Nasazení vlastního kontejneru do App Service pomocí funkce GitHub Actions

GitHub Actions poskytuje flexibilitu při vytváření automatizovaného pracovního postupu vývoje softwaru. Pomocí akce Nasazení webu Azure můžete pracovní postup automatizovat a nasadit vlastní kontejnery do služby App Service pomocí GitHub Actions.

Pracovní postup je definován souborem YAML (.yml) v /.github/workflows/ cestě v úložišti. Tato definice obsahuje různé kroky a parametry, které jsou v pracovním postupu.

Pro pracovní postup kontejneru služby Aplikace Azure Service má soubor tři části:

Sekce	Úlohy
Authentication	1. Načtení instančního objektu nebo profilu publikování 2. Vytvořte tajný kód GitHubu.
Sestavit	1. Vytvořte prostředí. 2. Sestavte image kontejneru.
Nasazení	1. Nasaďte image kontejneru.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Účet GitHub. Pokud ho nemáte, zdarma se zaregistrujte. Abyste mohli nasadit službu Aplikace Azure Service, musíte mít kód v úložišti GitHub.
• Funkční registr kontejnerů a aplikace služby Aplikace Azure Service pro kontejnery. V tomto příkladu se používá Azure Container Registry. Nezapomeňte dokončit úplné nasazení do služby Aplikace Azure Service pro kontejnery. Na rozdíl od běžných webových aplikací nemají webové aplikace pro kontejnery výchozí cílovou stránku. Publikujte kontejner tak, aby měl funkční příklad.
  • Zjistěte, jak vytvořit kontejnerizovanou Node.js aplikaci pomocí Dockeru, odeslat image kontejneru do registru a pak ji nasadit do služby Aplikace Azure Service.

Generování přihlašovacích údajů pro nasazení

Doporučený způsob ověřování pomocí služby Aplikace Azure Services pro GitHub Actions je s profilem publikování. Můžete se také ověřit pomocí instančního objektu nebo open ID Connect, ale proces vyžaduje další kroky.

Uložte přihlašovací údaje profilu publikování nebo instanční objekt jako tajný klíč GitHubu pro ověření v Azure. K tajnému kódu v rámci pracovního postupu se dostanete.

Publikovat profil

Profil publikování je přihlašovací údaje na úrovni aplikace. Nastavte svůj profil publikování jako tajný klíč GitHubu.

1. Na webu Azure Portal přejděte do služby App Service.

2. Na stránce Přehled vyberte Získat profil publikování.

   Poznámka:

   Od října 2020 budou webové aplikace pro Linux potřebovat nastavení WEBSITE_WEBDEPLOY_USE_SCM aplikace nastavené na true před stažením souboru. Tento požadavek bude v budoucnu odebrán. Informace o konfiguraci běžných nastavení webové aplikace najdete v tématu Konfigurace aplikace App Service na webu Azure Portal.

3. Uložte stažený soubor. Obsah souboru použijete k vytvoření tajného kódu GitHubu.

Instanční objekt

Instanční objekt můžete vytvořit pomocí příkazu az ad sp create-for-rbac v Azure CLI. Spusťte tento příkaz pomocí Azure Cloud Shellu na webu Azure Portal nebo výběrem tlačítka Vyzkoušet .

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

V příkladu nahraďte zástupné symboly ID předplatného, názvem skupiny prostředků a názvem aplikace. Výstupem je objekt JSON s přihlašovacími údaji pro přiřazení role, které poskytují přístup k vaší aplikaci App Service. Zkopírujte tento objekt JSON pro pozdější použití.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Důležité

Vždy je vhodné udělit minimální přístup. Obor v předchozím příkladu je omezený na konkrétní aplikaci App Service, nikoli na celou skupinu prostředků.

OpenID Connect

OpenID Connect je metoda ověřování, která používá krátkodobé tokeny. Nastavení OpenID Connect pomocí GitHub Actions je složitější proces, který nabízí posílené zabezpečení.

