<p><meta_info> { “style”: “technical_sre_guide”, “focus”: “robust_shell_scripting”, “tools”: [“bash”, “jq”, “curl”, “systemd”] } </meta_info></p> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">堅牢なシェルスクリプト設計：APIデータ取得とシステム構成の安全な自動更新</h1> <p>【導入と前提】 外部APIからJSONを取得・加工し、システム設定を安全に更新する自動化スクリプトの堅牢な設計手法と実装例を解説します。</p> <ul class="wp-block-list"> <li><p>実行環境：Ubuntu 22.04 LTS 以降（GNU/Linux環境を想定）</p></li> <li><p>必須ツール：<code>curl</code> (データ取得), <code>jq</code> (JSON解析), <code>systemd</code> (スケジュール実行)</p></li> </ul> <p>【処理フローと設計】</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD A[Start] --> B["Create Temp Directory"] B --> C{"Fetch API Data"} C -->|Failure| D["Trap: Error Cleanup"] C -->|Success| E["jq: Filter & Transform"] E --> F["Atomic Replace Config"] F --> G["Trap: Success Cleanup"] G --> H[End] </pre></div> <p>処理フローは、異常終了時でもゴミを残さない「一時ディレクトリの利用」と、不完全なファイルをシステムに適用させない「原子的な置換（Atomic Replace）」を主軸に設計しています。</p> <p>【実装：堅牢な自動化スクリプト】 以下は、APIから設定を取得し、検証後にシステム設定ファイルを更新するテンプレートスクリプトです。</p> <div class="codehilite"> <pre data-enlighter-language="generic">#!/usr/bin/env bash # -e: エラー発生時に即座に終了 # -u: 未定義変数の参照時にエラー # -o pipefail: パイプ内のコマンド失敗を検知 set -euo pipefail # --- 設定項目 --- API_URL="https://api.example.com/v1/config" CONFIG_DEST="/etc/myapp/config.json" TEMP_DIR=$(mktemp -d) # 一時ディレクトリの作成 # --- トラップ処理 --- # スクリプト終了時（正常・異常問わず）に一時ファイルを削除 cleanup() { local exit_code=$? rm -rf "$TEMP_DIR" if [ $exit_code -ne 0 ]; then echo "[ERROR] Operation failed with exit code $exit_code" >&2 fi } trap cleanup EXIT # --- メイン処理 --- echo "[INFO] Fetching configuration..." # curlオプション説明: # -s: 進捗非表示, -S: エラー時は表示, -L: リダイレクト追従, --retry: 失敗時再試行 curl -sSL --retry 3 --retry-delay 2 "$API_URL" -o "$TEMP_DIR/raw.json" # jqによるバリデーションと加工 # 入力が空でないか、必要なフィールドが含まれているか確認 if ! jq -e '.version' "$TEMP_DIR/raw.json" > /dev/null; then echo "[ERROR] Invalid JSON structure received" >&2 exit 1 fi # 加工したファイルを生成 jq '.settings | .updated_at = now' "$TEMP_DIR/raw.json" > "$TEMP_DIR/final.json" # 原子的なファイル更新 (mvは同一FS内ならアトミック) # 権限を維持しつつ、書き込みが完了したファイルのみを配置 install -m 644 "$TEMP_DIR/final.json" "$CONFIG_DEST" echo "[INFO] Configuration updated successfully." </pre> </div> <p>このスクリプトを定期実行する場合、<code>systemd</code>のTimerユニットを活用します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># /etc/systemd/system/myapp-config-update.service [Unit] Description=Update MyApp Config from API [Service] Type=oneshot ExecStart=/usr/local/bin/update-config.sh User=root # 環境変数をセキュアに管理する場合 EnvironmentFile=-/etc/default/myapp-api-token </pre> </div> <p>【検証と運用】</p> <ol class="wp-block-list"> <li><p><strong>構文チェック</strong>: <code>bash -n update-config.sh</code> で構文エラーの有無を事前に確認します。</p></li> <li><p><strong>実行ログの確認</strong>: systemd経由で実行した場合、以下のコマンドでエラーの詳細を確認できます。</p> <div class="codehilite"> <pre data-enlighter-language="generic">journalctl -u myapp-config-update.service -f </pre> </div></li> <li><p><strong>副作用の検証</strong>: <code>trap</code>が正しく動作するか、<code>curl</code>の途中で <code>Ctrl+C</code> を送信し、<code>/tmp</code> 内に一時ディレクトリが残っていないか確認してください。</p></li> </ol> <p>【トラブルシューティングと落とし穴】</p> <ul class="wp-block-list"> <li><p><strong>権限問題</strong>: <code>install</code> コマンドや <code>mv</code> を使用する際、宛先ディレクトリへの書き込み権限が必要です。SREとしては、スクリプト自体を <code>root</code> で動かすのではなく、特定の管理ユーザーに限定的な <code>sudo</code> 権限を付与することを検討してください。</p></li> <li><p><strong>パイプの罠</strong>: <code>set -o pipefail</code> がないと、<code>curl ... | jq ...</code> の <code>curl</code> が失敗しても <code>jq</code> が成功すればスクリプトは続行されてしまいます。必ずセットで設定してください。</p></li> <li><p><strong>環境変数の漏洩</strong>: APIトークンなどをスクリプト内にハードコードせず、<code>EnvironmentFile</code> や秘密情報管理ツールから読み込むように設計してください。</p></li> </ul> <p>【まとめ】 運用の冪等性を維持するための3つのポイント：</p> <ol class="wp-block-list"> <li><p><strong>原子性の確保</strong>: 中途半端な状態のファイルを作らず、<code>mv</code>や<code>install</code>で一気に置き換える。</p></li> <li><p><strong>クリーンアップの徹底</strong>: <code>trap</code>を使用して、いかなる終了時も一時リソースを解放する。</p></li> <li><p><strong>失敗の可視化</strong>: <code>set -e</code> と <code>pipefail</code> でサイレントな失敗を防ぎ、標準エラー出力を適切に活用する。</p></li> </ol>

