はじめに

QualiArts - Qiita Advent Calendar 2025 - Qiita、22日目担当の鈴木光です。

今回、いわゆるマネージドWireGuardであるTailscaleを構築する機会があったため、備忘録として残しておきます。

TailscaleはVPNを簡単に構築・管理できるサービスです。この記事ではTerraformを使用してTailscaleのアクセス制御ポリシーを管理する方法と、ロールベースのアクセス制御を実装した事例を紹介します。

Tailscale Provider

Tailscaleでは公式より Tailscale Provider（tailscale/tailscale）が提供されているので、こちらを使ってリソース管理を行います。

出典: Terraform Registry - tailscale/tailscale

実装の概要

Tailscale Grantsポリシー

この実装では、TailscaleのGrantsポリシーを使用しています。Grantsは、従来のACLから移行された新しいアクセス制御方式です。

出典: Tailscale公式ドキュメント - Migrate from ACLs to grants

ロールベースアクセス制御の仕組み

以下の4つの要素で構成されています

1. ロール定義: 各ロールがアクセス可能なプロジェクトタグを定義
2. ユーザーアサイン: 各ユーザーに1つのロールを割り当て
3. グループ生成: ロールごとにカスタムグループを自動生成
4. タグオーナー設定: プロジェクトタグを管理する権限を持つグループを定義

実装詳細

main.tfの構成

main.tfファイルは以下の構造になっています。

1. Locals定義

locals {
  # ロール定義: プロジェクトタグを持つロール
  roles = {
    "admin"              = ["projectA", "projectB"]
    "projectA-developer" = ["projectA"]
    "projectB-developer" = ["projectB"]
  }

  # ユーザーとロールのアサイン（1ユーザーに1ロール）
  user_role_assignments = {
    "user1@example.com" = "admin"
    "user2@example.com" = "admin"
    "user3@example.com" = "projectA-developer"
    "user4@example.com" = "projectB-developer"
  }
}

2. 動的なグループ生成

Terraformのfor式を使用して、ロールごとにユーザーをグループ化します。

role_users = {
  for role_name, _ in local.roles :
  role_name => [
    for email, role in local.user_role_assignments :
    email if role == role_name
  ]
}

3. タグオーナーのマッピング

Tailscaleでは、タグオーナー（tagOwners）がタグをマシンに割り当てる権限を持ちます。この実装では、すべてのプロジェクトタグをgroup:adminが所有するように設定しています。

# タグオーナーのマッピングを作成
# プロジェクトタグはadminグループが所有
tag_owners = {
  for project_tag in local.all_project_tags :
  "tag:${project_tag}" => ["group:admin"]
}

この設定により、group:adminのメンバーのみが、プロジェクトタグ（例: tag:projectA、tag:projectB）をマシンに割り当てることができます。

タグオーナーの概念は、Tailscaleのアクセス制御において重要な役割を果たします。タグをマシンに割り当てる権限を制限することで、意図しないタグの割り当てを防ぎ、アクセス制御ポリシーの整合性を保つことができます。

4. タグとロールのマッピング（tag_to_roles）

各プロジェクトタグに対して、アクセス可能なロール（admin以外）をマッピングするtag_to_rolesを定義しています。

# タグごとにアクセス可能なロール（admin以外）をマッピング
tag_to_roles = {
  for tag in local.all_project_tags :
  tag => [
    for role_name, tags in local.roles :
    role_name if contains(tags, tag) && role_name != "admin"
  ]
}

各プロジェクトタグに対して、そのタグにアクセス権限を持つロール（adminを除く）を自動的に特定できます。例えば、projectAタグにはprojectA-developerロールがマッピングされます。

tag_to_rolesは、後述するGrantsルールの生成時に使用され、各タグに対して適切なロールのユーザーがアクセスできるようにします。adminロールは常に全タグにアクセスできるため、このマッピングからは除外されています。

