階層をまたいだブループリントの整理
Enterprise ブループリントではなく組織ブループリントを使う唯一の理由は、何かをすべての組織に適用したくない場合です。たとえば、あるチームが他のチームにはアクセスさせたくない非公開の npm レジストリを利用している場合、そのレジストリ設定は Enterprise ブループリントではなく、そのチームの組織ブループリントに置くべきです。
すべての組織に適用されるものは Enterprise に置きます。リポジトリ固有のものは、リポジトリのブループリントに置きます。組織階層は、その中間にある例外のためだけに存在します。
適切な階層でKnowledge アイテムを利用する
- Enterprise knowledge: 全社共通のコーディング規約、セキュリティレビューの要件、社内ドキュメントへのリンク。
- Org knowledge: チームの慣習、共有ライブラリの利用方法、チーム固有のデプロイ手順。
- Repo knowledge: 特定のプロジェクトの lint、test、build コマンド。
大規模環境でのシークレット管理
シークレットを定義する場所
シークレットは、該当する中で最も上位の階層に配置してください。 すべての組織が社内 npm レジストリへのアクセスを必要とする場合は、トークンを Enterprise シークレットとして一度だけ定義します。50 個の組織設定に重複して定義しないでください。
シークレットの衛生管理
- シークレットを YAML に絶対に含めないでください。 必ずシークレット管理 UI を利用してください。YAML に記載したシークレットは、ログ、ビルド成果物、監査証跡に残ってしまいます。
- シークレットは定期的にローテーションしてください。 UI でシークレットをローテーションすると、新しい値は次回のビルドから有効になります。ブループリント を変更する必要はありません。
- わかりやすい名前を付けてください。
INTERNAL_NPM_TOKENはTOKEN_1より適切です。ほかの管理者 (や将来の自身) が、各シークレットの用途を理解できるようにする必要があります。 - シークレットの利用状況を監査してください。 定期的に、どのシークレットが存在するか、今も必要かどうかを確認してください。使われていないシークレットは削除し、攻撃対象領域を減らしましょう。
org シークレットと Enterprise シークレットの名前が同じ場合は、org シークレットが優先されます。repo シークレットが org シークレットを上書きする場合も同様です。これは意図して利用してください。たとえば、org では
Enterprise のレジストリトークンを、異なる権限を持つチーム専用のトークンで上書きすることがあります。
ビルドの健全性の監視
レビューの実施頻度を決める
- 失敗したビルド: Enterprise または組織のブループリントで発生した重大な失敗。すべてのリポジトリをブロックします。
- 部分的なビルド: 一部のリポジトリのみが失敗している状態。多くの場合、依存関係の問題や古いブループリントの兆候です。
- 古いビルド: 最新のビルドが異常に古い組織。ビルドキューが滞留している可能性があります。
Enterprise ブループリント の障害に対処する
- 影響範囲を把握します。 Rollout ページで、影響を受けている org の数を確認します。
- Enterprise ブループリント を元に戻します。 直近で正常に動作していた ブループリント に戻し、すぐに保存してください。これにより、影響を受けたすべての org で再ビルドがトリガーされます。
- 切り分けて調査します。 変更を再度ロールアウトする前に、単一のパイロット org でテストします。
部分的なビルドは兆候です
- repo 固有の依存関係の問題 (壊れたロックファイル、削除されたパッケージ)
- 特定のプロジェクトでのみ必要なシステムライブラリの不足
- repo の変更に合わせて更新されていない古いブループリント
ビルドをピン留めするべき場合
固定するのが適切なケース
- 重要なリリース作業の進行中。 リリース対応中の今後48時間は、安定していて正常に動作することが確認済みの環境が必要です。
- アクティブなデバッグ。 ビルドの問題を調査しており、自動更新で状況が変わってしまうのを避けたい場合です。
- ロールバック。 新しいビルドでリグレッションが発生し、blueprintを修正している間、すぐに元に戻す必要がある場合です。
ピン留めすべきでない理由
- 対処を避けるため。 ビルドが壊れている場合は、ブループリントを修正してください。ピン留めは問題を見えなくするだけで、しかもピンは自動で期限切れにならないため、うっかり忘れると古い環境をいつまでも使い続けることになります。
- 「念のため」。 自動更新により依存関係は常に最新の状態に保たれ、問題も早い段階で見つかります。明確な理由もなくこれを無効にすると、問題を先送りにするだけです。
Enterprise の移行
一般的なアーキテクチャパターン
モノレポ構成の組織
npm install、バックエンド ディレクトリでの uv sync) は repo ブループリント に記述します。org ブループリント が必要なのは、このorgに他の組織には適用すべきでないツールや設定がある場合だけです。
複数のプロジェクトを扱うには、サブシェルを使って1つのブループリントを利用します:
複数リポジトリの組織
maintenance と knowledge だけを含む専用の ブループリント を用意します。これにより、リポジトリ間でセットアップコマンドを重複して記述せずに済みます。
セットアップ: 他のチームが利用する共有サービスを提供する、プラットフォームまたは DevOps の org。
アプローチ: enterprise ブループリント で共通の基盤をカバーします。共有インフラ org の ブループリント には、その repo で必要なプラットフォーム固有のツール (Terraform、kubectl、クラウド CLI) がインストールされます。他の org にはこれらのツールは含まれません。適用されるのは、enterprise ブループリント の内容に加えて各 org 固有の設定のみです。
独立したプロジェクト組織
判断に迷う場合は、Enterprise ブループリント に含めてください。組織ごとに何かを除外する明確な理由 (ツールのバージョン競合、アクセス制限など) がある場合は、組織レベルで上書きできます。多くの組織の ブループリント ごとにセットアップを重複させるより、包括的な Enterprise のベースラインを用意するほうが簡単です。

