Sdílet prostřednictvím

Použití akce přihlášení k Azure pomocí Azure CLI a PowerShellu ve službě Azure Stack Hub

GitHub Actions můžete nastavit pro přihlášení k instanci služby Azure Stack Hub, spuštění PowerShellu a spuštění skriptu Azure CLI. Můžete ho použít jako základ pracovního postupu kontinuální integrace a průběžného nasazování (CI/CD) pro vaše řešení se službou Azure Stack Hub. Pomocí tohoto pracovního postupu můžete automatizovat sestavování, testování a nasazování řešení, abyste se mohli soustředit na psaní kódu. Přidáním některých dalších akcí můžete tento pracovní postup použít společně se šablonou Azure Resource Manageru ke zřízení virtuálního počítače, ověření úložiště aplikace a následnému nasazení aplikace do tohoto virtuálního počítače při každém sloučení do konkrétní větve na GitHubu. Prozatím vám tento článek pomůže zorientovat se v GitHub Actions a ve službě Azure Stack Hub.

GitHub Actions jsou pracovní postupy složené z akcí, které umožňují automatizaci přímo v úložišti kódu. Pracovní postupy můžete aktivovat událostmi v procesu vývoje GitHubu. Můžete provádět běžné úlohy automatizace DevOps, jako jsou testování, nasazení a kontinuální integrace.

Pokud chcete používat GitHub Actions se službou Azure Stack Hub, musíte použít uživatelský účet služby (SPN) s určitými požadavky. V tomto článku vytvoříte samostatně hostovaný spouštěč . GitHub umožňuje používat libovolný počítač, ke kterému může GitHub přistupovat ve službě GitHub Actions. Virtuální počítač můžete vytvořit jako spouštěč v Azure, ve službě Azure Stack Hub nebo jinde.

Tento ukázkový pracovní postup zahrnuje:

  • Pokyny k vytvoření a ověření vašeho hlavního názvu služby (SPN)
  • Konfigurace stroje s Windows Server 2016 Core jako samostatného spouštěče GitHub Actions pro spolupráci se službou Azure Stack Hub.
  • Pracovní postup, který používá:
    • Akce Přihlášení k Azure
    • Akce skriptu PowerShellu

Azure Stack Hub GitHub Actions

Následující diagram znázorňuje různá prostředí a jejich vztahy.

Azure Stack Hub Github Action Použití součástí samohostovaného runneru:

  • Akce GitHub hostované na GitHubu
  • Runner vlastnoručně hostovaný na Azure
  • Azure Stack Hub

Omezení používání GitHub Actions se službou Azure Stack Hub spočívá v tom, že proces vyžaduje použití služby Azure Stack Hub připojené k webu. Pracovní postup se aktivuje v úložišti GitHub. Jako zprostředkovatele identity můžete použít Microsoft Entra ID nebo Ad FS (Active Directory Federated Services).

I když je to mimo rozsah tohoto článku, váš samostatně hostovaný spouštěč může k připojení ke službě Azure Stack Hub za bránou firewall také použít virtuální privátní síť.

Získání služebního principálu

Přihlašovací jméno služby (SPN) poskytuje přihlašovací údaje založené na rolích, aby se procesy mimo Azure mohly připojit k prostředkům a interagovat s nimi. Budete potřebovat hlavní název služby (SPN) s oprávněním přispěvatele a atributy uvedené v těchto pokynech, abyste je mohli používat s GitHub Actions.

Jako uživatel služby Azure Stack Hub nemáte oprávnění k vytvoření SPN (hlavní identifikátor služby). Budete muset vyžádat tuto zásadu od svého poskytovatele cloudových služeb. Tady jsou uvedené pokyny, abyste mohli vytvořit hlavní název služby (SPN), pokud jste operátor cloudu, nebo můžete hlavní název služby ověřit, pokud jste vývojář pomocí hlavního názvu služby (SPN) ve vašem pracovním postupu poskytovaném operátorem cloudu.

Operátor cloudu bude muset vytvořit hlavní název služby (Service Principal Name, SPN) pomocí Azure CLI.

Následující fragmenty kódu se zapisují pro počítač s Windows pomocí příkazového řádku PowerShellu s Azure CLI. Pokud používáte rozhraní příkazového řádku na počítači s Linuxem a Bash, odeberte rozšíření řádku nebo je nahraďte \.

