Distribuire un contenitore personalizzato nel servizio app usando GitHub Actions

È possibile usare GitHub Actions per creare un flusso di lavoro di sviluppo software automatizzato. È possibile usare l'azione Distribuzione Web di Azure per automatizzare il flusso di lavoro e distribuire contenitori personalizzati nel servizio app di Azure.

Un flusso di lavoro viene definito da un file YAML (con estensione yml) nel percorso /.github/workflows/ del repository. Questa definizione contiene i vari passaggi e parametri presenti nel flusso di lavoro.

Per un flusso di lavoro del contenitore del servizio app, il file include tre sezioni:

Sezione	Attività
autenticazione	1. Recuperare un'entità servizio o un profilo di pubblicazione. 2. Creare un segreto GitHub.
Build	1. Creare l'ambiente. 2. Compilare l'immagine del contenitore.
Distribuire	1. Distribuire l'immagine del contenitore.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuito.
• Un account GitHub. Se non è disponibile, iscriversi per riceverne uno gratuito. È necessario disporre del codice in un repository GitHub per la distribuzione in Servizio app di Azure.
• Un registro contenitori funzionante e un'app di Servizio app di Azure per i contenitori. Questo esempio usa Registro Azure Container. Assicurarsi di completare la distribuzione completa nel Servizio app di Azure per i contenitori. A differenza delle normali app Web, le app Web per i contenitori non hanno una pagina di destinazione predefinita. Pubblicare il contenitore per avere un esempio funzionante.
• Completare queste attività: imparare come creare un'applicazione Node.js containerizzata usando Docker, pubblicare l'immagine del contenitore in un registro e quindi distribuire l'immagine su Azure App Service.

Generare le credenziali per la distribuzione

È consigliabile eseguire l'autenticazione con Servizi app di Azure per GitHub Actions usando OpenID Connect. È anche possibile eseguire l'autenticazione con un'entità servizio o un profilo di pubblicazione.

Per l'autenticazione con Azure, salvare le credenziali del profilo di pubblicazione o l'entità servizio come segreto GitHub. È possibile accedere al segreto all'interno del flusso di lavoro.

Profilo di pubblicazione

Un profilo di pubblicazione è una credenziale a livello di app. Configurare il profilo di pubblicazione come segreto GitHub.

1. Passare a Servizio app nel portale di Azure.

2. Nel riquadro Panoramica selezionare Ottieni il profilo di pubblicazione.

   Note

   A partire da ottobre 2020, gli utenti devono impostare l'impostazione dell'app per le app WEBSITE_WEBDEPLOY_USE_SCM Web Linux su trueprima di scaricare il file. Per informazioni su come configurare le impostazioni comuni delle app Web, vedere Configurare un'app del servizio app nel portale di Azure.

3. Salvare il file scaricato. Utilizza il contenuto del file per creare un segreto su GitHub.

Entità servizio

1. Creare un'applicazione Microsoft Entra con un'entità servizio tramite il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.

2. Creare un segreto client per l'entità servizio tramite il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.

3. Copiare i valori per ID client, Segreto client, ID sottoscrizione e ID directory (tenant) da usare più avanti nel flusso di lavoro di GitHub Actions.

4. Assegna un ruolo appropriato al principale del servizio utilizzando il portale di Azure, l'Azure CLI o Azure PowerShell.

OpenID Connect

OpenID Connect è un metodo di autenticazione che utilizza token di breve durata. La configurazione di OpenID Connect con GitHub Actions è un processo più complesso che offre sicurezza avanzata.

Per usare l'azione Di accesso di Azure con OpenID Connect, è necessario configurare una credenziale di identità federata in un'applicazione Microsoft Entra o in un'identità gestita assegnata dall'utente.

Opzione 1: Usare un'applicazione Microsoft Entra

1. Creare un'applicazione Microsoft Entra con un'entità servizio tramite il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.

