Guida introduttiva: Distribuire file Bicep con GitHub Actions

Articolo
03/25/2024

GitHub Actions è una suite di funzionalità di GitHub per l'automazione dei flussi di lavoro dello sviluppo di software. In questa guida introduttiva si userà la distribuzione di GitHub Actions per Azure Resource Manager per automatizzare la distribuzione di un file Bicep in Azure.

Offre una breve introduzione alle azioni GitHub e ai file Bicep. Per istruzioni più dettagliate sulla configurazione delle azioni e del progetto GitHub, vedere Distribuire le risorse di Azure usando Bicep e GitHub Actions.

Prerequisiti

Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Un account GitHub. Se non è disponibile, iscriversi per riceverne uno gratuito.
Un repository GitHub per archiviare i file Bicep e i file del flusso di lavoro. Per crearne uno, vedere Creazione di un nuovo repository.

Crea gruppo di risorse

Crea un gruppo di risorse. Più avanti in questo argomento di avvio rapido si distribuirà il file Bicep in questo gruppo di risorse.

CLI
PowerShell

az group create -n exampleRG -l westus

New-AzResourceGroup -Name exampleRG -Location westus

Generare le credenziali per la distribuzione

Entità servizio
OpenID Connect

GitHub Actions viene eseguito con un'identità. Usare il comando az ad sp create-for-rbac per creare un'entità servizio. Concedere all'entità servizio il ruolo collaboratore per il gruppo di risorse creato nella sessione precedente in modo che l'azione GitHub con l'identità possa creare risorse in questo gruppo di risorse. È consigliabile concedere l'accesso minimo necessario.

az ad sp create-for-rbac --name {app-name} --role contributor --scopes /subscriptions/{subscription-id}/resourceGroups/exampleRG --json-auth

Sostituire il segnaposto {app-name} con il nome dell'applicazione. Sostituire {subscription-id} con l'ID della sottoscrizione.

L'output è un oggetto JSON con le credenziali di assegnazione di ruolo che forniscono l'accesso all'app del servizio app simile a questo esempio.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    ...
  }

Copiare l'oggetto JSON per un uso successivo. Saranno necessarie solo le sezioni con i valori clientId, clientSecret, subscriptionId e tenantId. Assicurarsi di non avere una virgola aggiuntiva alla fine dell'ultima riga, ad esempio la riga tenantId nell'esempio precedente o che genererà un file JSON non valido. Durante la distribuzione verrà visualizzato un errore che indica che l'accesso non è riuscito con errore: il contenuto non è un oggetto JSON valido. Verificare se “auth-type” è corretto".

Open ID Connect è un metodo di autenticazione che usa token di breve durata. La configurazione di OpenID Connect con GitHub Actions è un processo più complesso che offre sicurezza avanzata.

Se non si dispone di un'applicazione esistente, registrare una nuova applicazione Active Directory e un'entità servizio in grado di accedere alle risorse. Creare l'applicazione Active Directory
```
az ad app create --display-name myApp
```
Questo comando restituirà JSON con un appId che corrisponde a client-id. Salvare il valore da usare come segreto GitHub AZURE_CLIENT_ID in un secondo momento.

Si userà il valore objectId quando si creano credenziali federate con l'API Graph e si farà riferimento come APPLICATION-OBJECT-ID.
Creare un'entità servizio. Sostituire $appID con l'appId dall'output JSON.

Questo comando genera un output JSON con un objectId diverso e verrà usato nel passaggio successivo. Il nuovo objectId è assignee-object-id.

Copiare appOwnerTenantId da usare come segreto GitHub per AZURE_TENANT_ID in un secondo momento.
```
 az ad sp create --id $appId
```
Creare una nuova assegnazione di ruolo per sottoscrizione e oggetto. Per impostazione predefinita, l'assegnazione di ruolo verrà associata alla sottoscrizione predefinita. Sostituire $subscriptionId con l'ID sottoscrizione, $resourceGroupName con il nome del gruppo di risorse e $assigneeObjectId con assignee-object-id generato. Imparare a gestire le sottoscrizioni di Azure con l'interfaccia della riga di comando di Azure.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
```
Eseguire il comando seguente per creare una nuova credenziale di identità federata per l'applicazione Active Directory.
- Sostituire APPLICATION-OBJECT-ID con objectId (generato durante la creazione dell'app) per l'applicazione Active Directory.
- Impostare un valore per CREDENTIAL-NAME per farvi riferimento in un secondo momento.
- Impostare subject. Il valore di questo valore è definito da GitHub a seconda del flusso di lavoro:
  - Processi nell'ambiente GitHub Actions: repo:< Organization/Repository >:environment:< Name >
  - Per i processi non associati a un ambiente, includere il percorso di riferimento per branch/tag in base al percorso di riferimento usato per attivare il flusso di lavoro: repo:< Organization/Repository >:ref:< ref path>. Ad esempio, repo:n-username/ node_express:ref:refs/heads/my-branch o repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Per i flussi di lavoro attivati da un evento di richiesta pull: repo:< Organization/Repository >:pull_request.
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}'
```
Per informazioni su come creare un'applicazione active directory, un'entità servizio e credenziali federate nel portale di Azure, vedere Connettere GitHub e Azure.

Creare segreti per le credenziali di Azure, il gruppo di risorse e le sottoscrizioni. Questi segreti verranno usati nella sezione Creare flusso di lavoro.

In GitHubpassare al repository.
Selezionare Impostazioni > Segreti e variabili > Azioni > Nuovo segretodel repository.
Incollare l'intero output JSON del comando dell'interfaccia della riga di comando di Azure nel campo del valore del segreto. Assegnare al segreto il nome AZURE_CREDENTIALS.
Creare un altro segreto denominato AZURE_RG. Aggiungere il nome del gruppo di risorse al campo valore del segreto (exampleRG).
Creare un altro segreto denominato AZURE_SUBSCRIPTION. Aggiungere l'ID sottoscrizione al campo valore del segreto (ad esempio: 90fd3f9d-4c61-432d-99ba-1273f236afa2).

