التشغيل السريع: توزيع ملفات Bicep باستخدام GitHub Actions

مقالة
09/26/2024

إجراءات GitHub هي مجموعة من الميزات في GitHub لأتمتة سير عمل تطوير البرامج. في هذا التشغيل السريع، يمكنك استخدام إجراءات GitHub لتوزيع Azure Resource Manager لأتمتة نشر ملف Bicep إلى Azure.

وهو يقدم مقدمة قصيرة لـ GitHub Actions وملفات Bicep. إذا كنت تريد خطوات أكثر تفصيلا حول إعداد إجراءات ومشروع GitHub، فشاهد نشر موارد Azure باستخدام إجراءات Bicep وGitHub.

المتطلبات الأساسية

حساب Azure مع اشتراك نشط. أنشئ حساباً مجاناً.
حساب GitHub. في حالة عدم امتلاك حساب، يمكنك التسجيل مجاناً.
مستودع GitHub لتخزين ملفات Bicep وملفات سير العمل الخاصة بك. لإنشاء مستودع، راجع إنشاء مستودع جديد.

إنشاء مجموعة الموارد

قم بإنشاء مجموعة موارد. لاحقا في هذا التشغيل السريع، يمكنك نشر ملف Bicep الخاص بك إلى مجموعة الموارد هذه.

المبادره القطريه
بوويرشيل

az group create -n exampleRG -l westus

New-AzResourceGroup -Name exampleRG -Location westus

تعمل إجراءات GitHub الخاصة بك تحت هوية. استخدم الأمر az ad sp create-for-rbac لإنشاء كيان الخدمة للهوية. امنح كيان الخدمة دور المساهم لمجموعة الموارد التي تم إنشاؤها في جلسة العمل السابقة بحيث يمكن لإجراء GitHub مع الهوية إنشاء موارد في مجموعة الموارد هذه. يوصى بمنح الحد الأدنى من الوصول المطلوب.

az ad sp create-for-rbac --name {app-name} --role contributor --scopes /subscriptions/{subscription-id}/resourceGroups/exampleRG --json-auth

استبدل العنصر النائب {app-name} باسم تطبيقك. استبدل {subscription-id} بمعرّف اشتراكك.

الإخراج هو كائن JSON مع بيانات اعتماد تعيين الدور التي توفر الوصول إلى تطبيق App Service مشابه للإخراج التالي.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    ...
  }

انسخ كائن JSON هذا لاحقاً. ستحتاج فقط إلى المقاطع التي تحمل القيم clientId، وclientSecret، وsubscriptionId، وtenantId. تأكد من عدم وجود فاصلة إضافية في نهاية السطر الأخير، على سبيل المثال، tenantId السطر في المثال السابق، وإلا ينتج عنه ملف JSON غير صالح. تحصل على خطأ أثناء النشر يقول "فشل تسجيل الدخول مع الخطأ: المحتوى ليس كائن JSON صالحا. تحقق مرة متعددة مما إذا كان "نوع المصادقة" صحيحا."

Open ID Connect هي طريقة مصادقة تستخدم الرموز المميزة قصيرة العمر. يعد إعداد OpenID Connect with GitHub Actions عملية أكثر تعقيدًا توفر أمانًا قويًا.

إذا لم يكن لديك تطبيق موجود، فقم بتسجيل تطبيق Active Directory جديد ومدير خدمة يمكنه الوصول إلى الموارد. إنشاء تطبيق Active Directory.
```
az ad app create --display-name myApp
```
يقوم هذا الأمر بإخراج JSON مع appId الذي هو الخاص بك client-id. احفظ القيمة لاستخدامها كـ AZURE_CLIENT_ID سر GitHub لاحقًا.

يمكنك استخدام objectId القيمة عند إنشاء بيانات اعتماد موحدة باستخدام واجهة برمجة تطبيقات Graph والإشارة إليها ك APPLICATION-OBJECT-ID.
إنشاء كيان الخدمة. استبدل $appID مع التطبيق من مخرج JSON خاصتك.

يولد هذا الأمر خرج JSON باستخدام objectId مختلف وسيتم استخدامه في الخطوة التالية. objectId الجديد هو assignee-object-id.

