ちょっとしたCLIツール書いた際にどのように配布していますか？

利用者目線で考えると、OSSにしてパッケージ管理ツールを用意すればすぐ使ってもらえそうです。

とはいえ制作者目線で見ると、たった1ファイルくらいのものの場合、リポジトリを用意して設定ファイルを置いて〜というのもちょっと面倒なこともあります。

また社内向けには認証が必要なので、「git cloneしてディレクトリ移動して実行して〜たまに最新にして〜」などを案内するなども必要なこともありました。

そういった手間が必要な課題を解決するため、最近は社内向けのツールを含めdenoを使い始めました。

結論

スクリプトのtsファイルを書いたら以下のコマンドの形式で伝えれば完成です。

DENO_AUTH_TOKENS=$(gh auth token)@raw.githubusercontent.com deno https://raw.githubusercontent.com/cohalz/tools/e53a15512b87886b24621c67196700de9218afb9/hello.ts

上のコマンドを実行するとHello, Deno!と表示されるはずです。

これはパブリックリポジトリでも組織プライベートリポジトリでもGitHubのリポジトリに置いて指定してやればすぐ使ってもらえます。(パブリックリポジトリの場合はDENO_AUTH_TOKENSは不要)

この呼び出しを基本としていくつか用途に合わせてオプションを変えてやれば良いです。

信頼できるスクリプトであればDeno 2.6で追加されたdx(deno x)コマンドを利用しても良いと思います。

deno.com

解説など

denoコマンド(deno run)はURL指定でそのままスクリプトを実行できます。

docs.deno.com

ちなみにURLを指定した場合は、初回実行のみダウンロードが実行され以降はキャッシュから実行されます。

キャッシュファイルの場所は deno info | grep 'Remote modules cache'とかで確認できます。

最新の内容に更新する

-r(--reload)オプションをつけることでキャッシュを無視して再ダウンロードが可能です。

このreloadオプションをを使うことで、提供者がツールを更新したらすぐ利用者にも新しいものを使って欲しい場合に便利です。URLにはmainブランチなどを指定しておいて提示するコマンドも deno -r オプションをつけることで毎回最新のスクリプトを実行してもらえます。

逆に勝手に更新して欲しくない場合はスクリプトのURLをコミットハッシュなどにしておくなど推奨です。

プライベートリポジトリのコードを実行する

最初に提示したように以下の変数を設定することでプライベートリポジトリのコードをすぐ実行できます。

DENO_AUTH_TOKENS=$(gh auth token)@raw.githubusercontent.com

DENO_AUTH_TOKENS はdenoで認証が必要な場合にこの変数にトークンを含めることで解決できるというものです。(ドキュメント)

これはモジュールだけでなく、ツールの実行にも使えます。

これに gh auth token というGitHub CLIで利用しているトークンを表示するコマンドを合わせることでトークンを発行したり管理する手間なくプライベートリポジトリのコードを実行することができます。(ドキュメント)

もし権限がない場合には gh auth status とかで現在のトークンの権限が確認できます。

作ったもの紹介

せっかくなので最近denoで書いたOSSのCLIツールも紹介します。READMEなど整備できてないですがすぐ使えます。

github.com

mackerel-alert-stats.ts

期間を指定してその期間にあったMackerelのアラートの履歴を集計し、合計時間やMTTR、稼働率(アラート合計時間を期間で割ったもの)をCosense(Scrapbox)形式で出してくれるツール。 前の期間との比較も括弧内に出してくれるので、定期的に見て変化があったかを確認する用途に使えます。(本当はグラフとかにしたいですが)

table:2025/12/5 17:01:55 ~ 2025/12/19 17:01:55の集計 (前期間: 2025/11/21 17:01:55 ~ 2025/12/5 17:01:55)
監視名   回数  MTTR(分)   稼働率(%)
Alert1  8(+0)   3(+2)   99.88(-0.08)
Alert2  2(-4)   5(-5)   99.95(+0.25)

mackerel/list_monitors.ts

Mackerelの監視ルールを「スコープもしくは監視名」か「通知グループに紐づいたもの」で絞り込んで表示できるツール。

org内に複数サービスがあった際に、このサービスどういう監視があるんだっけ？とかチームで管理してる監視ルールってどれだっけ？とかを確認するのに使えます。

github/make_team_maintainer.ts

GitHubのorgとユーザを指定して、org内でそのユーザが所属するチーム全てにmaintainer権限を設定するスクリプト。

GitHubでは組織でOwnerからMemberに変更する際にチームのmaintainer権限も失うケースがあるため、再設定をするスクリプトです。これ自体は需要は少ないけどチーム一覧に何かするみたいなのを作りたい時に使えるかも？

以下の記事の対応を進めている際に作りました。

developer.hatenastaff.com

おわり

そんな感じでdenoでCLIツールを書く話でした。リポジトリ構成やファイル名なども気にせず雑多にスクリプトを置いてすぐ実行してもらえるという気軽さが気に入ってます。

denoは権限を明示的に許可しないとファイル操作や通信もできない状態なので、「外部のよくわからないスクリプトを実行して事故になってしまう」みたいなリスクも一段階落とせるのも嬉しいですね。

というわけで はてなエンジニア Advent Calendar 2025 の1月1日の記事でした。

前日のエントリーはこちらです。 developer.hatenastaff.com

この記事は Mackerel Advent Calendar 2025 の16日目の記事です。15日目は id:kazeburo の JSONL ログから柔軟にメトリクスを生成する ― mackerel-plugin-jsonl を作った話 でした。

みなさまMackerelのアラート履歴はどのように確認していますか？

• Web上からアラートの一覧を眺める？
• ツールで集計して以前との変化を確認する？

それとは別に、会議でダッシュボードを見る際にこんな状況になったことはありませんか？

• メトリックとイベントの突き合わせが早押しクイズになってしまう
  • 「そのメトリックが変化したのはその日に障害があったのと関連していて...」など
• メトリックの変化をの理由を調べるアクションは出るものの、監視ルールの見直しなどはあまり話題に上がらない

その結果監視ルールの見直しもあまりできず、その他のアクションを出す会話もよくわかっている人頼みになってしまいがちでした。

こういった課題を解決するために、アラートの履歴をグラフアノテーションとして投稿し、ダッシュボード上で確認する取り組みを始めました。

(ちなみにダッシュボードでアノテーションを表示できる機能は2023/12にリリースされました。)

mackerel.io

ダッシュボードでアラートをアノテーションに投稿すると見た目はこんな感じになります。

アノテーションの詳細には実際のアラートのURLを書くことでリンクになりそのまま当時のアラートへすぐ飛ぶこともできます。

もしprepalertも利用していれば、その先のアラートを開くだけでログや集計結果を確認でき一時調査もその場で済ませることができます。

これらにより、誰でもそのタイミングで何があったのかを調べやすくなり、効率よく改善を進めることがやりやすくなります。

目的別にアノテーションを分類する

実際には監視ルールには即時対応が必要なものだったり、キャパシティプランニングの通知目的であったりなど重要度が様々なものが存在します。

また、アラートがマイクロサービスなどサブコンポーネントにどのように影響を与え、逆にサブコンポーネントのアラートが本体にどのように影響を与えているかというのを知りたい場合もあります。

そういった監視ルールのアラートを同じように一箇所のサービス・ロールに追加することでアラートの傾向自体は分かりやすくなりますが、障害時などに大量のアラートでアノテーションが埋まってしまい、振り返るのが難しくなるというデメリットもありました。

そんな中、最近では以下のように監視名を設定していました。

この監視ルールをもとに投稿先を分類することで、アノテーションが混ざらないようにし振り返りやすくすることを行いました。

今回はこのような分類で投稿先のロールを変えるようにしました。

• *-Only
  • *に書いてあるアラートのみ表示
  • (例: Alert-OnlyならAlert:*から始まるアラートのみを投稿)
• *-Level
  • *のレベル以上のアラートのみ表示(ログレベルのようなイメージ)
  • (例: Issue-LevelならIssueとAlertのアラートのみを投稿)

監視ルールと投稿先の対応先はこんな感じになっています。

ダッシュボードを定期的に確認する際に、用途に応じて表示するアノテーションのロールを切り替えることで効率よくアラートを確認できます。

例えば、

• Alert-Levelでアノテーションを表示して、SLOに関連するアラート設定になっているか確認する
  • SLI/SLOの状況と比較してアラートが多すぎる/少なすぎるを確認する
• Issue/Infoのみのアノテーションを表示して、キャパシティプランニングのアラートを確認する
  • 重要なアラートをあえて表示しないことで埋もれずに確認できる

こういったようにアラートとメトリックを適切に紐づけて確認することで、メトリックの変化があった際にアラートのアノテーションで関連がすぐわかるのはもちろん、逆にアノテーションがない時に「アラート設定していないけど大丈夫？」みたいな会話を何も考えなくとも誰もが素早くできるようになるというメリットもあると思います。

EventBridge + Step Functionsで実装する

最初はこの機能をprepalertで実現しようとしていましたが、実現したいことの単純さもありEventBridge + Step Functionsで実装することにしました。

まずは、公式ドキュメントの通りにEventBridgeの設定を有効にしておきます。

mackerel.io

その後、こんな感じの条件でアラートがクローズした際にStep Functionsが実行されるようにしておきます。

{
  "source": [{
    "prefix": "aws.partner/mackerel.io"
  }],
  "detail": {
    "alert": {
      "isOpen": [false]
    }
  }
}

Step Functionsの定義はたったこれだけで、あとはアラートが来ると監視名を元に、適切な投稿先にアノテーションが投稿されるようになります。

{
  "StartAt": "PostGraphAnnotation",
  "States": {
    "PostGraphAnnotation": {
      "QueryLanguage": "JSONata",
      "End": true,
      "Type": "Task",
      "Arguments": {
        "ApiEndpoint": "https://api.mackerelio.com/api/v0/graph-annotations",
        "Authentication": {
          "ConnectionArn": "ConnectionArn"
        },
        "Method": "POST",
        "RequestBody": {
          "title": "{% $states.input.detail.alert.monitorName %}",
          "description": "{% $states.input.detail.alert.url %}",
          "from": "{% $states.input.detail.alert.openedAt %}",
          "to": "{% $states.input.detail.alert.closedAt %}",
          "service": "annotation-service",
          "roles": "{% $contains($states.input.detail.alert.monitorName, /^Alert:/) ? ['Alert-Only', 'Alert-Level', 'Issue-Level', 'Info-Level'] : $contains($states.input.detail.alert.monitorName, /^Issue:/) ? ['Issue-Only', 'Issue-Level', 'Info-Level'] : $contains($states.input.detail.alert.monitorName, /^Info:/) ? ['Info-Only', 'Info-Level'] : [] %}"
        }
      },
      "Resource": "arn:aws:states:::http:invoke"
    }
  }
}

今回は単純にJSONataで入力を変換することで1ステップだけで実現することができましたが、もっと細かく場合分けをしたい場合でも、Step FunctionsのChoiceやJSONataなどを組み合わせることでユースケースにあった形で実現ができると思います。

こんな感じでStep FunctionsのJSONataサポートもあり、Mackerelのイベントから何かするみたいなのをLambda要らずで簡単に実現できるようになりました。アラートに限らずMackerelのイベントを色々とStep Functionsに送ってみて運用をイージーにしてみてはいかがでしょうか。

Mackerelでグラフの変化とFargate Spotの中断イベントを合わせて確認したくなったので、Step Functionsで利用できるようになったJSONataを使ってLambdaを使わずStep FunctionsだけでMackerelに送れるようにしてみました。

ECSのクラスタ名と同じMackerelのサービス名にイベント時のタイミングでアノテーションを投稿する実装はこんな感じになります。

{
  "QueryLanguage": "JSONata",
  "StartAt": "Call HTTPS APIs",
  "States": {
    "Call HTTPS APIs": {
      "Type": "Task",
      "Resource": "arn:aws:states:::http:invoke",
      "Arguments": {
        "Headers": {
          "Content-Type": "application/json"
        },
        "InvocationConfig": {
          "ConnectionArn": "ConnectionArn"
        },
        "Method": "POST",
        "ApiEndpoint": "https://api.mackerelio.com/api/v0/graph-annotations",
        "RequestBody": {
          "title": "SpotInterruption",
          "from": "{% $floor($toMillis($states.input.time) / 1000) %}",
          "to": "{% $floor($toMillis($states.input.time) / 1000) %}",
          "service": "{% $replace($states.input.detail.clusterArn, /.*?\\/(.*)/, \"$1\") %}"
        }
      },
      "End": true
    }
  }
}

Fargate Spotの中断イベントはEventBridgeで拾うことができるので条件を設定し、対象のStep Functionsを実行すれば動かせます。

zenn.dev

気をつけポイントはあまりなく、EventBridgeのイベントのtime はISO 8601の形式でやってきて、MackerelのAPIはepoch秒なので変換してあげる必要があるくらいですがJSONataで実現可能です。

文字列操作もいろんな関数が用意されていて、正規表現で置換するなどもStep Functionsだけできるようになってます。

docs.jsonata.org

今回は簡単のためにECSのクラスタ名とMackerelのサービス名が同じ場合を想定しましたが、そうでない場合もECSのクラスタにMackerelのサービス名のタグをつけておいて、イベントがあったクラスタのARNからそのタグを取得してそこに送信みたいなフローもLambdaいらずで簡単にできそうですね。

あわせて読みたい

Step FunctionsからMackerelにリクエストを送る実装はこの記事が大いに参考になりました。

blog.utgw.net

記事内のLambdaで使っている Date.now() や Math.random() 相当の関数はJSONataにもあるのでこの例も全てStep Functionsだけで実現可能になってそうですね。

• https://docs.jsonata.org/date-time-functions#now
• https://docs.jsonata.org/numeric-functions#random

connpass.com

資料はこちらです。

紹介できなかったところや発表・懇親会中に質問があった内容について補足します。

fujiwara-wareへの貢献

以前にecspresso MeetUpでも紹介しているのでそちらもご確認ください。

speakerdeck.com

個人的に一番好きな貢献はdiffコマンドによるUnified Diff形式の出力で、v1の時はオプションですがv2からはデフォルトで有効にしてもらって自分を含め多くの人が使う機能を用意できたなと思ってます。

github.com

ステージング環境を停止・再開する部分について

再開する際になぜ scale --tasks=1 になってないのかという質問がありました。

これはリポジトリをマスターとして扱いためで、desiredCountも含めコード管理しています。単にdeployコマンドを実行することでdesiredCountが1でない場合や、その他の設定を変更したいときにマージ前のPR上で試してそのままずっと忘れてなんか設定が変だけど？みたいなことを防げます。

ecspressoリポジトリのディレクトリ名規則について

各ECSサービスをサービス名/コンポーネント名/環境名/ という単位で分けてディレクトリを作っています。これらのディレクトリの中でそれぞれecspressoのファイルがあるという感じです。

.
├── blog
│   ├── app
│   │   ├── base
│   │   ├── production
│   │   └── staging
│   └── proxy
│       └── production
└── bookmark
    └── app
        └── production

ここでいうサービス名はECSサービスではなく外部から見たサービスという意味で、コンポーネント名はそのサービスを構成するコンポーネントになっています。

環境名はそのまま本番かステージングかみたいな名前が入り、各環境で共通化したいファイルがあったらbaseディレクトリを別途作ってそれぞれでimportしています。

この命名規則にすることでリポジトリのルートを見るだけでどのサービスがあるかわかり、各サービスにどのコンポーネントがるかわかるようになるという感じです。

ちなみにこれらの名前はECSクラスタやECSサービス名と同じになっている必要はなく、リポジトリ上で管理しやすい名前にしています。

普段の開発の流れとデプロイ対象の特定をまとめるとこんな感じです。

• アプリケーションリポジトリでmainを変更
  • blog/app/staging 以下のイメージタグファイルを更新&自動マージ
• アプリケーションリポジトリでリリース作業を開始
  • blog/app/production 以下のイメージタグファイルを更新&手動マージ
• blog/app/base を何か手動で変更
  • blog/app/staging も blog/app/production もデプロイ対象に

このルールを完全に真似する必要はないですが、何か命名規則を決めることで例えば staging のものだけを対象に実行するみたいなことを入れやすくなります。

jsonnetのimportのルールについて

jsonnetの共通化はいくらでもできてしまいますがこれもルールを設けています。

• importは各コンポーネントのbaseディレクトリからのみして良い
  • 他の環境からimport禁止
  • 他のコンポーネントやサービスからimport禁止
• ecspresso.jsonnet のみトップレベルからimportしても良い

例えば blog/proxy/production の設定は blog/proxy/staging からimportすることはしないし別のblog/app/production みたいな別コンポーネントからimportしないようにしています。

これはfluent-bitであったりx-rayであったりのサイドカーでも同様です。

現状はこれらサイドカーの変更頻度も低い他、コンテナ定義ごとにファイルを分けているのあってそこまで手間にはなっていないです。(タグなどの書き換えなどもエディタの検索で十分)

発表でもあったように、多少の手間を許容してとにかく「間違ってデプロイされてしまう/デプロイできてない」みたいな事故をとにかく防ぐ方針でやっています。

ただ今後OTel Collectorなどデフォルトで全サービスに入れたいみたいなことが発生した際に手間ではあるのでそこは課題の一つかなと思います。

解決策としてはトップレベルに common などのディレクトリを作って、そこからimportするみたいな感じになりそうですが、これもまた影響のあるサービスを検出する部分がさらに複雑になってしまうのでその処理も考慮する必要があります。

ecspresso.jsonnet のimport

これに関してはどのECSサービスも同じ設定でECSの設定にもほぼ影響しないのでimportしています。

{
  required_version: '= v' + importstr '.ecspresso-version',
  region: 'ap-northeast-1',
  service_definition: 'service-def.jsonnet',
  task_definition: 'task-def.jsonnet',
  timeout: '15m0s',
  plugins: [{
    name: 'cloudformation'
  }],
}

このファイルをecspresso用リポジトリのトップレベルなどに置いておき、各サービスから参照しています。

local base = import '../../../base-ecspresso.libsonnet';

base {
  cluster: 'blog',
  service: 'app',
}

ecspressoの各設定にはクラスタ名やサービス名を書くだけで済むようになり、他に追加したいものがあればそれだけ書けば良いようになって便利です。

その他感想など

スライドでも軽く話したけど、リリースのフローの作り込みは作り込みが激しいのとpush型が基本になっていて、この辺どうにかできればみたいなのをCNDWでも会話していました。PipeCDのLTを聞いてだいぶ良さそうだったので検討してみたいですね。

Cloud Native Days Winterの2次会でディスカッションした展望がちゃんと実現されててすごい〜 #fujiwara_tech_conf

— Arthur (@Arthur1__) 2025年1月17日