Nasazení šablon ARM pomocí GitHub Actions

GitHub Actions je sada funkcí v GitHubu, která automatizuje pracovní postupy vývoje softwaru na stejném místě, kde ukládáte kód a spolupracujete na žádostech o přijetí změn a problémech.

Pomocí akce nasadit šablonu Azure Resource Manageru můžete automatizovat nasazení šablony Azure Resource Manageru (šablony ARM) do Azure.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma

• Účet GitHub. Pokud ho nemáte, zdarma se zaregistrujte.

  • Úložiště GitHub pro ukládání šablon Resource Manageru a souborů pracovního postupu. Pokud ho chcete vytvořit, přečtěte si téma Vytvoření nového úložiště.

Přehled souboru pracovního postupu

Pracovní postup je definován souborem YAML (.yml) v /.github/workflows/ cestě v úložišti. Tato definice obsahuje různé kroky a parametry, které tvoří pracovní postup.

Soubor má dvě části:

Oddíl	Úlohy
Authentication	1. Vygenerujte přihlašovací údaje pro nasazení.
Nasazení	1. Nasaďte šablonu Resource Manageru.

Generování přihlašovacích údajů pro nasazení

Instanční objekt

Pomocí příkazu az ad sp create-for-rbac v Azure CLI vytvořte instanční objekt. Spusťte tento příkaz pomocí Azure Cloud Shellu na webu Azure Portal nebo výběrem tlačítka Vyzkoušet .

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

--json-auth Parametr je k dispozici ve verzích >Azure CLI = 2.51.0. Verze před tímto použitím --sdk-auth s upozorněním na vyřazení.

V předchozím příkladu nahraďte zástupné symboly ID vašeho předplatného, názvem skupiny prostředků a názvem aplikace. Výstupem je objekt JSON s přihlašovacími údaji pro přiřazení role, které poskytují přístup k vaší aplikaci App Service podobně jako v následujícím příkladu. Zkopírujte tento objekt JSON pro pozdější použití.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Připojení je metoda ověřování, která používá krátkodobé tokeny. Nastavení OpenID Připojení pomocí GitHub Actions je složitější proces, který nabízí posílené zabezpečení.

1. Pokud nemáte existující aplikaci, zaregistrujte novou aplikaci Microsoft Entra a instanční objekt, který má přístup k prostředkům.

   az ad app create --display-name myApp
   

   Tento příkaz vypíše JSON s vaším kódem appIdclient-id. APPLICATION-OBJECT-ID Slouží objectId k vytváření federovaných přihlašovacích údajů s voláními rozhraní Graph API. Uložte hodnotu, kterou chcete použít jako tajný kód GitHubu AZURE_CLIENT_ID později.

2. Vytvořte instanční objekt. $appID Nahraďte id aplikace z výstupu JSON. Tento příkaz vygeneruje výstup JSON s jiným objectId příkazem, který se použije v dalším kroku. Nový objectId je assignee-object-id.

   Tento příkaz vygeneruje výstup JSON s jiným objectId kódem a použije se v dalším kroku. Nový objectId je assignee-object-id.

   Zkopírujte soubor, který appOwnerTenantId chcete použít jako tajný kód GitHubu pro AZURE_TENANT_ID pozdější použití.

    az ad sp create --id $appId
   

3. Vytvořte nové přiřazení role podle předplatného a objektu. Ve výchozím nastavení bude přiřazení role svázané s vaším výchozím předplatným. Nahraďte $subscriptionId ID předplatného, $resourceGroupName názvem vaší skupiny prostředků a $assigneeObjectId vygenerovanými assignee-object-id (id nově vytvořeného objektu instančního objektu).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Spuštěním následujícího příkazu vytvořte nové přihlašovací údaje federované identity pro vaši aplikaci Microsoft Entra.

   • Nahraďte APPLICATION-OBJECT-ID objectId (vygenerovaný při vytváření aplikace) pro vaši aplikaci Microsoft Entra.
   • Nastavte hodnotu pro CREDENTIAL-NAME pozdější odkaz.
   • Nastavte .subject Hodnota je definována GitHubem v závislosti na vašem pracovním postupu:
     • Úlohy v prostředí GitHub Actions: repo:< Organization/Repository >:environment:< Name >
     • Pro úlohy, které nejsou svázané s prostředím, zahrňte cestu odkaz pro větev nebo značku na základě cesty odkazu použité k aktivaci pracovního postupu: repo:< Organization/Repository >:ref:< ref path>. Například repo:n-username/ node_express:ref:refs/heads/my-branch nebo repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Pro pracovní postupy aktivované událostí žádosti o přijetí změn: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