5. Tailscale ACLリソース

tailscale_aclリソースを使用して、Grantsポリシーを定義します。

resource "tailscale_acl" "this" {
  acl = jsonencode({
    groups = {
      for role_name, users in local.role_users :
      "group:${role_name}" => users
    }
    
    tagOwners = local.tag_owners
    
    grants = concat(
      # ExitNodeへのアクセスルール
      [...],
      # プロジェクトタグへのアクセスルール
      [...]
    )
  })
}

アクセス制御ルール

実装では、以下の2種類のアクセスルールを定義しています。

1. ExitNodeアクセスルール

プロジェクトごとに、ExitNode経由でのインターネットアクセスとプライベートIPレンジへのアクセスを許可します。

[
  for tag in local.all_project_tags : {
    src = concat(["group:admin"], [for role in local.tag_to_roles[tag] : "group:${role}"])
    dst = concat(["autogroup:internet"], local.private_ip_ranges)
    via = ["tag:${tag}"]
    ip  = ["*"]
  }
]

2. プロジェクトタグへのアクセスルール

各プロジェクトタグに対して、該当するロールのユーザーがアクセスできるようにします。

[
  for tag in local.all_project_tags : {
    src = concat(["group:admin"], [for role in local.tag_to_roles[tag] : "group:${role}"])
    dst = ["tag:${tag}"]
    ip  = ["*"]
  }
]

SSHルール

管理者グループ（group:admin）のメンバーが、自身のマシンに対してSSHアクセスできるように設定されています。

ssh = [
  {
    action = "accept"
    src    = ["group:admin"]
    dst    = ["autogroup:self"]
    users  = ["autogroup:nonroot", "root"]
  }
]

自動承認設定

プライベートIPレンジのルートとExitNodeの自動承認を設定しています。

autoApprovers = {
  routes = {
    for ip_range in local.private_ip_ranges :
    ip_range => [for tag in local.all_project_tags : "tag:${tag}"]
  }
  exitNode = [for tag in local.all_project_tags : "tag:${tag}"]
}

まとめ

Terraformを使用してTailscaleのアクセス制御を管理することで、IaCの原則に従った運用が可能になります。 また、ロールベースアクセス制御を実装することでユーザー管理が簡潔になり、スケーラブルなアクセス制御が実現できるようになりました。

この実装にはTailscale Premiumプラン以上が必要ですが、カスタムグループ機能を活用することで柔軟で保守性の高いアクセス制御システムを構築できるため、皆様の参考になれば幸いです。

はじめに

QualiArtsのカレンダー | Advent Calendar 2022 - Qiita、19日目担当の鈴木光です
私はバックエンドエンジニアですが、クライアントのビルド周りも携わるので今回はゲーム開発現場におけるJenkinsについてのお話をさせていただきます

Jenkinsについて

皆さんご存知の通り、Jenkinsは非常に汎用的なCI/CDのプラットフォームです。Jenkins自体はJavaで実装されたOSSのソフトウェアなので基本的に自前でホストする必要がありますが、それゆえに構築してしまえばベンダーロックインされることなく多くの現場で活用することが可能です
最近はGitHub Actionsを筆頭にCircle CI, Gitlab CI, AWS Code BuildやGoogle Cloud Buildなど様々なマネージドCIサービスが業界を席巻していますが、露出の少ないゲーム系のテックカンファレンスなどを見ると未だにJenkinsはよく登場しています。おじいちゃんはまだまだ現役なのです

Jenkinsの欠点

特にWeb系の方々からすると「まだJenkinsなんて使っているの？」という感想ではないでしょうか。かくいう自分もその一人で、入社した時はほうぼうでJenkinsが利用されていて驚いた記憶があります。なぜマネージドサービスを利用しないのかと
実際、QualiArtsのバックエンドエンジニアも以前はサーバアプリケーションのCI/CD基盤としてJenkinsを採用していましたが、最近ではほとんど使っていません。もっぱらGitHub ActionsかGoogle Cloud Buildで完結しています（一部CD基盤にArgoCDを利用していたりしますが、CI基盤としてはマネージドサービスがメインです）。この理由は皆様と同じでしょう、Jenkinsにはいくつか欠点があります

