Mulai Cepat: Menyebarkan file Bicep menggunakan Tindakan GitHub

Tindakan GitHub adalah serangkaian fitur dalam GitHub untuk mengotomatiskan alur kerja otomatis pengembangan perangkat lunak Anda. Dalam mulai cepat ini, Anda menggunakan Tindakan GitHub untuk penyebaran Azure Resource Manager guna mengotomatiskan penyebaran file Bicep ke Azure.

Mulai cepat ini menyediakan pengenalan singkat tentang tindakan GitHub dan file Bicep. Jika Anda menginginkan langkah-langkah lebih rinci tentang menyiapkan tindakan dan proyek GitHub, lihat Menyebarkan sumber daya Azure dengan menggunakan Tindakan Bicep dan GitHub.

Prasyarat

Akun Azure dengan langganan aktif. Buat akun secara gratis.
Akun GitHub. Jika Anda belum memilikinya, daftar gratis.
Repositori GitHub untuk menyimpan file Bicep dan file alur kerja Anda. Untuk membuatnya, lihat Membuat repositori baru.

Buat grup sumber daya

Buat grup sumber daya. Kemudian dalam mulai cepat ini, Anda menyebarkan file Bicep Anda ke grup sumber daya ini.

CLI
PowerShell

az group create -n exampleRG -l westus

New-AzResourceGroup -Name exampleRG -Location westus

Untuk menggunakan tindakan Azure Login dengan OIDC, Anda perlu mengonfigurasi kredensial identitas gabungan pada aplikasi Microsoft Entra atau identitas terkelola yang ditetapkan pengguna.

Opsi 1: Aplikasi Microsoft Entra

Buat aplikasi Microsoft Entra dengan perwakilan layanan berdasarkan portal Azure, Azure CLI, atau Azure PowerShell.
Salin nilai untuk ID Klien, ID Langganan, dan ID Direktori (penyewa) untuk digunakan nanti di alur kerja GitHub Actions Anda.
Tetapkan peran yang sesuai untuk perwakilan layanan Anda dengan portal Azure, Azure CLI, atau Azure PowerShell.
Konfigurasikan kredensial identitas gabungan pada aplikasi Microsoft Entra untuk mempercayai token yang dikeluarkan oleh GitHub Actions ke repositori GitHub Anda.

Opsi 2: Identitas terkelola yang ditetapkan pengguna

Buat identitas terkelola yang ditetapkan pengguna.
Salin nilai untuk ID Klien, ID Langganan, dan ID Direktori (penyewa) untuk digunakan nanti di alur kerja GitHub Actions Anda.
Tetapkan peran yang sesuai ke identitas terkelola yang ditetapkan pengguna Anda.
Konfigurasikan kredensial identitas gabungan pada identitas terkelola yang ditetapkan pengguna untuk mempercayai token yang dikeluarkan oleh GitHub Actions ke repositori GitHub Anda.

Mengonfigurasi rahasia GitHub

Koneksi OpenID
Prinsipal layanan

Anda perlu memberikan ID Klien, ID Direktori (penyewa) aplikasi Anda, dan ID Langganan ke tindakan masuk. Nilai ini bisa disediakan secara langsung di alur kerja atau bisa disimpan di rahasia GitHub dan direferensikan dalam alur kerja Anda. Menyimpan nilai sebagai GitHub rahasia adalah opsi yang lebih aman.

Di GitHub, buka repositori Anda.
Pilih > Rahasia keamanan > dan variabel.
Pilih Rahasia repositori baru.

Catatan

Untuk meningkatkan keamanan alur kerja di repositori publik, gunakan rahasia lingkungan alih-alih rahasia repositori. Jika lingkungan memerlukan persetujuan, pekerjaan tidak dapat mengakses rahasia lingkungan hingga salah satu peninjau yang diperlukan menyetujuinya.

Membuat rahasia untuk AZURE_CLIENT_ID, AZURE_TENANT_ID, dan AZURE_SUBSCRIPTION_ID. Salin nilai-nilai ini dari aplikasi Microsoft Entra atau identitas terkelola yang ditetapkan pengguna untuk rahasia GitHub Anda:

Rahasia GitHub	Aplikasi Microsoft Entra atau identitas terkelola yang ditetapkan pengguna
AZURE_CLIENT_ID	ID klien
AZURE_SUBSCRIPTION_ID	ID Langganan
AZURE_TENANT_ID	ID (tenant) direktori

Catatan

Untuk alasan keamanan, sebaiknya gunakan Rahasia GitHub daripada meneruskan nilai langsung ke alur kerja.

