Déployer un conteneur personnalisé sur App Service à l’aide de GitHub Actions

GitHub Actions vous donne la possibilité de créer un workflow de développement logiciel automatisé. Grâce à l’action Azure Web Deploy, vous pouvez automatiser votre workflow pour déployer des conteneurs personnalisés sur App Service à l’aide de GitHub Actions.

Un workflow est défini par un fichier YAML (.yml) situé dans le chemin /.github/workflows/ de votre dépôt. Cette définition contient les étapes et les paramètres définissant le workflow.

Pour un workflow de conteneur Azure App Service, le fichier comporte trois sections :

Section	Tâches
Authentification	1. Récupérez un principal de service ou un profil de publication. 2. Créez un secret GitHub.
Créer	1. Créez l’environnement. 2. Générez l’image de conteneur.
Déployer	1. Déployez l’image conteneur.

Prérequis

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.
• Un compte GitHub. Si vous n’en avez pas, inscrivez-vous gratuitement. Vous devez disposer du code dans un référentiel GitHub pour le déployer sur Azure App Service.
• Un registre de conteneurs fonctionnel et l’application Azure App Service pour les conteneurs. Cet exemple utilise Azure Container Registry. Veillez à effectuer le déploiement complet sur Azure App Service pour les conteneurs. Contrairement aux applications web standard, les applications web pour conteneurs n’ont pas de page d’arrivée par défaut. Publiez le conteneur pour avoir un exemple fonctionnel.
  • Découvrez comment créer une application Node.js conteneurisée avec Docker, envoyer (push) l’image conteneur à un registre, puis déployer l’image sur Azure App Service.

Générer les informations d’identification du déploiement

La méthode recommandée pour l’authentification auprès d’Azure App Service pour GitHub Actions consiste à utiliser un profil de publication. Vous pouvez également vous authentifier avec un principal de service ou OpenID Connect, mais le processus comporte davantage d’étapes.

Enregistrez les informations d’identification de votre profil de publication ou le principal du service en tant que secret GitHub pour vous authentifier auprès d’Azure. Vous allez accéder au secret dans votre workflow.

Profil de publication

Un profil de publication est une information d’identification au niveau de l’application. Configurez votre profil de publication en tant que secret GitHub.

1. Accédez à votre service d’application dans le portail Azure.

2. Dans la page Vue d’ensemble, sélectionnez Obtenir le profil de publication.

   Notes

   À compter d’octobre 2020, les applications web Linux ont besoin que le paramètre d’application WEBSITE_WEBDEPLOY_USE_SCM soit défini sur trueavant de télécharger le fichier. Cette condition sera supprimée ultérieurement. Pour savoir comment configurer les paramètres courants d’une application web, consultez Configurer une application App Service dans le portail Azure.

3. Enregistrez le fichier téléchargé. Vous utiliserez le contenu du fichier pour créer un secret GitHub.

Principal du service

Vous pouvez créer un principal de service à l’aide de la commande az ad sp create-for-rbac dans Azure CLI. Exécutez cette commande en utilisant Azure Cloud Shell dans le portail Azure ou en sélectionnant le bouton Essayer.

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

Dans l’exemple, remplacez les espaces réservés par votre ID d’abonnement, le nom de votre groupe de ressources et le nom de votre application. La sortie correspond à un objet JSON avec les informations d’identification de l’attribution de rôle qui fournit l’accès à votre application App Service. Copiez cet objet JSON pour une version ultérieure.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Important

Il est toujours conseillé d’accorder un accès minimal. L’étendue dans l’exemple précédent est limitée à l’application App Service spécifique, et non à l’ensemble du groupe de ressources.

OpenID Connect

OpenID Connect est une méthode d’authentification qui utilise des jetons de courte durée. La configuration d’OpenID Connect avec GitHub Actions est un processus plus complexe qui offre une sécurité renforcée.

