はじめに
自作のdenoアプリのコンテナをAzure App Serviceにデプロイしたときに、環境変数が設定されないと思ったら、単にアプリ側で環境変数を読み込むようにしていなかった話です。
以下は試行錯誤のメモですが、結論は上記なのであまり読む意味はないかもしれないです。
事の発端
Qiita APIを使用して、特定のユーザがLGTMした記事一覧を取得するWebアプリ(deno)を作っていました。
ローカルの開発環境で正常にレスポンスが返却されることを確認し、Azure Web Appsにデプロイしたところ・・・
{"message":"Unauthorized","type":"unauthorized"}
こんなレスポンスが返ってきてしまいました。
どうやらQiita APIの認証が正しくされていないようです。
私の作ったアプリでは、環境変数API_KEYにQiita APIのアクセストークンを設定しているので、環境変数がうまく読み込めていないことが推測されます。
Azureポータルを確認すると、
確かにAPI_KEYは設定されています。
おかしいな?と思い、Kuduコンソールからログを見てみると、こんな感じのログが出ていました(値はマスクしています)。
docker run -d -p 6740:5000 --name XXX -e WEBSITE_CORS_ALLOWED_ORIGINS=XXX -e WEBSITE_CORS_SUPPORT_CREDENTIALS=XXX -e WEBSITES_ENABLE_APP_SERVICE_STORAGE=XXX -e WEBSITES_PORT=5000 -e WEBSITE_SITE_NAME=XXX -e WEBSITE_AUTH_ENABLED=XXX -e WEBSITE_ROLE_INSTANCE_ID=XXX -e WEBSITE_HOSTNAME=XXX -e WEBSITE_INSTANCE_ID=XXX -e HTTP_LOGGING_ENABLED=XXX XXX
docker runの時に-e API_KEY=XXXがついていない!他のはあるのに!
ここが原因だろうと推測し、焦点を当てて調べました。
ドキュメントには以下の記載があります。
Things You Should Know: Web Apps and Linux | Microsoft Docs
App Settings are injected into your app as environment variables at runtime.
Applies to Azure App Service on Linux Applies to Web App for Containers
If you need to set an environment variable for your application, simply add an App Setting in the Azure portal. When your app runs, we will inject the app setting into the process as an environment variable automatically.
感覚的にはこれは正しく、実際他のアプリでは普通に環境変数を読み込めています。
次に、以下のIssueを見つけました。
When I tail the log stream of my container, I can see the actual command that is ran in order to spin the container up. While it does contain the following ENV_VARS, the ones I set as application settings are still missing.
結構昔のIssueですが、同じような現象が起こっている人がいるっぽいです。
これはAzureのバグか・・・?
だとするとお手上げです。
DockerfileのENVに設定したり、.envをPushしてしまえば回避はできそうですが、アクセストークンを公開するのは当然やりたくありません。
なんとかして、環境変数を入れ込むことできないかなぁ・・・
考えた苦肉の策
Azureポータル上からDockerコンテナ起動時のエントリーポイントを上書きし、「環境変数設定+アプリ実行コマンド」をdocker run時に実行するようにしました。
具体的には、以下の「スタートアップ コマンド」に、
以下を設定しました。
sh -c "export API_KEY=XXX && deno run --allow-net --allow-read index.ts"
※もういらないだろうと思い、ポータルから設定した環境変数は消しました
再びKuduコンソールからログを確認すると、
docker run -d -p 8761:5000 --name XXX -e WEBSITE_CORS_ALLOWED_ORIGINS=XXX -e WEBSITE_CORS_SUPPORT_CREDENTIALS=XXX -e WEBSITES_ENABLE_APP_SERVICE_STORAGE=XXX -e WEBSITES_PORT=5000 -e WEBSITE_SITE_NAME=XXX-e WEBSITE_AUTH_ENABLED=XXX -e WEBSITE_ROLE_INSTANCE_ID=XXX -e WEBSITE_HOSTNAME=XXX -e WEBSITE_INSTANCE_ID=XXX -e HTTP_LOGGING_ENABLED=XXX XXX sh -c "export API_KEY=0090f2939950cb952d569adee4a15caddae4d807 && deno run --allow-net --allow-read index.ts"
確かにコマンドは渡っていそうです。
しかし、レスポンスは相変わらずUnauthorized。
これでも無理なのはおかしい!!
・・・もしかして、アプリ側の問題なのでは?
示された道筋
現状のコードは以下の通りです。
import { config } from "https://deno.land/x/dotenv/mod.ts";
// .env読み込み
let env = config();
// 変数利用
headers: {
Authorization: `Bearer ${env.API_KEY}`,
},
待てよ・・・
Node.jsと違ってprocess.envで読み込んでいるわけじゃないから、このコードだと.envファイルからしか読み込まないんじゃ・・・?
環境変数を直で読み込む方法を調べると、
github.com/denoland/deno/releases/latest/download/lib.deno.d.ts - deno doc
const Deno.env: { get(key: string): string | undefined, set(key: string, value: string): void, delete(key: string): void, toObject(): { index: string: string } }
Deno.env.getというのが該当しそう。
ついでに、
--allow-env Allow environment access for things like getting and setting of environment variables.
なんか--allow-envってオプションあるわ・・・
というわけで、「スタートアップ コマンド」を以下のように変更し、
sh -c "export API_KEY=XXX && deno run --allow-net --allow-read --allow-env index.ts"
ソースコードを以下のように変更しPushすると・・・
import { config } from "https://deno.land/x/dotenv/mod.ts";
// 環境変数読み込み
let env = config();
if (Deno.env.get("API_KEY")) {
env.API_KEY = Deno.env.get("API_KEY")!;
}
// 変数利用
headers: {
Authorization: `Bearer ${env.API_KEY}`,
},
動・・・かない!動かない!
相変わらずUnauthorizedです。
・・・いや、こうなってくると、そもそもポータルから設定した環境変数は実はちゃんと存在していて、単に読み込めていなかった説があるのでは・・・?
本当の原因
「スタートアップ コマンド」を削除し、Azureポータルからもう一度API_KEYを設定し再ビルドすると、何事もなかったかのように動きました。
つまり、「開発環境では.envから環境変数を読み込むためにconfigモジュールを使っていたが、本番環境では環境変数を直で読み込むためにDeno.env.get()を使う必要があった」
というのが本当の原因と言えそうです。
ただし、謎も二つ残ります。
- なぜAzureポータルから環境変数を設定しても、ログの
docker runに-eで渡らないのか(それでなぜ動くのか)。 - なぜ「スタートアップ コマンド」に環境変数を渡してもなぜ動かないのか
でもまあ、今回は動いたのでよしとします。
おわりに
早とちりはよくないですね。
ちなみに、https://deno.land/x/dotenv/load.tsを使用すれば.envに記述した環境変数もDeno.env.get()で取得できたみたいです。はじめに試した時に、VS Code上で「Denoモジュールが解決できないよ」的なエラーが(何故か)出ていたため、使えないと思ってスルーしちゃっていました。
無事構築できた手順の記事はこちらです。
↓↓↓↓
Deno in Dockerなアプリ開発