Menyebarkan kontainer kustom ke App Service menggunakan GitHub Actions

Artikel
07/03/2024

GitHub Actions memberi Anda fleksibilitas untuk membangun alur kerja pengembangan perangkat lunak otomatis. Dengan tindakan Azure Web Deploy, Anda dapat mengotomatiskan alur kerja Anda untuk menyebarkan kontainer kustom ke App Service menggunakan GitHub Actions.

Sebuah alur kerja ditentukan oleh file YAML (.yml) pada jalur /.github/workflows/ di dalam repositori Anda. Definisi ini berisi beragam langkah dan parameter yang ada di alur kerja.

Pada alur kerja kontainer Azure App Service, filenya memiliki tiga bagian:

Bagian	Tugas
Autentikasi	1. Ambil kembali perwakilan layanan atau profil penerbitan. 2. Buat rahasia GitHub.
Build	1. Buat lingkungan. 2. Buat citra kontainer.
Sebarkan	1. Sebarkan gambar kontainer.

Prasyarat

Akun Azure dengan langganan aktif. Membuat akun secara gratis
Akun GitHub. Jika Anda belum memilikinya, daftar gratis. Anda harus memiliki kode dalam repositori GitHub untuk disebarkan ke Azure App Service.
Registri kontainer yang berfungsi dan aplikasi Azure App Service untuk kontainer. Contoh ini menggunakan Azure Container Registry. Pastikan untuk menyelesaikan penyebaran penuh ke Azure App Service untuk kontainer. Tidak seperti aplikasi web biasa, aplikasi web untuk kontainer tidak memiliki halaman arahan default. Terbitkan kontainer agar memiliki contoh yang berfungsi.
- Pelajari cara membuat aplikasi Node.js kontainer menggunakan Docker, dorong gambar kontainer ke registri, lalu sebarkan gambar ke Azure App Service

Membuat info masuk penyebaran

Cara yang disarankan untuk mengautentikasi dengan Azure App Services untuk GitHub Actions adalah dengan profil penerbitan. Anda juga dapat mengautentikasi dengan perwakilan layanan atau Open ID Connect, tetapi prosesnya memerlukan lebih banyak langkah.

Simpan info masuk profil penerbitan atau perwakilan layanan Anda sebagai rahasia GitHub untuk mengautentikasi dengan Azure. Anda akan mengakses rahasia dalam alur kerja Anda.

Profil penerbitan adalah info masuk tingkat aplikasi. Siapkan profil penerbitan Anda sebagai rahasia GitHub.

Buka layanan aplikasi Anda di portal Microsoft Azure.
Pada halaman Ringkasan, pilih Dapatkan profil Penerbitan.

Catatan

Mulai Oktober 2020, aplikasi web Linux akan memerlukan pengaturan aplikasi WEBSITE_WEBDEPLOY_USE_SCM untuk diatur ke true sebelum mengunduh file. Persyaratan ini akan dihapus di masa mendatang. Lihat Mengonfigurasi aplikasi App Service di portal Microsoft Azure, untuk mempelajari cara mengonfigurasi pengaturan aplikasi web umum.
Simpan file yang diunduh. Anda akan menggunakan isi file tersebut untuk membuat rahasia GitHub.

Anda dapat membuat perwakilan layanan dengan perintah az ad sp create-for-rbac di Azure CLI. Jalankan perintah ini dengan Azure Cloud Shell di portal Microsoft Azure atau dengan memilih tombol Coba.

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

Pada contoh tersebut, ganti tempat penampung dengan ID langganan, nama grup sumber daya, dan nama aplikasi Anda. Output-nya adalah objek JSON dengan info masuk penetapan peran yang menyediakan akses ke aplikasi App Service. Salin objek JSON ini untuk nanti.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Penting

Memberikan akses minimum selalu merupakan praktik yang baik. Cakupan dalam contoh sebelumnya terbatas pada aplikasi App Service tertentu dan bukan seluruh grup sumber daya.

OpenID Connect adalah metode autentikasi yang menggunakan token yang berumur pendek. Menyiapkan OpenID Connect dengan GitHub Actions merupakan proses lebih kompleks yang menawarkan keamanan yang sulit.

