Übung: Einrichten Ihrer Umgebung

Abgeschlossen

Wichtig

Sie benötigen für diese Übung ein eigenes Azure-Abonnement. Außerdem fallen möglicherweise Gebühren für Sie an. Wenn Sie noch kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Bevor Sie mit der Arbeit am Websiteworkflow Ihres Spielzeugunternehmens beginnen, müssen Sie Ihre Umgebung konfigurieren. In dieser Lerneinheit stellen Sie sicher, dass Ihre Azure- und GitHub-Umgebungen so eingerichtet sind, dass Sie den Rest dieses Moduls absolvieren können.

So erreichen Sie diese Ziele:

• Richten Sie ein GitHub-Repository für dieses Modul ein.
• Klonen Sie das Repository des Projekts auf Ihren Computer.
• Erstellen Sie zwei Workloadidentitäten in Microsoft Entra-ID.
• Erstellen Sie zwei Ressourcengruppen in Azure.
• Erstellen von Geheimnissen und Umgebungen in GitHub

Abrufen des GitHub-Repositorys

Hier stellen Sie sicher, dass Ihr GitHub Repository für den Rest dieses Moduls eingerichtet ist. Sie richten es ein, indem Sie ein neues Repository basierend auf einem Vorlagenrepository erstellen. Das Vorlagenrepository enthält die Dateien, die Sie für den Einstieg in dieses Modul benötigen.

Die Module in diesem Lernpfad sind fortschreitend angeordnet. Zu Lernzwecken verfügt jedes Modul über ein zugeordnetes GitHub Vorlagenrepository.

Tipp

Auch wenn Sie das vorherige Modul im Lernpfad abgeschlossen haben, sollten Sie diese Anweisungen befolgen, um ein neues Repository zu erstellen. Achten Sie dabei darauf, dass Sie ihm einen neuen Namen geben.

Starten über das Vorlagenrepository

Führen Sie eine Vorlage aus, mit der Ihr GitHub-Repository eingerichtet wird.

Ausführen der Vorlage

Führen Sie auf GitHub-Website die folgenden Schritte aus, um ein Repository aus der Vorlage zu erstellen:

1. Wählen Sie Diese Vorlage verwenden>Neues Repository erstellen aus.

   

2. Wählen Sie in der Dropdownliste Besitzer Ihren GitHub-Benutzernamen aus.

3. Geben Sie einen Repositorynamen für Ihr neues Projekt ein (z. B. toy-website-end-to-end).

4. Wählen Sie die Option Public aus.

   Wenn Sie Ihre eigenen Repositorys erstellen, können Sie diese als privat festlegen. In diesem Modul arbeiten Sie mit einigen Features von GitHub, die nur mit öffentlichen Repositorys und mit GitHub Enterprise-Konten funktionieren.

5. Klicken Sie auf Create repository (Repository erstellen).

   

Wichtig

Die letzte Übung in diesem Modul enthält wichtige Schritte zur Bereinigung. Führen Sie unbedingt die Bereinigungsschritte durch, auch wenn Sie dieses Modul nicht absolvieren.

Klonen des Repositorys

Sie verfügen nun über eine Kopie des Vorlagenrepositorys in Ihrem eigenen Konto. Sie klonen dieses Repository jetzt lokal, damit Sie damit arbeiten können.

1. Wählen Sie Code und dann das Kopiersymbol aus.

   

2. Öffnen Sie Visual Studio Code.

3. Öffnen Sie in Visual Studio Code ein neues Terminalfenster, indem Sie auf Terminal>Neues Terminal klicken. Das Fenster wird in der Regel am unteren Bildschirmrand geöffnet.

4. Navigieren Sie im Terminal zu dem Verzeichnis, in dem Sie das GitHub-Repository auf Ihrem lokalen Computer klonen möchten. Führen Sie beispielsweise den folgenden Befehl aus, um das Repository in den Ordner toy-website-environments zu klonen:

   cd toy-website-end-to-end
   

5. Geben Sie git clone ein, und füge dann die vorherig kopierte URL ein. Der Befehl sollte etwa wie folgt aussehen:

   git clone https://github.com/mygithubuser/toy-website-end-to-end.git
   

6. Öffnen Sie Visual Studio Code erneut im Repositoryordner, indem Sie den folgenden Befehl am Visual Studio Code-Terminal ausführen:

   code -r toy-website-end-to-end
   

Anmelden bei Azure

Sie müssen sich über das Visual Studio Code-Terminal bei Ihrem Azure-Konto anmelden, um Ressourcengruppen in Azure verwenden zu können. Stellen Sie sicher, dass Sie die Azure CLI-Tools installiert haben.

