HERPでは,開発体験の向上のため,順次flakesの導入を進めている.「次世代のNix」とでも呼ぶに相応しいflakesは,未だ実験的な機能と位置付けられているものの,従来のNixでは保証し切れなかったより高いビルドの再現性や,統一的なインタフェースの規定,刷新されたコマンド体系など,様々な改良が盛り込まれている.
再現性への追求に対する代償として,flakesは純粋性に関して従来よりも厳しい制約を設けている.特にnetrcImpureEnvVarsが利用できないため,privateなリソースにアクセスしたい場合に前回の記事で紹介した方法が利用できない.そこで本稿では,flakeからprivateなリソースにアクセスする方法を紹介する.
HERP Hireには利用企業の求人ページや応募フォームを作成できる機能があり,スパムによる応募を防ぐためreCAPTCHAを導入している.HERPでは昨今,求人ページおよび応募フォームのリプレイスを進めているため,新たに開発されたコンポーネントにもreCAPTCHAを導入する必要性が生じた.それに際して,以前から利用していたreCAPTCHA v3ではなくreCAPTCHA Enterpriseを導入することになった.
reCAPTCHA Enterpriseの導入にあたっては非自明に感じられる箇所が多く,いくつか苦労した点があった.そのため,同様の実装を行う必要に迫られた開発者が同じ轍を踏まぬよう,大まかな手順を記しておくことにした.
前提として,今回の事例では,バックエンド(BFF)はNode.jsにより実行され,Amazon Web Services上にデプロイされている.
HERPでは多くの成果物がNixを用いてビルドされている.例として,アプリケーションのDocker image,npmライブラリのtarball,Helm chartを元にしたKubernetesのmanifestファイルなどが挙げられる.
"purely functional package manager"であるNixを利用すると高い再現性を持ったビルドを実現できるが,purely functionalであるがゆえに,privateなリソースに依存したビルドには一工夫が必要になる.privateなリソースにアクセスするためには概して何らかのcredentialが必要になるからだ.そのようなcredentialはビルド手順*1に残したくないし,仮に残したとしても,一定時間でexpireしたりするのでいずれにしても再現性が得られない.
もちろん,ビルド時にprivateなリソースを利用できないのでは営利企業内で利用するのは難しい.そこで,部分的に再現性を諦めるための抜け道が用意されている.本稿ではfetchurl関数のnetrcPhaseとnetrcImpureEnvVarsオプションを利用する方法を紹介する.
なお,本稿で単にfetchurlと書いた場合には,builtins.fetchurlではなくNixOS/nixpkgsリポジトリに定義されているfetchurl関数を指すものとする.