Jika Anda belum memiliki aplikasi, daftarkan aplikasi Active Directory dan perwakilan layanan baru yang dapat mengakses sumber daya. Membuat aplikasi Active Directory Domain Services.
```
az ad app create --display-name myApp
```
Perintah ini akan menghasilkan JSON dengan appId JSON yang merupakan client-id Anda. Simpan nilai untuk digunakan sebagai AZURE_CLIENT_ID GitHub rahasia di kemudian hari.

Anda akan menggunakan nilai objectId saat membuat info masuk federasi dengan Graph API dan mereferensikannya sebagai APPLICATION-OBJECT-ID.
Membuat perwakilan layanan. Ganti $appID dengan appId dari output JSON Anda.

Perintah ini menghasilkan output JSON dengan objectId yang berbeda dan akan digunakan dalam langkah berikutnya. objectId yang baru adalah assignee-object-id.

Salin appOwnerTenantId untuk digunakan sebagai GitHub rahasia untuk AZURE_TENANT_ID nanti.
```
 az ad sp create --id $appId
```
Membuat penetapan peran baru berdasarkan langganan dan objek. Secara default, penetapan peran akan terikat dengan langganan default Anda. Ganti $subscriptionId dengan ID langganan Anda, $resourceGroupName dengan nama grup sumber daya Anda, dan $assigneeObjectId dengan assignee-object-id yang dihasilkan. Pelajari cara mengelola langganan Azure dengan Azure CLI.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
```
Jalankan perintah berikut ini untuk membuat informasi masuk identitas gabungan baru untuk aplikasi direktori aktif Anda.
- Ganti APPLICATION-OBJECT-ID dengan objectId (dihasilkan saat membuat aplikasi) untuk aplikasi Active Directory Domain Services Anda.
- Tetapkan nilai untuk CREDENTIAL-NAME untuk referensi nanti.
- Set subject. Nilai ini ditentukan oleh GitHub tergantung pada alur kerja Anda:
  - Pekerjaan dalam lingkungan GitHub Actions Anda: repo:< Organization/Repository >:environment:< Name >
  - Untuk Pekerjaan yang tidak terikat dengan lingkungan, sertakan jalur referensi untuk cabang/tag berdasarkan jalur referensi yang digunakan untuk memicu alur kerja: repo:< Organization/Repository >:ref:< ref path>. Misalnya, repo:n-username/ node_express:ref:refs/heads/my-branch atau repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Untuk alur kerja yang dipicu oleh peristiwa permintaan tarik: repo:< Organization/Repository >:pull_request.
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
```
Untuk mempelajari cara membuat Membuat aplikasi direktori aktif, perwakilan layanan, dan informasi masuk gabungan di portal Azure, lihat Sambungkan GitHub dan Azure.

Mengonfigurasi rahasia GitHub untuk autentikasi

Di GitHub, telusuri repositori Anda. Pilih Pengaturan > Rahasia Keamanan > dan variabel > Tindakan > Rahasia repositori baru.

Untuk menggunakan info masuk tingkat aplikasi, tempelkan isi file profil penerbitan yang diunduh ke bidang nilai rahasia. Beri nama rahasia AZURE_WEBAPP_PUBLISH_PROFILE.

Ketika mengonfigurasi alur kerja GitHub, Anda menggunakan AZURE_WEBAPP_PUBLISH_PROFILE pada tindakan sebarkan Azure Web App. Contohnya:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Di GitHub, telusuri repositori Anda. Pilih Pengaturan > Rahasia Keamanan > dan variabel > Tindakan > Rahasia repositori baru.

Untuk menggunakan info masuk tingkat pengguna, tempelkan seluruh output JSON dari perintah Azure CLI ke dalam bidang nilai rahasia. Beri nama rahasia, seperti AZURE_CREDENTIALS.

Saat Anda mengonfigurasi file alur kerja nanti, Anda menggunakan rahasia untuk input creds dari tindakan Azure Login. Contohnya:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

Anda perlu menyediakan ID Klien, ID Penyewa, dan ID Langganan aplikasi Anda untuk tindakan login. Nilai ini bisa disediakan secara langsung di alur kerja atau bisa disimpan di rahasia GitHub dan direferensikan dalam alur kerja Anda. Menyimpan nilai sebagai GitHub rahasia adalah opsi yang lebih aman.