  1. Připravte hodnoty následujících parametrů použitých k vytvoření SPN.

    Parametr Příklad Popis
    správce zdrojů koncových bodů "https://management.orlando.azurestack.corp.microsoft.com" Koncový bod správy prostředků.
    Konfigurační skladovací přípona-konkrétní bod "orlando.azurestack.corp.microsoft.com" Přípona koncového bodu pro účty úložiště.
    Sufix-keyvault-dns ".vault.orlando.azurestack.corp.microsoft.com" Přípona DNS služby Key Vault.
    identifikátor prostředku grafu služby Active Directory koncového bodu "https://graph.windows.net/" ID prostředku Active Directory.
    správa endpoint-SQL https://notsupported Koncový bod správy sql serveru. Nastavte to na https://notsupported
    profil 2020-09-01-hybrid Profil, který se má použít pro tento cloud.

  2. Otevřete nástroj příkazového řádku, jako je Windows PowerShell nebo Bash, a přihlaste se. Použijte následující příkaz:

    az login

  3. Pokud používáte existující prostředí, použijte příkaz register pro nové prostředí nebo příkaz update. Použijte následující příkaz.

    az cloud register `
    -n "AzureStackUser" `
    --endpoint-resource-manager "https://management.<local>.<FQDN>" `
    --suffix-storage-endpoint ".<local>.<FQDN>" `
    --suffix-keyvault-dns ".vault.<local>.<FQDN>" `
    --endpoint-active-directory-graph-resource-id "https://graph.windows.net/" `
    --endpoint-sql-management https://notsupported  `
    --profile 2020-09-01-hybrid

  4. Získejte ID předplatného a skupinu prostředků, které chcete použít pro objekt zabezpečení služby (SPN).

  5. Vytvořte SPN (hlavní název služby) pomocí následujícího příkazu s ID předplatného a skupinou prostředků:

    az ad sp create-for-rbac --name "myApp" --role contributor `
    --scopes /subscriptions/{subscription-id}/resourceGroups/{resource-group} `
    --sdk-auth

  6. Zkontrolujte výsledný objekt JSON. Objekt JSON použijete k vytvoření tajného kódu v úložišti GitHub, které obsahuje vaši akci. Objekt JSON by měl mít následující atributy:

    {
  "clientId": <Application ID for the SPN>,
  "clientSecret": <Client secret for the SPN>,
  "subscriptionId": <Subscription ID for the SPN>,
  "tenantId": <Tenant ID for the SPN>,
  "activeDirectoryEndpointUrl": "https://login.microsoftonline.com/",
  "resourceManagerEndpointUrl": "https://management.<FQDN>",
  "activeDirectoryGraphResourceId": "https://graph.windows.net/",
  "sqlManagementEndpointUrl": "https://notsupported",
  "galleryEndpointUrl": "https://providers.<FQDN>:30016/",
  "managementEndpointUrl": "https://management.<FQDN>"
}

Přidání principálu služby do úložiště

Tajné kódy GitHubu můžete použít k šifrování citlivých informací, které se mají použít ve vašich akcích. Vytvoříte tajemství, které bude obsahovat hlavní název služby (SPN), aby se akce mohly přihlásit k vaší instanci Azure Stack Hub.

Varování

GitHub doporučuje, abyste nepoužívali self-hostované běžce s veřejnými úložišti. Větvení vašeho veřejného úložiště může na vašem self-hostovaném běžci spustit nebezpečný kód vytvořením pull requestu, který v pracovním postupu spustí kód. Další informace najdete viz "Osamostatně hostovaných běžcích."

  1. Otevřete nebo vytvořte úložiště GitHub. Pokud potřebujete pokyny k vytvoření úložiště na GitHubu, najdete pokyny v dokumentaci k GitHubu.
  2. Nastavte úložiště na privátní.
    1. Vyberte Nastavení>Změňte viditelnost úložiště.
    2. Vyberte Nastavit privátní.
    3. Zadejte název úložiště.
    4. Vyberte rozumím, změňte viditelnost úložiště.
  3. Vyberte Nastavení.
  4. Vyberte tajemství.
  5. Vyberte Tajný kód nového úložiště. Přidejte svůj tajný kód GitHub Actions
  6. Pojmenujte svůj tajný AZURE_CREDENTIALS.
  7. Vložte objekt JSON, který představuje SPN.
  8. Vyberte Přidat tajný kód.