1. Wählen Sie im Menü Terminal die Option New Terminal (Neues Terminal) aus. Das Terminalfenster wird in der Regel in der unteren Hälfte des Bildschirms geöffnet.

   Die Standardshell ist in der Regel pwsh, wie auf der rechten Seite des Terminalfensters dargestellt.

   

2. Wählen Sie die Dropdownliste Startprofil und dann Azure Cloud Shell (Bash) aus.

   

   Eine neue Shell wird geöffnet.

Anmelden bei Azure mithilfe der Azure CLI

1. Führen Sie im Visual Studio Code-Terminal den folgenden Befehl aus, um sich bei Azure anzumelden:

   az login
   

2. Melden Sie sich im Browserfenster, das daraufhin geöffnet wird, in Ihrem Azure-Konto an.

Sie müssen sich über das Visual Studio Code-Terminal bei Ihrem Azure-Konto anmelden, um Ressourcengruppen in Azure verwenden zu können. Stellen Sie sicher, dass Azure PowerShell installiert ist.

1. Wählen Sie im Menü Terminal die Option New Terminal (Neues Terminal) aus. Das Terminalfenster wird in der Regel in der unteren Hälfte des Bildschirms geöffnet.

   Die Standardshell ist in der Regel pwsh, wie auf der rechten Seite des Terminalfensters dargestellt.

   

2. Wählen Sie die Dropdownliste Startprofil und dann Azure Cloud Shell (PowerShell) aus.

   

   Eine neue Shell wird geöffnet.

Anmelden bei Azure mithilfe von Azure PowerShell

1. Führen Sie im Visual Studio Code-Terminal den folgenden Befehl aus, um sich bei Azure anzumelden:

   Connect-AzAccount
   

2. Melden Sie sich im Browserfenster, das daraufhin geöffnet wird, in Ihrem Azure-Konto an.

Erstellen von zwei Workloadidentitäten

Erstellen Sie als Nächstes zwei Workloadidentitäten in Microsoft Entra ID: eine für Ihre Testumgebung und eine für Ihre Produktionsumgebung.

1. Führen Sie den folgenden Code aus, um Variablen für Ihren GitHub-Benutzernamen und den Namen Ihres Repositorys zu definieren. Stellen Sie sicher, dass Sie mygithubuser durch Ihren GitHub-Benutzernamen ersetzen, den Sie zuvor in dieser Übung notiert haben. Stellen Sie außerdem sicher, dass Sie den richtigen GitHub-Repositorynamen angeben.

   githubOrganizationName='mygithubuser'
   githubRepositoryName='toy-website-end-to-end'
   

2. Erstellen Sie eine Workloadidentität für Bereitstellungen in Ihrer Testumgebung. Die Workloadidentität benötigt zwei Verbundanmeldeinformationen: eine wird verwendet, wenn der Workflow den Auftrag Überprüfen ausführt, da dieser Auftrag keiner GitHub-Umgebung zugeordnet ist. Die zweite wird verwendet, wenn der Workflow den Auftrag Bereitstellen für die GitHub-Umgebung Test ausführt.

   testApplicationRegistrationDetails=$(az ad app create --display-name 'toy-website-end-to-end-test')
   testApplicationRegistrationObjectId=$(echo $testApplicationRegistrationDetails | jq -r '.id')
   testApplicationRegistrationAppId=$(echo $testApplicationRegistrationDetails | jq -r '.appId')
   
   az ad app federated-credential create \
      --id $testApplicationRegistrationObjectId \
      --parameters "{\"name\":\"toy-website-end-to-end-test\",\"issuer\":\"https://token.actions.githubusercontent.com\",\"subject\":\"repo:${githubOrganizationName}/${githubRepositoryName}:environment:Test\",\"audiences\":[\"api://AzureADTokenExchange\"]}"
   
   az ad app federated-credential create \
      --id $testApplicationRegistrationObjectId \
      --parameters "{\"name\":\"toy-website-end-to-end-test-branch\",\"issuer\":\"https://token.actions.githubusercontent.com\",\"subject\":\"repo:${githubOrganizationName}/${githubRepositoryName}:ref:refs/heads/main\",\"audiences\":[\"api://AzureADTokenExchange\"]}"
   

