GitHub Actions を使用した App Service へのカスタム コンテナーのデプロイ

GitHub Actions を使用すると、自動化されたソフトウェア開発ワークフローを柔軟に構築できます。 Azure Web Deploy アクションを使用すれば、カスタム コンテナーを App Service にデプロイするワークフローを、GitHub Actions を使用して自動化できます。

ワークフローは、お使いのリポジトリの /.github/workflows/ パスの YAML (.yml) ファイルに定義されます。 この定義には、ワークフローに含まれるさまざまな手順とパラメーターが含まれています。

Azure App Service のコンテナー ワークフロー ファイルには、次の 3 つのセクションがあります。

Section	タスク
認証	1.サービス プリンシパルまたは発行プロファイルを取得します。 2.GitHub シークレットを作成します。
ビルド	1.環境を作成します。 2.コンテナー イメージをビルドします。
デプロイする	1.コンテナー イメージをデプロイする

前提条件

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成する
• GitHub アカウント。 ない場合は、無料でサインアップしてください。 Azure App Service にデプロイするには、GitHub リポジトリにコードが必要です。
• コンテナー用の作業コンテナー レジストリと Azure App Service アプリ。 この例では、Azure Container Registry を使用します。 コンテナー用の Azure App Service への完全デプロイを確実に完了してください。 通常の Web アプリと異なり、コンテナー用の Web アプリには既定のランディング ページがありません。 実際の例を得るには、コンテナーを発行します。
  • コンテナー化された Node.js アプリケーションを Docker を使って作成し、コンテナー イメージをレジストリにプッシュした後、イメージを Azure App Service にデプロイする方法をご確認ください

デプロイ資格情報を生成する

GitHub Actions 用の Azure App Services での認証で推奨される方法は、発行プロファイルを使用することです。 サービス プリンシパルまたは Open ID Connect を使用して認証することもできますが、プロセスに必要な手順が多くなります。

発行プロファイル資格情報またはサービス プリンシパルを GitHub シークレットとして保存して、Azure で認証します。 ワークフロー内のシークレットにアクセスします。

発行プロファイル

発行プロファイルは、アプリレベルの資格情報です。 発行プロファイルを GitHub シークレットとして設定します。

1. Azure portal で、お使いのアプリ サービスに移動します。

2. [概要] ページで、 [発行プロファイルの取得] オプションを選択します。

   Note

   2020 年 10 月の時点で、Linux Web アプリでは、WEBSITE_WEBDEPLOY_USE_SCM、アプリ設定 WEBSITE_WEBDEPLOY_USE_SCM を true に設定する必要があります。 この要件は、今後削除される予定です。 一般的な Web アプリの設定を構成する方法については、「Azure portal で App Service アプリを構成する」を参照してください。

3. ダウンロードしたファイルを保存します。 このファイルの内容を使用して、GitHub シークレットを作成します。

サービス プリンシパル

サービス プリンシパルは、Azure CLI で az ad sp create-for-rbac コマンドを使用して作成できます。 このコマンドは、Azure portal で Azure Cloud Shell を使用するか、 [試してみる] ボタンを選択して実行します。

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

この例で、プレースホルダーをお使いのサブスクリプション ID、リソース グループ名、アプリ名に置き換えます。 これにより、この App Service アプリにアクセスするためのロールの割り当て資格情報を含む JSON オブジェクトが出力されます。 この JSON オブジェクトを後のためにコピーします。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

重要

常に最小限のアクセス権を付与することをお勧めします。 前の例の範囲は、リソース グループ全体ではなく、特定の App Service アプリに限定されます。

OpenID Connect

OpenID Connect は、短期間のトークンを使用する認証方法です。 GitHub Actions を使用して OpenID Connect を設定すると、セキュリティが強化されたより複雑なプロセスになります。

1. 既存のアプリケーションがない場合は、リソースにアクセスできる新しい Active Directory アプリケーションとサービス プリンシパルを登録します。 Active Directory アプリケーションを作成します。

   az ad app create --display-name myApp
   

   このコマンドにより、あなたの client-id である appId を持つ JSON が出力されます。 後で AZURE_CLIENT_ID の GitHub シークレットとして使用する値を保存します。

