/local/bin/http-request.sh</code> でスクリプトを単体実行し、詳細な実行トレースを追跡します。</td> </tr> <tr> <td style="text-align:left;"><code>jq</code>でJSONパースエラーが発生する</td> <td style="text-align:left;"><code>curl</code>からのレスポンスが期待するJSON形式ではない</td> <td style="text-align:left;"><code>curl</code>の出力 (<code>-o</code>でファイルに保存したボディ) を直接<code>jq .</code>に渡して、JSON形式として有効か確認します。APIのレスポンス形式が変更されていないかドキュメントを確認します。</td> </tr> <tr> <td style="text-align:left;"><code>systemd</code>サービスが起動しない</td> <td style="text-align:left;">ユニットファイルの記述ミス、パーミッションエラー</td> <td style="text-align:left;"><code>sudo systemctl status http-request.service</code> でステータスを確認します。<code>sudo journalctl -u http-request.service</code> でログを確認し、エラーメッセージから原因を特定します。<code>ExecStart</code>のパスやスクリプトの実行権限（<code>chmod +x</code>）を確認します。</td> </tr> <tr> <td style="text-align:left;"><code>systemd</code>タイマーが実行されない</td> <td style="text-align:left;">タイマーファイルの記述ミス、タイマーが有効化/開始されていない</td> <td style="text-align:left;"><code>sudo systemctl status http-request.timer</code> でステータスを確認し、<code>Active: active (waiting)</code>と表示されていることを確認します。<code>sudo systemctl enable http-request.timer</code> と <code>sudo systemctl start http-request.timer</code> が実行済みか確認します。<code>OnCalendar</code>や<code>OnUnitActiveSec</code>の書式を再確認します[5]。</td> </tr> <tr> <td style="text-align:left;"><code>root</code>権限の問題</td> <td style="text-align:left;">適切なユーザーでスクリプトが実行されていない、ファイルへのアクセス権がない</td> <td style="text-align:left;"><code>http-request.service</code>の<code>User=</code>と<code>Group=</code>ディレクティブが正しく設定されているか確認します。スクリプトがアクセスするファイル（証明書、ログディレクトリなど）の所有者とパーミッションが、<code>User</code>で指定したユーザー/グループに適切に設定されているか確認します。</td> </tr> </tbody> </table></figure> <h2 class="wp-block-heading">6. まとめ</h2> <p>、<code>curl</code>コマンドを核として、堅牢なHTTPリクエスト制御を実現するためのDevOpsプラクティスを解説しました。安全なBashスクリプトの記述、<code>jq</code>によるJSON処理、そして<code>systemd</code>による定期実行とログ管理は、日々の運用業務において不可欠なスキルです。特に、<code>root</code>権限の適切な扱いや権限分離の原則を遵守することは、システムのセキュリティを確保する上で極めて重要です。これらの手法を組み合わせることで、安定した自動化システムを構築し、DevOpsプロセスをより効率的かつ安全に進めることができるでしょう。</p> <h2 class="wp-block-heading">参考文献</h2> <p>[1] Google. “Shell Style Guide.” Google Shell Style Guide. Accessed 2024年7月26日. https://google.github.io/styleguide/shell.xml [2] curl project. “curl man page.” curl.se. Accessed 2024年7月26日. https://curl.se/docs/manpage.html [3] stedolan. “jq Manual (development version).” stedolan.github.io. Accessed 2024年7月26日. https://stedolan.github.io/jq/manual/ [4] freedesktop.org. “systemd.service(5).” freedesktop.org. Accessed 2024年7月26日. https://www.freedesktop.org/software/systemd/man/systemd.service.html [5] freedesktop.org. “systemd.timer(5).” freedesktop.org. Accessed 2024年7月26日. https://www.freedesktop.org/software/systemd/man/systemd.timer.html</p>

#!/bin/bash


# 入力: APIエンドポイントURL


# 出力: 標準出力に処理結果、エラーは標準エラー出力


# 前提: curl, jq がインストールされていること

# 1. set -euo pipefail


# -e: コマンドが失敗した場合、即座にスクリプトを終了


# -u: 未定義の変数を使用した場合、エラーとして終了


# -o pipefail: パイプライン中の任意のコマンドが失敗した場合、パイプライン全体を失敗と見なす

set -euo pipefail

# 2. trap: スクリプト終了時のクリーンアップ処理


# EXIT: スクリプト終了時 (正常/異常問わず)


# ERR: コマンド失敗時 (set -e と併用)

cleanup() {
    echo "スクリプトが終了しました。一時ディレクトリを削除します。" >&2
    if [ -n "${TMP_DIR:-}" ] && [ -d "${TMP_DIR:-}" ]; then
        rm -rf "${TMP_DIR:-}"
    fi
}
trap cleanup EXIT ERR

# 3. 一時ディレクトリの利用


# mktemp -d: 一意で安全な一時ディレクトリを作成

TMP_DIR=$(mktemp -d)
if [ ! -d "${TMP_DIR}" ]; then
    echo "エラー: 一時ディレクトリの作成に失敗しました。" >&2
    exit 1
fi
echo "一時ディレクトリ: ${TMP_DIR}" >&2

# ここからスクリプトのメインロジック


# ...

API_URL="https://example.com/api/v1/data"
AUTH_TOKEN="your_auth_token"

# GETリクエスト例

echo "GETリクエスト実行..."
GET_RESPONSE=$(curl -sS -X GET \
    -H "Accept: application/json" \
    -H "Authorization: Bearer ${AUTH_TOKEN}" \
    "${API_URL}" \
    --cacert "${TMP_DIR}/ca-bundle.crt") # CA証明書を指定
echo "GETレスポンス: ${GET_RESPONSE}"

# POSTリクエスト例

echo "POSTリクエスト実行..."
POST_DATA='{"key":"value","status":"active"}'
POST_RESPONSE=$(curl -sS -X POST \
    -H "Content-Type: application/json" \
    -H "Authorization: Bearer ${AUTH_TOKEN}" \
    -d "${POST_DATA}" \
    "${API_URL}" \
    --cacert "${TMP_DIR}/ca-bundle.crt")
echo "POSTレスポンス: ${POST_RESPONSE}"

CLIENT_CERT="${TMP_DIR}/client.crt"
CLIENT_KEY="${TMP_DIR}/client.key"

# 証明書と鍵は事前にTMP_DIRに配置しておくか、安全な方法で取得・生成します。

echo "mTLS認証付きGETリクエスト実行..."
MTLS_RESPONSE=$(curl -sS -X GET \
    -H "Accept: application/json" \
    --cacert "${TMP_DIR}/ca-bundle.crt" \
    --cert "${CLIENT_CERT}" \
    --key "${CLIENT_KEY}" \
    "${API_URL}/mtls" \
    --output "${TMP_DIR}/mtls_response.json") # レスポンスをファイルに保存
echo "mTLSレスポンスが ${TMP_DIR}/mtls_response.json に保存されました。"

# curlの再試行オプション:


# --retry <num>: 最大試行回数


# --retry-delay <seconds>: 初回再試行までの待機時間 (秒)


# --retry-max-time <seconds>: 全試行の最大時間 (秒)


# --retry-all-errors: すべてのエラーで再試行 (デフォルトは特定のネットワークエラーのみ)

MAX_RETRIES=5
INITIAL_DELAY=1 # seconds
RETRY_URL="https://unstable.example.com/api/v1/data"

echo "再試行付きGETリクエスト実行..."
RETRY_RESPONSE=$(curl -sS \
    --retry "${MAX_RETRIES}" \
    --retry-delay "${INITIAL_DELAY}" \
    --retry-max-time 60 \
    --retry-all-errors \
    "${RETRY_URL}")

if [ $? -ne 0 ]; then
    echo "エラー: ${RETRY_URL} へのリクエストが ${MAX_RETRIES} 回の試行後も失敗しました。" >&2
    exit 1
fi
echo "再試行後レスポンス: ${RETRY_RESPONSE}"

attempt=0
max_attempts=5
base_delay=1 # seconds
status_code=0
API_URL="https://example.com/api/fail_occasionally"

while [ ${attempt} -lt ${max_attempts} ]; do
    attempt=$((attempt + 1))
    echo "試行 ${attempt}/${max_attempts}..." >&2

    # レスポンスヘッダとボディを分離して取得

    response=$(curl -sS -w "%{http_code}" \
        -H "Accept: application/json" \
        -o "${TMP_DIR}/response_body.json" \
        "${API_URL}")
    status_code=${response:(-3)} # 最後の3桁がステータスコード

    if [ "${status_code}" -ge 200 ] && [ "${status_code}" -lt 300 ]; then
        echo "リクエスト成功 (HTTP ${status_code})" >&2
        cat "${TMP_DIR}/response_body.json"
        break
    else
        echo "リクエスト失敗 (HTTP ${status_code})" >&2
        if [ "${attempt}" -lt "${max_attempts}" ]; then
            delay=$((base_delay * 2 ** (attempt - 1)))
            echo " ${delay}秒待機して再試行します..." >&2
            sleep "${delay}"
        fi
    fi
done

if [ "${status_code}" -ge 200 ] && [ "${status_code}" -lt 300 ]; then
    echo "最終的に成功しました。" >&2
else
    echo "エラー: ${API_URL} へのリクエストが ${max_attempts} 回の試行後も失敗しました。" >&2
    exit 1
fi

# 前のcurl例で取得したJSONレスポンスをファイルから読み込む

JSON_RESPONSE=$(cat "${TMP_DIR}/response_body.json")

# キー 'data.items' の配列から 'id' と 'name' を抽出

echo "JSON解析例1: 特定のキーと値の抽出"
echo "${JSON_RESPONSE}" | jq -r '.data.items[] | "\(.id): \(.name)"'

# ステータスが 'active' の項目をフィルタリング

echo "JSON解析例2: 条件に基づくフィルタリング"
echo "${JSON_RESPONSE}" | jq '.data.items[] | select(.status == "active")'

