Buat gambar komputer virtual kustom dengan Tindakan GitHub dan Azure

Mulai dengan GitHub Actions dengan membuat alur kerja untuk membuat dan memindai citra komputer virtual.

Dengan Tindakan GitHub, Anda dapat mempercepat proses CI/CD dengan membuat gambar mesin virtual kustom dengan artefak dari alur kerja Anda. Anda dapat membuat gambar dan mendistribusikannya ke Shared Image Gallery.

Anda kemudian dapat menggunakan gambar-gambar ini untuk membuat mesin virtual dan set skala mesin virtual.

Tindakan gambar mesin virtual build menggunakan layanan Azure Image Builder.

Prasyarat

• Akun Azure dengan langganan aktif. Buat akun secara gratis.
• Akun GitHub dengan repositori aktif. Jika Anda belum memilikinya, daftar gratis.
  • Contoh ini menggunakan Aplikasi Contoh Java Spring PetClinic.
• Azure Compute Gallery dengan gambar.
  • Membuat Azure Compute Gallery.
  • Buat gambar.

Gambaran umum file alur kerja

Sebuah alur kerja ditentukan oleh file YAML (.yml) pada jalur /.github/workflows/ di dalam repositori Anda. Definisi ini berisi berbagai langkah dan parameter yang membentuk alur kerja.

File memiliki tiga bagian:

Bagian	Tugas
Autentikasi	1. Tambahkan identitas yang dikelola pengguna. 2. Siapkan perwakilan layanan atau Open ID Koneksi. 3. Buat rahasia GitHub.
Build	1. Siapkan lingkungan. 2. Buat aplikasi.
Gambar	1. Buat Citra VM. 2. Buat mesin virtual.

Membuat identitas yang dikelola pengguna

Anda akan memerlukan identitas yang dikelola pengguna untuk Azure Image Builder(AIB) untuk mendistribusikan gambar. Identitas terkelola yang ditetapkan pengguna Azure Anda akan digunakan selama pembuatan gambar untuk membaca dan menulis gambar ke Shared Image Gallery.

1. Buat identitas yang dikelola pengguna dengan Azure CLI atau portal Azure. Tuliskan nama identitas terkelola Anda.

2. Sesuaikan kode JSON ini. Dalam contoh tersebut, ganti tempat penampung untuk {subscriptionID} dan {rgName} dengan ID langganan dan nama grup sumber daya Anda.

   {
   "properties": {
       "roleName": "Image Creation Role",
       "IsCustom": true,
       "description": "Azure Image Builder access to create resources for the image build",
       "assignableScopes": [
         "/subscriptions/{subscriptionID}/resourceGroups/{rgName}"
       ],
       "permissions": [
           {
               "actions": [
                   "Microsoft.Compute/galleries/read",
                   "Microsoft.Compute/galleries/images/read",
                   "Microsoft.Compute/galleries/images/versions/read",
                   "Microsoft.Compute/galleries/images/versions/write",
                   "Microsoft.Compute/images/write",
                   "Microsoft.Compute/images/read",
                   "Microsoft.Compute/images/delete"
               ],
               "notActions": [],
               "dataActions": [],
               "notDataActions": []
           }
       ]
       } 
   } 
   

3. Gunakan kode JSON ini untuk membuat peran kustom baru dengan JSON.

4. Di portal Azure, buka Azure Compute Gallery Anda dan buka Kontrol akses (IAM).

5. Pilih Tambahkan penetapan peran dan tetapkan Peran Pembuatan Gambar ke identitas yang dikelola pengguna Anda.

Membuat info masuk penyebaran

Prinsipal layanan

Buatlah perwakilan layanan dengan perintah az ad sp create-for-rbac di Azure CLI. Jalankan perintah ini dengan Azure Cloud Shell di portal Microsoft Azure atau dengan memilih tombol Coba.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

Parameter --json-auth tersedia dalam versi >Azure CLI = 2.51.0. Versi sebelum penggunaan --sdk-auth ini dengan peringatan penghentian.

Pada contoh di atas, ganti tempat penampung dengan ID langganan, nama grup sumber daya, dan nama aplikasi Anda. Output adalah objek JSON dengan kredensial penetapan peran yang menyediakan akses ke App Service yang serupa di bawah ini. Salin objek JSON ini untuk nanti.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Open ID Connect

OpenID Connect adalah metode autentikasi yang menggunakan token yang berumur pendek. Menyiapkan OpenID Connect dengan GitHub Actions merupakan proses lebih kompleks yang menawarkan keamanan yang sulit.

