Déployer un conteneur personnalisé sur App Service à l’aide de GitHub Actions

Vous pouvez utiliser GitHub Actions pour créer un workflow de développement logiciel automatisé. Vous pouvez utiliser l’action Azure Web Deploy pour automatiser votre flux de travail et déployer des conteneurs personnalisés sur Azure App Service.

Un workflow est défini par un fichier YAML (.yml) situé dans le chemin /.github/workflows/ de votre dépôt. Cette définition contient les étapes et les paramètres définissant le workflow.

Pour un flux de travail de conteneur App Service, le fichier comporte trois sections :

Section	Tâches
Authentification	1. Récupérez un principal de service ou un profil de publication. 2. Créez un secret GitHub.
Créer	1. Créez l’environnement. 2. Générez l’image conteneur.
Déployer	1. Déployez l’image conteneur.

Prérequis

• Compte Azure avec un abonnement actif. Créez un compte gratuitement.
• Un compte GitHub. Si vous n’en avez pas, inscrivez-vous gratuitement. Vous devez disposer du code dans un référentiel GitHub pour le déployer sur Azure App Service.
• Un registre de conteneurs fonctionnel et l’application Azure App Service pour les conteneurs. Cet exemple utilise Azure Container Registry. Veillez à terminer le déploiement complet sur Azure App Service pour les conteneurs. Contrairement aux applications web standard, les applications web pour conteneurs n’ont pas de page de destination par défaut. Publiez le conteneur pour avoir un exemple fonctionnel.
• Effectuez ces tâches : Découvrez comment créer une application Node.js conteneurisée à l’aide de Docker, envoyer (push) l’image conteneur vers un registre, puis déployer l’image sur Azure App Service.

Générer les informations d’identification du déploiement

Nous vous recommandons de vous authentifier auprès d’Azure App Services pour GitHub Actions à l’aide d’OpenID Connect. Vous pouvez également vous authentifier avec un principal de service ou un profil de publication.

Pour vous authentifier auprès d’Azure, enregistrez les informations d’identification de votre profil de publication ou votre principal de service comme secret GitHub. Vous accédez au secret dans votre flux de travail.

Profil de publication

Un profil de publication est une information d’identification au niveau de l’application. Configurez votre profil de publication en tant que secret GitHub.

1. Accédez à App Service dans le portail Azure.

2. Dans le volet Vue d’ensemble , sélectionnez Obtenir un profil de publication.

   Remarque

   À compter d’octobre 2020, les utilisateurs doivent définir le paramètre d’application pour les applications WEBSITE_WEBDEPLOY_USE_SCMtrue web Linux avant de télécharger le fichier. Pour savoir comment configurer les paramètres courants de l’application web, accédez à Configurer une application App Service dans le portail Azure.

3. Enregistrez le fichier téléchargé. Vous utilisez le contenu du fichier pour créer un secret GitHub.

Principal du service

1. Créez une application Microsoft Entra avec un principal de service à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.

2. Créez une clé secrète client pour votre principal de service à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.

3. Copiez les valeurs de l’ID client, de la Clé secrète client, de l’ID d’abonnement et de l’ID d’annuaire (locataire) pour les utiliser plus tard dans votre flux de travail GitHub Actions.

4. Attribuez un rôle approprié à votre principal de service à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.

OpenID Connect

OpenID Connect est une méthode d’authentification qui utilise des jetons de courte durée. La configuration d’OpenID Connect avec GitHub Actions est un processus plus complexe qui offre une sécurité renforcée.

Pour utiliser l’action de connexion Azure avec OpenID Connect, vous devez configurer des informations d’identification d’identité fédérées sur une application Microsoft Entra ou une identité managée affectée par l’utilisateur.

Option 1 : Utiliser une application Microsoft Entra

1. Créez une application Microsoft Entra avec un principal de service à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.

2. Copiez les valeurs pour ID client et ID d’abonnement et ID d’annuaire (locataire). Vous en aurez besoin dans votre workflow GitHub Actions.