• マネージドサービスではないため自前でマシンやソフトウェアを管理する必要がある
• Jenkins自体がプラグインにとても依存する。プラグインのバージョンについていけなかったり、アップデート作業をするとJenkinsやジョブが壊れる。そして直近のアップデートができないのでその次のアップデートもできなくなり化石になっていくという悪循環
• ジョブや設定がコード化されていない。コード化するプラグインを使ったとしてもやはりそこだけで全ては完結しない（そのプラグインのインストールは？）。さらには馴染みのないGroovy

Jenkinsを利用していた時代もこのあたりを解決するためFabric（GitHub - fabric/fabric: Simple, Pythonic remote execution and deployment.）を使ったり、あまりJenkins側で複雑な設定をしなかったりと工夫していましたが、近年のマネージドサービスはこのあたりを解決してくれるため移行しています。またJenkinsは多岐にわたる機能を持ちますが、我々が行いたかったのは自動テストや単純なビルド・デプロイ作業であったため高度な機能が必要とされなかったというのもあるかもしれません

Unityのビルド

さて、QualiArtsでは主にUnityを用いてゲーム開発を行っており、バックエンドとは違ってクライアントでは引き続きJenkinsを利用しています。具体的にどのようなことがJenkinsによって自動化されているのかは1日目の記事（Unity開発の現場でJenkinsがしていることの紹介 | QualiArtsエンジニアブログ）を参照していただくとして、大別すると「アプリのビルド」と「アセットのビルド」の2つに分けられます。他にも細かいジョブはありますが、そちらは実験的にGitHub Actionsへ移行しています。逆に言うと、これらのジョブは移行することが出来ないわけです。なぜでしょうか？詳しく解説していきましょう

2種類の"巨大な"ビルドとキャッシュシステム

アプリのビルド

「アプリのビルド」から解説していきましょう。こちらは単純明快、クライアントのソースコードからアプリケーションをビルドし、ipaやapkといった実行ファイルを出力するジョブです。これがLinuxマシンで稼働する一般的なサーバアプリケーションであればJenkinsは不要だったでしょう。しかし、ここでビルドのターゲットになるのはiOSやAndroidです。特にiOSのビルドにはmacOSを用いてしかビルドできないという制約があります。したがって、この時点でマネージドサービスであったとしてもかなりサービスを選びます。アプリケーションのビルドにはそこそこのマシンパワーも必要ですのでマネージドサービスにすると費用もかさみます。ビルドジョブには手動で行われるものの他にも1時間に1度など定期的に行われるビルドもあるため、1日のうちそこそこの時間マシンリソースが専有されているというのも従量課金制と相性が悪いです
このため、QualiArtsではMac Proを社内にホストしてJenkinsエージェントをインストール、クラウドのVM上に構築されたJenkinsコントローラーと接続してジョブはMac Pro上で実行するという形式をとっています

アセットのビルド

Unityには画像や動画といったアセットを外部へ切り出すためにアセットバンドルというシステムがあります。Unityがアセットを読み込むためにプラットフォームごとの変換処理やアセットの圧縮などを事前に行い、アセットをメタデータと一緒に外へ切り出すことで、ランタイムで動くアプリケーションに対して動的にコンテンツを配布できるという仕組みです。Unityで開発された運用中のサービスにおいて、新しく追加されるガチャやDLCコンテンツなどがアプリ更新なしに行われているなら十中八九アセットバンドルを使っていることでしょう
このビルド処理にはかなりのマシンリソースが必要で、おろし金と呼ばれる弊社のMac Proを用いても数十分はかかる処理になっています。ただ実はこの処理、ビルドターゲットがiOSでもビルドマシンがmacOSである必要はないのでAWSのスポットインスタンスのようなLinuxのVMを用いてコスト最適化しつつクラウド化することは可能です（過去にそのようなプロジェクトは実在しました）