1. Jika Anda tidak memiliki aplikasi yang sudah ada, daftarkan aplikasi Microsoft Entra baru dan perwakilan layanan yang dapat mengakses sumber daya.

   az ad app create --display-name myApp
   

   Perintah ini akan menghasilkan JSON dengan appId JSON yang merupakan client-id Anda. objectId adalah APPLICATION-OBJECT-ID dan akan digunakan untuk membuat kredensial federasi dengan panggilan Graph API. Simpan nilai untuk digunakan sebagai AZURE_CLIENT_ID GitHub rahasia di kemudian hari.

2. Membuat perwakilan layanan. Ganti $appID dengan appId dari output JSON Anda. Perintah ini menghasilkan output JSON dengan objectId yang berbeda dan akan digunakan dalam langkah berikutnya. objectId yang baru adalah assignee-object-id.

   Perintah ini menghasilkan output JSON dengan objectId yang berbeda dan akan digunakan dalam langkah berikutnya. objectId yang baru adalah assignee-object-id.

   Salin appOwnerTenantId untuk digunakan sebagai GitHub rahasia untuk AZURE_TENANT_ID nanti.

    az ad sp create --id $appId
   

3. Membuat penetapan peran baru berdasarkan langganan dan objek. Secara default, penetapan peran akan terikat dengan langganan default Anda. Ganti $subscriptionId dengan ID langganan Anda, $resourceGroupName dengan nama grup sumber daya Anda, dan $assigneeObjectId dengan yang dihasilkan assignee-object-id (id objek perwakilan layanan yang baru dibuat).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Jalankan perintah berikut untuk membuat kredensial identitas federasi baru untuk aplikasi Microsoft Entra Anda.

   • Ganti APPLICATION-OBJECT-ID dengan objectId (dihasilkan saat membuat aplikasi) untuk aplikasi Microsoft Entra Anda.
   • Tetapkan nilai untuk CREDENTIAL-NAME untuk referensi nanti.
   • Set subject. Nilai ini ditentukan oleh GitHub tergantung pada alur kerja Anda:
     • Pekerjaan dalam lingkungan GitHub Actions Anda: repo:< Organization/Repository >:environment:< Name >
     • Untuk Pekerjaan yang tidak terikat dengan lingkungan, sertakan jalur referensi untuk cabang/tag berdasarkan jalur referensi yang digunakan untuk memicu alur kerja: repo:< Organization/Repository >:ref:< ref path>. Misalnya, repo:n-username/ node_express:ref:refs/heads/my-branch atau repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Untuk alur kerja yang dipicu oleh peristiwa permintaan tarik: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

Membuat rahasia GitHub

Prinsipal layanan

1. Di GitHub, buka repositori Anda.

2. Buka Pengaturan di menu navigasi.

3. Pilih Tindakan Rahasia keamanan > dan variabel>.

   

4. Pilih Rahasia repositori baru.

5. Tempelkan seluruh output JSON dari perintah CLI Azure ke bidang nilai rahasia. Namai rahasia sebagai AZURE_CREDENTIALS.

6. Pilih Tambahkan rahasia.

Open ID Connect

Anda perlu menyediakan ID Klien, ID Penyewa, dan ID Langganan aplikasi Anda untuk tindakan masuk. Nilai ini bisa disediakan secara langsung di alur kerja atau bisa disimpan di rahasia GitHub dan direferensikan dalam alur kerja Anda. Menyimpan nilai sebagai GitHub rahasia adalah opsi yang lebih aman.

1. Di GitHub, buka repositori Anda.

2. Pilih Tindakan Rahasia keamanan > dan variabel>.

   

3. Pilih Rahasia repositori baru.

4. Membuat rahasia untuk AZURE_CLIENT_ID, AZURE_TENANT_ID, dan AZURE_SUBSCRIPTION_ID. Gunakan nilai-nilai ini dari aplikasi Microsoft Entra Anda untuk rahasia GitHub Anda:

   Rahasia GitHub	Aplikasi Microsoft Entra
   AZURE_CLIENT_ID	Aplikasi (ID klien)
   AZURE_TENANT_ID	ID (tenant) direktori
   AZURE_SUBSCRIPTION_ID	ID Langganan

5. Simpan setiap rahasia dengan memilih Tambahkan rahasia.

Gunakan tindakan masuk Azure

Gunakan rahasia GitHub Anda dengan tindakan Masuk Azure untuk mengautentikasi ke Azure.

