Rychlý start: Nasazení souborů Bicep pomocí GitHub Actions

GitHub Actions je sada funkcí v GitHubu pro automatizaci pracovních postupů vývoje softwaru. V tomto rychlém startu použijete nasazení GitHub Actions pro Azure Resource Manager k automatizaci nasazení souboru Bicep do Azure.

Poskytuje krátký úvod k akcím GitHubu a souborům Bicep. Pokud chcete podrobnější kroky k nastavení akcí a projektu GitHubu, přečtěte si téma Nasazení prostředků Azure pomocí Bicep a GitHub Actions.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Účet GitHub. Pokud ho nemáte, zdarma se zaregistrujte.
• Úložiště GitHub pro ukládání souborů Bicep a souborů pracovního postupu. Pokud ho chcete vytvořit, přečtěte si téma Vytvoření nového úložiště.

Vytvořit skupinu zdrojů

Vytvořte skupinu prostředků. Později v tomto rychlém startu nasadíte soubor Bicep do této skupiny prostředků.

Rozhraní příkazového řádku

az group create -n exampleRG -l westus

PowerShell

New-AzResourceGroup -Name exampleRG -Location westus

Generování přihlašovacích údajů pro nasazení

Instanční objekt

GitHub Actions běží pod identitou. Pomocí příkazu az ad sp create-for-rbac vytvořte instanční objekt pro identitu. Udělte instančnímu objektu roli přispěvatele pro skupinu prostředků vytvořenou v předchozí relaci, aby akce GitHubu s identitou vytvořila prostředky v této skupině prostředků. Doporučuje se udělit minimální požadovaný přístup.

az ad sp create-for-rbac --name {app-name} --role contributor --scopes /subscriptions/{subscription-id}/resourceGroups/exampleRG --json-auth

Zástupný symbol {app-name} nahraďte názvem vaší aplikace. Nahraďte {subscription-id} ID předplatného.

Výstupem je objekt JSON s přihlašovacími údaji pro přiřazení role, které poskytují přístup k vaší aplikaci App Service podobně jako v následujícím výstupu.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    ...
  }

Zkopírujte tento objekt JSON pro pozdější použití. Budete potřebovat jenom oddíly s clientIdhodnotou , clientSecretsubscriptionIda tenantId hodnotami. Ujistěte se, že na konci posledního řádku nemáte čárku navíc, tenantId například řádek v předchozím příkladu, jinak výsledkem bude neplatný soubor JSON. Během nasazení se zobrazí chyba s informací, že přihlášení selhalo s chybou: Obsah není platný objekt JSON. Pečlivě zkontrolujte, jestli je správný typ ověřování.

Open ID Connect

Open ID Connect je metoda ověřování, která používá krátkodobé tokeny. Nastavení OpenID Connect pomocí GitHub Actions je složitější proces, který nabízí posílené zabezpečení.

1. Pokud nemáte existující aplikaci, zaregistrujte novou aplikaci Active Directory a instanční objekt, který má přístup k prostředkům. Vytvořte aplikaci Active Directory.

   az ad app create --display-name myApp
   

   Tento příkaz vypíše JSON s vaším kódem appId client-id. Uložte hodnotu, kterou chcete použít jako tajný kód GitHubu AZURE_CLIENT_ID později.

   Hodnotu použijete objectId při vytváření federovaných přihlašovacích údajů pomocí rozhraní Graph API a odkazujete na ni jako na APPLICATION-OBJECT-ID.

2. Vytvořte instanční objekt. $appID Nahraďte id aplikace z výstupu JSON.

   Tento příkaz vygeneruje výstup JSON s jiným objectId kódem a použije se v dalším kroku. Nový objectId je assignee-object-id.