È necessario fornire l'ID client, l'ID tenant e l'ID abbonamento dell'applicazione all'azione di login. Questi valori possono essere forniti direttamente nel flusso di lavoro o possono essere archiviati nei segreti GitHub e a cui si fa riferimento nel flusso di lavoro. Il salvataggio dei valori come segreti GitHub è l'opzione più sicura.

Aprire il repository GitHub e passare a Impostazioni.
Selezionare Impostazioni > Segreti > Nuovo segreto.
Creare segreti per AZURE_CLIENT_ID, AZURE_TENANT_ID e AZURE_SUBSCRIPTION_ID. Usare questi valori dell'applicazione Active Directory per i segreti di GitHub:

Segreto GitHub Applicazione Active Directory

AZURE_CLIENT_ID ID applicazione (client)

AZURE_TENANT_ID ID della directory (tenant)

AZURE_SUBSCRIPTION_ID ID sottoscrizione
Salvare ogni segreto selezionando Aggiungi segreto.

Segreto GitHub	Applicazione Active Directory
AZURE_CLIENT_ID	ID applicazione (client)
AZURE_TENANT_ID	ID della directory (tenant)
AZURE_SUBSCRIPTION_ID	ID sottoscrizione

Aggiungere un file Bicep

Aggiungere un file Bicep al repository GitHub. Il file Bicep seguente crea un account di archiviazione:

@minLength(3)
@maxLength(11)
param storagePrefix string

@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_RAGRS'
  'Standard_ZRS'
  'Premium_LRS'
  'Premium_ZRS'
  'Standard_GZRS'
  'Standard_RAGZRS'
])
param storageSKU string = 'Standard_LRS'

param location string = resourceGroup().location

var uniqueStorageName = '${storagePrefix}${uniqueString(resourceGroup().id)}'

resource stg 'Microsoft.Storage/storageAccounts@2021-04-01' = {
  name: uniqueStorageName
  location: location
  sku: {
    name: storageSKU
  }
  kind: 'StorageV2'
  properties: {
    supportsHttpsTrafficOnly: true
  }
}

output storageEndpoint object = stg.properties.primaryEndpoints

Il file Bicep richiede un parametro denominato storagePrefix con 3-11 caratteri.

È possibile inserire il file in un punto qualsiasi del repository. L'esempio del flusso di lavoro nella sezione successiva presuppone che il file Bicep sia denominato main.bicepe che sia archiviato nella radice del repository.

Creare un flusso di lavoro

Un flusso di lavoro definisce i passaggi da eseguire quando viene attivato. Si tratta di un file YAML (.yml) nel percorso .github/workflows/ del repository. Il file del flusso di lavoro può avere estensione .yml o .yaml.

Per creare un flusso di lavoro, seguire questa procedura:

Dal repository GitHub, selezionare Actions dal menu in alto.
Selezionare Nuovo flusso di lavoro.
Selezionare Set up a workflow yourself (Configurare manualmente un flusso di lavoro).
Se si preferisce un nome diverso da main.yml, rinominare il file del flusso di lavoro. Ad esempio: deployBicepFile.yml.

Sostituire il contenuto del file yml con il codice seguente:

Entità servizio
OpenID Connect

name: Deploy Bicep file
on: [push]
jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:

    - name: Checkout code
      uses: actions/checkout@main

    - name: Log into Azure
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - name: Deploy Bicep file
      uses: azure/arm-deploy@v1
      with:
        subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
        resourceGroupName: ${{ secrets.AZURE_RG }}
        template: ./main.bicep
        parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
        failOnStdErr: false

Sostituire mystore con il prefisso del nome dell'account di archiviazione.

Nota

È possibile specificare invece un file di parametri di formato JSON nell'azione ARM Deploy (ad esempio: .azuredeploy.parameters.json).

La prima sezione del file del flusso di lavoro include:

name: nome del flusso di lavoro.
on: nome degli eventi GitHub che attivano il flusso di lavoro. Il flusso di lavoro viene attivato quando è presente un evento push nel ramo principale.

on: [push]
name: Azure ARM
permissions:
  id-token: write
  contents: read
jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:

      # Checkout code
    - uses: actions/checkout@main

      # Log into Azure
    - uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      # Deploy Bicep file
    - name: deploy
      uses: azure/arm-deploy@v1
      with:
        subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
        resourceGroupName: ${{ secrets.AZURE_RG }}
        template: ./main.bicep
        parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
        failOnStdErr: false

Selezionare Eseguire il commit delle modifiche.
Selezionare Eseguire il commit direttamente nel ramo master.
Selezionare Commit new file (Commit nuovo file) (o Commit modifiche).

L'aggiornamento del file del flusso di lavoro o del file Bicep attiva il flusso di lavoro. Il flusso di lavoro viene avviato subito dopo il commit delle modifiche.

Controllare lo stato del flusso di lavoro

Selezionare la scheda Actions. Verrà visualizzato un flusso di lavoro Crea deployBicepFile.yml elencato. L'esecuzione del flusso di lavoro richiede 1-2 minuti.
Selezionare il flusso di lavoro per aprirlo e verificare che Status sia Success.

Pulire le risorse

Quando il gruppo di risorse e il repository non sono più necessari, pulire le risorse distribuite eliminando il gruppo di risorse e il repository GitHub.

CLI
PowerShell

az group delete --name exampleRG

Remove-AzResourceGroup -Name exampleRG

Passaggi successivi

Struttura e sintassi dei file Bicep