JenkinsのメリットとUnityビルドにおけるキャッシュ

今までの話だけだと「Macが使えるマネージドサービスならコストを一定かければJenkinsじゃなくて良いの？」ということになるかもしれません。アセットのビルドなんて「macOSじゃくても良いならJenkinsである必要ある？」となることでしょう。しかし、なかなかそういうわけにもいかないのです
先程、Jenkinsのデメリットについてお話しました。逆に我々がJenkins使い続ける究極のメリットを紹介しましょう。それが"ジョブごとにワークスペースが維持される"というものです
一般的に、CIは毎回クリーンな環境で行われる方が良いとされています。そうしないと冪等性や再現性が担保されないためです。変に以前の状態が維持されている環境でCIを実行してしまったがために、想定していたプログラミング言語のバージョンやライブラリの依存関係がおかしくなって挙動が変わるということは容易に想像できます。ただ、これは毎回クリーンな環境で実行したCIが現実的な時間内で終了することが前提です。1テストするのに10時間かかっていたら開発も進みません。しかし、上記2つのビルドではそれが起こるのです
ここでアプリのビルドについて触れてみます。Unityには Library というディレクトリがあり、色々なキャッシュが詰まっています。これがあることでエンジニアは快適な開発体験を享受できます。 Library ディレクトリは数GBあり、Unityは Library ディレクトリ自体やその中のキャッシュデータが不足しているとそれを起動時などに生成しますが、数GBのキャッシュデータを生成するのですから当然時間がかかります。さらにUnityのプロジェクトは大きくなりがちです。VCSからチェックアウトするだけでもかなりの時間がかかります。さらにさらに、アプリのビルドに必要な埋め込みのアセットをSVN, Git LFS, Plastic SCM, Perforceといったアセット用VCSからチェックアウトすることも必要です。これらの処理を毎回するのでしょうか。帯域の問題もありますが、何より時間がかかります。開発中のアプリのビルドは速ければ速いほど検証やQAといったイテレーションを回せるのでビルド時間というのはとても重要な項目です
また、多くのマネージドCIサービスではジョブが並列に走ることが前提です。サービス上にキャッシュの仕組みが用意されているとはいえ、バージョン管理されたコードを並列にビルドしつつ、それを適切にキャッシングするのはなかなか骨が折れるのではないでしょうか。Jenkinsはエージェントごとに並列数も絞れますし、そもそもジョブはキューイングされるので直列のビルドです。以前のジョブで使われていたワークスペースはそのまま維持され、次のジョブでも利用されるため Library ディレクトリの生成やデータのチェックアウト処理は短時間で完了します
これがそのままアセットのビルドにも関わります。アセット用VCSからチェックアウトする必要があるといったことを先程お伝えしましたが、アプリ埋め込みのアセット量などたかが知れています。本当にヤバいのはアセットバンドルとして外部へ切り出されるリソースたちです。タイトルの規模や対応プラットフォームにもよりますが、例えばQualiArtsのIDOLY PRIDEではこれらは全てのプラットフォーム合わせてデータ量が数十GBあります。アセットバンドルは圧縮されているので生のアセットデータは100GB近くあったりします。この容量になるとマネージドサービスのキャッシュシステムの上限を超えたり、そもそもキャッシュへストア・リストアする作業自体にも時間がかかります。例えばGitHub Actionsでは actions/cache というワークフローを用いてデータのキャッシュを実現できますが、キャッシュのデータサイズには10GBの上限がありますし、ログを見る感じ内部的には恐らく分散ストレージに対してキャッシュデータをダウンロード・解凍・圧縮・アップロードといった処理をしています。"ジョブごとにワークスペースが維持される"というのはこの問題に対して非常に効果を発揮します。アセットバンドルのフルビルドは本来丸一日レベルのジョブですが、Jenkinsが持つこの特性のおかげで数十分で済んでいます。これがゲーム開発の現場で良くJenkinsが使われている理由です
（ちなみにGitHub Actionsのセルフホステッドランナーはワークスペースを維持しますが、ワークスペースがジョブごとではなくエージェントごとに維持されます。共有ディレクトリをマウントするなどすればジョブごとにすることも可能かもしれませんが、その工夫の維持管理にもコストがかかりますし、どちらにしろ後述する問題があることにより移行は厳しいかなという所感です）