3. Führen Sie den folgenden Code aus, der eine ähnliche Workloadidentität und Verbundanmeldeinformationen für die Produktionsumgebung erstellt:

   productionApplicationRegistrationDetails=$(az ad app create --display-name 'toy-website-end-to-end-production')
   productionApplicationRegistrationObjectId=$(echo $productionApplicationRegistrationDetails | jq -r '.id')
   productionApplicationRegistrationAppId=$(echo $productionApplicationRegistrationDetails | jq -r '.appId')
   
   az ad app federated-credential create \
      --id $productionApplicationRegistrationObjectId \
      --parameters "{\"name\":\"toy-website-end-to-end-production\",\"issuer\":\"https://token.actions.githubusercontent.com\",\"subject\":\"repo:${githubOrganizationName}/${githubRepositoryName}:environment:Production\",\"audiences\":[\"api://AzureADTokenExchange\"]}"
   
   az ad app federated-credential create \
      --id $productionApplicationRegistrationObjectId \
      --parameters "{\"name\":\"toy-website-end-to-end-production-branch\",\"issuer\":\"https://token.actions.githubusercontent.com\",\"subject\":\"repo:${githubOrganizationName}/${githubRepositoryName}:ref:refs/heads/main\",\"audiences\":[\"api://AzureADTokenExchange\"]}"
   

1. Führen Sie den folgenden Code aus, um Variablen für Ihren GitHub-Benutzernamen und den Namen Ihres Repositorys zu definieren. Stellen Sie sicher, dass Sie mygithubuser durch Ihren GitHub-Benutzernamen ersetzen, den Sie zuvor in dieser Übung notiert haben. Stellen Sie außerdem sicher, dass Sie den richtigen GitHub-Repositorynamen angeben.

   $githubOrganizationName = 'mygithubuser'
   $githubRepositoryName = 'toy-website-end-to-end'
   

2. Führen Sie den folgenden Code aus, der eine Workloadidentität für die Testumgebung erstellt und Ihrem GitHub-Repository zuordnet:

   $testApplicationRegistration = New-AzADApplication -DisplayName 'toy-website-end-to-end-test'
   New-AzADAppFederatedCredential `
      -Name 'toy-website-end-to-end-test' `
      -ApplicationObjectId $testApplicationRegistration.Id `
      -Issuer 'https://token.actions.githubusercontent.com' `
      -Audience 'api://AzureADTokenExchange' `
      -Subject "repo:$($githubOrganizationName)/$($githubRepositoryName):environment:Test"
   New-AzADAppFederatedCredential `
      -Name 'toy-website-end-to-end-test-branch' `
      -ApplicationObjectId $testApplicationRegistration.Id `
      -Issuer 'https://token.actions.githubusercontent.com' `
      -Audience 'api://AzureADTokenExchange' `
      -Subject "repo:$($githubOrganizationName)/$($githubRepositoryName):ref:refs/heads/main"
   

3. Führen Sie den folgenden Code aus, der einem ähnlichen Prozess für die Produktionsumgebung folgt:

   $productionApplicationRegistration = New-AzADApplication -DisplayName 'toy-website-end-to-end-production'
   New-AzADAppFederatedCredential `
      -Name 'toy-website-end-to-end-production' `
      -ApplicationObjectId $productionApplicationRegistration.Id `
      -Issuer 'https://token.actions.githubusercontent.com' `
      -Audience 'api://AzureADTokenExchange' `
      -Subject "repo:$($githubOrganizationName)/$($githubRepositoryName):environment:Production"
   New-AzADAppFederatedCredential `
      -Name 'toy-website-end-to-end-production-branch' `
      -ApplicationObjectId $productionApplicationRegistration.Id `
      -Issuer 'https://token.actions.githubusercontent.com' `
      -Audience 'api://AzureADTokenExchange' `
      -Subject "repo:$($githubOrganizationName)/$($githubRepositoryName):ref:refs/heads/main"
   

Erstellen von zwei Ressourcengruppen in Azure und Erteilen von Zugriff für die Workloadidentität

Erstellen Sie als Nächstes eine Ressourcengruppe für jede Umgebung. Dadurch wird der jeweiligen Workloadidentität auch die Rolle Mitwirkender für die Ressourcengruppe gewährt, damit Ihr Workflow eine Bereitstellung in der Ressourcengruppe durchführen kann.

1. Führen Sie die folgenden Azure CLI-Befehle im Visual Studio Code-Terminal aus, um die Ressourcengruppe für die Testumgebung zu erstellen und der Workloadidentität Zugriff darauf zu erteilen:

   testResourceGroupResourceId=$(az group create --name ToyWebsiteTest --location westus3 --query id --output tsv)
   
   az ad sp create --id $testApplicationRegistrationObjectId
   az role assignment create \
      --assignee $testApplicationRegistrationAppId \
      --role Contributor \
      --scope $testResourceGroupResourceId
   

