Egyéni tároló üzembe helyezése az App Service-ben a GitHub Actions használatával

Cikk
07/03/2024

A GitHub Actions lehetővé teszi, hogy automatizált szoftverfejlesztési munkafolyamatot hozzon létre. Az Azure Web Deploy művelettel automatizálhatja a munkafolyamatot, hogy egyéni tárolókat helyezzen üzembe az App Service-ben a GitHub Actions használatával.

A munkafolyamatokat egy YAML-fájl (.yml) határozza meg az /.github/workflows/ adattár elérési útján. Ez a definíció a munkafolyamat különböző lépéseit és paramétereit tartalmazza.

Egy Azure-alkalmazás szolgáltatástároló munkafolyamatához a fájl három szakaszból áll:

Section	Tevékenységek
Hitelesítés	1. Kérje le a szolgáltatásnevet vagy tegye közzé a profilt. 2. Hozzon létre egy GitHub-titkos kulcsot.
Build	1. Hozza létre a környezetet. 2. Hozza létre a tárolórendszerképet.
Telepítés	1. Helyezze üzembe a tárolórendszerképet.

Előfeltételek

Egy Azure-fiók, aktív előfizetéssel. Fiók létrehozása ingyenesen
Egy GitHub-fiók. Ha nincs fiókja, ingyenesen regisztrálhat egyet. Egy GitHub-adattárban lévő kódnak kell rendelkeznie a Azure-alkalmazás Szolgáltatásban való üzembe helyezéshez.
Egy működő tárolóregisztrációs adatbázis és Azure-alkalmazás Service-alkalmazás tárolókhoz. Ez a példa az Azure Container Registryt használja. Győződjön meg arról, hogy a tárolókhoz készült Azure-alkalmazás szolgáltatás teljes üzembe helyezését elvégzi. A hagyományos webalkalmazásokkal ellentétben a tárolók webalkalmazásai nem rendelkeznek alapértelmezett kezdőlapokkal. Tegye közzé a tárolót egy működő példához.
- Megtudhatja, hogyan hozhat létre tárolóalapú Node.js alkalmazást a Docker használatával, hogyan küldheti le a tárolólemezképet egy beállításjegyzékbe, majd hogyan helyezheti üzembe a lemezképet Azure-alkalmazás szolgáltatásban

Üzembehelyezési hitelesítő adatok létrehozása

A GitHub Actionshez készült Azure-alkalmazás Services szolgáltatással való hitelesítés ajánlott módja egy közzétételi profil. Hitelesítést szolgáltatásnévvel vagy Open ID Connecttel is végezhet, de a folyamat további lépéseket igényel.

Mentse a közzétételi profil hitelesítő adatait vagy szolgáltatásnevét GitHub-titkos kódként az Azure-ral való hitelesítéshez. A munkafolyamaton belül hozzáférhet a titkos kódhoz.

A közzétételi profil egy alkalmazásszintű hitelesítő adat. A közzétételi profil beállítása GitHub-titkos kódként.

Nyissa meg az App Service-t az Azure Portalon.
Az Áttekintés lapon válassza a Közzétételi profil lekérése lehetőséget.

Feljegyzés

2020 októberétől a Linux-webalkalmazások a fájl letöltése előtt meg kell adni az alkalmazásbeállítást WEBSITE_WEBDEPLOY_USE_SCM true. Ez a követelmény a jövőben megszűnik. Az App Service-alkalmazás konfigurálása az Azure Portalon című cikkből megtudhatja, hogyan konfigurálhatja a webalkalmazások általános beállításait.
Mentse a letöltött fájlt. A fájl tartalmával létrehoz egy GitHub-titkos kulcsot.

Az Azure CLI-ben létrehozhat egy egyszerű szolgáltatást az az ad sp create-for-rbac paranccsal. Futtassa ezt a parancsot az Azure Cloud Shell használatával az Azure Portalon, vagy a Kipróbálás gombra kattintva.

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

A példában cserélje le a helyőrzőket az előfizetés azonosítójára, az erőforráscsoport nevére és az alkalmazás nevére. A kimenet egy JSON-objektum, amely az App Service-alkalmazáshoz hozzáférést biztosító szerepkör-hozzárendelési hitelesítő adatokkal rendelkezik. Másolja ezt a JSON-objektumot későbbre.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Fontos

Mindig ajánlott minimális hozzáférést biztosítani. Az előző példában szereplő hatókör az adott App Service-alkalmazásra korlátozódik, nem pedig a teljes erőforráscsoportra.