1. Si vous n’avez pas d’application existante, inscrivez une nouvelle application Active Directory et un principal de service pouvant accéder aux ressources. Créez l’application Active Directory.

   az ad app create --display-name myApp
   

   Cette commande affiche une sortie JSON avec un appId qui est votre client-id. Enregistrez la valeur à utiliser comme secret GitHub AZURE_CLIENT_ID ultérieurement.

   Vous allez utiliser la valeur objectId lors de la création d’informations d’identification fédérées avec l’API Graph, et la référencer en tant que APPLICATION-OBJECT-ID.

2. Créer un principal de service. Remplacez le $appID par l’appID de votre sortie JSON.

   Cette commande génère une sortie JSON avec un objectId différent, qui sera utilisée à l’étape suivante. Le nouveau objectId est le assignee-object-id.

   copiez le appOwnerTenantId à utiliser comme secret GitHub pour AZURE_TENANT_ID ultérieurement.

    az ad sp create --id $appId
   

3. Créez une attribution de rôle par abonnement et objet. Par défaut, l’attribution de rôle est liée à votre abonnement par défaut. Remplacez $subscriptionId par votre ID d’abonnement, $resourceGroupName par le nom de votre groupe de ressources et $assigneeObjectId par le assignee-object-id généré. Découvrez comment gérer les abonnements Azure avec Azure CLI.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. Exécutez la commande suivante pour créer des informations d’identification d’identité fédérée pour votre application Active Directory.

   • Remplacez APPLICATION-OBJECT-ID par l’objectid (généré lors de la création de l’application) pour votre application Active Directory.
   • Définissez une valeur pour CREDENTIAL-NAME que vous référencerez ultérieurement.
   • Définissez subject. Cette valeur est définie par GitHub en fonction de votre workflow :
     • Travaux dans votre environnement GitHub Actions : repo:< Organization/Repository >:environment:< Name >
     • Pour les tâches non liées à un environnement, incluez le chemin de référence (ref path) de la branche/étiquette en fonction du chemin de référence utilisé pour déclencher le workflow : repo:< Organization/Repository >:ref:< ref path>. Par exemple, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Pour les workflows déclenchés par un événement de demande de tirage (pull request) : repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

   Pour savoir comment créer une application Active Directory, un principal de service et des informations d’identification fédérées dans le portail Azure, consultez Connecter GitHub et Azure.

Configurer le secret GitHub pour l’authentification

Profil de publication

Dans GitHub, accédez à votre référentiel. Sélectionnez Paramètres > Sécurité > Secrets et variables > Actions > Nouveau secret de référentiel.

Pour utiliser les informations d’identification au niveau de l’application, collez le contenu du fichier de profil de publication téléchargé dans le champ de valeur du secret. Nommez le secret AZURE_WEBAPP_PUBLISH_PROFILE.

Quand vous configurez votre workflow GitHub, vous utilisez AZURE_WEBAPP_PUBLISH_PROFILE dans l’action Déployer l’application web Azure. Par exemple :

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Principal du service

Dans GitHub, accédez à votre référentiel. Sélectionnez Paramètres > Sécurité > Secrets et variables > Actions > Nouveau secret de référentiel.

Pour utiliser les informations d’identification au niveau de l’utilisateur, collez l’intégralité de la sortie JSON à partir de la commande Azure CLI dans le champ de valeur du secret. Nommez le secret comme AZURE_CREDENTIALS.

Quand vous configurez le fichier de flux de travail ultérieurement, vous utilisez le secret pour l’entrée creds de l’action de connexion Azure. Par exemple :

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

Vous devez fournir l’ID de client, l’ID de locataire et l’ID d’abonnement de votre application à l’action de connexion. Vous pouvez fournir ces valeurs directement dans le workflow ou les stocker dans des secrets GitHub et les référencer dans votre workflow. L’enregistrement des valeurs en tant que secrets GitHub est l’option la plus sécurisée.

1. Ouvrez votre dépôt GitHub et accédez à Paramètres > Sécurité > Secrets et variables > Actions > Nouveau secret de dépôt.

