<h1 id="%E3%81%93%E3%82%8C%E3%81%AF%E3%81%AA%E3%81%AB%3F">
<a class="header-anchor-link" href="#%E3%81%93%E3%82%8C%E3%81%AF%E3%81%AA%E3%81%AB%3F" aria-hidden="true"></a> これはなに?</h1>
<p>GitHub Actions(以下、GHA)において、<code>ACTIONS_</code> から始まる環境変数はGHAの実行中に見えるかどうかが実行される文脈に依存して変化します。<br>
この記事では、この挙動が引き起こす問題として「コンテナイメージビルド時のレイヤキャッシュが効かない」という挙動を紹介しつつ、その原因である環境変数の特殊な挙動とどのようにすればそれが解決するかを紹介します。</p>
<h1 id="3%E8%A1%8C%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#3%E8%A1%8C%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> 3行まとめ</h1>
<ul>
<li>GHAのrunステップでbuildkitのキャッシュのtypeに <code>gha</code> を選択している場合、通常ではキャッシュは利用できない</li>
<li>理由は <code>ACTIONS_</code> から始まる一部の環境変数はrunステップやcompositeアクションには渡されないため</li>
<li>これらの環境変数をnodeアクションなどの中で <code>exportVariable</code> で以降のステップで見えるようにすることでキャッシュが利用できない問題は解決できる(<a href="https://github.com/crazy-max/ghaction-github-runtime" target="_blank" rel="nofollow noopener noreferrer">crazy-max/ghaction-github-runtime</a>はそれをやってくれるaction)</li>
</ul>
<h1 id="%E8%A9%B1%E3%81%AE%E7%99%BA%E7%AB%AF">
<a class="header-anchor-link" href="#%E8%A9%B1%E3%81%AE%E7%99%BA%E7%AB%AF" aria-hidden="true"></a> 話の発端</h1>
<p><span class="embed-block zenn-embedded zenn-embedded-tweet"><iframe id="zenn-embedded__32412a104179a" src="https://embed.zenn.studio/tweet#zenn-embedded__32412a104179a" data-content="https%3A%2F%2Ftwitter.com%2Fokazu_dm%2Fstatus%2F1722289778555843056" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://twitter.com/okazu_dm/status/1722289778555843056" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://twitter.com/okazu_dm/status/1722289778555843056</a></p>
<p>これは、状況的にはGHAのjobの中で以下のようなrunステップを定義していたところ、何度実行してもレイヤキャッシュが効いている様子がなかったという状況でした。</p>
<div class="code-block-container"><pre><code>run: |
  docker buildx build -f foo/Dockerfile --cache-to=type=gha,mode=max --cache-from=type=gha .
</code></pre></div><p>教えてもらった情報をもとに以下のactionを挟んだところ、キャッシュを使うようになりました。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__0816517b59ffc" src="https://embed.zenn.studio/card#zenn-embedded__0816517b59ffc" data-content="https%3A%2F%2Fgithub.com%2Fcrazy-max%2Fghaction-github-runtime" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/crazy-max/ghaction-github-runtime" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/crazy-max/ghaction-github-runtime</a></p>
<p>また、公式のドキュメントもよく読むと <code>docker buildx built</code> コマンドを自分で叩くようなステップを書く場合は、このactionを使うように書いてありました。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__c01ffff491336" src="https://embed.zenn.studio/card#zenn-embedded__c01ffff491336" data-content="https%3A%2F%2Fdocs.docker.com%2Fbuild%2Fcache%2Fbackends%2Fgha%2F%23authentication" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.docker.com/build/cache/backends/gha/#authentication" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.docker.com/build/cache/backends/gha/#authentication</a></p>
<h2 id="crazy-max%2Fghaction-github-runtime%E3%81%AE%E4%B8%AD%E8%BA%AB">