ビルド時間以外のメリット

実はビルド時間以外にもJenkinsにはメリットがあります。それは従量課金でないことと、UIがわかりやすいというものです
我々の現場ではJenkinsのジョブを実行するユーザーがエンジニアであるとは限りません。クリエイターやプランナーなど多様な職種のユーザーがJenkinsのボタンをポチっと押します。仮に素晴らしいキャッシュシステムを構築し、Jenkinsから脱却できるぞと意気込みながらGitHub Actionsに完全移行した場合は、次にこの問題が立ちはだかることでしょう。そう、Jenkinsはユーザー数によってお金がかかるということはありませんが、GitHubはユーザー数による従量課金制なのです。QualiArtsが所属するCyberAgentグループは全社的にGitHub Enterprise Cloudを導入していますが、料金表を見るとユーザーあたり21ドルかかります。しかもこれが日割りだとは思えません。最低でも月ごと、あるいは年ごとになるでしょう。ゲーム開発の現場は人員の流動性も激しく、開発人数も多いです。ソーシャルゲームの開発であっても100人を超える現場は珍しくありません。当然全員がJenkinsを扱うわけではありませんが、必要な人に絞ったとしても利用するなら2週間のインターン生や3ヶ月のヘルプで来ていた人のためにGitHubのアカウントを1ヶ月分・1年分契約したりする必要があるということになります。仮にJenkinsの頃と比べ20人追加でGitHubアカウントが必要になり、それが年契約だとすると5040ドルです。追加でかかるにはちょっと看過できない金額ですね
加えて、Jenkinsは（あまり役に立ちませんが）ジョブの残り時間、進捗やキュー状況などが直感的なUIで表示されます。GitHub Actionsを利用したことがある方ならわかると思いますが、エンジニアにはわかりやすくても非エンジニアにはちょっとわかりにくい作りをしているのではないでしょうか？定期実行されたジョブの確認方法や手動実行するためにはどのボタンを押せば良いかなどの操作方法のドキュメントを書いたり、問い合わせの対応をしたりして工数が発生するならなんのためにGitHub Actionsへ移行したのかわかりません

まとめ

今回はゲーム開発の現場でJenkinsが利用され続ける理由について解説しました。近年では色々な記事やカンファレンスでマネージドCIサービスのことが話され、Jenkinsから脱却したというテーマを聞くことも珍しくありません。ゲーム系でもなんとかしてJenkinsを脱却したという他社さんの取り組みの記事を見ることが増えてきましたが、やはりマネージドMacマシンのスペック不足やキャッシュのための巨大なディスクをネットワークマウントした際に起きる実行速度の問題など課題が残っているという話もされています。バックエンドの人間としてはあまりJenkinsをホストしたくないものですが、現状のゲーム開発現場においてJenkinsは非常に素晴らしいソリューションです。とはいえGitHub Actionsが最適な部分もあるので今後もJenkinsと併用していきたいと思います。もしこのあたりの課題がまるっと解決された、いい感じのCIソリューションがあれば教えていただけると幸いです

はじめに

QualiArts Advent Calendar 2020 - Qiita、7日目担当の鈴木光です
今回はGo言語とGitHub Actionsについてのお話をさせていただきます

自動生成

Go言語は言語仕様上、自動生成によるコード実装が多い言語です
例えば

• protobufから生成したコード
• ORMのコード
• テストで使うmockコード
• 何かを元に生成したenumの実装
• APIドキュメント
• 単純なCRUD API
• etc ...

