Usare GitHub Actions per connettersi a Database SQL di Azure

Articolo
03/18/2024

Usare un flusso di lavoro GitHub Actions per distribuire aggiornamenti di database a Database SQL di Azure.

Prerequisiti

È necessario:

Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Un repository GitHub con un pacchetto dacpac (Database.dacpac). Se non si ha un account GitHub, è possibile iscriversi gratuitamente.
Database SQL di Azure. Avvio rapido: creare un database SQL di Azure singolo.
File con estensione .dacpac da importare nel database.

Panoramica dei file del flusso di lavoro

Un flusso di lavoro GitHub Actions viene definito da un file YAML (con estensione yml) nel percorso /.github/workflows/ del repository. Questa definizione contiene i vari passaggi e i parametri che costituiscono il flusso di lavoro.

Il file è costituito da due sezioni:

Sezione	Attività
Autenticazione	1.1. Generare le credenziali per la distribuzione.
Distribuzione	1. Distribuire il database.

Generare le credenziali per la distribuzione

Entità servizio
OpenID Connect

Creare un'entità servizio con il comando az ad sp create-for-rbac dell'interfaccia della riga di comando di Azure. Eseguire questo comando con Azure Cloud Shell nel portale di Azure oppure selezionando il pulsante Prova.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

Il parametro --json-auth è disponibile nelle versioni > dell'interfaccia della riga di comando di Azure = 2.51.0. Versioni precedenti a questo utilizzano --sdk-auth con un avviso di deprecazione.

Nell'esempio precedente, sostituire i segnaposto con l'ID sottoscrizione e il nome del gruppo di risorse. L'output è un oggetto JSON con le credenziali di assegnazione di ruolo che forniscono l'accesso all'app del servizio app simile a questo esempio. Copiare l'oggetto JSON per un uso successivo.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect è un metodo di autenticazione che usa token di breve durata. La configurazione di OpenID Connect con GitHub Actions è un processo più complesso che offre sicurezza avanzata.

Se non si dispone di un'applicazione esistente, registrare una nuova applicazione Microsoft Entra e un'entità di servizio in grado di accedere alle risorse.
```
az ad app create --display-name myApp
```
Questo comando restituirà JSON con un oggetto appId corrispondente a client-id. objectId corrisponde a APPLICATION-OBJECT-ID, che verrà usato per la creazione di credenziali federate con chiamate API Graph. Salvare il valore da usare come segreto AZURE_CLIENT_ID GitHub in un secondo momento.
Creare un'entità servizio. Sostituire $appID con appId dall'output JSON. Questo comando genera l'output JSON con un differente objectId che verrà usato nel passaggio successivo. Il nuovo objectId è assignee-object-id.

Questo comando genera l'output JSON con un differente objectId che verrà usato nel passaggio successivo. Il nuovo objectId è assignee-object-id.

Copiare appOwnerTenantId da usare come segreto GitHub per AZURE_TENANT_ID in un secondo momento.
```
 az ad sp create --id $appId
```
Creare una nuova assegnazione di ruolo, per sottoscrizione e oggetto. Per impostazione predefinita l'assegnazione di ruolo verrà associata alla sottoscrizione predefinita. Sostituire $subscriptionId con l'ID sottoscrizione, $resourceGroupName con il nome del gruppo di risorse e $assigneeObjectId con assignee-object-id generato (l'ID oggetto dell'entità servizio appena creato).
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
Eseguire il comando seguente per creare una nuova credenziale di identità federata per l'applicazione Microsoft Entra.
- Sostituire APPLICATION-OBJECT-ID con objectId (generato durante la creazione dell'app) per l'applicazione Microsoft Entra.
- Impostare un valore per CREDENTIAL-NAME cui fare riferimento in un secondo momento.
- Impostare subject. Il valore è definito da GitHub a seconda del flusso di lavoro:
  - Processi nell'ambiente di GitHub Actions: repo:< Organization/Repository >:environment:< Name >
  - Per i processi non associati a un ambiente, includere il percorso di riferimento per ramo/tag in base al percorso di riferimento usato per attivare il flusso di lavoro: repo:< Organization/Repository >:ref:< ref path>. Ad esempio, repo:n-username/ node_express:ref:refs/heads/my-branch o repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Per flussi di lavoro attivati da un evento di richiesta pull: repo:< Organization/Repository >:pull_request.
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

Copiare la stringa di connessione SQL

Nel portale di Azure passare al database SQL di Azure e aprire Impostazioni>Stringhe di connessione. Copiare la stringa di connessione per ADO.NET. Sostituire i valori segnaposto your_database e your_password. La stringa di connessione avrà un aspetto simile a questo output.

Server=tcp:my-sql-server.database.windows.net,1433;Initial Catalog={your-database};Persist Security Info=False;User ID={admin-name};Password={your-password};MultipleActiveResultSets=False;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;

La stringa di connessione verrà usata come segreto GitHub AZURE_SQL_CONNECTION_STRING.

In GitHub passare al repository.
Nel menu di navigazione, andare a Impostazioni.
Selezionare i segreti di Sicurezza > e azioni delle variabili >.
Selezionare Nuovo segreto repository.
Incollare l'intero output JSON del comando dell'interfaccia della riga di comando di Azure nel campo del valore del segreto. Assegnare al segreto il nome AZURE_CREDENTIALS.
Selezionare Aggiungi segreto.