2. Copiare i valori per ID client, ID sottoscrizione e ID directory (tenant) da usare più avanti nel flusso di lavoro di GitHub Actions.

3. Assegna un ruolo appropriato al principale del servizio utilizzando il portale di Azure, l'Azure CLI o Azure PowerShell.

4. Configurare una credenziale di identità federata in un'applicazione Microsoft Entra per considerare attendibili i token che GitHub Actions rilascia al repository GitHub.

Opzione 2: Usare un'identità gestita assegnata dall'utente

1. Creare un'identità gestita assegnata dall'utente.

2. Copiare i valori per ID client, ID sottoscrizione e ID directory (tenant) da usare più avanti nel flusso di lavoro di GitHub Actions.

3. Assegnare un ruolo appropriato all'identità gestita assegnata dall'utente.

4. Configurare una credenziale di identità federata in un'identità gestita assegnata dall'utente per considerare attendibili i token che GitHub Actions rilascia al repository GitHub.

Configurare il segreto GitHub per l'autenticazione

Profilo di pubblicazione

In GitHub esplorare il repository. Selezionare Impostazioni>Sicurezza>Segreti e variabili>Azioni>Nuovo segreto della repository.

Per usare le credenziali a livello di app, incollare il contenuto del file del profilo di pubblicazione scaricato nel campo del valore del segreto. Assegnare al segreto il nome AZURE_WEBAPP_PUBLISH_PROFILE.

Quando si configura il flusso di lavoro GitHub, usare il AZURE_WEBAPP_PUBLISH_PROFILE segreto nell'azione Deploy Azure Web App (Distribuisci app Web di Azure). Ad esempio:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Entità servizio

In GitHub esplorare il repository. Selezionare Impostazioni>Sicurezza>Segreti e variabili>Azioni>Nuovo segreto della repository.

Per usare le credenziali a livello di utente, incollare l'intero output JSON dal comando dell'interfaccia della riga di comando di Azure nel campo del valore del segreto. Assegnare un nome al segreto, ad esempio AZURE_CREDENTIALS.

Quando in seguito si configura il file del flusso di lavoro, usare il segreto come il valore creds di input dell'azione di accesso di Azure. Ad esempio:

- uses: azure/login@v2
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

È necessario specificare l'ID client, l'ID tenant e l'ID sottoscrizione dell'applicazione all'azione di accesso. È possibile specificare questi valori direttamente nel flusso di lavoro oppure archiviarli nei segreti GitHub e farvi riferimento nel flusso di lavoro. È più sicuro salvare i valori come segreti GitHub.

1. Aprire il repository GitHub e passare a Impostazioni>Sicurezza>Segreti e variabili>Azioni>Nuovo segreto della repository.

   Note

   Per migliorare la sicurezza del flusso di lavoro nei repository pubblici, usare i segreti dell'ambiente anziché i segreti del repository. Se l'ambiente richiede l'approvazione, un'attività non può accedere ai segreti dell'ambiente finché uno dei revisori richiesti non la approva.

2. Creare segreti per AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_SUBSCRIPTION_ID. Usare questi valori dall'applicazione Active Directory per i segreti di GitHub. È possibile trovare questi valori nel portale di Azure cercando l'applicazione Active Directory.

   Segreto GitHub	Applicazione Active Directory
   AZURE_CLIENT_ID	ID applicazione (client)
   AZURE_TENANT_ID	ID della directory (tenant)
   AZURE_SUBSCRIPTION_ID	ID sottoscrizione

3. Salvare ogni segreto selezionando Aggiungi segreto.

Configurare i segreti di GitHub per il Registro di sistema

Definire i segreti da usare con l'azione Accesso a Docker. L'esempio in questo articolo usa Registro Azure Container per il registro contenitori.

1. Passare al contenitore nel portale di Azure o Docker e copiare il nome utente e la password. È possibile trovare il nome utente e la password di Registro Azure Container nel portale di Azure inImpostazioni>Chiavi di accesso per il Registro di sistema.