2. Créez des secrets pour AZURE_CLIENT_ID, AZURE_TENANT_ID et AZURE_SUBSCRIPTION_ID. Utilisez les valeurs de votre application Active Directory pour vos secrets GitHub. Vous pouvez trouver ces valeurs dans le portail Azure en recherchant votre application Active Directory.

   Secret GitHub	Application Active Directory
   AZURE_CLIENT_ID	ID d’application (client)
   AZURE_TENANT_ID	ID de l’annuaire (locataire)
   AZURE_SUBSCRIPTION_ID	Identifiant d’abonnement

3. Enregistrez chaque secret en sélectionnant Ajouter un secret.

Configurer des secrets GitHub pour votre registre

Définissez les secrets à utiliser grâce à l’action Docker Login. L’exemple de ce document utilise Azure Container Registry pour le registre de conteneurs.

1. Accédez à votre conteneur dans le portail Azure ou dans Docker et copiez le nom d’utilisateur et le mot de passe. Vous pouvez trouver le nom d’utilisateur et le mot de passe d’Azure Container Registry sur le portail Azure sous Paramètres>Clés d’accès pour votre registre.

2. Définissez un nouveau secret pour le nom d’utilisateur du registre nommé REGISTRY_USERNAME.

3. Définissez un nouveau secret pour le mot de passe du registre nommé REGISTRY_PASSWORD.

Générer l’image de conteneur

L’exemple suivant montre une partie du workflow qui génère une image Docker Node.js. Utilisez Docker Login pour vous connecter à un registre de conteneurs privé. Cet exemple utilise Azure Container Registry, mais la même action fonctionne pour les autres registres.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Vous pouvez également utiliser la connexion à Docker pour vous connecter à plusieurs registres de conteneurs en même temps. Cet exemple comprend deux nouveaux secrets GitHub pour l’authentification avec docker.io. L’exemple suppose qu’il existe un Dockerfile au niveau racine du registre.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Déployer sur un conteneur App Service

Pour déployer votre image sur un conteneur personnalisé dans App Service, utilisez l’action azure/webapps-deploy@v2. Cette action a sept paramètres :

Paramètre	Explication
app-name	(Requis) Nom de l’application App Service
publish-profile	(Facultatif) S’applique aux applications web (Windows et Linux) et aux conteneurs d’applications web (Linux). Les scénarios à plusieurs conteneurs ne sont pas pris en charge. Publier le contenu du fichier de profil (*.publishsettings) avec les secrets Web Deploy
slot-name	(Facultatif) Entrer un emplacement existant autre que l’emplacement de production
package	(Facultatif) S’applique uniquement à l’application web : Chemin d’accès au package ou dossier. *.zip, *.war, *.jar ou un dossier à déployer
images	(Requis) S’applique uniquement aux conteneurs d’applications web : Spécifiez le nom complet de l’image ou des images conteneur. Par exemple, « myregistry.azurecr.io/nginx:latest » or « python:3.7.2-alpine/ ». Pour une application à plusieurs conteneurs, plusieurs noms d’images conteneur peuvent être fournis (séparés par plusieurs lignes)
configuration-file	(Facultatif) S’applique uniquement aux conteneurs d’applications web : Chemin d’accès au fichier Docker-Compose. Doit être un chemin d’accès complet ou relatif au répertoire de travail par défaut. Requis pour les applications à plusieurs conteneurs.
startup-command	(Facultatif) Entrez la commande de démarrage. Par exemple, dotnet run ou dotnet filename.dll

Profil de publication

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Principal du service

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Étapes suivantes

Vous pouvez trouver notre ensemble d’Actions regroupées dans différents référentiels GitHub, chacun contenant de la documentation et des exemples pour vous aider à utiliser GitHub pour les opérations de CI/CD et à déployer vos applications sur Azure.

• Flux de travail d’actions à déployer sur Azure

• Connexion à Azure

• Azure Web App

• Connexion/déconnexion à Docker

• Événements qui déclenchent des flux de travail

• Déployer K8

• Flux de travail de démarrage