Buka repositori GitHub Anda dan buka Pengaturan Rahasia Keamanan > dan variabel > Tindakan > rahasia repositori baru.>
Membuat rahasia untuk AZURE_CLIENT_ID, AZURE_TENANT_ID, dan AZURE_SUBSCRIPTION_ID. Gunakan nilai-nilai ini dari aplikasi Active Directory untuk rahasia GitHub Anda. Anda dapat menemukan nilai-nilai ini di portal Microsoft Azure dengan mencari aplikasi direktori aktif Anda.

GitHub Rahasia Aplikasi Active Directory Domain Services

AZURE_CLIENT_ID Aplikasi (ID klien)

AZURE_TENANT_ID ID (tenant) direktori

AZURE_SUBSCRIPTION_ID ID Langganan
Simpan setiap rahasia dengan memilih Tambahkan rahasia.

GitHub Rahasia	Aplikasi Active Directory Domain Services
AZURE_CLIENT_ID	Aplikasi (ID klien)
AZURE_TENANT_ID	ID (tenant) direktori
AZURE_SUBSCRIPTION_ID	ID Langganan

Mengonfigurasi rahasia GitHub untuk registri Anda

Tetapkan rahasia untuk digunakan dengan tindakan Docker Login. Contoh dalam dokumen ini menggunakan Azure Container Registry untuk registri kontainer.

Buka kontainer Anda di portal Microsoft Azure atau Docker dan salin nama pengguna dan kata sandi. Anda dapat menemukan nama pengguna dan kata sandi Azure Container Registry di portal Microsoft Azure pada Pengaturan>Kunci akses untuk registri Anda.
Tentukan rahasia baru untuk nama pengguna registri bernama REGISTRY_USERNAME.
Tentukan rahasia baru untuk kata sandi registri bernama REGISTRY_PASSWORD.

Bangun citra Kontainer

Contoh berikut menunjukkan bagian dari alur kerja yang menyusun Node.JS Docker. Gunakan Docker Login untuk masuk ke registri kontainer pribadi. Contoh ini menggunakan Azure Container Registry tetapi tindakan yang sama berfungsi untuk registri lain.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

Anda juga dapat menggunakan masuk Docker untuk masuk ke beberapa registri kontainer secara bersamaan. Contoh ini mencakup dua rahasia GitHub baru untuk autentikasi dengan docker.io. Contoh mengasumsikan bahwa ada Dockerfile di tingkat akar registri.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

Sebarkan ke kontainer App Service

Untuk menyebarkan gambar Anda ke kontainer kustom di App Service, gunakan tindakan azure/webapps-deploy@v2. Tindakan ini memiliki tujuh parameter:

Parameter	Penjelasan
app-name	(Wajib) Nama aplikasi App Service
publish-profile	(Opsional) Berlaku untuk Web Apps (Windows dan Linux) dan Web App Containers(linux). Skenario multi kontainer tidak didukung. Menerbitkan konten file profil (*.publishsettings) dengan rahasia Web Deploy
slot-name	(Opsional) Masukkan Slot yang ada selain slot Produksi
package	(Opsional) Hanya berlaku untuk Web App: Jalur ke paket atau folder. .zip, .war, *.jar atau folder untuk disebarkan
gambar	(Diperlukan) Berlaku hanya untuk Kontainer Web App: Tentukan nama gambar kontainer yang sepenuhnya memenuhi syarat. Contohnya, 'myregistry.azurecr.io/nginx:latest' atau 'python:3.7.2-alpine/'. Untuk aplikasi multi-kontainer, beberapa nama gambar kontainer dapat disediakan (dipisahkan multi-baris)
configuration-file	(Opsional) Berlaku hanya untuk Kontainer Web App: Jalur file Docker-Compose. Harus menjadi jalur yang sepenuhnya memenuhi syarat atau relatif terhadap direktori kerja default. Diperlukan untuk aplikasi multi-kontainer.
startup-command	(Opsional) Masukkan perintah start-up. Misalnya dotnet run atau dotnet filename.dll

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Langkah berikutnya

Anda dapat menemukan set Tindakan yang dikelompokkan ke berbagai repositori pada GitHub, masing-masing berisi dokumentasi dan contoh untuk membantu Anda menggunakan GitHub untuk CI/CD dan menyebarkan aplikasi ke Azure.

Bagikan melalui