Bereitstellen eines benutzerdefinierten Containers in App Service mithilfe von GitHub-Aktionen

Sie können GitHub-Aktionen verwenden, um einen automatisierten Softwareentwicklungsworkflow zu erstellen. Sie können die Azure Web Deploy-Aktion verwenden, um Ihren Workflow zu automatisieren und benutzerdefinierte Container in Azure App Service bereitzustellen.

Ein Workflow wird durch eine YAML-Datei im Pfad /.github/workflows/ in Ihrem Repository definiert. Diese Definition enthält die verschiedenen Schritte und Parameter im Workflow.

Für einen App Service-Containerworkflow weist die Datei drei Abschnitte auf:

`Section`	Aufgaben
Authentifizierung	1. Abrufen eines Dienstprinzipals oder Veröffentlichungsprofils 2. Erstellen Sie ein GitHub-Geheimnis.
Build	1. Erstellen der Umgebung 2. Erstellen des Containerimages
Bereitstellen	1. Bereitstellen des Containerimages

Voraussetzungen

• Ein Azure-Konto mit einem aktiven Abonnement. Kostenlos ein Konto erstellen.
• Ein GitHub-Konto. Falls Sie noch nicht über ein Konto verfügen, können Sie sich kostenlos registrieren. Für die Bereitstellung in Azure App Service benötigen Sie Code in einem GitHub-Repository.
• Eine funktionierende Containerregistrierung und eine Azure App Service-App für Container. In diesem Beispiel wird Azure Container Registry verwendet. Stellen Sie sicher, dass Sie die vollständige Bereitstellung für Azure App Service für Container abschließen. Im Gegensatz zu regulären Web-Apps verfügen Web-Apps für Container nicht über eine standardmäßige Landing Page. Veröffentlichen Sie den Container, und erhalten Sie so ein funktionsfähiges Beispiel.
• Führen Sie die folgenden Aufgaben aus: Erfahren Sie, wie Sie mithilfe von Docker eine containerisierte Node.js Anwendung erstellen, das Containerimage an eine Registrierung übertragen und dann das Image in Azure App Service bereitstellen.

Generieren von Anmeldeinformationen für die Bereitstellung

Es wird empfohlen, sich mit Azure App Services für GitHub-Aktionen mithilfe von OpenID Connect zu authentifizieren. Sie können sich auch mit einem Dienstprinzipal oder einem Veröffentlichungsprofil authentifizieren.

Speichern Sie die Anmeldeinformationen des Veröffentlichungsprofils oder den Dienstprinzipal als GitHub-Geheimnis, um sich bei Azure zu authentifizieren. Sie greifen auf den geheimen Schlüssel in Ihrem Workflow zu.

Veröffentlichungsprofil

Ein Veröffentlichungsprofil stellt Anmeldeinformationen auf App-Ebene dar. Richten Sie Ihr Veröffentlichungsprofil als GitHub-Geheimnis ein.

1. Wechseln Sie im Azure-Portal zu App Service.

2. Wählen Sie im Bereich "Übersicht " die Option "Veröffentlichungsprofil abrufen" aus.

   Hinweis

   Ab Oktober 2020 müssen Benutzer die App-Einstellung für Linux-Web-Apps WEBSITE_WEBDEPLOY_USE_SCM auf true festlegen, bevor sie die Datei herunterladen. Informationen zum Konfigurieren allgemeiner Web-App-Einstellungen finden Sie unter "Konfigurieren einer App Service-App" im Azure-Portal.

3. Speichern Sie die heruntergeladene Datei. Sie verwenden den Inhalt der Datei, um einen GitHub-Geheimschlüssel zu erstellen.

Dienstprinzipal

1. Erstellen Sie eine Microsoft Entra-Anwendung mit einem Dienstprinzipal, indem Sie das Azure-Portal, die Azure CLI oder Azure PowerShell verwenden.

2. Erstellen Sie einen geheimen Clientschlüssel für Ihren Dienstprinzipal mithilfe des Azure-Portals, der Azure CLI oder azure PowerShell.

3. Kopieren Sie die Werte für Client-ID, Geheimer Clientschlüssel, Abonnement-ID,und Verzeichnis-ID (Mandanten-ID), um sie später in Ihrem GitHub Actions-Workflow zu verwenden.

4. Weisen Sie Ihrem Dienstprinzipal eine geeignete Rolle zu, indem Sie das Azure-Portal, die Azure CLI oder Azure PowerShell verwenden.

OpenID Connect

OpenID Connect ist eine Authentifizierungsmethode, die kurzlebige Token verwendet. Das Einrichten von OpenID Connect mit GitHub-Aktionen ist ein komplexerer Prozess, der eine härtere Sicherheit bietet.

Um die Azure-Anmeldeaktion mit OpenID Connect zu verwenden, müssen Sie eine Verbundidentitäts-Anmeldeinformationen für eine Microsoft Entra-Anwendung oder eine vom Benutzer zugewiesene verwaltete Identität konfigurieren.

