Inicio rápido: Uso de Acciones de GitHub para conectarse a Azure Database for PostgreSQL: servidor flexible

Artículo
08/15/2024

SE APLICA A: Azure Database for PostgreSQL con servidor flexible

Comience a trabajar con Acciones de GitHub usando un flujo de trabajo para implementar actualizaciones de base de datos en Azure Database for PostgreSQL: servidor flexible.

Requisitos previos

Necesita:

Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Un repositorio de GitHub con datos de ejemplo (data.sql). Si no tiene una cuenta de GitHub, regístrese para obtener una gratis.
Una instancia de servidor flexible de Azure Database for PostgreSQL.
- Inicio rápido: Creación de una instancia de Azure Database for PostgreSQL: servidor flexible en Azure Portal

Información general sobre el archivo de flujo de trabajo

Un flujo de trabajo de Acciones de GitHub se define mediante un archivo YAML (.yml) en la ruta de acceso /.github/workflows/ de su repositorio. En esta definición se incluyen los diversos pasos y parámetros que componen el flujo de trabajo.

El archivo tiene dos secciones:

Sección	Tareas
Autenticación	1. Genere las credenciales de implementación.
Implementar	1. Implemente la base de datos.

Genere las credenciales de implementación.

Entidad de servicio
OpenID Connect

Cree una entidad de servicio mediante el comando az ad sp create-for-rbac de la CLI de Azure. Puede ejecutar este comando mediante Azure Cloud Shell en Azure Portal o haciendo clic en el botón Probar.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

El parámetro --json-auth está disponible en las versiones de la CLI de Azure >= 2.51.0. Las versiones anteriores a esta usan --sdk-auth con una advertencia de desuso.

En este ejemplo, reemplace los marcadores de posición por su identificador de suscripción, el nombre del grupo de recursos y el nombre de la aplicación. La salida es un objeto JSON con las credenciales de asignación de roles que proporcionan acceso a la aplicación App Service similar al siguiente. Copie este objeto JSON para más adelante.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Open ID Connect es un método de autenticación que usa tokens de corta duración. La configuración de OpenID Connect con Acciones de GitHub es un proceso más complejo que ofrece seguridad reforzada.

Si no tiene una aplicación existente, registre una nueva aplicación de Microsoft Entra y una entidad de servicio que puedan acceder a los recursos.
```
az ad app create --display-name myApp
```
Este comando genera un JSON de salida con un appId que es su client-id. La objectId es APPLICATION-OBJECT-ID y se usará para crear credenciales federadas con llamadas a la Graph API. Guarde el valor que se usará como secreto de GitHub de AZURE_CLIENT_ID más adelante.
Crear una entidad de servicio. Reemplace $appID por el valor de appId de la salida de JSON. Este comando genera una salida de JSON con un objectId diferente y se usará en el siguiente paso. El nuevo objectId es assignee-object-id.

Este comando genera una salida de JSON con un objectId diferente y se usará en el siguiente paso. El nuevo objectId es assignee-object-id.

Copie el appOwnerTenantId para usarlo como secreto de GitHub para AZURE_TENANT_ID más adelante.
```
 az ad sp create --id $appId
```
Cree una asignación de roles por suscripción y objeto. De forma predeterminada, la asignación de roles se vinculará a la suscripción predeterminada. Reemplace $subscriptionId por el ID de suscripción, $resourceGroupName por el nombre del grupo de recursos y $assigneeObjectId por el valor de assignee-object-id generado (el id. de objeto de la entidad de servicio recién creada).
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
Ejecute el siguiente comando para crear una credencial de identidad federada para la aplicación de Microsoft Entra.
- Reemplace APPLICATION-OBJECT-ID por el objectId (generado al crear la aplicación) de la aplicación de Microsoft Entra.
- Establezca un valor para CREDENTIAL-NAME al que haga referencia más adelante.
- Establezca subject. Este valor lo define GitHub en función del flujo de trabajo:
  - Trabajos en el entorno de Acciones de GitHub: repo:< Organization/Repository >:environment:< Name >
  - En el caso de los trabajos no vinculados a un entorno, incluya la ruta de acceso de referencia para una rama o etiqueta en función de la ruta de acceso de referencia usada para desencadenar el flujo de trabajo: repo:< Organization/Repository >:ref:< ref path>. Por ejemplo, repo:n-username/ node_express:ref:refs/heads/my-branch o repo:n-username/ node_express:ref:refs/tags/my-tag.
  - En el caso de los flujos de trabajo desencadenados por un evento de solicitud de incorporación de cambios: repo:< Organization/Repository >:pull_request.
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

Copia de la cadena de conexión del servidor flexible de Azure Database for PostgreSQL

En Azure Portal, vaya a la instancia de servidor flexible de Azure Database for PostgreSQL y, en el menú de recursos, en Configuración, seleccione Conectar. En esa página, use el cuadro combinado Nombre de base de datos para seleccionar el nombre de la base de datos a la que desea conectarse. Expanda la sección Conectar desde su aplicación y copie la cadena de conexión ADO.NET, y sustituya el valor del marcador de posición {your_password} por su contraseña real. La cadena de conexión se parece a esto.