انسخ العبارة المراد appOwnerTenantId استخدامها كسر GitHub لوقت AZURE_TENANT_ID لاحق.
```
 az ad sp create --id $appId
```
إنشاء تعيين دور جديد عن طريق الاشتراك و العنصر. بشكل افتراضي، يرتبط تعيين الدور باشتراكك الافتراضي. استبدل $subscriptionId بمعرف اشتراكك، $resourceGroupName باسم مجموعة الموارد الخاصة بك، و $assigneeObjectId assignee-object-id بالمعرف الذي تم إنشاؤه. تعرف على طريقة إدارة اشتراكات Azure باستخدام واجهة سطر الأوامر Azure.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
```
قم بتشغيل الأمر التالي لإنشاء اعتماد هوية اتحادي جديد لتطبيق الدليل النشط خاصتك.
- استبدل APPLICATION-OBJECT-ID بـ معرف العنصر (الذي تم إنشاؤه أثناء إنشاء التطبيق) لتطبيق Active Directory خاصتك.
- قم بتعيين قيمة للرجوع CREDENTIAL-NAME إليها لاحقاً.
- تعيين subject. يتم تحديد قيمة هذا بواسطة GitHub اعتمادا على سير العمل الخاص بك:
  - الوظائف في بيئة إجراءات GitHub خاصتك: repo:< Organization/Repository >:environment:< Name >
  - بالنسبة للوظائف غير المرتبطة ببيئة، قم بتضمين مسار ref للفرع/العلامة استنادا إلى مسار ref المستخدم لتشغيل سير العمل: repo:< Organization/Repository >:ref:< ref path>. على سبيل المثال: repo:n-username/ node_express:ref:refs/heads/my-branch أو repo:n-username/ node_express:ref:refs/tags/my-tag.
  - بالنسبة إلى مهام سير العمل التي تم تشغيلها بواسطة حدث طلب سحب: repo:< Organization/Repository >:pull_request.
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}'
```
لمعرفة كيفية إنشاء تطبيق الدليل النشط ومدير الخدمة وبيانات الاعتماد الموحدة في مدخل Microsoft Azure، راجع Connect GitHub and Azure.

تكوين بيانات GitHub السرية

كيان الخدمة
Open ID Connect

إنشاء البيانات السرية لبيانات اعتماد Azure، ومجموعة الموارد، والاشتراكات. يمكنك استخدام هذه الأسرار في قسم إنشاء سير عمل .

في GitHub، انتقل إلى المستودع.
حدد Settings > Secrets and variables > Actions > New repository secret.
الصق ناتج JSON بالكامل من أمر واجهة سطر الأوامر Azure في حقل قيمة بيانات الدخول السرية. اسم السر AZURE_CREDENTIALS.
إنشاء سر آخر اسمه AZURE_RG. أضف اسم مجموعة الموارد الخاصة بك إلى حقل قيمة البيانات السرية (exampleRG).
إنشاء سر آخر اسمه AZURE_SUBSCRIPTION. أضف معرف الاشتراك إلى حقل قيمة السر (مثال: aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e).

تحتاج إلى تقديم معرف العميل و معرف المستأجر و معرف الاشتراك في طلبك لإجراء تسجيل الدخول. يمكن توفير هذه القيم إما مباشرة في سير العمل أو يمكن تخزينها في أسرار GitHub والإشارة إليها في سير العمل خاصتك. حفظ القيم على أنها أسرار GitHub هو الخيار الأكثر أمانًا.

افتح مستودع GitHub ثم انتقل إلى الإعدادات.
حدد Settings > Secrets > New secret.

إنشاء أسرار لـ AZURE_CLIENT_ID, AZURE_TENANT_ID, و AZURE_SUBSCRIPTION_ID. استخدم هذه القيم من تطبيق Active Directory لأسرار GitHub خاصتك:

GitHub Secret	تطبيق Active Directory
AZURE_CLIENT_ID	معرف التطبيق (العميل)
AZURE_TENANT_ID	معرف الدليل (المستأجر)
AZURE_SUBSCRIPTION_ID	مُعرّف الاشتراك

احفظ كل سر عن طريق تحديد إضافة سر.

إضافة ملف Bicep

أضف ملف Bicep إلى مستودع GitHub. ينشئ الملف Bicep التالي حساب تخزين:

@minLength(3)
@maxLength(11)
param storagePrefix string

@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_RAGRS'
  'Standard_ZRS'
  'Premium_LRS'
  'Premium_ZRS'
  'Standard_GZRS'
  'Standard_RAGZRS'
])
param storageSKU string = 'Standard_LRS'

param location string = resourceGroup().location

var uniqueStorageName = '${storagePrefix}${uniqueString(resourceGroup().id)}'

resource stg 'Microsoft.Storage/storageAccounts@2023-04-01' = {
  name: uniqueStorageName
  location: location
  sku: {
    name: storageSKU
  }
  kind: 'StorageV2'
  properties: {
    supportsHttpsTrafficOnly: true
  }
}

output storageEndpoint object = stg.properties.primaryEndpoints

يتطلب ملف Bicep معلمة واحدة تسمى storagePrefix بأحرف من 3 إلى 11.

يمكنك وضع الملف في أي مكان في المستودع. يفترض نموذج سير العمل في المقطع التالي أن ملف Bicep يسمى main.bicep، ويتم تخزينه في جذر المستودع.

إنشاء سير عمل

يحدد سير العمل الخطوات التي يجب تنفيذها عند بدء التشغيل. إنه ملف YAML (.yml) في مسار .github/workflows/ لمستودعك. يمكن أن يكون ملحق ملف سير العمل إما .yml أو .yaml.

لإنشاء سير عمل، قم باتخاذ الخطوات التالية:

من مستودع GitHub، حدد الإجراءات من القائمة العلوية.
حدد سير عمل جديد.
حدد Set up your workflow yourself.
إعادة تسمية ملف سير العمل إذا كنت تفضل اسم مختلف غير main.yml. على سبيل المثال: deployBicepFile.yml.

استبدال محتوى الملف yml مع التعليمات البرمجية التالية:

كيان الخدمة
OpenID Connect

name: Deploy Bicep file
on: [push]
jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:

    - name: Checkout code
      uses: actions/checkout@main

    - name: Log into Azure
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - name: Deploy Bicep file
      uses: azure/arm-deploy@v1
      with:
        subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
        resourceGroupName: ${{ secrets.AZURE_RG }}
        template: ./main.bicep
        parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
        failOnStdErr: false

استبدل mystore بسابقة اسم حساب التخزين لديك.

إشعار

يمكنك تحديد ملف معلمات تنسيق JSON بدلا من ذلك في الإجراء نشر ARM (مثال: .azuredeploy.parameters.json).

يتضمن المقطع الأول من ملف سير العمل:

الاسم: اسم الجهاز الظاهري في Azure.
تشغيل: اسم الأحداث GitHub التي تؤدي إلى سير العمل. يتم تشغيل سير العمل عند وجود حدث دفع في الفرع الرئيسي.

on: [push]
name: Azure ARM
permissions:
  id-token: write
  contents: read
jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:

      # Checkout code
    - uses: actions/checkout@main

      # Log into Azure
    - uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      # Deploy Bicep file
    - name: deploy
      uses: azure/arm-deploy@v1
      with:
        subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
        resourceGroupName: ${{ secrets.AZURE_RG }}
        template: ./main.bicep
        parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
        failOnStdErr: false

حدد Commit changes.
حدد التنفيذ مباشرة بالفرع الرئيسي.
حدد تنفيذ ملف جديد (أو تنفيذ التغييرات).

تحديث ملف سير العمل أو ملف Bicep يؤدي إلى سير العمل. يبدأ سير العمل مباشرة بعد تنفيذ التغييرات.

التحقق من حالة سير العمل

حدد علامة التبويب Actions. ترى إنشاء سير عمل deployBicepFile.yml مدرجا. يستغرق 1-2 دقيقة لتشغيل سير العمل.
حدد سير العمل لفتحه، وتحقق من Status أن هو Success.

تنظيف الموارد

عندما لا تكون هناك حاجة إلى مجموعة الموارد والمستودعات، قم بتنظيف الموارد التي قمت بنشرها عن طريق حذف مجموعة الموارد ومستودع GitHub.

المبادره القطريه
بوويرشيل

az group delete --name exampleRG

Remove-AzResourceGroup -Name exampleRG

الخطوات التالية

بنية ملف Bicep وبناء الجملة

مشاركة عبر