Option 1: Verwenden einer Microsoft Entra-Anwendung

1. Erstellen Sie eine Microsoft Entra-Anwendung mit einem Dienstprinzipal, indem Sie das Azure-Portal, die Azure CLI oder Azure PowerShell verwenden.

2. Kopieren Sie die Werte für Client-ID, Abonnement-ID, und Verzeichnis-ID (Mandanten-ID), um sie später in Ihrem GitHub Actions-Workflow zu verwenden.

3. Weisen Sie Ihrem Dienstprinzipal eine geeignete Rolle zu, indem Sie das Azure-Portal, die Azure CLI oder Azure PowerShell verwenden.

4. Konfigurieren Sie Verbundidentitätsanmeldeinformationen für eine Microsoft Entra-Anwendung, um den Tokens zu vertrauen, die GitHub Actions für Ihr GitHub-Repository ausstellt.

Option 2: Verwenden einer vom Benutzer zugewiesenen verwalteten Identität

1. Erstellen einer benutzerseitig zugewiesenen verwalteten Identität.

2. Kopieren Sie die Werte für Client-ID, Abonnement-ID, und Verzeichnis-ID (Mandanten-ID), um sie später in Ihrem GitHub Actions-Workflow zu verwenden.

3. Weisen Sie Ihrer benutzerseitig zugewiesenen verwalteten Identität eine geeignete Rolle zu.

4. Konfigurieren Sie einen Verbundidentitätsnachweis für eine vom Benutzer zugewiesene verwaltete Identität, um Tokens, die von GitHub Actions für Ihr GitHub-Repository ausgegeben werden, als vertrauenswürdig einzustufen.

Konfigurieren des GitHub-Geheimnisses für die Authentifizierung

Veröffentlichungsprofil

Suchen Sie auf GitHub nach Ihrem Repository. Wählen Sie Einstellungen>Sicherheit>Geheimnisse und Variablen>Aktionen>Neues Repositorygeheimnis aus.

Um Anmeldeinformationen auf App-Ebene zu verwenden, fügen Sie den Inhalt der heruntergeladenen Veröffentlichungsprofildatei in das Wertfeld des Geheimnisses ein. Geben Sie dem Geheimnis den Namen AZURE_WEBAPP_PUBLISH_PROFILE.

Wenn Sie Ihren GitHub-Workflow konfigurieren, verwenden Sie das AZURE_WEBAPP_PUBLISH_PROFILE-Geheimnis in der Bereitstellungsaktion für die Azure-Web-App. Beispiel:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Dienstprinzipal

Suchen Sie auf GitHub nach Ihrem Repository. Wählen Sie Einstellungen>Sicherheit>Geheimnisse und Variablen>Aktionen>Neues Repositorygeheimnis aus.

Um Anmeldeinformationen auf Benutzerebene zu verwenden, fügen Sie die gesamte JSON-Ausgabe aus dem Azure CLI-Befehl in das Wertfeld des Geheimnisses ein. Geben Sie dem Geheimnis einen Namen wie AZURE_CREDENTIALS.

Wenn Sie die Workflowdatei später konfigurieren, verwenden Sie den geheimen Schlüssel als Eingabewert creds der Azure-Anmeldeaktion. Beispiel:

- uses: azure/login@v2
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

Sie müssen die Client-ID, Mandanten-ID und Abonnement-ID Ihrer Anwendung für die Anmeldeaktion angeben. Sie können diese Werte entweder direkt im Workflow bereitstellen oder sie in GitHub-Geheimschlüsseln speichern und in Ihrem Workflow referenzieren. Es ist sicherer, die Werte als GitHub-Geheimschlüssel zu speichern.

1. Öffnen Sie Ihr GitHub-Repository, und wechseln Sie zu Einstellungen>Sicherheit>Geheimnisse und Variablen>Aktionen>Neues Repositorygeheimnis.

   Hinweis

   Um die Sicherheit von Workflows in öffentlichen Repositorys zu verbessern, verwenden Sie Umgebungsgeheimnisse anstelle von Repositorygeheimnissen. Wenn die Umgebung eine Genehmigung erfordert, kann ein Auftrag erst dann auf geheime Umgebungsgeheimnisse zugreifen, wenn einer der erforderlichen Prüfer sie genehmigt.

2. Erstellen Sie Geheimnisse für AZURE_CLIENT_ID, AZURE_TENANT_ID und AZURE_SUBSCRIPTION_ID. Verwenden Sie diese Werte aus Ihrer Active Directory-Anwendung für Ihre GitHub-Geheimschlüssel. Sie finden diese Werte im Azure-Portal, indem Sie nach Ihrer Active Directory-Anwendung suchen.

   GitHub-Geheimnis	Active Directory-Anwendung
   AZURE_CLIENT_ID	Anwendungs-ID (Client)
   AZURE_TENANT_ID	Verzeichnis-ID (Mandant)
   AZURE_SUBSCRIPTION_ID	Abonnement-ID

3. Speichern Sie jedes Geheimnis, indem Sie Geheimnis hinzufügen auswählen.

Konfigurieren von GitHub-Geheimnissen für die Registrierung

Definieren Sie Geheimnisse für die Docker-Anmeldeaktion. Im Beispiel in diesem Artikel wird azure Container Registry für die Containerregistrierung verwendet.

