1. 導入:なぜプライベートレジストリが必要なのか
現代の開発現場では、多くのOSSライブラリやコンテナイメージを利用しますが、社内の独自ロジックや機密性の高いモジュールをパブリックな場に置くことはできません。プライベートレジストリは、これらの「社外秘コード」を安全に保管し、チーム内で効率的に配布するための必須インフラです。これを利用することで、野良ビルドを防ぎ、開発環境の統一とデプロイの安定性を飛躍的に向上させることができます。
2. 基礎知識:アーティファクト管理とは
アーティファクトとは、ビルドプロセスを経て生成された「実行可能なパッケージ(Dockerイメージ、npmパッケージ、jarファイル等)」のことです。これらを一元管理する場所がレジストリです。
- GitHub Packages: GitHubのリポジトリと密接に連携し、GitHub Actionsとの親和性が非常に高いです。
- AWS ECR (Elastic Container Registry): AWS環境でコンテナを動かすなら第一候補。IAM権限による厳格なアクセス制御が可能です。
- JFrog Artifactory: 多言語・多フォーマットに対応したエンタープライズ向けの強力なツールです。
3. 実装・解決策:GitHub Packagesを使ったnpmパッケージの配布
今回は、GitHub Packagesを利用して、社内専用のnpmパッケージを公開する際の流れを解説します。
1. プロジェクトルートに .npmrc ファイルを作成し、GitHubのパッケージレジストリを指定します。
2. GitHub Actionsを作成し、npm publish を実行するワークフローを定義します。
3. これにより、チームメンバーは自社の権限設定のみで、セキュアにライブラリをインストールできるようになります。
4. サンプルプログラム:GitHub Actionsによる自動公開
以下のYAMLファイルを `.github/workflows/publish.yml` として保存することで、タグを切った際に自動的にレジストリへ公開されます。
name: Publish Package to GitHub Packages
on:
push:
tags:
- ‘v’ # vから始まるタグがプッシュされたら実行
jobs:
publish:
runs-on: ubuntu-latest
permissions:
contents: read
packages: write # パッケージの書き込み権限を付与
steps:
- uses: actions/checkout@v3
- uses: actions/setup-node@v3
with:
node-version: ’18’
registry-url: ‘https://npm.pkg.github.com’ # GitHubレジストリを指定
- run: npm install
- run: npm publish
env:
NODE_AUTH_TOKEN: ${{ secrets.GITHUB_TOKEN }} # 自動生成されるトークンを使用
5. 応用・注意点:現場で陥りやすい罠
権限管理の最小化: 全員に書き込み権限を与えず、CI/CDツールのみが更新できるように設定してください。誤って古いバージョンを上書きする事故を防げます。
ライフサイクルポリシーの活用: ECRなどでは、古いイメージが溜まるとストレージコストを圧迫します。ライフサイクルポリシーを設定し、数世代前の古いイメージは自動削除されるように運用しましょう。
機密情報の混入: パッケージを作成する際、.envファイルやAPIキーが誤って含まれないよう、必ず .npmignore や .dockerignore を適切に設定し、不要なファイルが含まれていないか確認する習慣をつけてください。
コメント