   この objectId 値は、Graph API を使用してフェデレーション資格情報を作成するときに使用し、APPLICATION-OBJECT-ID として参照します。

2. サービス プリンシパルを作成する。 $appID を、JSON 出力のアプリ ID に置き換えてください。

   このコマンドにより、異なる objectId を持つ JSON 出力が生成され、次のステップで使用されます。 新しい objectId は assignee-object-id です。

   後で AZURE_TENANT_ID の GitHub シークレットとして使用するために、appOwnerTenantId をコピーします。

    az ad sp create --id $appId
   

3. サブスクリプションとオブジェクト別に新しいロールの割り当てを作成します。 既定では、ロールの割り当ては既定のサブスクリプションに関連付けされます。 $subscriptionId をサブスクリプション ID に、$resourceGroupName をリソース グループ名に、$assigneeObjectId を生成された assignee-object-id に置き換えます。 Azure CLI を使用して Azure サブスクリプションを管理する方法について説明します。

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. 次のコマンドを実行して、Active Directory アプリケーションの新しいフェデレーション ID 資格情報を作成します。

   • APPLICATION-OBJECT-ID を Active Directory アプリケーションの objectId (アプリ作成時に生成) に置き換えてください。
   • 後で参照するには、CREDENTIAL-NAME の値を設定します。
   • subject を設定します。 この値は、ワークフローに応じて、GitHub によって定義されます。
     • GitHub Actions 環境のジョブ: repo:< Organization/Repository >:environment:< Name >
     • 環境に関連付けられていないジョブの場合は、ワークフローのトリガーに使用される ref パスに基づいて、ブランチ/タグの ref パスを含めます: repo:< Organization/Repository >:ref:< ref path>。 たとえば、repo:n-username/ node_express:ref:refs/heads/my-branch または repo:n-username/ node_express:ref:refs/tags/my-tag です。
     • プル要求イベントによってトリガーされるワークフローの場合: repo:< Organization/Repository >:pull_request。

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

   Active Directory 作成アプリケーション、サービス プリンシパル、およびフェデレーション資格情報を Azure portal で作成する方法については、「Connect GitHub および Azure」を参照してください。

認証用の GitHub シークレットを構成する

発行プロファイル

GitHub でリポジトリを参照します。 [設定] > [セキュリティ] > [シークレットと変数] > [アクション] > [新しいリポジトリ シークレット] の順に選択します。

アプリ レベルの資格情報を使用するには、ダウンロードした発行プロファイルのファイルの内容をシークレットの値フィールドに貼り付けます。 シークレットに AZURE_WEBAPP_PUBLISH_PROFILE という名前を付けます。

GitHub ワークフローを構成するときに、Azure Web アプリをデプロイするアクションの中で AZURE_WEBAPP_PUBLISH_PROFILE を使用します。 次に例を示します。

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

サービス プリンシパル

GitHub でリポジトリを参照します。 [設定] > [セキュリティ] > [シークレットと変数] > [アクション] > [新しいリポジトリ シークレット] の順に選択します。

ユーザー レベルの資格情報を使用するには、Azure CLI コマンドからの JSON 出力全体をシークレットの値フィールドに貼り付けます。 シークレットに AZURE_CREDENTIALS などの名前を指定します。

後でワークフロー ファイルを構成する場合は、Azure ログイン アクションの入力 creds にシークレットを使用します。 次に例を示します。

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

ログイン アクションには、アプリケーションのクライアント ID、テナント ID、サブスクリプション IDを指定する必要があります。 これらの値は、ワークフロー内で直接指定するか、GitHub シークレットに格納してワークフローで参照できます。 GitHub シークレットとして値を保存する方がより安全なオプションです。