Prinsipal layanan

Dalam alur kerja ini, Anda mengautentikasi menggunakan tindakan login Azure dengan detail perwakilan layanan yang disimpan di secrets.AZURE_CREDENTIALS. Kemudian, Anda menjalankan tindakan Azure CLI. Untuk informasi selengkapnya tentang merujuk rahasia GitHub dalam file alur kerja, lihat Menggunakan rahasia terenkripsi dalam alur kerja di GitHub Docs.

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'

Open ID Connect

Untuk Open ID Koneksi Anda akan menggunakan kredensial federasi yang terkait dengan aplikasi Direktori Aktif Anda.

Untuk informasi selengkapnya tentang merujuk rahasia GitHub dalam file alur kerja, lihat Menggunakan rahasia terenkripsi dalam alur kerja di GitHub Docs.

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Konfigurasikan Java

Siapkan lingkungan Java dengan tindakan Java Setup SDK. Untuk contoh ini, Anda akan mengatur lingkungan, membangun dengan Maven, dan kemudian mengeluarkan artefak.

Artefak GitHub adalah cara untuk berbagi file dalam alur kerja di antara pekerjaan. Anda akan membuat artefak untuk menahan file JAR dan kemudian menambahkannya ke gambar mesin virtual.

Prinsipal layanan

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    strategy:
      matrix:
        java: [ '17' ]

    steps:
    - name: Checkout
      uses: actions/checkout@v3    

    - name: Login via Az module
      uses: azure/login@v1
      with:
        creds: ${{secrets.AZURE_CREDENTIALS}}

    - name: Set up JDK ${{matrix.java}}
      uses: actions/setup-java@v2
      with:
        java-version: ${{matrix.java}}
        distribution: 'adopt'
        cache: maven
    - name: Build with Maven Wrapper
      run: ./mvnw -B package
        
    - name: Build Java
      run: mvn --batch-mode --update-snapshots verify

    - run: mkdir staging && cp target/*.jar staging
    - uses: actions/upload-artifact@v2
      with:
        name: Package
        path: staging

Open ID Connect

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    strategy:
      matrix:
        java: [ '17' ]

    steps:
    - name: Checkout
      uses: actions/checkout@v3    

    - name: Login via Az module
      uses: azure/login@v1
      with:
        creds: ${{secrets.AZURE_CREDENTIALS}}

    - name: Set up JDK ${{matrix.java}}
      uses: actions/setup-java@v2
      with:
        java-version: ${{matrix.java}}
        distribution: 'adopt'
        cache: maven
    - name: Build with Maven Wrapper
      run: ./mvnw -B package
        
    - name: Build Java
      run: mvn --batch-mode --update-snapshots verify

    - run: mkdir staging && cp target/*.jar staging
    - uses: actions/upload-artifact@v2
      with:
        name: Package
        path: staging

Membuat citra

Gunakan tindakan Build Azure Virtual Machine Image untuk membuat gambar komputer virtual kustom.

Ganti tempat penampung untuk {subscriptionID}, {rgName}dan {Identity} dengan ID langganan Anda, nama grup sumber daya, dan nama identitas terkelola. Ganti nilai {galleryName} dan {imageName} dengan nama galeri gambar dan nama gambar Anda.

Catatan

Jika tindakan Buat Gambar Panggang Aplikasi gagal dengan kesalahan izin, verifikasi bahwa Anda telah menetapkan Peran Pembuatan Gambar ke identitas yang dikelola pengguna Anda.

    - name: Create App Baked Image
      id: imageBuilder
      uses: azure/build-vm-image@v0
      with:
        location: 'eastus2'
        resource-group-name: '{rgName}'
        managed-identity: '{Identity}' # Managed identity
        source-os-type: 'windows'
        source-image-type: 'platformImage'
        source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
        dist-type: 'SharedImageGallery'
        dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
        dist-location: 'eastus2'