2. Führen Sie einen ähnlichen Vorgang aus, um die Ressourcengruppe für die Produktionsumgebung zu erstellen:

   productionResourceGroupResourceId=$(az group create --name ToyWebsiteProduction --location westus3 --query id --output tsv)
   
   az ad sp create --id $productionApplicationRegistrationObjectId
   az role assignment create \
      --assignee $productionApplicationRegistrationAppId \
      --role Contributor \
      --scope $productionResourceGroupResourceId
   

1. Führen Sie die folgenden Azure PowerShell-Befehle im Visual Studio Code-Terminal aus, um die Ressourcengruppe für die Testumgebung zu erstellen und der Workloadidentität Zugriff darauf zu erteilen:

   $testResourceGroup = New-AzResourceGroup -Name ToyWebsiteTest -Location westus3
   
   New-AzADServicePrincipal -AppId $($testApplicationRegistration.AppId)
   New-AzRoleAssignment `
      -ApplicationId $($testApplicationRegistration.AppId) `
      -RoleDefinitionName Contributor `
      -Scope $($testResourceGroup.ResourceId)
   

2. Führen Sie einen ähnlichen Vorgang aus, um die Ressourcengruppe für die Produktionsumgebung zu erstellen:

   $productionResourceGroup = New-AzResourceGroup -Name ToyWebsiteProduction -Location westus3
   
   New-AzADServicePrincipal -AppId $($productionApplicationRegistration.AppId)
   New-AzRoleAssignment `
      -ApplicationId $($productionApplicationRegistration.AppId) `
      -RoleDefinitionName Contributor `
      -Scope $($productionResourceGroup.ResourceId)
   

Vorbereiten von GitHub-Geheimnissen

Führen Sie den folgenden Code aus, um die Werte auszugeben, die Sie als GitHub-Geheimnisse erstellen müssen:

echo "AZURE_CLIENT_ID_TEST: $testApplicationRegistrationAppId"
echo "AZURE_CLIENT_ID_PRODUCTION: $productionApplicationRegistrationAppId"
echo "AZURE_TENANT_ID: $(az account show --query tenantId --output tsv)"
echo "AZURE_SUBSCRIPTION_ID: $(az account show --query id --output tsv)"

$azureContext = Get-AzContext
Write-Host "AZURE_CLIENT_ID_TEST: $($testApplicationRegistration.AppId)"
Write-Host "AZURE_CLIENT_ID_PRODUCTION: $($productionApplicationRegistration.AppId)"
Write-Host "AZURE_TENANT_ID: $($azureContext.Tenant.Id)"
Write-Host "AZURE_SUBSCRIPTION_ID: $($azureContext.Subscription.Id)"

Erstellen von GitHub-Geheimnissen

Sie haben zwei Workloadidentitäten und Ressourcengruppen für die Bereitstellung erstellt. Als Nächstes erstellen Sie Geheimnisse in GitHub Actions.

1. Navigieren Sie im Browser zu Ihrem GitHub-Repository.

2. Wählen Sie Einstellungen>Geheimnisse und Variablen>Aktionen aus.

3. Wählen Sie New repository secret (Neues Repositorygeheimnis) aus.

   

4. Benennen Sie das Geheimnis mit AZURE_CLIENT_ID_TEST.

5. Fügen Sie im Feld Wert die GUID aus der ersten Zeile der Terminalausgabe ein. Fügen Sie AZURE_CLIENT_ID_TEST, den Doppelpunkt und Leerzeichen nicht in den Wert ein.

6. Klicken Sie auf Add secret (Geheimnis hinzufügen).

   

7. Wiederholen Sie den Vorgang, um die Geheimnisse für AZURE_CLIENT_ID_PRODUCTION, AZURE_TENANT_ID und AZURE_SUBSCRIPTION_ID zu erstellen, indem Sie die Werte aus den entsprechenden Feldern der Terminalausgabe kopieren.

8. Vergewissern Sie sich, dass in der Liste der Geheimnisse jetzt alle vier Geheimnisse angezeigt werden.

   

Erstellen von Umgebungen in GitHub

1. Navigieren Sie im Browser zu Einstellungen>Umgebungen.

2. Wählen Sie Neue Umgebung aus.

   

3. Geben Sie als Umgebungsnamen Test ein.

   

4. Wählen Sie Configure environment (Umgebung konfigurieren) aus.

5. Wählen Sie Environments aus, um zur Liste der Umgebungen zurückzukehren.

   

6. Wiederholen Sie den Vorgang, um eine weitere Umgebung mit dem Namen Produktion zu erstellen.

Hinweis

In den vorherigen Modulen dieses Lernpfads haben Sie Ihrer Produktionsumgebung eine Schutzregel hinzugefügt. In diesem Modul überspringen Sie der Einfachheit halber die Schutzregel. Sie können die Schutzregel jedoch selbst hinzufügen, wenn Sie möchten.