   Zkopírujte soubor, který appOwnerTenantId chcete použít jako tajný kód GitHubu pro AZURE_TENANT_ID pozdější použití.

    az ad sp create --id $appId
   

3. Vytvořte nové přiřazení role podle předplatného a objektu. Ve výchozím nastavení je přiřazení role svázané s vaším výchozím předplatným. Nahraďte $subscriptionId ID předplatného, $resourceGroupName názvem vaší skupiny prostředků a $assigneeObjectId vygenerovaným assignee-object-idkódem . Zjistěte , jak spravovat předplatná Azure pomocí Azure CLI.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. Spuštěním následujícího příkazu vytvořte pro aplikaci služby Active Directory nové přihlašovací údaje federované identity.

   • Nahraďte APPLICATION-OBJECT-ID id objektu (vygenerované při vytváření aplikace) pro vaši aplikaci Active Directory.
   • Nastavte hodnotu pro CREDENTIAL-NAME pozdější odkaz.
   • Nastavte .subject Hodnota je definována GitHubem v závislosti na vašem pracovním postupu:
     • Úlohy v prostředí GitHub Actions: repo:< Organization/Repository >:environment:< Name >
     • Pro úlohy, které nejsou svázané s prostředím, zahrňte cestu odkaz pro větev nebo značku na základě cesty odkazu použité k aktivaci pracovního postupu: repo:< Organization/Repository >:ref:< ref path>. Například repo:n-username/ node_express:ref:refs/heads/my-branch nebo repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Pro pracovní postupy aktivované událostí žádosti o přijetí změn: repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}'
   

   Informace o vytvoření aplikace active directory, instančního objektu a federovaných přihlašovacích údajů na webu Azure Portal najdete v tématu Připojení GitHubu a Azure.

Konfigurace tajných kódů GitHubu

Instanční objekt

Vytvořte tajné kódy pro přihlašovací údaje Azure, skupinu prostředků a předplatná. Tyto tajné kódy použijete v části Vytvořit pracovní postup .

1. Na GitHubu přejděte do svého úložiště.

2. Vyberte Nastavení > tajných kódů a proměnných > Akce > Nový tajný klíč úložiště.

3. Celý výstup JSON z příkazu Azure CLI vložte do pole hodnoty tajného kódu. Pojmenujte tajný kód AZURE_CREDENTIALS.

4. Vytvořte další tajný kód s názvem AZURE_RG. Přidejte název skupiny prostředků do pole hodnoty tajného kódu (exampleRG).

5. Vytvořte další tajný kód s názvem AZURE_SUBSCRIPTION. Přidejte ID předplatného do pole hodnoty tajného kódu (příklad: 90fd3f9d-4c61-432d-99ba-1273f236afa2).

Open ID Connect

K akci přihlášení musíte zadat ID klienta, ID tenanta a ID předplatného vaší aplikace. Tyto hodnoty je možné zadat buď přímo v pracovním postupu, nebo je můžete uložit v tajných kódech GitHubu a odkazovat na je ve vašem pracovním postupu. Uložením hodnot jako tajných kódů GitHubu je bezpečnější možnost.

1. Otevřete úložiště GitHub a přejděte na Nastavení.

2. Vyberte Nastavení > tajných kódů > Nový tajný klíč.

3. Vytváření tajných kódů pro AZURE_CLIENT_ID, AZURE_TENANT_IDa AZURE_SUBSCRIPTION_ID. Pro tajné kódy GitHubu použijte tyto hodnoty z aplikace Active Directory:

   Tajný kód GitHubu	Aplikace služby Active Directory
   AZURE_CLIENT_ID	ID aplikace (klienta)
   AZURE_TENANT_ID	ID adresáře (klienta)
   AZURE_SUBSCRIPTION_ID	Subscription ID

4. Uložte každý tajný kód výběrem možnosti Přidat tajný kód.

Přidání souboru Bicep

Přidejte soubor Bicep do úložiště GitHub. Následující soubor Bicep vytvoří účet úložiště:

@minLength(3)
@maxLength(11)
param storagePrefix string

@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_RAGRS'
  'Standard_ZRS'
  'Premium_LRS'
  'Premium_ZRS'
  'Standard_GZRS'
  'Standard_RAGZRS'
])
param storageSKU string = 'Standard_LRS'

param location string = resourceGroup().location

var uniqueStorageName = '${storagePrefix}${uniqueString(resourceGroup().id)}'

resource stg 'Microsoft.Storage/storageAccounts@2023-04-01' = {
  name: uniqueStorageName
  location: location
  sku: {
    name: storageSKU
  }
  kind: 'StorageV2'
  properties: {
    supportsHttpsTrafficOnly: true
  }
}

output storageEndpoint object = stg.properties.primaryEndpoints

Soubor Bicep vyžaduje jeden parametr s názvem storagePrefix se 3 až 11 znaky.

Soubor můžete umístit kamkoli do úložiště. Ukázka pracovního postupu v další části předpokládá, že soubor Bicep má název main.bicep a je uložený v kořenovém adresáři vašeho úložiště.

Vytvoření pracovního postupu

Pracovní postup definuje kroky, které se mají provést při aktivaci. Jedná se o soubor YAML (.yml) v cestě k vašemu úložišti .github/workflows/ . Přípona souboru pracovního postupu může být buď .yml nebo .yaml.

Pokud chcete vytvořit pracovní postup, proveďte následující kroky:

1. V úložišti GitHub vyberte v horní nabídce akce .

2. Vyberte Nový pracovní postup.

3. Vyberte nastavení pracovního postupu sami.

4. Pokud dáváte přednost jinému názvu než main.yml, přejmenujte soubor pracovního postupu. Příklad: deployBicepFile.yml.

5. Obsah souboru yml nahraďte následujícím kódem:

   Instanční objekt

   name: Deploy Bicep file
   on: [push]
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
       - name: Checkout code
         uses: actions/checkout@main
   
       - name: Log into Azure
         uses: azure/login@v1
         with:
           creds: ${{ secrets.AZURE_CREDENTIALS }}
   
       - name: Deploy Bicep file
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

   Nahraďte mystore předponou názvu vlastního účtu úložiště.

   Poznámka:

   Soubor parametrů formátu JSON můžete místo toho zadat v akci nasazení ARM (příklad: .azuredeploy.parameters.json).

   První část souboru pracovního postupu obsahuje:

   • name: Název pracovního postupu.
   • on: Název událostí GitHubu, které aktivují pracovní postup. Pracovní postup se aktivuje, když v hlavní větvi dojde k události push.

   OpenID Connect

   on: [push]
   name: Azure ARM
   permissions:
     id-token: write
     contents: read
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
         # Checkout code
       - uses: actions/checkout@main
   
         # Log into Azure
       - uses: azure/login@v1
         with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
         # Deploy Bicep file
       - name: deploy
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

6. Vyberte Potvrdit změny.

7. Vyberte Potvrdit přímo do hlavní větve.

8. Vyberte Potvrdit nový soubor (nebo Potvrdit změny).

Aktualizace souboru pracovního postupu nebo souboru Bicep aktivuje pracovní postup. Pracovní postup se spustí hned po potvrzení změn.

Kontrola stavu pracovního postupu

1. Vyberte kartu Akce. Zobrazí se seznam pracovních postupů vytvoření deployBicepFile.yml. Spuštění pracovního postupu trvá 1 až 2 minuty.
2. Vyberte pracovní postup, který chcete otevřít, a ověřte, zda je Success.Status

Vyčištění prostředků

Pokud už skupinu prostředků a úložiště nepotřebujete, vyčistěte prostředky, které jste nasadili, odstraněním skupiny prostředků a úložiště GitHub.

Rozhraní příkazového řádku

az group delete --name exampleRG

PowerShell

Remove-AzResourceGroup -Name exampleRG

Další kroky

Struktura a syntaxe souborů Bicep