自動生成したコードは普通にgit commitしないといけません
ただ、そのうち自動生成コマンド自体の数が増えてくると、コミットの中に漏れが発生することがあります
もちろん、これらが漏れていたからといってアプリケーションが必ずしも動作しないわけではありません
テスト対象によってはmockコードがなくても通る場合はありますし、そもそもORMなどは漏れること自体があまりないでしょう
しかし、自動生成を忘れた人以外の人がそれらを生成した際に、自分の変更範囲外のものまで生成されるとちょっとアレじゃないでしょうか？
今回はその漏れを見逃さないようにGitHub Actionsを用いてチェックする方法をご紹介します

実装

今回は次の3つについて、GitHub Actions上で自動生成が漏れていないかチェックする実装を行っていきます

• ORMのコード&単純なCRUD API
• テストで使うmockコード
• APIドキュメント

また、基本的に自動生成が漏れていないかチェックするだけなら

1. コードを生成
2. git diff --quietでチェック（diffがある場合は終了コードが1になる）

だけで済みます

ORMのコード&単純なCRUD API

現在sqlboilerという既存DBから実装コードを生成するタイプのORMを利用しています
Go言語だとやはりgormをよく見かけますが、sqlboilerはタイプセーフなコードを生成できてパフォーマンスも良いのでお気に入りです
加えてマスターデータを操作する単純なCRUD APIを自動で生成しており、カラム追加時などにちょくちょく忘れてしまうのでチェックしたいと思います（むしろこちらがメイン）
また、DBマイグレーションのツールとしてdbmateを使っています。非常に使い勝手が良いのでぜひ使ってみてください

name: Check autogen db code
on:
  pull_request:
    branches:
      - master
      - 'feature/**'
    paths:
      - 'db/migrations/*' # マイグレーションファイルに変更があった時だけ実行
jobs:
  check-autogen-db:
    runs-on: ubuntu-latest
    services:
      mysql:
        image: mysql:5.7
        ports:
          - 3306:3306
        env:
          MYSQL_ROOT_PASSWORD: root
    steps:
      - name: Checkout code
        uses: actions/checkout@v2
      - name: Setup golang
        uses: actions/setup-go@v2
        with:
          go-version: 1.14.10
      - name: Cache Go Modules
        uses: actions/cache@v2.1.3
        id: cache
        with:
          path: ~/go/pkg/mod
          key: ${{ runner.os }}-go-${{ hashFiles('**/go.sum') }}
          restore-keys: |
            ${{ runner.os }}-go-
      - name: Download Modules
        if: steps.cache.outputs.cache-hit != 'true'
        run: go mod download
      - name: Migration database
        uses: docker://amacneil/dbmate:v1.10.0
        env:
          DATABASE_URL: mysql://root:root@mysql:3306/hoge
        with:
          args: --wait --no-dump-schema up
      - name: Setup tools
        run: GO111MODULE=off go get github.com/volatiletech/sqlboiler github.com/volatiletech/sqlboiler/drivers/sqlboiler-mysql
      - name: Generate entity
        run: sqlboiler mysql --wipe
      - name: Check diff
        run: git add . && git diff --cached --quiet
      - name: Show diff if failure
        if: ${{ failure() }}
        run: git diff --cached
      - name: Generate master api
        run: make gen-masterapi # マスターデータ操作APIを自動生成する独自実装
      - name: Check diff
        run: git add . && git diff --cached --quiet
      - name: Show diff if failure
        if: ${{ failure() }}
        run: git diff --cached