# 特定の値に基づいて条件分岐

ITEM_COUNT=$(echo "${JSON_RESPONSE}" | jq '.data.items | length')
if [ "${ITEM_COUNT}" -gt 0 ]; then
    echo "APIレスポンスには ${ITEM_COUNT} 件のアイテムが含まれています。"
else
    echo "APIレスポンスにアイテムはありません。"
fi

graph TD
    A["スクリプト開始"] --> B{"一時ディレクトリ作成
Trap設定"};
    B --> C{"CA証明書/クライアント証明書配置"};
    C --> D["curl HTTPリクエスト実行"];
    D -- エラー発生 --> E{"再試行ポリシー適用?"};
    E -- はい --> F["指数バックオフ待機"];
    F --> D;
    E -- いいえ --> G["エラーログ記録
スクリプト終了"];
    D -- 成功 --> H["HTTPステータスコード確認"];
    H -- 2xx以外 --> G;
    H -- 2xx --> I["レスポンスJSONをjqで処理"];
    I --> J{"処理結果に基づく判定"};
    J -- 異常 --> G;
    J -- 正常 --> K["結果出力/次の処理"];
    K --> L["スクリプト正常終了"];
    G --> M["Trapによるクリーンアップ"];
    L --> M;

#!/bin/bash

set -euo pipefail
trap cleanup EXIT ERR

cleanup() {
    if [ -n "${TMP_DIR:-}" ] && [ -d "${TMP_DIR:-}" ]; then
        rm -rf "${TMP_DIR:-}"
    fi
}

TMP_DIR=$(mktemp -d)
if [ ! -d "${TMP_DIR}" ]; then
    echo "ERROR: Failed to create temporary directory." >&2
    exit 1
fi

# 一時ディレクトリにCA証明書などを配置 (例としてダミーパス)


# cp /etc/ssl/certs/ca-bundle.crt "${TMP_DIR}/ca-bundle.crt"


# cp /path/to/client.crt "${TMP_DIR}/client.crt"


# cp /path/to/client.key "${TMP_DIR}/client.key"

API_URL="https://httpbin.org/get" # テスト用のURL
MAX_RETRIES=3
INITIAL_DELAY=1

echo "$(date '+%Y-%m-%d %H:%M:%S JST') - Starting HTTP request..." >&2

attempt=0
success=false
while [ "${attempt}" -lt "${MAX_RETRIES}" ]; do
    attempt=$((attempt + 1))
    echo "Attempt ${attempt}/${MAX_RETRIES} to ${API_URL}" >&2

    # curlコマンドを実行し、ステータスコードとボディを取得

    response_output=$(curl -sS -w "\n%{http_code}" --retry 0 \
        -H "User-Agent: systemd-http-agent" \
        -o "${TMP_DIR}/response_body.json" \
        "${API_URL}")

    # ステータスコードは出力の最後の3文字

    status_code="${response_output: -3}"

    if [ "${status_code}" -ge 200 ] && [ "${status_code}" -lt 300 ]; then
        echo "Request successful (HTTP ${status_code})." >&2
        jq_output=$(jq -r '.origin' "${TMP_DIR}/response_body.json")
        echo "Origin IP: ${jq_output}"
        success=true
        break
    else
        echo "Request failed (HTTP ${status_code})." >&2
        if [ "${attempt}" -lt "${MAX_RETRIES}" ]; then
            delay=$((INITIAL_DELAY * 2 ** (attempt - 1)))
            echo "Waiting ${delay} seconds before retry..." >&2
            sleep "${delay}"
        fi
    fi
done

if ! "${success}"; then
    echo "ERROR: HTTP request failed after ${MAX_RETRIES} attempts." >&2
    exit 1
fi

echo "$(date '+%Y-%m-%d %H:%M:%S JST') - HTTP request finished." >&2

[Unit]
Description=Perform periodic HTTP request
Wants=network-online.target
After=network-online.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/http-request.sh
User=http_req_user      # スクリプトを実行するユーザーを指定（推奨）
Group=http_req_group    # スクリプトを実行するグループを指定（推奨）
WorkingDirectory=/var/log/http-request # 作業ディレクトリ
StandardOutput=journal  # 標準出力をジャーナルに記録
StandardError=journal   # 標準エラー出力をジャーナルに記録
Restart=on-failure      # サービスが失敗した場合に再起動
RestartSec=5s           # 再起動までの待機時間

[Install]
WantedBy=multi-user.target

[Unit]
Description=Run http-request.service every 5 minutes

[Timer]
OnBootSec=1min              # システム起動1分後に初回実行
OnUnitActiveSec=5min        # サービスがアクティブになった後、5分ごとに実行
Unit=http-request.service   # 実行するサービスユニットを指定

[Install]
WantedBy=timers.target

# systemdの設定ファイルをリロード

sudo systemctl daemon-reload

# http-request.serviceを起動（手動実行）

sudo systemctl start http-request.service

# http-request.timerを有効化し、起動（定期実行を開始）

sudo systemctl enable http-request.timer
sudo systemctl start http-request.timer

# タイマーのステータス確認

systemctl list-timers http-request.timer

# サービスのログを確認

journalctl -u http-request.service -f