chore: Enhance Terraform CI/CD workflow with artifact management

kanare-dev · kanare-dev · commit 993388cfe419 · 2026-02-25T23:11:17.000+09:00
- Updated the GitHub Actions workflow to save the Terraform plan as an artifact during the main push, ensuring consistency between the plan and apply stages.
- Added steps to download the saved tfplan artifact before applying changes in both dev and prod environments.
- Revised documentation to reflect the new artifact management process and clarify the execution flow for plan and apply operations.
diff --git a/.github/workflows/terraform.yml b/.github/workflows/terraform.yml
@@ -175,7 +175,17 @@ jobs:
           TF_VAR_cloudflare_zone_id: ${{ secrets.CLOUDFLARE_ZONE_ID || '' }}
         run: |
           terraform plan -no-color -out=tfplan 2>&1 | tee plan_output.txt
-          echo "exitcode=$?" >> $GITHUB_OUTPUT
+          echo "exitcode=${PIPESTATUS[0]}" >> $GITHUB_OUTPUT
+
+      # plan ジョブで作成した tfplan を apply ジョブに引き渡すためアーティファクトとして保存
+      # main push 時のみアップロード（PR では apply は実行しない）
+      - name: Upload plan artifact
+        uses: actions/upload-artifact@v3
+        if: steps.plan.outcome == 'success' && github.ref == 'refs/heads/main' && github.event_name == 'push'
+        with:
+          name: tfplan-${{ matrix.environment }}
+          path: terraform/environments/${{ matrix.environment }}/tfplan
+          retention-days: 1
 
       # PR作成時にプラン結果をコメントとして追加
       # レビュアーがインフラ変更内容を確認できるようにする
@@ -242,16 +252,16 @@ jobs:
         working-directory: terraform/environments/dev
         run: terraform init
 
+      # plan ジョブで保存した tfplan をダウンロード（PR で表示した内容と同一の変更を適用）
+      - name: Download plan artifact
+        uses: actions/download-artifact@v3
+        with:
+          name: tfplan-dev
+          path: terraform/environments/dev
+
       - name: Terraform Apply
         working-directory: terraform/environments/dev
-        env:
-          TF_VAR_env: dev
-          TF_VAR_domain_name: dev.note-app.kanare.dev
-          TF_VAR_api_domain_name: api-dev.note-app.kanare.dev
-          TF_VAR_enable_cloudflare_dns: ${{ secrets.ENABLE_CLOUDFLARE_DNS || 'false' }}
-          TF_VAR_cloudflare_api_token: ${{ secrets.CLOUDFLARE_API_TOKEN || '' }}
-          TF_VAR_cloudflare_zone_id: ${{ secrets.CLOUDFLARE_ZONE_ID || '' }}
-        run: terraform apply -auto-approve
+        run: terraform apply tfplan
 
   # ========================================
   # Job 5: Terraform Apply（prod環境）
@@ -288,13 +298,13 @@ jobs:
         working-directory: terraform/environments/prod
         run: terraform init
 
+      # plan ジョブで保存した tfplan をダウンロード（PR で表示した内容と同一の変更を適用）
+      - name: Download plan artifact
+        uses: actions/download-artifact@v3
+        with:
+          name: tfplan-prod
+          path: terraform/environments/prod
+
       - name: Terraform Apply
         working-directory: terraform/environments/prod
-        env:
-          TF_VAR_env: prod
-          TF_VAR_domain_name: note-app.kanare.dev
-          TF_VAR_api_domain_name: api.note-app.kanare.dev
-          TF_VAR_enable_cloudflare_dns: ${{ secrets.ENABLE_CLOUDFLARE_DNS || 'false' }}
-          TF_VAR_cloudflare_api_token: ${{ secrets.CLOUDFLARE_API_TOKEN || '' }}
-          TF_VAR_cloudflare_zone_id: ${{ secrets.CLOUDFLARE_ZONE_ID || '' }}
-        run: terraform apply -auto-approve
+        run: terraform apply tfplan
diff --git a/docs/cicd-guide.md b/docs/cicd-guide.md
@@ -250,10 +250,14 @@ git push
    └─ Cloudflare変数（オプション）
 
 4. Planの実行
-   └─ 実行計画をplan_output.txtに保存
+   ├─ 実行計画をplan_output.txtに保存（PRコメント用）
+   └─ バイナリ形式のtfplanを-outオプションで保存
 
 5. PRコメント投稿（PR時のみ）
    └─ 変更内容をコメントに表示
+
+6. tfplanのアーティファクト保存（main push時のみ）
+   └─ tfplan-dev / tfplan-prod としてアップロード（有効期限: 1日）
 ```
 
 **PRコメント例**:
@@ -288,16 +292,20 @@ Plan: 0 to add, 1 to change, 0 to destroy.
 目的: mainマージ時にdev環境を自動適用
 実行タイミング: mainへのpush時のみ（PRでは実行しない）
 依存関係: terraform-plan（dev + prod 両方の成功が必要）
-実行内容: terraform init && terraform apply -auto-approve
+実行内容: terraform init → tfplanダウンロード → terraform apply tfplan
 ```
 
+> **plan/apply の一貫性**: apply ジョブは plan ジョブで生成・保存した tfplan を
+> アーティファクト経由でダウンロードし、そのまま適用する。
+> これにより PR でレビューした plan と実際の apply が必ず一致する。
+
 #### 5. terraform-apply-prod（prod 手動承認 apply）
 
 ```
 目的: dev適用成功後、手動承認を経てprod環境に適用
 実行タイミング: mainへのpush時、apply-dev成功後
 承認: GitHub Environment "production" の Required Reviewers が承認
-実行内容: terraform init && terraform apply -auto-approve
+実行内容: terraform init → tfplanダウンロード → terraform apply tfplan
 ```
 
 **GitHub Environment 承認フロー**:
