Rövid útmutató: A GitHub Actions használata az Azure PostgreSQL-hez való csatlakozáshoz

A KÖVETKEZŐKRE VONATKOZIK: Azure Database for PostgreSQL – Önálló kiszolgáló

A KÖVETKEZŐKRE VONATKOZIK: Azure Database for PostgreSQL – Önálló kiszolgáló – Rugalmas Azure Database for PostgreSQL-kiszolgáló

Ismerkedjen meg a GitHub Actions szolgáltatással egy munkafolyamattal, amellyel adatbázis-frissítéseket helyezhet üzembe az Azure Database for PostgreSQL-ben.

Előfeltételek

A következőkre lesz szükség:

• Egy Azure-fiók, aktív előfizetéssel. Hozzon létre ingyenes fiókot.
• Egy GitHub-adattár mintaadatokkal (data.sql). Ha nincs GitHub-fiókja, regisztráljon ingyenesen.
• Egy Azure Database for PostgreSQL-kiszolgáló.
  • Rövid útmutató: Azure Database for PostgreSQL-kiszolgáló létrehozása az Azure Portalon

Munkafolyamat-fájl áttekintése

A GitHub Actions-munkafolyamatokat egy YAML-fájl (.yml) határozza meg az /.github/workflows/ adattár elérési útján. Ez a definíció a munkafolyamatot alkotó különböző lépéseket és paramétereket tartalmazza.

A fájlnak két szakasza van:

Section	Feladatok
Hitelesítés	1. Üzembehelyezési hitelesítő adatok létrehozása.
Telepítés	1. Telepítse az adatbázist.

Üzembehelyezési hitelesítő adatok létrehozása

Szolgáltatásnév

Hozzon létre egy szolgáltatásnevet az az ad sp create-for-rbac paranccsal az Azure CLI-ben. Futtassa ezt a parancsot az Azure Cloud Shell használatával az Azure Portalon, vagy válassza a Kipróbálás gombot.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --sdk-auth

A fenti példában cserélje le a helyőrzőket az előfizetés-azonosítóra, az erőforráscsoport nevére és az alkalmazás nevére. A kimenet egy JSON-objektum, amelynek szerepkör-hozzárendelési hitelesítő adatai az alábbihoz hasonló hozzáférést biztosítanak az App Service-alkalmazáshoz. Másolja ezt a JSON-objektumot későbbre.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

Az OpenID Connect egy olyan hitelesítési módszer, amely rövid élettartamú jogkivonatokat használ. Az OpenID Connect és a GitHub Actions beállítása összetettebb folyamat, amely fokozott biztonságot nyújt.

1. Ha nem rendelkezik meglévő alkalmazással, regisztráljon egy új Active Directory-alkalmazást és szolgáltatásnevet, amely hozzáfér az erőforrásokhoz. Hozza létre az Active Directory-alkalmazást.

   az ad app create --display-name myApp
   

   Ez a parancs jSON-t ad ki a következővel appIdclient-id: . Mentse a később GitHub-titkos kódként AZURE_CLIENT_ID használni kívánt értéket.

   Ezt az értéket fogja használni, objectId amikor összevont hitelesítő adatokat hoz létre a Graph API-val, és hivatkozik rá a APPLICATION-OBJECT-IDkövetkezőként: .

2. Hozzon létre egy szolgáltatásnevet. Cserélje le a $appID értéket a JSON-kimenet appId azonosítójára.

   Ez a parancs egy másik objectId JSON-kimenetet hoz létre, amelyet a következő lépésben fog használni. Az új objectId a assignee-object-id.

   Másolja ki a appOwnerTenantId fájlt GitHub-titkos kódként későbbi használatra AZURE_TENANT_ID .

    az ad sp create --id $appId
   

3. Hozzon létre egy új szerepkör-hozzárendelést előfizetés és objektum szerint. Alapértelmezés szerint a szerepkör-hozzárendelés az alapértelmezett előfizetéshez lesz kötve. Cserélje le a elemet $subscriptionId az előfizetés-azonosítóra, $resourceGroupName az erőforráscsoport nevére és $assigneeObjectId a létrehozottra assignee-object-id. Megtudhatja, hogyan kezelheti az Azure-előfizetéseket az Azure CLI-vel.

   az role assignment create --role contributor --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal
   

4. Futtassa a következő parancsot egy új összevont identitás hitelesítő adatainak létrehozásához az Active Directory-alkalmazáshoz.

   • Cserélje le a elemet APPLICATION-OBJECT-ID az Active Directory-alkalmazás objectId azonosítójára (amely az alkalmazás létrehozásakor jön létre).
   • Állítson be egy értéket a CREDENTIAL-NAME későbbi hivatkozáshoz.
   • Állítsa be a következőt subject: . Ennek értékét a GitHub határozza meg a munkafolyamattól függően:
     • Feladatok a GitHub Actions-környezetben: repo:< Organization/Repository >:environment:< Name >
     • A környezethez nem kapcsolódó feladatok esetében adja meg a ág/címke hiv elérési útját a munkafolyamat elindításához használt hiv elérési út alapján: repo:< Organization/Repository >:ref:< ref path>. Például repo:n-username/ node_express:ref:refs/heads/my-branch vagy repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Lekéréses kérelemesemény által aktivált munkafolyamatok esetén: repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

Az Active Directory-alkalmazás, szolgáltatásnév és összevont hitelesítő adatok létrehozása az Azure Portalon című cikkből megtudhatja, hogyan hozhat létre Egy Active Directory-alkalmazás, szolgáltatásnév és összevont hitelesítő adatok létrehozása az Azure Portalon című témakört.

A PostgreSQL kapcsolati sztringjének másolása

Az Azure Portalon nyissa meg az Azure Database for PostgreSQL-kiszolgálót, és nyissa meg a Beállítások>kapcsolati sztringeket. Másolja az ADO.NET kapcsolati sztringet. Cserélje le a és your_passworda helyőrző értékeityour_database. A kapcsolati sztring ehhez hasonlóan fog kinézni.

Fontos

• Önálló kiszolgáló esetén használja a következőt user=adminusername@servername : . Vegye figyelembe, hogy a @servername kötelező.
• Rugalmas kiszolgáló esetén használja user= adminusername a következő nélkül: @servername.

psql host={servername.postgres.database.azure.com} port=5432 dbname={your_database} user={adminusername} password={your_database_password} sslmode=require

A kapcsolati sztringet GitHub-titkos kódként fogja használni.

A GitHub titkos kulcsainak konfigurálása

Szolgáltatásnév

1. A GitHubon nyissa meg az adattárat.

2. Válassza a Biztonsági > titkos kódok és változók > Műveletek lehetőséget.

   

3. Válassza az Új adattár titkos kódja lehetőséget.

4. Illessze be az Azure CLI-parancs teljes JSON-kimenetét a titkos kód értékmezőjébe. Adja meg a titkos kulcsot a névnek AZURE_CREDENTIALS.

5. Válassza az Add secret (Titkos kód hozzáadása) lehetőséget.

OpenID Connect

A bejelentkezési művelethez meg kell adnia az alkalmazás ügyfél-azonosítóját, bérlőazonosítóját és előfizetés-azonosítóját . Ezek az értékek közvetlenül a munkafolyamatban is megadhatóak, vagy tárolhatók a GitHub titkos kulcsaiban, és hivatkozhatnak a munkafolyamatban. Az értékek GitHub-titkos kódként való mentése a biztonságosabb megoldás.

1. A GitHubon nyissa meg az adattárat.

2. Válassza a Biztonsági > titkos kódok és változók > Műveletek lehetőséget.

   

3. Válassza az Új adattár titkos kódja lehetőséget.

4. Titkos kulcsok létrehozása a , AZURE_TENANT_IDés AZURE_SUBSCRIPTION_IDszámáraAZURE_CLIENT_ID. Az Active Directory-alkalmazásból származó értékeket használhatja a GitHub-titkos kulcsokhoz:

   GitHub-titkos kód	Active Directory-alkalmazás
   AZURE_CLIENT_ID	Alkalmazás (ügyfél) azonosítója
   AZURE_TENANT_ID	Címtár (bérlő) azonosítója
   AZURE_SUBSCRIPTION_ID	Előfizetés azonosítója

5. Mentse az egyes titkos kódokat a Titkos kód hozzáadása lehetőség kiválasztásával.

Munkafolyamat hozzáadása

1. Lépjen a GitHub-adattár műveletek elemére.

2. Válassza a Munkafolyamat beállítása lehetőséget.

3. Töröljön mindent a on: munkafolyamat-fájl szakasza után. A fennmaradó munkafolyamat például így nézhet ki.

   name: CI
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   

4. Nevezze át a munkafolyamatot PostgreSQL for GitHub Actions , és adja hozzá a kivételi és bejelentkezési műveleteket. Ezek a műveletek kiveszik a webhelykódot, és hitelesítik magukat az Azure-ban a korábban létrehozott GitHub-titkos kód(ok) használatával.

   Szolgáltatásnév

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           creds: ${{ secrets.AZURE_CREDENTIALS }}
   

   OpenID Connect

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   

5. Az Azure PostgreSQL Deploy művelet használatával csatlakozzon a PostgreSQL-példányhoz. Cserélje le POSTGRESQL_SERVER_NAME a elemet a kiszolgáló nevére. Rendelkeznie kell egy PostgreSQL-adatfájllal, amely az adattár gyökérszintjén van elnevezve data.sql .

    - uses: azure/postgresql@v1
      with:
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       server-name: POSTGRESQL_SERVER_NAME
       sql-file: './data.sql'
   

6. A munkafolyamat befejezéséhez adjon hozzá egy műveletet az Azure kijelentkezéséhez. Itt található a befejezett munkafolyamat. A fájl megjelenik az .github/workflows adattár mappájában.

   Szolgáltatásnév

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CREDENTIALS }}
   
   - uses: azure/postgresql@v1
     with:
       server-name: POSTGRESQL_SERVER_NAME
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       sql-file: './data.sql'
   
       # Azure logout
   - name: logout
     run: |
        az logout
   

   OpenID Connect

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
   - uses: azure/postgresql@v1
     with:
       server-name: POSTGRESQL_SERVER_NAME
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       sql-file: './data.sql'
   
       # Azure logout
   - name: logout
     run: |
        az logout
   

Az üzembe helyezés áttekintése

1. Nyissa meg a GitHub-adattár műveleteit .

2. Nyissa meg az első eredményt a munkafolyamat futtatásának részletes naplóinak megtekintéséhez.

   

Az erőforrások eltávolítása

Ha az Azure PostgreSQL-adatbázisra és -adattárra már nincs szükség, törölje az üzembe helyezett erőforrásokat az erőforráscsoport és a GitHub-adattár törlésével.

Következő lépések

Az Azure és a GitHub integrációjának ismertetése

Útmutató a kiszolgálóhoz való csatlakozáshoz