1. Pokud nemáte existující aplikaci, zaregistrujte novou aplikaci Active Directory a instanční objekt, který má přístup k prostředkům. Vytvořte aplikaci Active Directory.

   az ad app create --display-name myApp
   

   Tento příkaz vypíše JSON s vaším kódem appId client-id. Uložte hodnotu, kterou chcete použít jako tajný kód GitHubu AZURE_CLIENT_ID později.

   Tuto hodnotu použijete objectId při vytváření federovaných přihlašovacích údajů pomocí rozhraní Graph API a odkazovat na ni jako na APPLICATION-OBJECT-ID.

2. Vytvořte instanční objekt. $appID Nahraďte id aplikace z výstupu JSON.

   Tento příkaz vygeneruje výstup JSON s jiným objectId kódem a použije se v dalším kroku. Nový objectId je assignee-object-id.

   Zkopírujte soubor, který appOwnerTenantId chcete použít jako tajný kód GitHubu pro AZURE_TENANT_ID pozdější použití.

    az ad sp create --id $appId
   

3. Vytvořte nové přiřazení role podle předplatného a objektu. Ve výchozím nastavení bude přiřazení role svázané s vaším výchozím předplatným. Nahraďte $subscriptionId ID předplatného, $resourceGroupName názvem vaší skupiny prostředků a $assigneeObjectId vygenerovaným assignee-object-idkódem . Zjistěte , jak spravovat předplatná Azure pomocí Azure CLI.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. Spuštěním následujícího příkazu vytvořte pro aplikaci služby Active Directory nové přihlašovací údaje federované identity.

   • Nahraďte APPLICATION-OBJECT-ID id objektu (vygenerované při vytváření aplikace) pro vaši aplikaci Active Directory.
   • Nastavte hodnotu pro CREDENTIAL-NAME pozdější odkaz.
   • Nastavte .subject Hodnota je definována GitHubem v závislosti na vašem pracovním postupu:
     • Úlohy v prostředí GitHub Actions: repo:< Organization/Repository >:environment:< Name >
     • Pro úlohy, které nejsou svázané s prostředím, zahrňte cestu odkaz pro větev nebo značku na základě cesty odkazu použité k aktivaci pracovního postupu: repo:< Organization/Repository >:ref:< ref path>. Například repo:n-username/ node_express:ref:refs/heads/my-branch nebo repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Pro pracovní postupy aktivované událostí žádosti o přijetí změn: repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

   Informace o vytvoření aplikace active directory, instančního objektu a federovaných přihlašovacích údajů na webu Azure Portal najdete v tématu Připojení GitHubu a Azure.

Konfigurace tajného kódu GitHubu pro ověřování

Publikovat profil

Na GitHubu přejděte do úložiště. Vyberte Nastavení > tajných kódů zabezpečení > a proměnných > Akce > Nový tajný klíč úložiště.

Pokud chcete použít přihlašovací údaje na úrovni aplikace, vložte obsah staženého souboru profilu publikování do pole hodnoty tajného kódu. Pojmenujte tajný kód AZURE_WEBAPP_PUBLISH_PROFILE.

Při konfiguraci pracovního postupu GitHubu AZURE_WEBAPP_PUBLISH_PROFILE použijete akci nasazení Azure Web Appu. Příklad:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Instanční objekt

Na GitHubu přejděte do úložiště. Vyberte Nastavení > tajných kódů zabezpečení > a proměnných > Akce > Nový tajný klíč úložiště.

Pokud chcete použít přihlašovací údaje na úrovni uživatele, vložte celý výstup JSON z příkazu Azure CLI do pole hodnoty tajného klíče. Pojmenujte tajný kód, například AZURE_CREDENTIALS.

Při pozdější konfiguraci souboru pracovního postupu použijete tajný kód pro vstup creds akce Přihlášení k Azure. Příklad:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

K akci přihlášení musíte zadat ID klienta, ID tenanta a ID předplatného vaší aplikace. Tyto hodnoty je možné zadat buď přímo v pracovním postupu, nebo je můžete uložit v tajných kódech GitHubu a odkazovat na je ve vašem pracovním postupu. Uložením hodnot jako tajných kódů GitHubu je bezpečnější možnost.

1. Otevřete úložiště GitHub a přejděte do části Nastavení > tajných kódů zabezpečení > a proměnných > Actions > New repository secret.

