Rychlý start: Použití GitHub Actions pro připojení k Azure PostgreSQL

PLATÍ PRO: Azure Database for PostgreSQL – Jednoúčelový server Azure Database for PostgreSQL – flexibilní server

Důležité

Azure Database for PostgreSQL – Jeden server je na cestě vyřazení z provozu. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for PostgreSQL. Další informace o migraci na flexibilní server Azure Database for PostgreSQL najdete v tématu Co se děje s Azure Database for PostgreSQL jednoúčelovým serverem?

Začněte s GitHub Actions nasazením aktualizací databáze do Azure Database for PostgreSQL pomocí pracovního postupu.

Požadavky

Budete potřebovat:

• Účet Azure s aktivním předplatným. Vytvořte si zdarma účet.
• Úložiště GitHub s ukázkovými daty (data.sql). Pokud nemáte účet GitHub, zaregistrujte se zdarma.
• Server Azure Database for PostgreSQL.
  • Rychlý start: Vytvoření serveru Azure Database for PostgreSQL na webu Azure Portal

Přehled souboru pracovního postupu

Pracovní postup GitHub Actions je definován souborem YAML (.yml) v /.github/workflows/ cestě ve vašem úložišti. Tato definice obsahuje různé kroky a parametry, které tvoří pracovní postup.

Soubor má dvě části:

Sekce	Úkoly
Authentication	1. Vygenerujte přihlašovací údaje pro nasazení.
Nasazení	1. Nasaďte databázi.

Generování přihlašovacích údajů nasazení

Instanční objekt

Vytvořte instanční objekt pomocí příkazu az ad sp create-for-rbac v Azure CLI. Spusťte tento příkaz se službou Azure Cloud Shell v Azure Portal nebo výběrem tlačítka Vyzkoušet.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --sdk-auth

Ve výše uvedeném příkladu nahraďte zástupné symboly ID vašeho předplatného, názvem skupiny prostředků a názvem aplikace. Výstupem je objekt JSON s přihlašovacími údaji přiřazení role, které poskytují přístup k vaší App Service aplikaci, podobně jako níže. Zkopírujte tento objekt JSON pro pozdější použití.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Connect je metoda ověřování, která používá krátkodobé tokeny. Nastavení OpenID Connect s GitHub Actions je složitější proces, který nabízí posílené zabezpečení.

1. Pokud nemáte existující aplikaci, zaregistrujte novou aplikaci Active Directory a instanční objekt, které mají přístup k prostředkům. Vytvořte aplikaci Active Directory.

   az ad app create --display-name myApp
   

   Tento příkaz zobrazí výstup JSON s objektem appId , který je vaším client-id. Uložte si hodnotu, která se později použije jako tajný kód GitHubu AZURE_CLIENT_ID .

   Hodnotu použijete objectId při vytváření federovaných přihlašovacích údajů s Graph API a budete na ni odkazovat jako na APPLICATION-OBJECT-ID.

2. Vytvořte instanční objekt. Nahraďte parametr $appID appId z výstupu JSON.

   Tento příkaz vygeneruje výstup JSON s jiným objectId a použije se v dalším kroku. Nová objectId je .assignee-object-id

   Zkopírujte a appOwnerTenantId použijte jako tajný kód GitHubu pro AZURE_TENANT_ID pozdější použití.

    az ad sp create --id $appId
   

3. Vytvořte nové přiřazení role podle předplatného a objektu. Ve výchozím nastavení bude přiřazení role svázáno s vaším výchozím předplatným. Nahraďte $subscriptionId ID vašeho předplatného, $resourceGroupName názvem vaší skupiny prostředků a $assigneeObjectId vygenerovaným assignee-object-idnázvem . Zjistěte , jak spravovat předplatná Azure pomocí Azure CLI.

   az role assignment create --role contributor --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal
   

4. Spuštěním následujícího příkazu vytvořte nové přihlašovací údaje federované identity pro aplikaci služby Active Directory.

   • Nahraďte APPLICATION-OBJECT-IDparametrem objectId (vygenerovaným při vytváření aplikace) pro vaši aplikaci Active Directory.
   • Nastavte hodnotu pro CREDENTIAL-NAME , na kterou chcete později odkazovat.
   • Nastavte .subject Tuto hodnotu definuje GitHub v závislosti na vašem pracovním postupu:
     • Úlohy ve vašem prostředí GitHub Actions:repo:< Organization/Repository >:environment:< Name >
     • V případě úloh, které nejsou vázané na prostředí, zahrňte cestu odkazu pro větev nebo značku na základě cesty odkazu použité k aktivaci pracovního postupu: repo:< Organization/Repository >:ref:< ref path>. Příkladem je repo:n-username/ node_express:ref:refs/heads/my-branch nebo repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Pro pracovní postupy aktivované událostí žádosti o přijetí změn: repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

Informace o vytvoření aplikace Active Directory, instančního objektu a federovaných přihlašovacích údajů v Azure Portal najdete v tématu Připojení GitHubu a Azure.