Argumen tindakan Mesin Virtual

Input	Wajib	Deskripsi
resource-group-name	Ya	Grup sumber daya yang digunakan untuk penyimpanan dan menyimpan artefak selama proses pembuatan.
image-builder-template-name	No	Nama sumber daya templat builder gambar yang digunakan.
location	Ya	Lokasi tempat Azure Image Builder akan berjalan. Lihat lokasi yang didukung.
build-timeout-in-minutes	No	Waktu setelah build dibatalkan. Default ke 240.
vm-size	Opsional	Secara default, Standard_D1_v2 akan digunakan. Lihat ukuran komputer virtual.
managed-identity	Ya	Identitas terkelola yang Anda buat sebelumnya. Gunakan pengidentifikasi lengkap jika identitas Anda berada dalam grup sumber daya yang berbeda. Gunakan nama tersebut jika berada dalam grup sumber daya yang sama.
source-os	Ya	Jenis OS dari gambar dasar (Linux atau Windows)
source-image-type	Ya	Jenis gambar dasar yang akan digunakan untuk membuat gambar kustom.
source-image	Ya	Pengenal sumber daya untuk gambar dasar. Gambar sumber harus ada di wilayah Azure yang sama yang ditetapkan dalam nilai input lokasi.
customizer-source	No	Direktori tempat Anda dapat menyimpan semua artefak yang perlu ditambahkan ke gambar dasar untuk penyesuaian. Secara default, nilainya adalah ${{ GITHUB.WORKSPACE }}/workflow-artifacts.
customizer-destination	No	Ini adalah direktori dalam gambar yang disesuaikan tempat salinan artefak.
customizer-windows-update	No	Hanya untuk Windows. Nilai boolean. Jika true, pembuat gambar akan menjalankan pembaruan Windows di akhir penyesuaian.
dist-location	No	Untuk SharedImageGallery, ini adalah dist-type.
dist-image-tags	No	Ini adalah tag yang ditentukan pengguna yang ditambahkan ke gambar kustom yang dibuat (contoh: version:beta).

Hapus mesin virtual Anda

Sebagai langkah terakhir, buat mesin virtual dari gambar Anda.

1. Ganti tempat penampung untuk {rgName} dengan nama grup sumber daya Anda.

2. Tambahkan rahasia GitHub dengan kata sandi mesin virtual (VM_PWD). Pastikan untuk menuliskan kata sandi karena Anda tidak akan dapat melihatnya lagi. Nama penggunanya adalah myuser.

    - name: CREATE VM
      uses: azure/CLI@v1
      with:
        azcliversion: 2.0.72
        inlineScript: |
        az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
            --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"              

YAML lengkap

Prinsipal layanan

  on: [push]

  name: Create Custom VM Image

  jobs:
    build-image:
      runs-on: ubuntu-latest    
      steps:
      - name: Checkout
        uses: actions/checkout@v2    

      - name: Login via Az module
        uses: azure/login@v1
        with:
          creds: ${{secrets.AZURE_CREDENTIALS}}

      - name: Setup Java 1.8.x
        uses: actions/setup-java@v1
        with:
          java-version: '1.8.x'
          
      - name: Build Java
        run: mvn --batch-mode --update-snapshots verify

      - run: mkdir staging && cp target/*.jar staging
      - uses: actions/upload-artifact@v2
        with:
          name: Package
          path: staging

      - name: Create App Baked Image
        id: imageBuilder
        uses: azure/build-vm-image@v0
        with:
          location: 'eastus2'
          resource-group-name: '{rgName}'
          managed-identity: '{Identity}' # Managed identity
          source-os-type: 'windows'
          source-image-type: 'platformImage'
          source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
          dist-type: 'SharedImageGallery'
          dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
          dist-location: 'eastus2'

      - name: CREATE VM
        uses: azure/CLI@v1
        with:
          azcliversion: 2.0.72
          inlineScript: |
          az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
              --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"              

Open ID Connect

  on: [push]

  name: Create Custom VM Image

  jobs:
    build-image:
      runs-on: ubuntu-latest    
      steps:
      - name: Checkout
        uses: actions/checkout@v2    

      - name: Login via Az module
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      - name: Setup Java 1.8.x
        uses: actions/setup-java@v1
        with:
          java-version: '1.8.x'
          
      - name: Build Java
        run: mvn --batch-mode --update-snapshots verify

      - run: mkdir staging && cp target/*.jar staging
      - uses: actions/upload-artifact@v2
        with:
          name: Package
          path: staging

      - name: Create App Baked Image
        id: imageBuilder
        uses: azure/build-vm-image@v0
        with:
          location: 'eastus2'
          resource-group-name: '{rgName}'
          managed-identity: '{Identity}' # Managed identity
          source-os-type: 'windows'
          source-image-type: 'platformImage'
          source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
          dist-type: 'SharedImageGallery'
          dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
          dist-location: 'eastus2'

      - name: CREATE VM
        uses: azure/CLI@v1
        with:
          azcliversion: 2.0.72
          inlineScript: |
          az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
              --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"              

Langkah berikutnya

• Pelajari cara menyebarkan ke Azure.