3. Attribuez un rôle approprié à votre principal de service à l’aide du portail Azure, d’Azure CLI ou d’Azure PowerShell.

4. Configurez des informations d’identification d’identité fédérées sur une application Microsoft Entra pour approuver les jetons que GitHub Actions émet dans votre dépôt GitHub.

Option 2 : Utiliser une identité gérée attribuée par l'utilisateur

1. Créer une identité managée attribuée par l’utilisateur.

2. Copiez les valeurs pour ID client et ID d’abonnement et ID d’annuaire (locataire). Vous en aurez besoin dans votre workflow GitHub Actions.

3. Attribuez un rôle approprié à votre identité managée affectée par l’utilisateur.

4. Configurez des informations d’identification d’identité fédérée sur une identité managée affectée par l’utilisateur pour approuver les jetons que GitHub Actions émet sur votre dépôt GitHub.

Configurer le secret GitHub pour l’authentification

Profil de publication

Dans GitHub, accédez à votre référentiel. Sélectionnez Paramètres>Sécurité>Secrets et variables>Actions>Nouveau secret de référentiel.

Pour utiliser les informations d’identification au niveau de l’application, collez le contenu du fichier de profil de publication téléchargé dans le champ de valeur du secret. Nommez le secret AZURE_WEBAPP_PUBLISH_PROFILE.

Lorsque vous configurez votre flux de travail GitHub, utilisez le AZURE_WEBAPP_PUBLISH_PROFILE secret dans l’action déployer Azure Web App. Exemple :

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Principal du service

Dans GitHub, accédez à votre référentiel. Sélectionnez Paramètres>Sécurité>Secrets et variables>Actions>Nouveau secret de référentiel.

Pour utiliser les informations d’identification au niveau de l’utilisateur, collez l’intégralité de la sortie JSON à partir de la commande Azure CLI dans le champ de valeur du secret. Donnez un nom au secret comme AZURE_CREDENTIALS.

Lorsque vous configurez le fichier de flux de travail ultérieurement, utilisez le secret comme valeur d’entrée creds de l’action de connexion Azure. Exemple :

- uses: azure/login@v2
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

Vous devez fournir l’ID client, l’ID de locataire et l’ID d’abonnement de votre application à l’action de connexion. Vous pouvez fournir ces valeurs directement dans le flux de travail ou les stocker dans les secrets GitHub et les référencer dans votre flux de travail. Il est plus sûr d’enregistrer les valeurs sous forme de secrets GitHub.

1. Ouvrez votre référentiel GitHub et accédez à Paramètres>Sécurité>Secrets et variables>Actions>Nouveau secret de référentiel.

   Remarque

   Pour améliorer la sécurité des flux de travail dans des référentiels publics, utilisez des secrets d’environnement plutôt que des secrets de référentiel. Si l’environnement nécessite une approbation, un travail ne peut pas accéder aux secrets d’environnement tant que l’un des réviseurs requis ne l’approuve pas.

2. Créez des secrets pour AZURE_CLIENT_ID, AZURE_TENANT_ID et AZURE_SUBSCRIPTION_ID. Utilisez ces valeurs à partir de votre application Active Directory pour vos secrets GitHub. Vous pouvez trouver ces valeurs dans le portail Azure en recherchant votre application Active Directory.

   Secret GitHub	Application de l'Active Directory
   AZURE_CLIENT_ID	ID d’application (client)
   AZURE_TENANT_ID	ID de l’annuaire (locataire)
   AZURE_SUBSCRIPTION_ID	Identifiant d’abonnement

3. Enregistrez chaque secret en sélectionnant Ajouter un secret.

Configurer des secrets GitHub pour votre registre

Définissez les secrets à utiliser grâce à l’action Docker Login. L’exemple de cet article utilise Azure Container Registry pour le registre de conteneurs.

1. Accédez à votre conteneur dans le portail Azure ou dans Docker et copiez le nom d’utilisateur et le mot de passe. Vous pouvez trouver le nom d’utilisateur et le mot de passe d’Azure Container Registry sur le portail Azure sous Paramètres>Clés d’accès pour votre registre.