<a class="header-anchor-link" href="#crazy-max%2Fghaction-github-runtime%E3%81%AE%E4%B8%AD%E8%BA%AB" aria-hidden="true"></a> crazy-max/ghaction-github-runtimeの中身</h2>
<p><span class="embed-block zenn-embedded zenn-embedded-github"><iframe id="zenn-embedded__24bffdd96c6ec" src="https://embed.zenn.studio/github#zenn-embedded__24bffdd96c6ec" data-content="https%3A%2F%2Fgithub.com%2Fcrazy-max%2Fghaction-github-runtime%2Fblob%2Ff7444d9798e4128a4c1335946ea66a4914b395fe%2Fsrc%2Fgithub.ts%23L4-L9" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/crazy-max/ghaction-github-runtime/blob/f7444d9798e4128a4c1335946ea66a4914b395fe/src/github.ts#L4-L9" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/crazy-max/ghaction-github-runtime/blob/f7444d9798e4128a4c1335946ea66a4914b395fe/src/github.ts#L4-L9</a><br style="display:none">
単純に、<code>ACTIONS_</code> から始まる以下のような環境変数をワークフローコマンドの <code>exportVariable</code> で環境変数として参照できるようにしているだけでした(<a href="https://docs.github.com/ja/actions/using-workflows/workflow-commands-for-github-actions#using-workflow-commands-to-access-toolkit-functions" target="_blank" rel="nofollow noopener noreferrer">exportVariableについてのドキュメント</a>)<br>
この部分だけを見ると、環境変数を同じ名前の環境変数として参照できるようにしているだけなので意味はないように見えます。<br>
ちなみに、このactionを呼び出すと以下のように5つの環境変数がこのactionに渡ってきている事がわかります。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token comment"># 公式のCIの実行結果からの引用</span>
<span class="token assign-left variable">ACTIONS_RUNNER_ACTION_ARCHIVE_CACHE</span><span class="token operator">=</span>/opt/actionarchivecache
<span class="token assign-left variable">ACTIONS_RUNTIME_URL</span><span class="token operator">=</span>https://pipelinesghubeus2.actions.githubusercontent.com/FBdaULJE3PtkjabDRQ4VS7kFhAp9CwewmBkNZE4fazocqWLF10/
<span class="token assign-left variable">ACTIONS_RUNTIME_TOKEN</span><span class="token operator">=</span>***
<span class="token assign-left variable">ACTIONS_CACHE_URL</span><span class="token operator">=</span>https://acghubeus2.actions.githubusercontent.com/FBdaULJE3PtkjabDRQ4VS7kFhAp9CwewmBkNZE4fazocqWLF10/
<span class="token assign-left variable">ACTIONS_RESULTS_URL</span><span class="token operator">=</span>https://actions-results-receiver-production.githubapp.com
</code></pre></div><p>しかし、実際にはこうしないと以降のrunステップからはこれらの環境変数は見えないという問題への対応となっています。</p>
<h3 id="%E8%A9%A6%E3%81%97%E3%81%AB%E5%90%8C%E3%81%98%E3%81%93%E3%81%A8%E3%82%92run%E3%82%B9%E3%83%86%E3%83%83%E3%83%97%E3%81%A7%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%82%8B">
<a class="header-anchor-link" href="#%E8%A9%A6%E3%81%97%E3%81%AB%E5%90%8C%E3%81%98%E3%81%93%E3%81%A8%E3%82%92run%E3%82%B9%E3%83%86%E3%83%83%E3%83%97%E3%81%A7%E3%82%84%E3%81%A3%E3%81%A6%E3%81%BF%E3%82%8B" aria-hidden="true"></a> 試しに同じことをrunステップでやってみる</h3>
<p>では、同じことを自分でやっても同じ効果が得られるだろうと思い、試しに以下のようなrunステップを定義してみます</p>
<div class="code-block-container"><pre class="language-yaml"><code class="language-yaml">      <span class="token comment"># とりあえず渡ってきている環境変数を表示するところまで </span>
