Menyebarkan kontainer kustom ke App Service dengan menggunakan GitHub Actions

Anda dapat menggunakan GitHub Actions untuk membangun alur kerja pengembangan perangkat lunak otomatis. Anda dapat menggunakan tindakan Azure Web Deploy untuk mengotomatiskan alur kerja Anda dan menyebarkan kontainer kustom ke Azure App Service.

Sebuah alur kerja ditentukan oleh file YAML (.yml) pada jalur /.github/workflows/ di dalam repositori Anda. Definisi ini berisi beragam langkah dan parameter yang ada di alur kerja.

Untuk alur kerja kontainer App Service, file memiliki tiga bagian:

Bagian	Tugas
Autentikasi	1. Ambil kembali perwakilan layanan atau profil penerbitan. 2. Buat rahasia GitHub.
Build	1. Buat lingkungan. 2. Buat citra kontainer.
Sebarkan	1. Sebarkan gambar kontainer.

Prasyarat

• Akun Azure dengan langganan aktif. Buat akun secara gratis.
• Akun GitHub. Jika Anda belum memilikinya, daftar gratis. Anda harus memiliki kode dalam repositori GitHub untuk disebarkan ke Azure App Service.
• Registri kontainer yang berfungsi dan aplikasi Azure App Service untuk kontainer. Contoh ini menggunakan Azure Container Registry. Pastikan untuk menyelesaikan penyebaran penuh ke Azure App Service untuk kontainer. Tidak seperti aplikasi web biasa, aplikasi web untuk kontainer tidak memiliki halaman arahan default. Terbitkan kontainer agar memiliki contoh yang berfungsi.
• Selesaikan tugas-tugas ini: Pelajari cara membuat aplikasi Node.js dalam kontainer dengan menggunakan Docker, mendorong gambar kontainer ke registri, lalu menyebarkan gambar ke Azure App Service.

Membuat info masuk penyebaran

Kami merekomendasikan agar Anda melakukan autentikasi dengan Azure App Services menggunakan OpenID Connect untuk GitHub Actions. Anda juga dapat mengautentikasi dengan perwakilan layanan atau profil penerbitan.

Untuk mengautentikasi dengan Azure, simpan kredensial profil publikasi atau perwakilan layanan Anda sebagai rahasia GitHub. Anda mengakses rahasia dalam alur kerja Anda.

Profil penerbitan

Profil penerbitan adalah info masuk tingkat aplikasi. Siapkan profil penerbitan Anda sebagai rahasia GitHub.

1. Buka App Service di portal Microsoft Azure.

2. Pada panel Gambaran Umum, pilih Dapatkan profil Publikasi.

   Catatan

   Mulai Oktober 2020, pengguna harus mengatur pengaturan aplikasi untuk aplikasi WEBSITE_WEBDEPLOY_USE_SCM web Linux sebelum truemereka mengunduh file. Untuk mempelajari cara mengonfigurasi pengaturan aplikasi web umum, buka Mengonfigurasi aplikasi App Service di portal Microsoft Azure.

3. Simpan file yang diunduh. Anda menggunakan konten file untuk membuat rahasia GitHub.

Prinsipal layanan

1. Buat aplikasi Microsoft Entra dengan perwakilan layanan dengan menggunakan portal Microsoft Azure, Azure CLI, atau Azure PowerShell.

2. Buat rahasia klien untuk perwakilan layanan Anda dengan menggunakan portal Microsoft Azure, Azure CLI, atau Azure PowerShell.

3. Salin nilai untuk ID Klien, Rahasia Klien, ID Langganan, dan ID Direktori (penyewa) untuk digunakan nanti di alur kerja GitHub Actions Anda.

4. Tetapkan peran yang sesuai untuk perwakilan layanan Anda dengan menggunakan portal Microsoft Azure, Azure CLI, atau Azure PowerShell.

Koneksi OpenID

OpenID Connect adalah metode autentikasi yang menggunakan token yang berumur pendek. Menyiapkan OpenID Connect dengan GitHub Actions adalah proses yang lebih kompleks yang menawarkan keamanan yang diperkeras.

Untuk menggunakan tindakan Masuk Azure dengan OpenID Connect, Anda perlu mengonfigurasi kredensial identitas gabungan pada aplikasi Microsoft Entra atau identitas terkelola yang ditetapkan pengguna.

Opsi 1: Menggunakan aplikasi Microsoft Entra

1. Buat aplikasi Microsoft Entra dengan perwakilan layanan dengan menggunakan portal Microsoft Azure, Azure CLI, atau Azure PowerShell.