2. Vytváření tajných kódů pro AZURE_CLIENT_ID, AZURE_TENANT_IDa AZURE_SUBSCRIPTION_ID. Tyto hodnoty použijte z aplikace Active Directory pro tajné kódy GitHubu. Tyto hodnoty najdete na webu Azure Portal vyhledáním aplikace active directory.

   Tajný kód GitHubu	Aplikace služby Active Directory
   AZURE_CLIENT_ID	ID aplikace (klienta)
   AZURE_TENANT_ID	ID adresáře (klienta)
   AZURE_SUBSCRIPTION_ID	Subscription ID

3. Uložte každý tajný kód výběrem možnosti Přidat tajný kód.

Konfigurace tajných kódů GitHubu pro váš registr

Definujte tajné kódy, které se mají použít s akcí Přihlášení k Dockeru. Příklad v tomto dokumentu používá pro registr kontejneru službu Azure Container Registry.

1. Přejděte do kontejneru na webu Azure Portal nebo Dockeru a zkopírujte uživatelské jméno a heslo. Uživatelské jméno a heslo služby Azure Container Registry najdete na webu Azure Portal v části Přístupové klíče nastavení>pro váš registr.

2. Definujte nový tajný kód pro uživatelské jméno registru s názvem REGISTRY_USERNAME.

3. Definujte nový tajný klíč pro heslo registru s názvem REGISTRY_PASSWORD.

Sestavení image kontejneru

Následující příklad ukazuje část pracovního postupu, která vytvoří image Node.JS Dockeru. K přihlášení k privátnímu registru kontejneru použijte Docker Login . Tento příklad používá Službu Azure Container Registry, ale stejná akce funguje i pro ostatní registry.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Přihlášení k Dockeru můžete použít také k přihlášení k více registrům kontejnerů najednou. Tento příklad obsahuje dva nové tajné kódy GitHubu pro ověřování pomocí docker.io. Příklad předpokládá, že existuje soubor Dockerfile na kořenové úrovni registru.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Nasazení do kontejneru služby App Service

Pokud chcete nasadit image do vlastního kontejneru ve službě App Service, použijte azure/webapps-deploy@v2 tuto akci. Tato akce má sedm parametrů:

Parametr	Vysvětlení
název aplikace	(Povinné) Název aplikace App Service
publish-profile	(Volitelné) Platí pro Web Apps (Windows a Linux) a Web App Containers(linux). Scénář s více kontejnery se nepodporuje. Obsah souboru profilu publikování (*.publishsettings) s tajnými kódy nasazení webu
název slotu	(Volitelné) Zadejte jiný než produkční slot.
balíček	(Volitelné) Platí jenom pro webovou aplikaci: Cesta k balíčku nebo složce. *.zip, *.war, *.jar nebo složku pro nasazení
obrazy	(Povinné) Platí jenom pro Web App Containers: Zadejte plně kvalifikovaný název imagí kontejnerů. Například myregistry.azurecr.io/nginx:latest nebo python:3.7.2-alpine/. Pro vícekontenerovou aplikaci je možné zadat více názvů imagí kontejneru (oddělených více řádků).
konfigurační soubor	(Volitelné) Platí jenom pro Web App Containers: Cesta k souboru Docker-Compose. Měla by být plně kvalifikovaná cesta nebo relativní vzhledem k výchozímu pracovnímu adresáři. Vyžaduje se pro vícekontenerové aplikace.
startup-command	(Volitelné) Zadejte spouštěcí příkaz. Např. dotnet run nebo dotnet filename.dll

Publikovat profil

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Instanční objekt

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Další kroky

Naši sadu akcí seskupených do různých úložišť najdete na GitHubu. Každá z nich obsahuje dokumentaci a příklady, které vám pomůžou používat GitHub pro CI/CD a nasazovat aplikace do Azure.

• Pracovní postupy akcí pro nasazení do Azure

• Přihlášení k Azure

• Webová aplikace Azure

• Přihlášení/odhlášení Dockeru

• Události, které aktivují pracovní postupy

• Nasazení K8s

• Úvodní pracovní postupy