テストで使うmockコード

お次はmockコードの生成です
現在テストライブラリとしてアサーションにtestify、mock生成にmockeryを利用しています
自動生成コードなど一部のファイルをテスト対象から外しているケースでそこへ変更があった際に生成を忘れがちです（そもそも生成対象からはずせよっていう話でもありますがw）

name: Check autogen mock code
on:
  pull_request:
    branches:
      - master
      - 'feature/**'
    paths:
      - 'pkg/**'
jobs:
  check-autogen-mock:
    runs-on: ubuntu-latest
    steps:
      - name: Checkout code
        uses: actions/checkout@v2
      - name: Generate mock
        run: rm -rf mock && docker run -v ${PWD}:/src -w /src vektra/mockery:latest --all --dir=./pkg --keeptree --outpkg=mock --output=mock --disable-version-string # dockerコマンドも使える
      - name: Check diff
        run: git add . && git diff --cached --quiet
      - name: Show diff if failure
        if: ${{ failure() }}
        run: git diff --cached

APIドキュメント

最後はAPIドキュメントです
前提として現在のプロジェクトではコードに埋め込んだアノテーションからSwagger Specを生成する手法をとっており、go-swaggerを利用しています
GitHubのリポジトリにSwagger Specを置く運用をしているのですが、APIのリクエスト・レスポンスを更新した時に生成を忘れてしまうなどはよくあるユースケースです
そんな時はGitHub ActionsにSwaggerの生成とドキュメントのコミットまでやってもらいましょう
同一リポジトリ内にコミットするなら非常に簡単なのですが、今回はドキュメント専用の別リポジトリに対してコミットしたかったのでdeploy keysを利用します
こちらのリポジトリにはシークレット情報としてDOCS_REPO_DEPLOY_KEYという名前で秘密鍵を設定します。ドキュメント側のリポジトリには公開鍵を登録しておきましょう

name: Generate Swagger Spec
on:
  push:
    branches:
      - master
    paths:
      - 'pkg/presentation/http/router.go'
      - 'pkg/presentation/http/request/**'
      - 'pkg/presentation/http/response/**'
jobs:
  generate-swagger:
    runs-on: ubuntu-latest
    env:
      DOCKER_WORKDIR: /github/workspace
      SPEC_PATH: spec/swagger.yaml
    steps:
      - name: Checkout code
        uses: actions/checkout@v2
      - name: Swagger specを生成
        uses: docker://quay.io/goswagger/swagger:latest
        with:
          args: generate spec -m -o ${{env.DOCKER_WORKDIR}}/${{env.SPEC_PATH}}
      - name: deploy keyをセットアップ
        env:
          DOCS_REPO_DEPLOY_KEY: ${{secrets.DOCS_REPO_DEPLOY_KEY}}
        run: |
          echo "$DOCS_REPO_DEPLOY_KEY" > ~/deploy_key.pem
          chmod 600 ~/deploy_key.pem
      - name: diffがあればdocs用リポジトリにcommit&push
        env:
          GIT_SSH_COMMAND: ssh -i ~/deploy_key.pem -o StrictHostKeyChecking=no -F /dev/null
          DOCS_REPO: hoge-server-docs
        run: |
          git clone git@github.com:hikyaru-suzuki/$DOCS_REPO.git ../$DOCS_REPO
          cd ../$DOCS_REPO
          mkdir -p ./spec
          rm -f ./${{env.SPEC_PATH}}
          cp $GITHUB_WORKSPACE/${{env.SPEC_PATH}} ./${{env.SPEC_PATH}}
          git add ./${{env.SPEC_PATH}}
          result=0
          $(git diff --cached --quiet) || result=$?
          if [ $result -ne 0 ]; then
            git config --local user.email "action@github.com"
            git config --local user.name "GitHub Action"
            git commit -m "update: swagger spec"
            git push origin master
          fi

まとめ

小さなことですが今回のCI設定で楽になりました
個別の作業はそれぞれ1分もかからないものですが、自動生成の確認は毎回しないといけないので地味にストレスになっていたのかもしれません
自動生成自体はGo言語に限ったことではないですし、何かの参考になれば幸いです

参考

• GitHub Actions で別のリポジトリに git push する