graph TD
A[Start] --> B["Create Temp Directory"]
B --> C{"Fetch API Data"}
C -->|Failure| D["Trap: Error Cleanup"]
C -->|Success| E["jq: Filter & Transform"]
E --> F["Atomic Replace Config"]
F --> G["Trap: Success Cleanup"]
G --> H[End]

#!/usr/bin/env bash

# -e: エラー発生時に即座に終了


# -u: 未定義変数の参照時にエラー


# -o pipefail: パイプ内のコマンド失敗を検知

set -euo pipefail

# --- 設定項目 ---

API_URL="https://api.example.com/v1/config"
CONFIG_DEST="/etc/myapp/config.json"
TEMP_DIR=$(mktemp -d) # 一時ディレクトリの作成

# --- トラップ処理 ---


# スクリプト終了時（正常・異常問わず）に一時ファイルを削除

cleanup() {
    local exit_code=$?
    rm -rf "$TEMP_DIR"
    if [ $exit_code -ne 0 ]; then
        echo "[ERROR] Operation failed with exit code $exit_code" >&2
    fi
}
trap cleanup EXIT

# --- メイン処理 ---

echo "[INFO] Fetching configuration..."

# curlオプション説明:


# -s: 進捗非表示, -S: エラー時は表示, -L: リダイレクト追従, --retry: 失敗時再試行

curl -sSL --retry 3 --retry-delay 2 "$API_URL" -o "$TEMP_DIR/raw.json"

# jqによるバリデーションと加工


# 入力が空でないか、必要なフィールドが含まれているか確認

if ! jq -e '.version' "$TEMP_DIR/raw.json" > /dev/null; then
    echo "[ERROR] Invalid JSON structure received" >&2
    exit 1
fi

# 加工したファイルを生成

jq '.settings | .updated_at = now' "$TEMP_DIR/raw.json" > "$TEMP_DIR/final.json"

# 原子的なファイル更新 (mvは同一FS内ならアトミック)


# 権限を維持しつつ、書き込みが完了したファイルのみを配置

install -m 644 "$TEMP_DIR/final.json" "$CONFIG_DEST"

echo "[INFO] Configuration updated successfully."

# /etc/systemd/system/myapp-config-update.service

[Unit]
Description=Update MyApp Config from API

[Service]
Type=oneshot
ExecStart=/usr/local/bin/update-config.sh
User=root

# 環境変数をセキュアに管理する場合

EnvironmentFile=-/etc/default/myapp-api-token