1. GitHub リポジトリを開き、[設定] > [セキュリティ] > [シークレットと変数] > [アクション] > [新しいリポジトリ シークレット] の順に移動します。

2. AZURE_CLIENT_ID、AZURE_TENANT_ID、AZURE_SUBSCRIPTION_ID のシークレットを作成します。 GitHub シークレットには、Active Directory アプリケーションの次の値を使用します。 これらの値は、Azure portal で Active Directory アプリケーションを検索して見つけることができます。

   GitHub シークレット	Active Directory アプリケーション
   AZURE_CLIENT_ID	アプリケーション (クライアント) ID
   AZURE_TENANT_ID	ディレクトリ (テナント) ID
   AZURE_SUBSCRIPTION_ID	サブスクリプション ID

3. [Add secret](シークレットの追加) を選択して各シークレットを保存します。

レジストリ用の GitHub シークレットを構成する

Docker ログイン アクションで使用するシークレットを定義します。 このドキュメントの例では、コンテナー レジストリ用に Azure Container Registry を使用しています。

1. Azure portal または Docker でお使いのコンテナーにアクセスし、ユーザー名とパスワードをコピーします。 Azure Container Registry のユーザー名とパスワードは、Azure portal の、お使いのレジストリの [設定]>[アクセス キー] で確認できます。

2. レジストリ ユーザー名のために REGISTRY_USERNAME という名前の新しいシークレットを定義します。

3. レジストリ パスワードのために REGISTRY_PASSWORD という名前の新しいシークレットを定義します。

コンテナー イメージのビルド

次の例は、Node.js Docker イメージをビルドするワークフローの一部を示しています。 Docker Login を使用してプライベート コンテナー レジストリにログインします。 この例では Azure Container Registry を使用しますが、他のレジストリでも同じアクションを実行できます。

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

また、Docker Login を使用して複数のコンテナー レジストリに同時にサインインすることもできます。 この例には、docker.io を使用した認証用の 2 つの新しい GitHub シークレットが含まれています。 この例は、レジストリのルート レベルに Dockerfile があることを前提としています。

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

App Service コンテナーへのデプロイ

App Service のカスタム コンテナーにイメージをデプロイするには、azure/webapps-deploy@v2 アクションを使用します。 このアクションには 7 つのパラメーターがあります。

パラメーター	説明
app-name	(必須) App Service アプリの名前
publish-profile	(オプション) Web アプリ (Windows および Linux) および Web アプリ コンテナー (Linux) に適用されます。 複数コンテナー シナリオはサポートされていません。 Web 配置のシークレットでプロファイル (*.publishsettings) ファイルの内容を発行します
slot-name	(オプション) 運用スロット以外の既存のスロットを入力します。
package	(オプション) Web アプリのみに適用されます。パッケージまたはフォルダーへのパス。 デプロイする *.zip、*.war、*.jar またはフォルダー
images	(必須) Web アプリ コンテナーのみに適用されます。完全修飾コンテナー イメージ名を指定します。 たとえば、' myregistry.azurecr.io/nginx:latest ' や ' python:3.7.2-alpine/' などです。 複数コンテナー アプリの場合は、複数のコンテナー イメージ名を指定できます (複数行で区切ります)。
configuration-file	(オプション) Web アプリ コンテナーのみに適用されます。Docker-Compose ファイルのパス。 完全修飾パスか、既定の作業ディレクトリを基準とした相対パスのいずれかです。 複数コンテナー アプリの場合は必須です。
スタートアップ コマンド	(オプション) スタートアップ コマンドを入力します。 たとえば、dotnet run または dotnet filename.dll

発行プロファイル

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

サービス プリンシパル

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

次のステップ

GitHub には、一連のアクションが別々のリポジトリにあります。それぞれには、CI/CD に GitHub を使用し、ご自身のアプリを Azure にデプロイするときに役立つドキュメントとサンプルが含まれています。

• Azure にデプロイするためのアクション ワークフロー

• Azure サインイン

• Azure WebApp

• Docker のサインイン/アウト

• ワークフローをトリガーするイベント

• K8s のデプロイ

• スターター ワークフロー