Az OpenID Connect egy olyan hitelesítési módszer, amely rövid élettartamú jogkivonatokat használ. Az OpenID Connect és a GitHub Actions beállítása összetettebb folyamat, amely fokozott biztonságot nyújt.

Ha nem rendelkezik meglévő alkalmazással, regisztráljon egy új Active Directory-alkalmazást és szolgáltatásnevet, amely hozzáfér az erőforrásokhoz. Hozza létre az Active Directory-alkalmazást.
```
az ad app create --display-name myApp
```
Ez a parancs jSON-t appId ad ki az Ön által.client-id Mentse később GitHub-titkos kódként AZURE_CLIENT_ID használni kívánt értéket.

Ezt az értéket a objectId Graph API-val összevont hitelesítő adatok létrehozásakor fogja használni, és hivatkozni fog rá.APPLICATION-OBJECT-ID
Hozzon létre egy szolgáltatásnevet. Cserélje le az $appID appId-et a JSON-kimenetből.

Ez a parancs egy másik objectId JSON-kimenetet hoz létre, és a következő lépésben fogja használni. Az új objectId a assignee-object-id.

Másolja ki a appOwnerTenantId gitHub-titkos kódként való használathoz későbbi használatra AZURE_TENANT_ID .
```
 az ad sp create --id $appId
```
Hozzon létre egy új szerepkör-hozzárendelést előfizetés és objektum szerint. A szerepkör-hozzárendelés alapértelmezés szerint az alapértelmezett előfizetéshez lesz kötve. Cserélje le $subscriptionId az előfizetés azonosítóját, $resourceGroupName az erőforráscsoport nevét és $assigneeObjectId a létrehozott assignee-object-idnevet. Megtudhatja , hogyan kezelheti az Azure-előfizetéseket az Azure CLI-vel.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
```
Futtassa a következő parancsot egy új összevont identitás hitelesítő adatainak létrehozásához az Active Directory-alkalmazáshoz.
- Cserélje le APPLICATION-OBJECT-ID az Active Directory-alkalmazás objectId azonosítóját (amely az alkalmazás létrehozásakor jön létre).
- Adjon meg egy értéket a CREDENTIAL-NAME későbbi hivatkozáshoz.
- Állítsa be a subject. Ennek értékét a GitHub határozza meg a munkafolyamattól függően:
  - Feladatok a GitHub Actions-környezetben: repo:< Organization/Repository >:environment:< Name >
  - A környezethez nem kapcsolódó feladatok esetében adja meg az ág/címke hiv elérési útját a munkafolyamat aktiválásához használt hiv elérési út alapján: repo:< Organization/Repository >:ref:< ref path>. Például, repo:n-username/ node_express:ref:refs/heads/my-branch vagy repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Lekéréses kérelem esemény által aktivált munkafolyamatok esetén: repo:< Organization/Repository >:pull_request.
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
```
Az Active Directory-alkalmazás, szolgáltatásnév és összevont hitelesítő adatok létrehozása az Azure Portalon a GitHub és az Azure csatlakoztatása című témakörben talál további információt.

A GitHub-titkos kód konfigurálása hitelesítéshez

A GitHubon tallózzon az adattárban. Válassza a Beállítások biztonsági titkos kulcsok és változók > – Új adattár titkos műveletei > lehetőséget.> >

Alkalmazásszintű hitelesítő adatok használatához illessze be a letöltött közzétételi profilfájl tartalmát a titkos kód értékmezőbe. Nevezze el a titkos kulcsot AZURE_WEBAPP_PUBLISH_PROFILE.

A GitHub-munkafolyamat konfigurálásakor az AZURE_WEBAPP_PUBLISH_PROFILE Azure Web App üzembe helyezési műveletét fogja használni. Példa:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

A GitHubon tallózzon az adattárban. Válassza a Beállítások biztonsági titkos kulcsok és változók > – Új adattár titkos műveletei > lehetőséget.> >

Felhasználói szintű hitelesítő adatok használatához illessze be az Azure CLI parancs teljes JSON-kimenetét a titkos kód értékmezőjébe. Adjon egy nevet a titkos kódnak, például AZURE_CREDENTIALS.

Amikor később konfigurálja a munkafolyamat-fájlt, a titkos kulcsot használja az Azure Bejelentkezési művelet bemenetéhez creds . Példa:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

Meg kell adnia az alkalmazás ügyfél-azonosítóját, bérlőazonosítóját és előfizetés-azonosítóját a bejelentkezési művelethez. Ezek az értékek közvetlenül a munkafolyamatban is megadhatóak, vagy a GitHub titkos kulcsaiban tárolhatók, és a munkafolyamatban hivatkozhatnak gombra. Az értékek GitHub-titkos kulcsként való mentése a biztonságosabb megoldás.