1. Wechseln Sie im Azure-Portal oder in Docker zu Ihrem Container, und kopieren Sie den Benutzernamen und das Kennwort. Den Benutzernamen und das Kennwort für Azure Container Registry finden Sie im Azure-Portal unter Einstellungen>Zugriffsschlüssel für Ihre Registrierung.

2. Definieren Sie ein neues Geheimnis für den Registrierungsbenutzer mit dem Namen REGISTRY_USERNAME.

3. Definieren Sie ein neues Geheimnis für das Registrierungskennwort mit dem Namen REGISTRY_PASSWORD.

Erstellen des Containerimages

Das folgende Beispiel zeigt einen Teil des Workflows, der ein Node.js Docker-Image erstellt. Verwenden Sie Docker Login , um sich bei einer privaten Containerregistrierung anzumelden. In diesem Beispiel wird Azure Container Registry verwendet, die gleiche Aktion funktioniert jedoch auch mit anderen Registrierungen.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Sie können die Docker-Anmeldung auch verwenden, um sich gleichzeitig bei mehreren Containerregistrierungen anzumelden. Dieses Beispiel enthält zwei neue GitHub-Geheimnisse für die Authentifizierung mit docker.io. Im Beispiel wird davon ausgegangen, dass ein Dockerfile auf der Stammebene der Registrierung vorhanden ist.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Das folgende Beispiel zeigt einen Teil des Workflows zum Erstellen eines Windows-Docker-Images. Verwenden Sie Docker Login , um sich bei einer privaten Containerregistrierung anzumelden. In diesem Beispiel wird Azure Container Registry verwendet, die gleiche Aktion funktioniert jedoch auch mit anderen Registrierungen.

name: Windows Container Workflow
on: [push]
jobs:
  build:
    runs-on: windows-latest
    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Sie können die Docker-Anmeldung auch verwenden, um sich gleichzeitig bei mehreren Containerregistrierungen anzumelden. Dieses Beispiel enthält zwei neue GitHub-Geheimnisse für die Authentifizierung mit docker.io. Im Beispiel wird davon ausgegangen, dass ein Dockerfile auf der Stammebene der Registrierung vorhanden ist.

name: Windows Container Workflow
on: [push]
jobs:
  build:
    runs-on: windows-latest
    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Bereitstellung in einem App Service-Container

Um Ihr Image in einem benutzerdefinierten Container in App Service bereitzustellen, verwenden Sie die Aktion azure/webapps-deploy@v2. Diese Aktion umfasst sieben Parameter:

Parameter	Erklärung
app-name	(Erforderlich) Name der App Service-App.
publish-profile	(Optional) Wird mit Web-Apps (Windows und Linux) und Web-App-Containern (Linux) verwendet. Szenario mit mehreren Containern wird nicht unterstützt. Veröffentlichen der Inhalte der Profildatei \*.publishsettings mit Web Deploy-Geheimnissen.
slot-name	(Optional) Geben Sie einen anderen Slot als den Produktionsslot ein.
package	(Optional) Wird nur für Web-Apps verwendet: Pfad zum Paket oder Ordner. \*.zip, \*.war, \*.jaroder ein Ordner, der bereitgestellt werden soll.
images	(Erforderlich) Wird nur für Web-App-Container verwendet: Geben Sie den vollqualifizierten Containerimagenamen an. Zum Beispiel: myregistry.azurecr.io/nginx:latest oder python:3.12.12-alpine/. Für eine App mit mehreren Containern können mehrere Containerimagenamen angegeben werden (mehrere getrennte Zeilen).
configuration-file	(Optional) Wird nur für Web-App-Container verwendet: Pfad der Docker Compose-Datei. Es muss sich um einen vollqualifizierten Pfad oder einen Pfad relativ zum Standardarbeitsverzeichnis handeln. Dieser Parameter ist beim Konfigurieren von Apps mit mehreren Containern erforderlich.
startup-command	(Optional) Geben Sie den Startbefehl ein. Beispiel: dotnet run oder dotnet filename.dll.

Veröffentlichungsprofil

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Dienstprinzipal

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

Veröffentlichungsprofil

name: Windows_Container_Workflow

on: [push]

jobs:
  build:
    runs-on: windows-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Dienstprinzipal

on: [push]

name: Windows_Container_Workflow

jobs:
  build-and-deploy:
    runs-on: windows-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Windows_Container_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: windows-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

---

Verwandte Inhalte

Sie finden unsere Gruppe von Aktionen, die in verschiedenen Repositorys auf GitHub gruppiert sind. Jedes Repository enthält Dokumentationen und Beispiele, mit denen Sie GitHub für CI/CD verwenden und Ihre Apps in Azure bereitstellen können.

• Aktionsworkflows für das Bereitstellen in Azure
• Azure-Anmeldung
• Azure-Web-App
• An-/Abmeldung von Docker
• Ereignisse zum Auslösen von Workflows
• Kubernetes-Bereitstellung
• Starterworkflows