定期的なビルドを行うツールの1つに、Jenkins CIがある。ソースのあるリポジトリをチェックし、必要に応じてApache AntなりMaven なり実行してくれるのだが、「リポジトリにはSSHでトンネル掘ってアクセス」なんて環境だと、困ってしまう。パスワードの設定されていないキーを使えとは言うものの、実際にはなかなか難しかったりする。
一方、SSHを便利に使うツールの1つに、ssh-agentがある。ssh-addで登録されたパスフレーズを、ユーザの代わりにsshに入力してくれるのだ。
これを使えば、Jenkinsがssh経由でリポジトリにアクセスするとき、パスフレーズを自動的に入力させることが可能だ。
sshは環境変数SSH_AUTH_SOCKにセットされているソケットからパスフレーズを読みだす。また、ssh-agentが出力する内容は、環境変数SSH_AUTH_SOCKおよびSSH_AGENT_PIDをセットする形になっている。だから、
- ssh-agentの出力内容をどこかに取って置き
- Jenkinsからsshを起動する際、取っておいたssh-agentの出力を取りこんで、ssh-agentにパスフレーズの入力をしてもらう
まずはssh-agentの起動スクリプト。例えば、setup-jenkins-sshとする。出力内容は後で使うので、/tmp/jenkins-envに出しておく。
#!/bin/sh
PATH=$PATH:/usr/bin
export PATH
if [ "x" == "x`pgrep -u tomcat ssh-agent`" ]; then
umask 077
ssh-agent -s > /tmp/jenkins-env
ssh-agent
fi
#!/bin/sh
. /tmp/jenkins-env
ssh $*
あとはjenkinsでjobを作成する。リポジトリにアクセスする部分では、CVS_RSHの設定ができるので、上記で作成したjenkins-ssh を指定すればよい。