Nyissa meg a GitHub-adattárat, és lépjen a Beállítások > biztonsági > titkos kulcsok és változók > Műveletek Új tárház titkos műveletei > elemre.

Titkos kulcsok létrehozása a következőhöz AZURE_CLIENT_ID: , AZURE_TENANT_IDés AZURE_SUBSCRIPTION_ID. Használja ezeket az értékeket az Active Directory-alkalmazásból a GitHub-titkos kulcsokhoz. Ezeket az értékeket az Azure Portalon találhatja meg az Active Directory-alkalmazás keresésével.

GitHub-titkos kód	Active Directory-alkalmazás
AZURE_CLIENT_ID	Alkalmazás (ügyfél) azonosítója
AZURE_TENANT_ID	Címtár (bérlő) azonosítója
AZURE_SUBSCRIPTION_ID	Előfizetés azonosítója

Mentse az egyes titkos kulcsokat a Titkos kód hozzáadása gombra kattintva.

GitHub-titkos kulcsok konfigurálása a beállításjegyzékhez

A Docker Bejelentkezési művelettel használandó titkos kulcsok meghatározása. A dokumentumban szereplő példa az Azure Container Registryt használja a tárolóregisztrációs adatbázishoz.

Nyissa meg a tárolót az Azure Portalon vagy a Dockerben, és másolja ki a felhasználónevet és a jelszót. Az Azure Container Registry felhasználónevét és jelszavát az Azure Portalon, a beállításjegyzék beállításkulcsai> alatt találja.
Adjon meg egy új titkos kulcsot a beállításjegyzékben szereplő felhasználónévhez REGISTRY_USERNAME.
Adjon meg egy új titkos kulcsot a beállításjegyzékjelszóhoz REGISTRY_PASSWORD.

Tárolórendszerkép létrehozása

Az alábbi példa a Node.JS Docker-rendszerképet összeállító munkafolyamat egy részét mutatja be. A Docker Login használatával jelentkezzen be egy privát tárolóregisztrációs adatbázisba. Ez a példa az Azure Container Registryt használja, de ugyanez a művelet más adatbázisok esetében is működik.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

A Docker-bejelentkezés használatával egyszerre több tárolóregisztrációs adatbázisba is bejelentkezhet. Ez a példa két új GitHub-titkos kódot tartalmaz a docker.io való hitelesítéshez. A példa feltételezi, hogy a beállításjegyzék gyökérszintjén található egy Dockerfile.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

Üzembe helyezés App Service-tárolóban

Ha a rendszerképet egy egyéni tárolóban szeretné üzembe helyezni az App Service-ben, használja a azure/webapps-deploy@v2 műveletet. Ez a művelet hét paraméterből áll:

Paraméter	Magyarázat
alkalmazás neve	(Kötelező) Az App Service-alkalmazás neve
közzétételi profil	(Nem kötelező) A Web Appsre (Windows és Linux) és a Web App Containersre (linux) vonatkozik. A többtárolós forgatókönyv nem támogatott. Profil (*.publishsettings) fájltartalmak közzététele webes üzembe helyezési titkos kódokkal
pont-név	(Nem kötelező) Adjon meg egy, az éles ponttól eltérő meglévő pontot
csomag	(Nem kötelező) Csak a webalkalmazásra vonatkozik: A csomag vagy mappa elérési útja. .zip, .war, *.jar vagy üzembe helyezendő mappa
Képek	(Kötelező) Csak webalkalmazás-tárolókra vonatkozik: Adja meg a teljes tárolórendszerkép(ek) nevét. Például: "myregistry.azurecr.io/nginx:latest" vagy "python:3.7.2-alpine/". Többtárolós alkalmazások esetén több tárolórendszerkép neve is megadható (többsoros elválasztva)
configuration-file	(Nem kötelező) Csak webalkalmazás-tárolókra vonatkozik: A Docker-Compose fájl elérési útja. Teljes elérési útnak kell lennie, vagy az alapértelmezett munkakönyvtárhoz képest. Többtárolós alkalmazásokhoz szükséges.
indítási parancs	(Nem kötelező) Adja meg az indítási parancsot. Például dotnet futtatása vagy dotnet filename.dll

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Következő lépések

A GitHubon különböző adattárakba csoportosított műveletkészletet találhat, amelyek mindegyike dokumentációt és példákat tartalmaz a GitHub CI/CD-hez való használatához és az alkalmazások Azure-ban való üzembe helyezéséhez.

Megosztás a következőn keresztül: