نشر حاوية مخصصة إلى خدمة التطبيق باستخدام GitHub Actions

مقالة
12/21/2023

تمنحك إجراءات GitHub المرونة لإنشاء سير عمل تلقائي لتطوير البرامج. باستخدام إجراء Azure Web Deploy، يمكنك أتمتة سير العمل الخاص بك لنشر حاويات مخصصة إلى App Service باستخدام GitHub Actions.

يتم تحديد سير العمل بواسطة ملف YAML (.yml) في المسار /.github/workflows/ بمستودعك. يحتوي هذا التعريف على الخطوات والمعلمات المختلفة الموجودة في سير العمل.

بالنسبة لسير عمل حاوية Azure App Service، يحتوي الملف على ثلاثة أقسام:

القسم	المهام
المصادقة	1. استرداد كيان الخدمة أو نشر ملف التعريف. 2. إنشاء سر GitHub.
إنشاء	1. إنشاء البيئة. 2. إنشاء صورة الحاوية.
نشر	1. نشر صورة الحاوية.

المتطلبات الأساسية

حساب Azure مع اشتراك نشط. إنشاء حساب مجانًا
حساب GitHub. في حالة عدم امتلاك حساب، يمكنك التسجيل مجاناً. تحتاج إلى تعليمة برمجية في مستودع GitHub لنشرها في Azure App Service.
سجل حاوية عاملة، تطبيق Azure App Service للحاويات. يستخدم هذا المثال Azure Container Registry. تأكد من إكمال النشر الكامل إلى Azure App Service للحاويات. على عكس تطبيقات الويب العادية، لا تحتوي تطبيقات الويب للحاويات على صفحة مقصودة افتراضية. نشر الحاوية للحصول على مثال عمل.
- تعرف على كيفية إنشاء تطبيق Node.js في حاوية باستخدام Docker، ودفع صورة الحاوية إلى سجل، ثم نشر الصورة إلى Azure App Service

تعيين بيانات اعتماد النشر

الطريقة المُوصى بها للمصادقة باستخدام Azure App Services لـ GitHub Actions هي من خلال ملف تعريف التوزيع. يمكنك أيضًا المصادقة باستخدام كيان الخدمة أو Open ID Connect ولكن العملية تتطلب المزيد من الخطوات.

احفظ بيانات اعتماد ملف تعريف النشر أو كيان الخدمة كبيانات سرية من GitHub للمصادقة مع Azure. ستتمكن من الوصول إلى البيانات السرية داخل سير العمل الخاص بك.

ملف تعريف النشر هو بيانات اعتماد على مستوى التطبيق. يمكنك إعداد ملف تعريف النشر الخاص بك كبيانات سرية من GitHub.

انتقل إلى خدمة التطبيق الخاص بك في مدخل Microsoft Azure.
في صفحة Overview، حدد Get Publish profile.

إشعار

اعتبارا من أكتوبر 2020، ستحتاج تطبيقات الويب Linux إلى تعيين إعداد WEBSITE_WEBDEPLOY_USE_SCM التطبيق إلى true قبل تنزيل الملف. ستتم إزالة هذا الطلب في المستقبل. راجع تكوين تطبيق App Service في مدخل Microsoft Azure، لمعرفة كيفية تكوين إعدادات تطبيق الويب الشائعة.
احفظ الملف الذي تم تنزيله. ستستخدم محتويات الملف لإنشاء بيانات سرية من GitHub.

يمكنك إنشاء مبدأ خدمة باستخدام الأمر «az ad sp create-for-rbac» في Azure CLI. قم بتشغيل هذا الأمر باستخدام «Azure Cloud Shell» في مدخل Azure أو عن طريق تحديد زر «Try it» .

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

في المثال، استبدل العناصر النائبة بمعرف الاشتراك واسم مجموعة الموارد واسم التطبيق. سيتمثل الإخراج في كائن JSONl مزود ببيانات اعتماد تعيين الدور التي توفر إمكانية الوصول إلى تطبيق App Service. انسخ كائن JSON هذا لاحقاً.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

هام

من الممارسات الجيدة دائماً منح الحد الأدنى من الوصول. يقتصر النطاق في المثال السابق على تطبيق App Service المحدد وليس مجموعة الموارد بأكملها.

OpenID Connect هي طريقة مصادقة تستخدم رموزًا قصيرة العمر. يعد إعداد OpenID Connect with GitHub Actions عملية أكثر تعقيدًا توفر أمانًا قويًا.