Vytvoření virtuálního počítače a instalace požadavků

  1. Vytvořte si self-hostovaný spouštěč.

    Tyto pokyny vytvoří spouštěč jako virtuální počítač s Windows v Azure. Pokud se potřebujete připojit ke službě Azure Stack Hub hostované v datacentru, můžete vyžadovat připojení VPN. Pokyny k povolení připojení najdete v části Instalace nástrojů Azure Stack Hub na vašem samohostovaném spouštěči, který může vyžadovat připojení VPN.

  2. Pomocí vzdáleného připojení se připojte k serveru s Windows 2016 pomocí IP adresy serveru, uživatelského jména a hesla, které jste definovali při vytváření počítače.

  3. Nainstalujte Chocolatey. Chocolatey je správce balíčků pro Windows, který můžete použít k instalaci a správě závislostí z příkazového řádku. Na příkazovém řádku PowerShellu se zvýšenými oprávněními zadejte:

    Set-ExecutionPolicy Bypass -Scope Process -Force; [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072; iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))

  4. Nainstalujte PowerShell Core. Na příkazovém řádku PowerShellu se zvýšenými oprávněními zadejte:

    choco install powershell-core

  5. Nainstalujte Azure CLI. Na příkazovém řádku PowerShellu se zvýšenými oprávněními zadejte:

    choco install azure-cli

  6. Nainstalujte Azure Stack Hub PowerShell. Na příkazovém řádku PowerShellu se zvýšenými oprávněními zadejte:

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
Install-AzProfile -Profile 2020-09-01-hybrid -Force
Install-Module -Name AzureStack -RequiredVersion 2.0.2-preview -AllowPrerelease

    Další informace o používání modulů Az služby Azure Stack Hub najdete v tématu Instalace modulu Az PowerShellu pro službu Azure Stack Hub.

  7. Restartujte počítač. Na příkazovém řádku PowerShellu se zvýšenými oprávněními zadejte:

    shutdown /r

  8. Přidejte stroj jako vlastní hostovaný runner do svého úložiště na GitHubu. Pokyny k přidání spouštěče v místním prostředí najdete v dokumentaci k GitHubu. Další informace najdete v tématu Přidání spouštěčů v místním prostředí.

    Runner naslouchá

  9. Po dokončení ověřte, že je služba spuštěná a naslouchá vaší službě. Proveďte dvojitou kontrolu spuštěním /run.cmd z adresáře programu.

Volitelné: Instalace nástrojů Služby Azure Stack Hub na místního spouštěče

Pokyny v tomto článku nevyžadují přístup k nástroji Azure Stack Hub Tools, ale při vývoji vlastního pracovního postupu možná budete muset tyto nástroje použít. Následující pokyny vám mohou pomoci nainstalovat nástroje na váš samostatně hostovaný běžec Windows. Další informace o nástrojích služby Azure Stack Hub najdete v tématu Stažení nástrojů služby Azure Stack Hub zGitHubu. Tyto pokyny předpokládají, že jste nainstalovali správce balíčků Chocolatey.

  1. Nainstalujte Git.

    choco install git

  2. Na příkazovém řádku PowerShellu se zvýšenými oprávněními zadejte:

    # Change directory to the root directory.
cd \

# Download the tools archive.
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 
invoke-webrequest `
  https://github.com/Azure/AzureStack-Tools/archive/az.zip `
  -OutFile az.zip

# Expand the downloaded files.
expand-archive az.zip `
  -DestinationPath . `
  -Force

# Change to the tools directory.
cd AzureStack-Tools-az

  3. Pokud potřebujete, aby se váš spouštěč připojil k vaší instanci služby Azure Stack Hub, můžete použít PowerShell. Pokyny najdete v článku Připojení ke službě Azure Stack Hub pomocí powershellového.

Vytvořte místně hostovaný spouštěč

V Dokumentaci GitHubu můžete nastavit spouštěč v místním prostředí. Spouštěč v místním prostředí může běžet na libovolném počítači, který se může připojit k GitHubu. Pokud máte v pracovním postupu automatizační úlohu, která vyžaduje rozsáhlé softwarové závislosti, specifické licenční požadavky, například USB dongle pro softwarovou licenci, nebo jiné potřeby vztahující se k danému zařízení či konkrétnímu softwaru, můžete zvolit použití samostatně hostovaného běhového prostředí. Vaším počítačem může být fyzický počítač, virtuální počítač nebo kontejner. Spouštěč můžete umístit do datacentra nebo do cloudu.