2. Definire un nuovo segreto per il nome utente del Registro di sistema denominato REGISTRY_USERNAME.

3. Definire un nuovo segreto per la password del Registro di sistema denominata REGISTRY_PASSWORD.

Compilare l'immagine del contenitore

L'esempio seguente illustra parte del flusso di lavoro che compila un'immagine Docker Node.js. Usare Docker Login per accedere a un registro contenitori privato. Questo esempio usa Registro Azure Container ma l'azione può essere usata anche per altri registri.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

È anche possibile usare Docker sign in per accedere a più registri contenitori contemporaneamente. Questo esempio include due nuovi segreti GitHub per l'autenticazione con docker.io. Nell'esempio si presuppone che sia presente un Dockerfile a livello radice del Registro di sistema.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

L'esempio seguente mostra parte del flusso di lavoro che compila un'immagine Docker di Windows. Usare Docker Login per accedere a un registro contenitori privato. Questo esempio usa Registro Azure Container ma l'azione può essere usata anche per altri registri.

name: Windows Container Workflow
on: [push]
jobs:
  build:
    runs-on: windows-latest
    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

È anche possibile usare l'accesso a Docker per accedere a più registri contenitori contemporaneamente. Questo esempio include due nuovi segreti GitHub per l'autenticazione con docker.io. Nell'esempio si presuppone che sia presente un Dockerfile a livello radice del Registro di sistema.

name: Windows Container Workflow
on: [push]
jobs:
  build:
    runs-on: windows-latest
    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Eseguire la distribuzione in un contenitore del servizio app

Per distribuire l'immagine in un contenitore personalizzato nel servizio app, usare l'azione azure/webapps-deploy@v2. Questa azione prevede sette parametri:

Parametro	Spiegazione
app-name	(Obbligatorio) Nome dell'app di App Service.
publish-profile	(Facoltativo) Usato con app Web (Windows e Linux) e contenitori di app Web (Linux). Scenario multi-contenitore non supportato. Pubblicare il contenuto del file del profilo \*.publishsettings con i segreti di Web Deploy.
slot-name	(Facoltativo) Inserire uno slot esistente diverso dallo slot di produzione.
package	(Facoltativo) Usato solo con le app Web: percorso del pacchetto o della cartella. \*.zip, \*.war, \*.jaro una cartella da distribuire.
images	(Obbligatorio) Usato solo con contenitori di app Web: specificare il nome completo dell'immagine del contenitore. Ad esempio, myregistry.azurecr.io/nginx:latest o python:3.12.12-alpine/. Per un'app multi-contenitore, è possibile specificare più nomi di immagine del contenitore (separati da più righe).
configuration-file	(Facoltativo) Usato solo con contenitori di app Web: percorso del file Docker Compose. Deve essere un percorso completo o relativo alla directory di lavoro predefinita. Obbligatorio per le app con più contenitori.
startup-command	(Facoltativo) Immettere il comando di avvio. Ad esempio: dotnet run o dotnet filename.dll.

Profilo di pubblicazione

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Entità servizio

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

Profilo di pubblicazione

name: Windows_Container_Workflow

on: [push]

jobs:
  build:
    runs-on: windows-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Entità servizio

on: [push]

name: Windows_Container_Workflow

jobs:
  build-and-deploy:
    runs-on: windows-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Windows_Container_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: windows-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

---

Contenuti correlati

È possibile trovare il set di azioni raggruppate in repository diversi in GitHub. Ogni repository contiene documentazione ed esempi che consentono di usare GitHub per CI/CD e distribuire le app in Azure.

• Flussi di lavoro delle azioni da distribuire in Azure
• Accesso ad Azure
• App Web di Azure
• Accesso/uscita Docker
• Eventi che attivano i flussi di lavoro
• Distribuzione Kubernetes
• Flussi di lavoro di avvio