2. Définissez un nouveau secret pour le nom d’utilisateur du registre nommé REGISTRY_USERNAME.

3. Définissez un nouveau secret pour le mot de passe du registre nommé REGISTRY_PASSWORD.

Générer l’image de conteneur

L’exemple suivant montre une partie du flux de travail qui génère une image Docker Node.js. Utilisez Docker Login pour vous connecter à un registre de conteneurs privé. Cet exemple utilise Azure Container Registry, mais la même action fonctionne pour les autres registres.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Vous pouvez également utiliser la connexion Docker pour vous connecter à plusieurs registres de conteneurs en même temps. Cet exemple comprend deux nouveaux secrets GitHub pour l’authentification avec docker.io. L’exemple suppose qu’il existe un Dockerfile au niveau racine du registre.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

L’exemple suivant montre une partie du flux de travail qui crée une image Windows Docker. Utilisez Docker Login pour vous connecter à un registre de conteneurs privé. Cet exemple utilise Azure Container Registry, mais la même action fonctionne pour les autres registres.

name: Windows Container Workflow
on: [push]
jobs:
  build:
    runs-on: windows-latest
    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Vous pouvez également utiliser la connexion Docker pour vous connecter à plusieurs registres de conteneurs en même temps. Cet exemple comprend deux nouveaux secrets GitHub pour l’authentification avec docker.io. L’exemple suppose qu’il existe un Dockerfile au niveau racine du registre.

name: Windows Container Workflow
on: [push]
jobs:
  build:
    runs-on: windows-latest
    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Déployer sur un conteneur App Service

Pour déployer votre image sur un conteneur personnalisé dans App Service, utilisez l’action azure/webapps-deploy@v2. Cette action a sept paramètres :

Paramètre	Explication
app-name	(Obligatoire) Nom de l’application App Service.
publish-profile	(Facultatif) Utilisé avec des applications web (Windows et Linux) et des conteneurs d’applications web (Linux). Scénario multiconteneur non pris en charge. Publiez les contenus du fichier de profil \*.publishsettings avec des secrets de Web Deploy.
slot-name	(Facultatif) Entrez un emplacement existant autre que l’emplacement de production.
package	(Facultatif) Utilisé uniquement avec les applications web : chemin d’accès au package ou au dossier. \*.zip, \*.war, ou \*.jar, un dossier à déployer.
images	(Obligatoire) Utilisé uniquement avec les conteneurs d’applications web : spécifiez le nom complet de l’image conteneur. Par exemple, myregistry.azurecr.io/nginx:latest ou python:3.12.12-alpine/. Pour une application multiconteneur, plusieurs noms d’images conteneur peuvent être fournis (séparés par plusieurs lignes).
configuration-file	(Facultatif) Utilisé uniquement avec les conteneurs d’applications web : chemin d’accès du fichier Docker Compose. Doit être un chemin d’accès complet ou relatif au répertoire de travail par défaut. Requis pour les applications à plusieurs conteneurs.
startup-command	(Facultatif) Entrez la commande de démarrage. Par exemple : dotnet run ou dotnet filename.dll.

Profil de publication

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Principal du service

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

Profil de publication

name: Windows_Container_Workflow

on: [push]

jobs:
  build:
    runs-on: windows-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Principal du service

on: [push]

name: Windows_Container_Workflow

jobs:
  build-and-deploy:
    runs-on: windows-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Windows_Container_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: windows-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

---

Contenu connexe

Vous trouverez notre ensemble d’actions regroupées dans différents référentiels sur GitHub. Chaque référentiel contient de la documentation et des exemples pour vous aider à utiliser GitHub pour CI/CD et à déployer vos applications sur Azure.

• Flux de travail d’actions à déployer sur Azure
• Connexion à Azure
• Azure Web App
• Connexion/déconnexion à Docker
• Événements qui déclenchent des flux de travail
• Déployer K8
• Flux de travail de démarrage