Server={servername.postgres.database.azure.com};Database={your_database};Port=5432;User Id={adminusername};Password={your_password};Ssl Mode=Require;

Use la cadena de conexión como secreto de GitHub.

En GitHub, vaya al repositorio.
Vaya a Configuración en el menú de navegación.
Seleccione Seguridad > Secretos y variables > Acciones.
Seleccione New repository secret (Nuevo secreto del repositorio).
Pegue la salida JSON completa del comando de la CLI de Azure en el campo de valor del secreto. Asigne al secreto el nombre AZURE_CREDENTIALS.
Seleccione Add secret (Agregar secreto).

Debe especificar el identificador de cliente, el identificador de inquilino y el identificador de suscripción en la acción de inicio de sesión. Estos valores se pueden proporcionar directamente en el flujo de trabajo o se pueden almacenar en secretos de GitHub y se puede hacer referencia a ellos en el flujo de trabajo. Guardar los valores como secretos de GitHub es la opción más segura.

En GitHub, vaya al repositorio.
Seleccione Seguridad > Secretos y variables > Acciones.
Seleccione New repository secret (Nuevo secreto del repositorio).
Cree secretos para AZURE_CLIENT_ID, AZURE_TENANT_ID y AZURE_SUBSCRIPTION_ID. Use estos valores de la aplicación de Microsoft Entra para los secretos de GitHub:

Secreto de GitHub Aplicación de Microsoft Entra

AZURE_CLIENT_ID Id. de aplicación (cliente)

AZURE_TENANT_ID Id. de directorio (inquilino)

AZURE_SUBSCRIPTION_ID Id. de suscripción
Guarde todos los secretos, para lo que debe seleccionar Add secret (Agregar secreto).

Secreto de GitHub	Aplicación de Microsoft Entra
AZURE_CLIENT_ID	Id. de aplicación (cliente)
AZURE_TENANT_ID	Id. de directorio (inquilino)
AZURE_SUBSCRIPTION_ID	Id. de suscripción

Agregar el flujo de trabajo

Vaya a Acciones del repositorio de GitHub.
Seleccione Set up your workflow yourself (Configure el flujo de trabajo usted mismo).
Elimine todo lo que aparezca después de la sección on: del archivo de flujo de trabajo. Por ejemplo, el flujo de trabajo restante puede tener el siguiente aspecto.
```
name: CI

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]
```

Cambie el nombre del flujo de trabajo PostgreSQL for GitHub Actions y agregue las acciones de restauración e inicio de sesión. Estas acciones verifican el código de tu sitio y se autentican con Azure usando los secretos de GitHub que creó anteriormente.

Entidad de servicio
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Use la acción de implementación de Azure PostgreSQL para conectarse a la instancia de servidor flexible de Azure Database for PostgreSQL. Reemplace POSTGRESQL_SERVER_NAME por el nombre del servidor. Debe tener un archivo de datos de servidor flexible de Azure Database for PostgreSQL denominado data.sql a nivel raíz del repositorio.
```
 - uses: azure/postgresql@v1
   with:
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    server-name: POSTGRESQL_SERVER_NAME
    plsql-file: './data.sql'
```

Para completar el flujo de trabajo, agregue una acción al cierre de sesión de Azure. Este es el flujo de trabajo completado. El archivo aparece en la carpeta .github/workflows del repositorio.

Entidad de servicio
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CREDENTIALS }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

Revisar la implementación

Vaya a la opción de Acciones del repositorio de GitHub.
Abra el primer resultado para ver los registros detallados de la ejecución del flujo de trabajo.

Limpieza de recursos

Cuando la base de datos y el repositorio del servidor flexible de Azure Database for PostgreSQL dejen de ser necesarios, elimine el grupo de recursos y el repositorio de GitHub para limpiar los recursos.

Pasos siguientes

Más información sobre la integración de Azure y GitHub

Aprenda a conectarse al servidor

Compartir a través de