2. Salin nilai untuk ID Klien, ID Langganan, dan ID Direktori (penyewa) untuk digunakan nanti di alur kerja GitHub Actions Anda.

3. Tetapkan peran yang sesuai untuk perwakilan layanan Anda dengan menggunakan portal Microsoft Azure, Azure CLI, atau Azure PowerShell.

4. Konfigurasikan kredensial identitas gabungan pada aplikasi Microsoft Entra untuk mempercayai token yang diterbitkan oleh GitHub Actions ke repositori GitHub Anda.

Opsi 2: Menggunakan identitas terkelola yang ditetapkan pengguna

1. Buat identitas terkelola yang ditetapkan pengguna.

2. Salin nilai untuk ID Klien, ID Langganan, dan ID Direktori (penyewa) untuk digunakan nanti di alur kerja GitHub Actions Anda.

3. Tetapkan peran yang sesuai ke identitas terkelola yang ditetapkan pengguna Anda.

4. Konfigurasikan kredensial identitas federasi pada identitas terkelola yang ditetapkan pengguna untuk mempercayai token yang dikeluarkan oleh GitHub Actions ke repositori GitHub Anda.

Mengonfigurasi rahasia GitHub untuk autentikasi

Profil penerbitan

Di GitHub, telusuri repositori Anda. Pilih Pengaturan>Keamanan>Rahasia dan variabel>Tindakan>Rahasia Repositori Baru.

Untuk menggunakan info masuk tingkat aplikasi, tempelkan isi file profil penerbitan yang diunduh ke bidang nilai rahasia. Beri nama rahasia AZURE_WEBAPP_PUBLISH_PROFILE.

Saat Anda mengonfigurasi alur kerja GitHub, gunakan rahasia AZURE_WEBAPP_PUBLISH_PROFILE dalam aksi penyebaran Azure Web App. Contohnya:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Prinsipal layanan

Di GitHub, telusuri repositori Anda. Pilih Pengaturan>Keamanan>Rahasia dan variabel>Tindakan>Rahasia Repositori Baru.

Untuk menggunakan info masuk tingkat pengguna, tempelkan seluruh output JSON dari perintah Azure CLI ke dalam bidang nilai rahasia. Beri nama rahasia, seperti AZURE_CREDENTIALS.

Saat Anda mengonfigurasi file alur kerja nanti, gunakan rahasia sebagai nilai input creds tindakan Azure Login. Contohnya:

- uses: azure/login@v2
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

Koneksi OpenID

Anda perlu memberikan ID Klien, ID Penyewa, dan ID Langganan aplikasi Anda ke tindakan masuk. Anda dapat memberikan nilai-nilai ini baik secara langsung dalam alur kerja atau Anda dapat menyimpannya di rahasia GitHub dan mereferensikannya di alur kerja Anda. Lebih aman untuk menyimpan nilai sebagai rahasia GitHub.

1. Buka repositori GitHub Anda dan buka Pengaturan>Keamanan>Rahasia dan variabel>Tindakan>Rahasia repositori baru.

   Catatan

   Untuk meningkatkan keamanan alur kerja di repositori publik, gunakan rahasia lingkungan alih-alih rahasia repositori. Jika lingkungan memerlukan persetujuan, pekerjaan tidak dapat mengakses rahasia lingkungan hingga salah satu peninjau yang diperlukan menyetujuinya.

2. Membuat rahasia untuk AZURE_CLIENT_ID, AZURE_TENANT_ID, dan AZURE_SUBSCRIPTION_ID. Gunakan nilai-nilai ini dari aplikasi direktori aktif Anda untuk rahasia GitHub Anda. Anda dapat menemukan nilai-nilai ini di portal Microsoft Azure dengan mencari aplikasi direktori aktif Anda.

   Rahasia GitHub	Aplikasi Direktori Aktif
   AZURE_CLIENT_ID	Aplikasi (ID klien)
   AZURE_TENANT_ID	ID (tenant) direktori
   AZURE_SUBSCRIPTION_ID	ID Langganan

3. Simpan setiap rahasia dengan memilih Tambahkan rahasia.

Mengonfigurasi rahasia GitHub untuk registri Anda

Tetapkan rahasia untuk digunakan dengan tindakan Docker Login. Contoh dalam artikel ini menggunakan Azure Container Registry untuk registri kontainer.