إذا لم يكن لديك تطبيق موجود، فقم بتسجيل تطبيق Active Directory جديد ومدير خدمة يمكنه الوصول إلى الموارد. إنشاء تطبيق Active Directory.
```
az ad app create --display-name myApp
```
سيؤدي هذا الأمر إلى إخراج JSON باستخدام appId وهو client-id خاصتك. احفظ القيمة لاستخدامها كـ AZURE_CLIENT_ID سر GitHub لاحقًا.

ستستخدم قيمة objectId عند إنشاء بيانات اعتماد اتحادية مع واجهة برمجة تطبيقات الرسم البياني Graph API والإشارة إليها باسم APPLICATION-OBJECT-ID.
إنشاء كيان الخدمة. استبدل $appID مع التطبيق من مخرج JSON خاصتك.

يولد هذا الأمر خرج JSON باستخدام objectId مختلف وسيتم استخدامه في الخطوة التالية. objectId الجديد هو assignee-object-id.

انسخ العبارة المراد appOwnerTenantId استخدامها كسر GitHub لوقت AZURE_TENANT_ID لاحق.
```
 az ad sp create --id $appId
```
إنشاء تعيين دور جديد عن طريق الاشتراك و العنصر. افتراضياً، سيتم ربط تعيين الدور باشتراكك الافتراضي. استبدل $subscriptionId بمعرف اشتراكك، $resourceGroupName باسم مجموعة الموارد الخاصة بك، و $assigneeObjectId assignee-object-id بالمعرف الذي تم إنشاؤه. تعرف على طريقة إدارة اشتراكات Azure باستخدام واجهة سطر الأوامر Azure.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
```
قم بتشغيل الأمر التالي لإنشاء اعتماد هوية اتحادي جديد لتطبيق الدليل النشط خاصتك.
- استبدل APPLICATION-OBJECT-ID بـ معرف العنصر (الذي تم إنشاؤه أثناء إنشاء التطبيق) لتطبيق Active Directory خاصتك.
- قم بتعيين قيمة للرجوع CREDENTIAL-NAME إليها لاحقاً.
- تعيين subject. يتم تحديد قيمة هذا بواسطة GitHub اعتمادا على سير العمل الخاص بك:
  - الوظائف في بيئة إجراءات GitHub خاصتك: repo:< Organization/Repository >:environment:< Name >
  - بالنسبة للوظائف غير المرتبطة ببيئة، قم بتضمين مسار ref للفرع/العلامة استنادا إلى مسار ref المستخدم لتشغيل سير العمل: repo:< Organization/Repository >:ref:< ref path>. على سبيل المثال: repo:n-username/ node_express:ref:refs/heads/my-branch أو repo:n-username/ node_express:ref:refs/tags/my-tag.
  - بالنسبة إلى مهام سير العمل التي تم تشغيلها بواسطة حدث طلب سحب: repo:< Organization/Repository >:pull_request.
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
```
لمعرفة كيفية إنشاء تطبيق الدليل النشط ومدير الخدمة وبيانات الاعتماد الموحدة في مدخل Microsoft Azure، راجع Connect GitHub and Azure.

تكوين بيانات سرية لـ GitHub بغرض المصادقة

في GitHub، تصفح المستودع الخاص بك. حدد Settings > Security > Secrets and variables > Actions > New repository secret.

لاستخدام بيانات الاعتماد على مستوى التطبيق، الصق محتويات ملف تعريف النشر الذي تم تنزيله في حقل قيمة البيانات السرية. اسم السر AZURE_WEBAPP_PUBLISH_PROFILE.

عند تكوين سير عمل GitHub الخاص بك، يمكنك استخدام AZURE_WEBAPP_PUBLISH_PROFILE في إجراء نشر Azure Web App. على سبيل المثال:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

في GitHub، تصفح المستودع الخاص بك. حدد Settings > Security > Secrets and variables > Actions > New repository secret.

لاستخدام بيانات الاعتماد على مستوى المستخدم، ألصق إخراج JSON بالكامل من أمر Azure CLI في حقل قيمة البيانات السرية. امنح السر اسما، مثل AZURE_CREDENTIALS.

عندما تقوم بتكوين ملف سير العمل لاحقاً، فإنك تستخدم بيانات الدخول السرية للإدخال creds لإجراء Azure Login. على سبيل المثال:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

تحتاج إلى تقديم معرف العميل و معرف المستأجر و معرف الاشتراك في طلبك لإجراء تسجيل الدخول. يمكن توفير هذه القيم إما مباشرة في سير العمل أو يمكن تخزينها في أسرار GitHub والإشارة إليها في سير العمل خاصتك. حفظ القيم على أنها أسرار GitHub هو الخيار الأكثر أمانًا.