      <span class="token punctuation">-</span> <span class="token key atrule">name</span><span class="token punctuation">:</span> Display env with node
        <span class="token key atrule">run</span><span class="token punctuation">:</span> <span class="token punctuation">|</span><span class="token scalar string">
          node -e "
            Object.keys(process.env).forEach(key =&gt; {
              if (key.startsWith('ACTIONS_')) {
                console.log(\`\${key}: \${process.env[key]}\`)
              }
            })
          "</span>
</code></pre></div><p>すると、以下のように一つだけしか環境変数が渡ってきていないことがわかります。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token assign-left variable">ACTIONS_RUNNER_ACTION_ARCHIVE_CACHE</span><span class="token operator">=</span>/opt/actionarchivecache

<span class="token comment"># 比較用: ghaction-github-runtimeのCIでは以下のように5つ返ってくる</span>
<span class="token comment"># ACTIONS_RUNNER_ACTION_ARCHIVE_CACHE=/opt/actionarchivecache</span>
<span class="token comment"># ACTIONS_RUNTIME_URL=https://pipelinesghubeus2.actions.githubusercontent.com/FBdaULJE3PtkjabDRQ4VS7kFhAp9CwewmBkNZE4fazocqWLF10/</span>
<span class="token comment"># ACTIONS_RUNTIME_TOKEN=***</span>
<span class="token comment"># ACTIONS_CACHE_URL=https://acghubeus2.actions.githubusercontent.com/FBdaULJE3PtkjabDRQ4VS7kFhAp9CwewmBkNZE4fazocqWLF10/</span>
<span class="token comment"># ACTIONS_RESULTS_URL=https://actions-results-receiver-production.githubapp.com</span>
</code></pre></div><p>前述のとおり、ghaction-github-runtimeには5つの環境変数が渡ってきているため、これでは不十分であると考えられます。<br>
<strong>この時点で立てた予測は「runステップでは見えないが、action中では見える環境変数があるのではないか」というものでした(結果的にこの予測は概ね正しかったが、もう少しトリッキーだった)</strong><br>
この予測を確かめるために、もう少し細かく実験をしていきます。</p>
<h1 id="%E4%B8%8E%E3%81%88%E3%82%89%E3%82%8C%E3%82%8B%E7%92%B0%E5%A2%83%E5%A4%89%E6%95%B0%E3%81%AE%E7%8A%B6%E6%B3%81%E5%88%A5%E6%95%B4%E7%90%86">
<a class="header-anchor-link" href="#%E4%B8%8E%E3%81%88%E3%82%89%E3%82%8C%E3%82%8B%E7%92%B0%E5%A2%83%E5%A4%89%E6%95%B0%E3%81%AE%E7%8A%B6%E6%B3%81%E5%88%A5%E6%95%B4%E7%90%86" aria-hidden="true"></a> 与えられる環境変数の状況別整理</h1>
<p>前述したように、<code>ACTIONS_</code> から始まる環境変数の渡ってくる数としては、ghaction-github-runtimeだと5つ、runステップだとほぼ同じ内容のスクリプトを実行した場合でも1つでした。これは単純にactionかどうかの違いなのではないかという予測を立てましたが、その予測を確かめるために実際に自分でactionを定義し、実行しました。</p>
<h2 id="gha%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AE%E7%A8%AE%E9%A1%9E%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6">
<a class="header-anchor-link" href="#gha%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AE%E7%A8%AE%E9%A1%9E%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" aria-hidden="true"></a> GHAのアクションの種類について</h2>
<p>GHAにおけるアクションの種類について簡単に触れておきます。<br>
<a href="https://docs.github.com/ja/actions/creating-actions/about-custom-actions" target="_blank" rel="nofollow noopener noreferrer">公式ドキュメント</a> に書いてあるように、GHAには3つのアクションがあります。設定ファイル中の記述に寄せて、本文中では以下のように分類します。</p>
<ul>