Konfigurace tajných kódů GitHubu

Instanční objekt

1. Na GitHubu přejděte do svého úložiště.

2. V navigační nabídce přejděte na Nastavení.

3. Vyberte Akce tajných kódů zabezpečení > a proměnných>.

   

4. Vyberte Nový tajný klíč úložiště.

5. Celý výstup JSON z příkazu Azure CLI vložte do pole hodnoty tajného kódu. Dejte tajnému názvu AZURE_CREDENTIALS.

6. Vyberte Add secret (Přidat tajný kód).

OpenID Connect

K akci přihlášení musíte zadat ID klienta, ID tenanta a ID předplatného vaší aplikace. Tyto hodnoty je možné zadat buď přímo v pracovním postupu, nebo je můžete uložit v tajných kódech GitHubu a odkazovat na je ve vašem pracovním postupu. Uložením hodnot jako tajných kódů GitHubu je bezpečnější možnost.

1. Na GitHubu přejděte do svého úložiště.

2. Vyberte Akce tajných kódů zabezpečení > a proměnných>.

   

3. Vyberte Nový tajný klíč úložiště.

4. Vytváření tajných kódů pro AZURE_CLIENT_ID, AZURE_TENANT_IDa AZURE_SUBSCRIPTION_ID. Pro tajné kódy GitHubu použijte tyto hodnoty z vaší aplikace Microsoft Entra:

   Tajný kód GitHubu	Aplikace Microsoft Entra
   AZURE_CLIENT_ID	ID aplikace (klienta)
   AZURE_TENANT_ID	ID adresáře (klienta)
   AZURE_SUBSCRIPTION_ID	Subscription ID

5. Uložte každý tajný kód výběrem možnosti Přidat tajný kód.

Přidání šablony Resource Manageru

Přidejte šablonu Resource Manageru do úložiště GitHub. Tato šablona vytvoří účet úložiště.

https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json

Soubor můžete umístit kamkoli do úložiště. Ukázka pracovního postupu v další části předpokládá, že soubor šablony má název azuredeploy.json a uloží se v kořenovém adresáři úložiště.

Vytvoření pracovního postupu

Soubor pracovního postupu musí být uložený ve složce .github/workflows v kořenovém adresáři úložiště. Přípona souboru pracovního postupu může být buď .yml nebo .yaml.

1. V úložišti GitHub vyberte v horní nabídce akce .
2. Vyberte Nový pracovní postup.
3. Vyberte nastavení pracovního postupu sami.
4. Pokud dáváte přednost jinému názvu než main.yml, přejmenujte soubor pracovního postupu. Příklad: deployStorageAccount.yml.
5. Obsah souboru YML nahraďte následujícím kódem:

Instanční objekt

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Poznámka:

Soubor parametrů formátu JSON můžete místo toho zadat v akci nasazení ARM (příklad: .azuredeploy.parameters.json).

První část souboru pracovního postupu obsahuje:

• name: Název pracovního postupu.
• on: Název událostí GitHubu, které aktivují pracovní postup. Pracovní postup se aktivuje, když v hlavní větvi dojde k události push, která upraví alespoň jeden ze dvou zadaných souborů. Dva soubory jsou soubor pracovního postupu a soubor šablony.

OpenID Connect

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Poznámka:

Soubor parametrů formátu JSON můžete místo toho zadat v akci nasazení ARM (příklad: .azuredeploy.parameters.json).

První část souboru pracovního postupu obsahuje:

• name: Název pracovního postupu.
• on: Název událostí GitHubu, které aktivují pracovní postup. Pracovní postup se aktivuje, když v hlavní větvi dojde k události push, která upraví alespoň jeden ze dvou zadaných souborů. Dva soubory jsou soubor pracovního postupu a soubor šablony.

1. Vyberte Start commit (Spustit zápis).
2. Vyberte Potvrdit přímo do hlavní větve.
3. Vyberte Potvrdit nový soubor (nebo Potvrdit změny).

Vzhledem k tomu, že je pracovní postup nakonfigurovaný tak, aby se aktivoval buď soubor pracovního postupu, nebo aktualizovaný soubor šablony, pracovní postup se spustí hned po potvrzení změn.

Kontrola stavu pracovního postupu

1. Vyberte kartu Akce. Zobrazí se seznam pracovních postupů vytvoření deployStorageAccount.yml. Spuštění pracovního postupu trvá 1 až 2 minuty.
2. Výběrem pracovního postupu ho otevřete.
3. V nabídce vyberte Spustit nasazení ARM a ověřte nasazení.

Vyčištění prostředků

Pokud už skupinu prostředků a úložiště nepotřebujete, vyčistěte prostředky, které jste nasadili, odstraněním skupiny prostředků a úložiště GitHub.

Další kroky

Vytvoření první šablony ARM

Modul Learn: Automatizace nasazení šablon ARM pomocí GitHub Actions