Menambahkan file Bicep

Tambahkan file Bicep ke repositori GitHub Anda. File Bicep berikut membuat akun penyimpanan:

@minLength(3)
@maxLength(11)
param storagePrefix string

@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_RAGRS'
  'Standard_ZRS'
  'Premium_LRS'
  'Premium_ZRS'
  'Standard_GZRS'
  'Standard_RAGZRS'
])
param storageSKU string = 'Standard_LRS'

param location string = resourceGroup().location

var uniqueStorageName = '${storagePrefix}${uniqueString(resourceGroup().id)}'

resource stg 'Microsoft.Storage/storageAccounts@2025-06-01' = {
  name: uniqueStorageName
  location: location
  sku: {
    name: storageSKU
  }
  kind: 'StorageV2'
  properties: {
    supportsHttpsTrafficOnly: true
  }
}

output storageEndpoint object = stg.properties.primaryEndpoints

File Bicep mengambil satu parameter yang disebut storagePrefix dengan 3 hingga 11 karakter.

Anda dapat meletakkan file di mana saja di repositori. Sampel alur kerja di bagian berikutnya mengasumsikan file Bicep diberi nama main.bicep, dan disimpan di akar repositori Anda.

Membuat alur kerja

Alur kerja menentukan langkah-langkah untuk dijalankan saat dipicu. Alur kerja ini merupakan file YAML (.yml) di jalur .github/workflows/ dari repositori Anda. Ekstensi file alur kerja dapat berupa .yml atau .yaml.

Untuk membuat alur kerja, lakukan langkah-langkah berikut:

Dari repositori GitHub Anda, pilih Tindakan dari menu atas.
Pilih Alur kerja baru.
Pilih Siapkan alur kerja Anda sendiri.
Ganti nama file alur kerja jika Anda lebih suka nama yang berbeda selain main.yml. Misalnya: deployBicepFile.yml.

Ganti konten file yml dengan kode berikut:

Koneksi OpenID
Prinsipal layanan

on: [push]
name: Azure ARM
permissions:
  id-token: write
  contents: read
jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:

      # Checkout code
    - uses: actions/checkout@main

      # Log into Azure
    - uses: azure/login@v2
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      # Deploy Bicep file
    - name: deploy
      uses: azure/arm-deploy@v1
      with:
        subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
        resourceGroupName: ${{ secrets.AZURE_RG }}
        template: ./main.bicep
        parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
        failOnStdErr: false

name: Deploy Bicep file
on: [push]
jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:

    - name: Checkout code
      uses: actions/checkout@main

    - name: Log into Azure
      uses: azure/login@v2
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - name: Deploy Bicep file
      uses: azure/arm-deploy@v1
      with:
        subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
        resourceGroupName: ${{ secrets.AZURE_RG }}
        template: ./main.bicep
        parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
        failOnStdErr: false

Ganti mystore dengan awalan nama akun penyimpanan Anda sendiri.

Catatan

Anda dapat menentukan file parameter format JSON sebagai gantinya dalam tindakan Penyebaran ARM (misalnya: .azuredeploy.parameters.json).

Bagian pertama dari file alur kerja meliputi:

nama: Nama alur kerja.
pada: Nama peristiwa GitHub yang memicu alur kerja. Alur kerja terpicu ketika ada peristiwa pendorongan pada cabang utama.

Pilih Terapkan perubahan.
Pilih Penerapan langsung ke cabang utama.
Pilih Penerapan file baru (atau Penerapan perubahan).

Memperbarui file alur kerja atau file Bicep akan memicu alur kerja. Alur kerja dimulai tepat setelah Anda melakukan perubahan.

Periksa status alur kerja

Pilih tab Tindakan . Anda melihat alur kerja Buat deployBicepFile.yml tercantum. Dibutuhkan 1-2 menit untuk menjalankan alur kerja.
Pilih alur kerja untuk membukanya, dan verifikasi Status adalah Success.

Membersihkan sumber daya

Saat grup sumber daya Anda tidak lagi diperlukan, hapus sumber daya yang Anda sebarkan dengan menghapus grup sumber daya dan repositori GitHub Anda.

CLI
PowerShell

az group delete --name exampleRG

Remove-AzResourceGroup -Name exampleRG

Langkah berikutnya

Struktur dan sintaksis file Bicep

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2025-10-30