V tomto článku použijete virtuální počítač s Windows hostovaný v Azure, který bude nakonfigurovaný s konkrétními požadavky PowerShellu služby Azure Stack Hub.

Pokyny k nastavení, konfiguraci a připojení spouštěče v místním prostředí k úložišti najdete v dokumentaci GitHubuO spouštěčích v místním prostředí.

Samostatně hostovaný spouštěč připojen

Poznamenejte si název a značky svého samohostovaného běžce. Pracovní postup v tomto článku bude vyvolán pomocí značky self-hosted.

Přidání pracovního postupu do úložiště

Vytvořte nový pracovní postup pomocí yaml v této části a vytvořte pracovní postup.

  1. Otevřete úložiště GitHub.

  2. Vyberte akce.

  3. Vytvořte nový pracovní postup.

    • Pokud je to váš první pracovní postup, vyberte nastavit pracovní postup vlastnoručně v části Zvolte nějakou šablonu pracovního postupu.
    • Pokud máte existující pracovní postupy, vyberte Nový pracovní postup>Nastavit pracovní postup sami.

  4. V cestě pojmenujte soubor workflow.yml.

  5. Zkopírujte a vložte pracovní postup yml.

    on: [push]

env:
  ACTIONS_ALLOW_UNSECURE_COMMANDS: 'true'

jobs: 
  azurestack-test:
    runs-on: self-hosted
    steps:

      - name: Login to AzureStack with Az Powershell
        uses: azure/login@releases/v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}
          environment: 'AzureStack'
          enable-AzPSSession: true

      - name: Run Az PowerShell Script Against AzureStack
        uses: azure/powershell@v1
        with:
          azPSVersion: '3.1.0'
          inlineScript: |
            hostname
            Get-AzContext
            Get-AzResourceGroup

      - name: Login to AzureStack with CLI
        uses: azure/login@releases/v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}
          environment: 'AzureStack'
          enable-AzPSSession: false

      - name: Run Azure CLI Script Against AzureStack
        run: |
          hostname
          az group list --output table

  6. Vyberte Spustit potvrzení.

  7. Přidejte název potvrzení a volitelné podrobnosti a pak vyberte Potvrdit nový soubor.

Po spuštění akce ověřte, že byla úspěšně spuštěna.

  1. Otevřete úložiště GitHub. Pracovní postup můžete aktivovat nahráním do úložiště.

  2. Vyberte akce.

  3. Vyberte název commitu v části Všechny pracovní postupy.

    souhrn potvrzení kontroly

  4. Vyberte název úlohy, azurestack-test.

    kontrola podrobností potvrzení

  5. Rozbalte oddíly a zkontrolujte návratové hodnoty příkazů PowerShellu a rozhraní příkazového řádku.

Poznámky k souboru pracovního postupu a akci:

  • Pracovní postup obsahuje jednu úlohu s názvem azurestack-test.
  • Push událost aktivuje pracovní postup.
  • Akce používá samostatně hostovaný spouštěč, který je nastaven v úložišti, a je volána označením spouštěče v pracovním postupu řádkem: runs on: self-hosted.
  • Pracovní postup obsahuje tři akce.
  • První akce zavolá akci Přihlášení k Azure, která se přihlásí pomocí PowerShellu. Pomocí GitHub Actions pro Azure můžete vytvářet pracovní postupy, které můžete v úložišti nastavit pro sestavení, testování, balení, vydávání a nasazování do Azure. Tato akce používá přihlašovací údaje služby Azure Stack SPN k připojení a zahájení relace ve vašem prostředí Azure Stack Hub. Další informace o používání této akce na GitHubu, Azure Login Action, najdete na webu.
  • Druhá akce používá Azure PowerShell. Tato akce používá moduly Az PowerShellu a funguje s cloudy pro státní správu i Azure Stack Hub. Po spuštění tohoto pracovního postupu zkontrolujte úlohu a ověřte, že skript shromáždil skupiny prostředků ve vašem prostředí služby Azure Stack Hub. Další informace najdete v tématu akce Azure PowerShellu.
  • Třetí akce používá Azure CLI k přihlášení a připojení ke službě Azure Stack Hub za účelem shromáždění skupin prostředků. Pro další informace si přečtěte část Akce Azure CLI.
  • Další informace o práci s GitHub Actions a samostatně hostovaným spouštěčem naleznete v dokumentaci GitHub Actions.

Další kroky

  • Last updated on