افتح مستودع GitHub وانتقل إلى Settings > Security > Secrets and variables > Actions > New repository secret.

إنشاء أسرار لـ AZURE_CLIENT_ID, AZURE_TENANT_ID, و AZURE_SUBSCRIPTION_ID. استخدم هذه القيم من تطبيق Active Directory لأسرار GitHub خاصتك: يمكنك العثور على هذه القيم في مدخل Microsoft Azure عن طريق البحث عن تطبيق Active Directory الخاص بك.

GitHub Secret	تطبيق Active Directory
AZURE_CLIENT_ID	معرف التطبيق (العميل)
AZURE_TENANT_ID	معرف الدليل (المستأجر)
AZURE_SUBSCRIPTION_ID	مُعرّف الاشتراك

احفظ كل سر عن طريق تحديد إضافة سر.

تكوين أسرار GitHub للسجل الخاص بك

تعريف الأسرار لاستخدامها مع إجراء تسجيل الدخول إلى Docker. يستخدم المثال في هذا المستند Azure Container Registry لسجل الحاوية.

انتقل إلى الحاوية في مدخل Microsoft Azure أو Docker وانسخ اسم المستخدم وكلمة المرور. يمكنك العثور على اسم مستخدم Azure Container Registry وكلمة المرور في مدخل Microsoft Azure ضمن Settings>Access keys لسجلك.
تعريف سر جديد لاسم مستخدم التسجيل المسمى REGISTRY_USERNAME.
تعريف سر جديد لكلمة مرور السجل المسماة REGISTRY_PASSWORD.

إنشاء صورة الحاوية.

يوضح المثال التالي جزءًا من سير العمل الذي ينشئ صورة Node.JS Docker. استخدم Docker Login لتسجيل الدخول إلى سجل حاوية خاص. يستخدم هذا المثال Azure Container Registry ولكن نفس الإجراء يعمل مع السجلات الأخرى.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

يمكنك أيضا استخدام تسجيل الدخول إلى Docker لتسجيل الدخول إلى سجلات حاويات متعددة في نفس الوقت. يتضمن هذا المثال اثنين من أسرار GitHub الجديدة للمصادقة مع docker.io. يفترض المثال أن هناك Dockerfile على المستوى الجذر للسجل.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

النشر إلى حاوية App Service

لنشر صورتك في حاوية مخصصة في App Service، استخدم الإجراء azure/webapps-deploy@v2. يحتوي هذا الإجراء على سبع معلمات:

المعلمة‬	الشرح
app-name	(مطلوب) اسم تطبيق App Service
ملف تعريف النشر	(اختياري) ينطبق على تطبيقات الويب (Windows وLinux) وحاويات تطبيق الويب (linux). سيناريو الحاويات المتعددة غير مدعوم. نشر محتويات ملف التعريف (*.publishsettings) باستخدام بيانات نشر ويب سرية
اسم المنفذ	(اختياري) أدخل فتحة موجودة بخلاف فتحة الإنتاج
الحزمة	(اختياري) ينطبق على Web App فقط: المسار إلى الحزمة أو المجلد. .zip أو .war أو *.jar أو مجلد لنشره
images	(مطلوب) ينطبق على حاويات Web App فقط: حدد اسم (صور) صورة الحاوية المؤهلة بالكامل. على سبيل المثال، "myregistry.azurecr.io/nginx:latest" أو "python:3.7.2-alpine/". بالنسبة لتطبيق متعدد الحاويات، يمكن توفير أسماء صور حاوية متعددة (مفصولة بخطوط متعددة)
configuration-file	(اختياري) ينطبق على حاويات Web App فقط: مسار ملف Docker-Compose. يجب أن يكون مسار مؤهل بالكامل أو نسبة إلى دليل العمل الافتراضي. مطلوب للتطبيقات متعددة الحاويات.
startup-command	(اختياري) أدخل أمر بدء التشغيل. على سبيل المثال، تشغيل dotnet أو dotnet filename.dll

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

الخطوات التالية

يمكنك العثور على مجموعتنا من الإجراءات المجمعة في مستودعات مختلفة على GitHub، كل منها يحتوي على وثائق وأمثلة لمساعدتك على استخدام GitHub لـ CI/CD ونشر تطبيقاتك في Azure.

مشاركة عبر