<li>dockerアクション: Dockerfileに基づいてコンテナをビルドして実行する</li>
<li>nodeアクション: JavaScriptファイルを実行する</li>
<li>compositeアクション: 指定されたシェル上でコマンドを実行する</li>
</ul>
<h2 id="%E6%A4%9C%E8%A8%BC%E5%86%85%E5%AE%B9%E3%81%A8%E7%B5%90%E6%9E%9C">
<a class="header-anchor-link" href="#%E6%A4%9C%E8%A8%BC%E5%86%85%E5%AE%B9%E3%81%A8%E7%B5%90%E6%9E%9C" aria-hidden="true"></a> 検証内容と結果</h2>
<p>最終的に3つのアクションの種類と、それぞれの呼び出し方(ディレクトリとして参照するか、他のリポジトリを参照する際の指定方法で呼び出すか)ごとに渡ってきている環境変数を表示しました(<a href="https://github.com/okazu-dm/gha-envvar-visibility-sample/actions/runs/6842485743/job/18604006936" target="_blank" rel="nofollow noopener noreferrer">実行ログ</a>)</p>
<ul>
<li>composite: <code>sort | env | grep -e '^ACTIONS_'</code> をして環境変数が<strong>1つ</strong>だけ表示された</li>
<li>docker: <code>sort | env | grep -e '^ACTIONS_'</code> をして環境変数が<strong>4つ</strong>だけ表示された</li>
<li>node: <a href="https://github.com/okazu-dm/gha-envvar-visibility-sample/blob/master/plain.js" target="_blank" rel="nofollow noopener noreferrer">このスクリプト</a> を実行した結果、環境変数が<strong>5つ</strong>表示された</li>
</ul>
<p>最終的な結論を出すまでに、渡ってくる環境変数の違いの原因として思いついた仮説は以下のようなものがありました。</p>
<ul>
<li>参照方法による違い =&gt; これは実際に試してみて差がないことを確認済み</li>
<li>Marketplaceにリスティングされているか否かか: これも試してみたが、やはり差はなかった</li>
<li>
<a href="https://github.com/actions/toolkit/tree/master" target="_blank" rel="nofollow noopener noreferrer">Github Actions Toolkit</a>を使っているか: これを使ったスクリプトをrunステップで試しに実行してみても、ACTIONS_から始まる環境変数は一つしか見えなかったためやはり違うことがわかった</li>
</ul>
<p>などいくつかの説を考えましたが、actionの種類によって渡ってくる環境変数の数が違う、というのが挙動から確認できる結論でした。</p>
<h1 id="%E5%AE%9F%E9%9A%9B%E3%81%AB%E3%82%AD%E3%83%A3%E3%83%83%E3%82%B7%E3%83%A5%E3%81%AE%E6%8C%99%E5%8B%95%E3%81%8C%E5%A4%89%E5%8C%96%E3%81%99%E3%82%8B%E3%81%8B%E3%81%AE%E7%A2%BA%E8%AA%8D">
<a class="header-anchor-link" href="#%E5%AE%9F%E9%9A%9B%E3%81%AB%E3%82%AD%E3%83%A3%E3%83%83%E3%82%B7%E3%83%A5%E3%81%AE%E6%8C%99%E5%8B%95%E3%81%8C%E5%A4%89%E5%8C%96%E3%81%99%E3%82%8B%E3%81%8B%E3%81%AE%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> 実際にキャッシュの挙動が変化するかの確認</h1>
<p>では、当初の目的であった「コンテナイメージのビルド時にキャッシュが使えるか」という点を改めて確認してみます。<br>
nodeアクションを使うとghaction-github-runtimeと同じになるため、今回はdockerアクションで以下のように、同様の処理を実装しました。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-github"><iframe id="zenn-embedded__f42c7c211818a" src="https://embed.zenn.studio/github#zenn-embedded__f42c7c211818a" data-content="https%3A%2F%2Fgithub.com%2Fokazu-dm%2Fgha-envvar-visibility-sample%2Fblob%2F670b28222e3dd62594ba746d5fe2d971385f4ece%2Fexport-env-docker%2Fentrypoint.sh" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/okazu-dm/gha-envvar-visibility-sample/blob/670b28222e3dd62594ba746d5fe2d971385f4ece/export-env-docker/entrypoint.sh" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/okazu-dm/gha-envvar-visibility-sample/blob/670b28222e3dd62594ba746d5fe2d971385f4ece/export-env-docker/entrypoint.sh</a></p>
