秘密の文字列の保存には1Passwordを利用している前提です。1Passwordの中に入っている各種値を使ってデプロイするだけなら.kamal/secretsに次のような形で書くと良いです。

SECRETS=$(kamal secrets fetch --adapter 1password --account my-account --from MyVault/MyItem KAMAL_REGISTRY_PASSWORD RAILS_MASTER_KEY)
KAMAL_REGISTRY_PASSWORD=$(kamal secrets extract KAMAL_REGISTRY_PASSWORD $SECRETS)
RAILS_MASTER_KEY=$(kamal secrets extract RAILS_MASTER_KEY $SECRETS)

ローカルからデプロイするにはこれでいいんだけどGitHub Actionsから1passwordを使えるようにするのは大変。fnox みたいなツールを使うといい感じに統一できそうだけどちょっと敷居が高い。

kamal deployコマンドにsecretsファイルの場所を指定するオプションがあれば、ローカルとGitHub Actionsで切り替えられて便利なんだけど現状ない。

というのを考えると今のところは環境変数に寄せておくのがいいのかな、となっています。まず./kamal/secretsは次のようにします。

KAMAL_REGISTRY_PASSWORD=$KAMAL_REGISTRY_PASSWORD
RAILS_MASTER_KEY=$RAILS_MASTER_KEY

GitHub上でSecrets keyにこれらの値を入れておけばGitHub ActionsからのデプロイはOK。

ローカルは次のように.envなどに書いておく

KAMAL_REGISTRY_PASSWORD="op://MyVault/MyItem/KAMAL_REGISTRY_PASSWORD"
RAILS_MASTER_KEY="op://MyVault/MyItem/RAILS_MASTER_KEY"

そして op run --env-file=.env -- bundle exec kamal deploy とすると、1Password中の値を環境変数として注入してコマンド実行できます。やったね。

考えたけど試していない方法

.kamal/secretsは$()の中に書かれたものはシェルスクリプトとして動くはずなので、次のように1行で環境変数と1passwordとを切り替えるスクリプトを書くという案もあります。.envをつくらないで済むのはメリット。多分動くけど何やってるのかパッとわからないので保留にしています。

RAILS_MASTER_KEY=$(if [ -n "$RAILS_MASTER_KEY" ]; then echo "$RAILS_MASTER_KEY"; else SECRETS=$(kamal secrets fetch --adapter 1password --from MyVault/MyItem RAILS_MASTER_KEY) && kamal secrets extract RAILS_MASTER_KEY $SECRETS; fi)

Dev containerでの1Password SSH Agentを使ったコミット署名時のエラーを対処する を参考にして設定したのだけど、一部リンク先のエントリとは異なる点があったのと、別の要因にハマったのでそれのメモです。リンク先はwindowsで僕はmacという違いなのかVScodeのバージョンが変わって振る舞いが変わったのかはよくわかりません。

ホスト側のgitconfigを必要な分だけコピーするときの設定

リンク先の「解決策2: gitconfigのコピーを無効化する」を参考にしてdotfilesを使ってみたのだけど、~/.gitconfigに追記するやり方だとなぜか[credential]の項目が書き込まれなくて期待通りの挙動にはなりません。そして~/.config/git/configに書き込んだ場合には同じファイル(~/.config/git/config)の末尾に[credential]が書き込まれます。

謎な挙動だけど動いたのでとりあえずこれでいいか…となっています。

1passwordのsocketを利用する

1password公式のドキュメント Sign Git commits with SSH | 1Password Developer だとSSH_AUTH_SOCKはoptional扱いだったので設定していなかったのだけど、devcontainers環境で1passwordを利用したい場合は設定必須のようで、SSH_AUTH_SOCKを1passwordのものに設定するとうまく動きました。

SSH_AUTH_SOCKの設定前にdevcontainers環境をVSCodeで起動していて、その上でリビルドするとホスト側のSSH_AUTH_SOCK環境変数を読まないので設定が反映されない、という事があり30分くらいハマりました。VSCodeを起動しなおしたら解決しました。

(追記)-slim系のDockerイメージを利用している場合はopenssh-clientを明示的にインストールしておく必要がある

apt-get update && apt-get install openssh-client

• 開発環境、テスト環境のsecret_key_base

  • Rails5.2から自動生成されるようになった
    • Railsアプリケーション名をMD5したものを利用していた
    • Add credentials using a generic EncryptedConfiguration class (#30067) · rails/rails@69f976b
  • アプリケーション名から生成すると値が推測できてしまってセキュリティ的によろしくない、ということでRails6.0からはSecureRandom.hex(64)に変更された
    • 値はtmp/development_secret.txtに書き込むようになった
    • Fix possible dev mode RCE · rails/rails@4c74358
  • テスト環境でも使うのでtmp/development_secret.txtという名前は良くない、ということでtmp/local_secret.txtにリネームされた(Rails7.1.0.beta1)
    • Improve naming of local secret generation · rails/rails@f75934f
  • Rails v7.2.0.beta1以降、Rails.application.secrets削除コミットの影響で、開発環境及びテスト環境のsecret_key_baseはtmp/local_secret.txtの値が決め打ちになっていた
    • 過去にはENV["SECRET_KEY_BASE"]やRails.application.credentials.secret_key_baseも使えていた
    • Use secret_key_base from ENV or credentials when present locally by p8 · Pull Request #53705 · rails/rails
    • Rails 8.0.2及び7.2.3(2025/01/27時点で未リリース)でバグフィックスが入り、ENV["SECRET_KEY_BASE"]やRails.application.credentials.secret_key_baseがまた使えるようになる

• Rails7.1から、rails assets:precompile用のダミーsecret_key_baseの設定ができるようになった

  • デプロイ環境でassetsのビルドまで行う等、必ずしもrails assets:precompileをする環境にRAILS_MASTER_KEY(つまりsecret_key_base)が設定されているとは限らないので、ワークアラウンドとしてENV["SECRET_KEY_BASE_DUMMY"]があればSecureRandom.hex(64)をsecret_key_baseとして使うようになった
  • Allow assets:precompile to be run in a production build step without … · rails/rails@a3e392f

• 本番のsecret_key_base

  • Rails 7.1: ローカル環境のsecret_key_baseの保存場所がcredentialsに変わる（翻訳）｜TechRacho by BPS株式会社 が詳しい

• rubymineのキーバインドにcmd+shift+aがfind action(アクションに絞り込んだ検索)として用意されている
• が、mac上で実際にそれを打つとなぜか次のようになる
• 
• これは↓にある「ターミナルのmanページインデックスで検索」のキーバインドと競合しているから
• 
• ↑のようにチェックを消すと良い