È necessario specificare ID cliente, ID tenant e ID sottoscrizione all'azione di accesso. Questi valori possono essere forniti direttamente nel flusso di lavoro oppure possono essere archiviati nei segreti GitHub e a cui si fa riferimento nel flusso di lavoro. Il salvataggio di valori come segreti GitHub è l'opzione più sicura.

In GitHub passare al repository.
Selezionare i segreti di Sicurezza > e azioni delle variabili >.
Selezionare Nuovo segreto repository.
Creare segreti per AZURE_CLIENT_ID, AZURE_TENANT_ID e AZURE_SUBSCRIPTION_ID. Usare questi valori dell'applicazione Microsoft Entra per i segreti GitHub:

Segreto GitHub Applicazione Microsoft Entra

AZURE_CLIENT_ID ID applicazione (client)

AZURE_TENANT_ID ID della directory (tenant)

AZURE_SUBSCRIPTION_ID ID sottoscrizione
Salvare ogni segreto selezionando Aggiungi segreto.

Segreto GitHub	Applicazione Microsoft Entra
AZURE_CLIENT_ID	ID applicazione (client)
AZURE_TENANT_ID	ID della directory (tenant)
AZURE_SUBSCRIPTION_ID	ID sottoscrizione

Aggiungere il segreto della stringa di connessione SQL

In GitHub passare al repository.
Nel menu di navigazione, andare a Impostazioni.
Selezionare i segreti di Sicurezza > e azioni delle variabili >.
Selezionare Nuovo segreto repository.
Incollare la stringa di connessione SQL. Assegnare al segreto il nome AZURE_SQL_CONNECTION_STRING.
Selezionare Aggiungi segreto.

Aggiungere il flusso di lavoro

Passare ad Actions per il repository GitHub.
Selezionare Set up your workflow yourself (Configurare manualmente il flusso di lavoro).
Eliminare tutti quello che segue la sezione on: del file del flusso di lavoro. Il flusso di lavoro rimanente, ad esempio, potrà essere simile al seguente.
```
name: SQL for GitHub Actions

on:
    push:
        branches: [ main ]
    pull_request:
        branches: [ main ]
```

Rinominare il flusso di lavoro SQL for GitHub Actions e aggiungere le azioni checkout e login. Queste azioni eseguiranno il checkout del codice del sito e l'autenticazione con Azure usando il segreto GitHub AZURE_CREDENTIALS creato in precedenza.

Entità servizio
OpenID Connect

name: SQL for GitHub Actions

on:
    push:
        branches: [ main ]
    pull_request:
        branches: [ main ]

jobs:
    build:
        runs-on: windows-latest
        steps:
         - uses: actions/checkout@v1
         - uses: azure/login@v1
           with:
            creds: ${{ secrets.AZURE_CREDENTIALS }}

    name: SQL for GitHub Actions

    on:
        push:
            branches: [ main ]
        pull_request:
            branches: [ main ]

    jobs:
        build:
            runs-on: windows-latest
            steps:
             - uses: actions/checkout@v1
             - uses: azure/login@v1
               with:
                client-id: ${{ secrets.AZURE_CLIENT_ID }}
                tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Usare l'azione di distribuzione di Azure SQL per connettersi all'istanza di SQL. È necessario avere un pacchetto dacpac (Database.dacpac) al livello radice del repository. Usare il segreto AZURE_SQL_CONNECTION_STRING GitHub creato in precedenza.
```
- uses: azure/sql-action@v2
  with:
    connection-string: ${{ secrets.AZURE_SQL_CONNECTION_STRING }}
    path: './Database.dacpac'
    action: 'Publish'
```

Completare il flusso di lavoro aggiungendo un'azione di disconnessione da Azure. Ecco il flusso di lavoro completato. Il file verrà visualizzato nella cartella .github/workflows del repository.

Entità servizio
OpenID Connect

name: SQL for GitHub Actions

on:
    push:
        branches: [ main ]
    pull_request:
        branches: [ main ]

jobs:
    build:
        runs-on: windows-latest
        steps:
         - uses: actions/checkout@v1
         - uses: azure/login@v1
           with:
            creds: ${{ secrets.AZURE_CREDENTIALS }}
         - uses: azure/sql-action@v2
           with:
            connection-string: ${{ secrets.AZURE_SQL_CONNECTION_STRING }}
            path: './Database.dacpac'
            action: 'Publish'

            # Azure logout 
         - name: logout
           run: |
              az logout

    name: SQL for GitHub Actions

    on:
        push:
            branches: [ main ]
        pull_request:
            branches: [ main ]

    jobs:
        build:
            runs-on: windows-latest
            steps:
             - uses: actions/checkout@v1
             - uses: azure/login@v1
               with:
                client-id: ${{ secrets.AZURE_CLIENT_ID }}
                tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
            # Azure logout 
             - name: logout
               run: |
                 az logout

Esaminare la distribuzione

Passare ad Actions per il repository GitHub.
Aprire il primo risultato per visualizzare i log dettagliati dell'esecuzione del flusso di lavoro.

Pulire le risorse

Quando il database SQL di Azure e il repository non sono più necessari, pulire le risorse distribuite eliminando il gruppo di risorse e il repository GitHub.

Passaggi successivi

Informazioni sull'integrazione di Azure e GitHub