<p>まず、今回問題となったケースと同じように、何もせずにrunステップでキャッシュのオプションだけ与えた方のジョブは以下のように、通常のビルドを実行し、これはリトライしても同様でした。(<a href="https://github.com/okazu-dm/gha-envvar-visibility-sample/blob/670b28222e3dd62594ba746d5fe2d971385f4ece/.github/workflows/docker-build-without-cache.yml" target="_blank" rel="nofollow noopener noreferrer">job定義</a>)<br>
<img src="https://storage.googleapis.com/zenn-user-upload/f86ace3bd86c-20231113.png" loading="lazy" class="md-img"><br>
しかし、環境変数をセットするactionを挟んだ方のジョブは二度目の実行以降は以下のようにキャッシュが使われるようになりました。(<a href="https://github.com/okazu-dm/gha-envvar-visibility-sample/blob/670b28222e3dd62594ba746d5fe2d971385f4ece/.github/workflows/docker-build-with-cache.yml" target="_blank" rel="nofollow noopener noreferrer">job定義</a>)<br>
<img src="https://storage.googleapis.com/zenn-user-upload/b7d4e336f890-20231113.png" loading="lazy" class="md-img"></p>
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81%E3%81%A8%E6%84%9F%E6%83%B3">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81%E3%81%A8%E6%84%9F%E6%83%B3" aria-hidden="true"></a> まとめと感想</h1>
<p>今回の挙動の違いは単純にgithub actions側の実装上の違いに起因するものと考えられますが、そもそもこの違いはどうして生まれているのか、というのは挙動の違いからは読み取れず、結論としては謎は残ったままとなりました。<br>
また、buildkit側のエラーメッセージとして情報が出ていないか、試しにGHAの<a href="https://docs.github.com/ja/actions/monitoring-and-troubleshooting-workflows/enabling-debug-logging" target="_blank" rel="nofollow noopener noreferrer">デバッグログ</a>を有効化して確認してみましたが、特に関連する情報は出ておらず、このあたりはどのような扱いになっているのかというのもやや気になるポイントではあります(そもそも一部のパラメータが渡ってきていないからキャッシュ周りの処理が発火していないのか、キャッシュの取得/保存に失敗してもwarnとしないのか)</p>
<h1 id="%E3%81%9D%E3%81%AE%E4%BB%96">
<a class="header-anchor-link" href="#%E3%81%9D%E3%81%AE%E4%BB%96" aria-hidden="true"></a> その他</h1>
<ul>
<li>そういえ環境変数を入力として渡すような処理は何も書いてないけど、自動でgithubの環境変数読むのかな？と思って調べてみたが、どうも読みそう</li>
</ul>
<p><span class="embed-block zenn-embedded zenn-embedded-github"><iframe id="zenn-embedded__4ce0e82bced8e" src="https://embed.zenn.studio/github#zenn-embedded__4ce0e82bced8e" data-content="https%3A%2F%2Fgithub.com%2Fmoby%2Fbuildkit%2Fblob%2Fa9a5aaf23f8ad77b1a461f4aec7edce19bf4a4c3%2Fcmd%2Fbuildctl%2Fbuild%2Futil.go%23L17-L34" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/moby/buildkit/blob/a9a5aaf23f8ad77b1a461f4aec7edce19bf4a4c3/cmd/buildctl/build/util.go#L17-L34" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/moby/buildkit/blob/a9a5aaf23f8ad77b1a461f4aec7edce19bf4a4c3/cmd/buildctl/build/util.go#L17-L34</a></p>
<ul>
<li>試しにactions/runnerで <code>ACTIONS_RUNTIME_TOKEN</code> で文字列検索かけたらやはりnodeアクションとdockerアクションにだけ環境変数を渡す処理がありそう
<ul>
<li><a href="https://github.com/search?q=repo%3Aactions%2Frunner%20ACTIONS_RUNTIME_TOKEN&amp;type=code" target="_blank" rel="nofollow noopener noreferrer">https://github.com/search?q=repo%3Aactions%2Frunner ACTIONS_RUNTIME_TOKEN&amp;type=code</a></li>
<li><img src="https://storage.googleapis.com/zenn-user-upload/e63ec0f7ae74-20231113.png" loading="lazy" class="md-img"></li>
</ul>
</li>
</ul>


GitHub Actionsにおける一部環境変数の特殊な可視性について

試しに同じことをrunステップでやってみる

crazy-max/ghaction-github-runtimeの中身

GHAのアクションの種類について

与えられる環境変数の状況別整理

実際にキャッシュの挙動が変化するかの確認

Discussion