Zkopírování připojovacího řetězce PostgreSQL

V Azure Portal přejděte na server Azure Database for PostgreSQL a otevřetePřipojovací řetězcenastavení>. Zkopírujte připojovací řetězec pro ADO.NET. Nahraďte zástupné hodnoty pro your_database a your_password. Připojovací řetězec vypadá nějak takto.

Důležité

• Pro jednoúčelový server použijte user=adminusername@servername . Všimněte si, že @servername je povinné.
• Pro flexibilní server použijte user= adminusername bez .@servername

psql host={servername.postgres.database.azure.com} port=5432 dbname={your_database} user={adminusername} password={your_database_password} sslmode=require

Připojovací řetězec použijete jako tajný kód GitHubu.

Konfigurace tajných kódů GitHubu

Instanční objekt

1. V GitHubu přejděte do svého úložiště.

2. V navigační nabídce přejděte na Nastavení .

3. Vyberte Tajné kódy zabezpečení > a proměnné > Akce.

   

4. Vyberte Nový tajný klíč úložiště.

5. Vložte celý výstup JSON z příkazu Azure CLI do pole hodnoty tajného kódu. Dejte tajnému kódu název AZURE_CREDENTIALS.

6. Vyberte Add secret (Přidat tajný kód).

OpenID Connect

Pro akci přihlášení musíte zadat ID klienta, ID tenanta a ID předplatného vaší aplikace. Tyto hodnoty můžete zadat buď přímo v pracovním postupu, nebo je můžete uložit v tajných kódech GitHubu a odkazovat na je v pracovním postupu. Uložení hodnot jako tajných kódů GitHubu je bezpečnější možnost.

1. V GitHubu přejděte do svého úložiště.

2. Vyberte Tajné kódy zabezpečení > a proměnné > Akce.

   

3. Vyberte Nový tajný klíč úložiště.

4. Vytvořte tajné kódy pro AZURE_CLIENT_ID, AZURE_TENANT_IDa AZURE_SUBSCRIPTION_ID. Pro tajné kódy GitHubu použijte tyto hodnoty z aplikace Active Directory:

   Tajný kód GitHubu	Aplikace služby Active Directory
   AZURE_CLIENT_ID	ID aplikace (klienta)
   AZURE_TENANT_ID	ID adresáře (tenanta)
   AZURE_SUBSCRIPTION_ID	ID předplatného

5. Jednotlivé tajné kódy uložte tak, že vyberete Přidat tajný kód.

Přidání pracovního postupu

1. Přejděte na Akce pro vaše úložiště GitHub.

2. Vyberte Nastavit pracovní postup sami.

3. Odstraňte všechno za oddílem on: souboru pracovního postupu. Například zbývající pracovní postup může vypadat takto.

   name: CI
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   

4. Přejmenujte pracovní postup PostgreSQL for GitHub Actions a přidejte akce rezervace a přihlášení. Tyto akce prověří kód lokality a ověří se v Azure pomocí tajných kódů GitHubu, které jste vytvořili dříve.

   Instanční objekt

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           creds: ${{ secrets.AZURE_CREDENTIALS }}
   

   OpenID Connect

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   

5. Pomocí akce Azure PostgreSQL Nasadit se připojte k instanci PostgreSQL. Nahraďte POSTGRESQL_SERVER_NAME názvem vašeho serveru. Datový soubor PostgreSQL byste měli mít na data.sql kořenové úrovni úložiště.

    - uses: azure/postgresql@v1
      with:
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       server-name: POSTGRESQL_SERVER_NAME
       plsql-file: './data.sql'
   

6. Dokončete pracovní postup přidáním akce pro odhlášení z Azure. Tady je dokončený pracovní postup. Soubor se zobrazí ve .github/workflows složce úložiště.

   Instanční objekt

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CREDENTIALS }}
   
   - uses: azure/postgresql@v1
     with:
       server-name: POSTGRESQL_SERVER_NAME
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       plsql-file: './data.sql'
   
       # Azure logout
   - name: logout
     run: |
        az logout
   

   OpenID Connect

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
   - uses: azure/postgresql@v1
     with:
       server-name: POSTGRESQL_SERVER_NAME
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       plsql-file: './data.sql'
   
       # Azure logout
   - name: logout
     run: |
        az logout
   

Kontrola nasazení

1. Přejděte na Akce pro vaše úložiště GitHub.

2. Otevřením prvního výsledku zobrazíte podrobné protokoly o spuštění pracovního postupu.

   

Vyčištění prostředků

Pokud už databázi a úložiště Azure PostgreSQL nepotřebujete, vyčistěte nasazené prostředky odstraněním skupiny prostředků a úložiště GitHub.

Další kroky

Informace o integraci Azure a GitHubu

Zjistěte, jak se připojit k serveru.