1. Buka kontainer Anda di portal Microsoft Azure atau Docker dan salin nama pengguna dan kata sandi. Anda dapat menemukan nama pengguna dan kata sandi Azure Container Registry di portal Microsoft Azure pada Pengaturan>Kunci akses untuk registri Anda.

2. Tentukan rahasia baru untuk nama pengguna registri bernama REGISTRY_USERNAME.

3. Tentukan rahasia baru untuk kata sandi registri bernama REGISTRY_PASSWORD.

Buat citra kontainer

Contoh berikut menunjukkan bagian dari alur kerja yang membangun gambar Docker Node.js. Gunakan Docker Login untuk masuk ke registri kontainer privat. Contoh ini menggunakan Azure Container Registry tetapi tindakan yang sama berfungsi untuk registri lain.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Anda juga dapat menggunakan masuk Docker untuk masuk ke beberapa registri kontainer secara bersamaan. Contoh ini mencakup dua rahasia GitHub baru untuk autentikasi dengan docker.io. Contoh mengasumsikan bahwa ada Dockerfile di tingkat akar registri.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Contoh berikut menunjukkan bagian dari alur kerja yang membangun gambar Windows Docker. Gunakan Docker Login untuk masuk ke registri kontainer privat. Contoh ini menggunakan Azure Container Registry tetapi tindakan yang sama berfungsi untuk registri lain.

name: Windows Container Workflow
on: [push]
jobs:
  build:
    runs-on: windows-latest
    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Anda juga dapat menggunakan masuk Docker untuk masuk ke beberapa registri kontainer secara bersamaan. Contoh ini mencakup dua rahasia GitHub baru untuk autentikasi dengan docker.io. Contoh mengasumsikan bahwa ada Dockerfile di tingkat akar registri.

name: Windows Container Workflow
on: [push]
jobs:
  build:
    runs-on: windows-latest
    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Sebarkan ke kontainer App Service

Untuk menyebarkan gambar Anda ke kontainer kustom di App Service, gunakan tindakan azure/webapps-deploy@v2. Tindakan ini memiliki tujuh parameter:

Parameter	Penjelasan
app-name	(Diperlukan) Nama aplikasi App Service.
publish-profile	(Opsional) Digunakan dengan aplikasi web (Windows dan Linux) dan kontainer aplikasi web (Linux). Skenario multi-kontainer tidak didukung. Terbitkan konten file profil \*.publishsettings dengan rahasia Web Deploy.
slot-name	(Opsional) Masukkan slot yang sudah ada, kecuali slot produksi.
package	(Opsional) Hanya digunakan dengan aplikasi web: Jalur ke paket atau folder. \*.zip, \*.war, \*.jar, atau folder yang akan disebarkan.
images	(Diperlukan) Digunakan hanya dengan kontainer aplikasi web: Tentukan nama gambar kontainer yang sepenuhnya memenuhi syarat. Misalnya, myregistry.azurecr.io/nginx:latest atau python:3.12.12-alpine/. Untuk aplikasi multi-kontainer, beberapa nama gambar kontainer dapat disediakan (dipisahkan multibaris).
configuration-file	(Opsional) Hanya digunakan dengan kontainer aplikasi web: Jalur file Docker Compose. Harus menjadi jalur yang sepenuhnya memenuhi syarat atau relatif terhadap direktori kerja default. Diperlukan untuk aplikasi multi-kontainer.
startup-command	(Opsional) Masukkan perintah startup. Sebagai contoh: dotnet run atau dotnet filename.dll.

Profil penerbitan

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Prinsipal layanan

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

Koneksi OpenID

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

Profil penerbitan

name: Windows_Container_Workflow

on: [push]

jobs:
  build:
    runs-on: windows-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Prinsipal layanan

on: [push]

name: Windows_Container_Workflow

jobs:
  build-and-deploy:
    runs-on: windows-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

Koneksi OpenID

on: [push]
name: Windows_Container_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: windows-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

---

Konten terkait

Anda dapat menemukan serangkaian tindakan kami yang dikelompokkan ke dalam repositori yang berbeda di GitHub. Setiap repositori berisi dokumentasi dan contoh untuk membantu Anda menggunakan GitHub untuk CI/CD dan menyebarkan aplikasi Anda ke Azure.

• Alur kerja tindakan untuk disebarkan ke Azure
• Masuk Azure
• Azure WebApp
• Masuk/keluar Docker
• Peristiwa yang memicu alur kerja
• Penyebaran K8s
• Alur kerja pemula