クイック スタート: GitHub Actions を使用して Azure Database for MySQL - フレキシブル サーバーに接続する

適用対象: Azure Database for MySQL - 単一サーバー Azure Database for MySQL - フレキシブル サーバー

重要

Azure Database for MySQL シングル サーバーは廃止パスにあります。 Azure Database for MySQL フレキシブル サーバーにアップグレードすることを強くお勧めします。 Azure Database for MySQL フレキシブル サーバーへの移行の詳細については、Azure Database for MySQL シングル サーバーの現状に関するページを参照してください

Azure Database for MySQL フレキシブル サーバー にデータベースの更新をデプロイするワークフローを使用することによって、GitHub Actions の使用を開始します。

前提条件

必要なものは次のとおりです。

• アクティブなサブスクリプションが含まれる Azure アカウント。 無料でアカウントを作成できます。

• GitHub アカウント。 GitHub アカウントをお持ちでない場合は、無料でサインアップできます。

• サンプル データ (data.sql) が格納された GitHub リポジトリ。

  重要

  このクイックスタートでは、関連付けられた IP アドレスを必要に応じてファイアウォール規則に追加できるよう、GitHub リポジトリがコンピューターに複製されていることを前提としています。

• Azure Database for MySQL フレキシブル サーバー インスタンス。

  • クイック スタート: Azure portal で Azure Database for MySQL フレキシブル サーバー インスタンスを作成する

ワークフロー ファイルの概要

GitHub Actions ワークフローは、お使いのリポジトリの /.github/workflows/ パスの YAML (.yml) ファイルに定義されます。 この定義には、ワークフローを構成するさまざまな手順とパラメーターが含まれます。

このファイルには 2 つのセクションがあります。

Section	タスク
認証	1.デプロイ資格情報を生成します。
デプロイする	1. データベースをデプロイします。

デプロイ資格情報を生成する

サービス プリンシパル

Azure CLI で az ad sp create-for-rbac コマンドを使用して、サービス プリンシパルを作成します。 このコマンドは、Azure portal で Azure Cloud Shell を使用するか、[試してみる] ボタンを選択して実行します。

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

--json-auth パラメーターは、Azure CLI バージョン 2.51.0 以降で使用できます。 これ以前のバージョンでは --sdk-auth を使用し、非推奨の警告が表示されます。

上記の例で、プレースホルダーをご利用のサブスクリプション ID、リソース グループ名、アプリ名に置き換えます。 これにより、以下のようなご自分の App Service アプリにアクセスするためのロールの割り当て資格情報を含む JSON オブジェクトが出力されます。 この JSON オブジェクトを後のためにコピーします。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Connect は、短期間のトークンを使用する認証方法です。 GitHub Actions を使用して OpenID Connect を設定すると、セキュリティが強化されたより複雑なプロセスになります。

1. 既存のアプリケーションがない場合は、リソースにアクセスできる新しい Microsoft Entra アプリケーションとサービス プリンシパルを登録します。

   az ad app create --display-name myApp
   

   このコマンドにより、あなたの client-id である appId を持つ JSON が出力されます。 この objectId は APPLICATION-OBJECT-ID であり、Graph API 呼び出しを使用してフェデレーション資格情報を作成するために使用されます。 後で AZURE_CLIENT_ID の GitHub シークレットとして使用する値を保存します。

2. サービス プリンシパルを作成する。 $appID を、JSON 出力のアプリ ID に置き換えてください。 このコマンドを実行すると、次のステップで使用される異なる objectId を持つ JSON 出力を生成します。 新しい objectId は assignee-object-id です。

   このコマンドにより、異なる objectId を持つ JSON 出力が生成され、次のステップで使用されます。 新しい objectId は assignee-object-id です。

   後で AZURE_TENANT_ID の GitHub シークレットとして使用するために、appOwnerTenantId をコピーします。

    az ad sp create --id $appId
   

3. サブスクリプションとオブジェクト別に新しいロールの割り当てを作成します。 既定では、ロールの割り当ては既定のサブスクリプションに関連付けされます。 $subscriptionId をサブスクリプション ID に、$resourceGroupName をリソース グループ名に、$assigneeObjectId を生成された assignee-object-id (新しく作成されたサービス プリンシパル オブジェクト ID) に置き換えます。

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. 次のコマンドを実行して、Microsoft Entra アプリケーションの新しいフェデレーション ID 資格情報を作成します。

   • APPLICATION-OBJECT-ID を Microsoft Entra アプリケーションの objectId (アプリの作成中に生成) に置き換えてください。
   • 後で参照するには、CREDENTIAL-NAME の値を設定します。
   • subject を設定します。 この値は、ワークフローに応じて、GitHub によって定義されます。
     • GitHub Actions 環境のジョブ: repo:< Organization/Repository >:environment:< Name >
     • 環境に関連付けられていないジョブの場合は、ワークフローのトリガーに使用される ref パスに基づいて、ブランチ/タグの ref パスを含めます: repo:< Organization/Repository >:ref:< ref path>。 たとえば、repo:n-username/ node_express:ref:refs/heads/my-branch または repo:n-username/ node_express:ref:refs/tags/my-tag です。
     • プル要求イベントによってトリガーされるワークフローの場合: repo:< Organization/Repository >:pull_request。

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

MySQL 接続文字列をコピーする

Azure portal で、Azure Database for MySQL フレキシブル サーバー インスタンスに移動し、[設定]>[接続文字列] を開きます。 ADO.NET の接続文字列をコピーします。 プレースホルダー your_database および your_password の値を置き換えます。 接続文字列は次の例のようになります。

重要

• Azure Database for MySQL 単一サーバーの場合は、Uid=adminusername@servername を使用します。 @servername は必須です。
• Azure Database for MySQL フレキシブル サーバーの場合は、@servername なしで Uid= adminusername を使用します。

   Server=my-mysql-server.mysql.database.azure.com; Port=3306; Database={your_database}; Uid=adminname@my-mysql-server; Pwd={your_password}; SslMode=Preferred;

この接続文字列を GitHub シークレットとして使用します。

GitHub シークレットの構成

サービス プリンシパル

1. GitHub で、お使いのリポジトリに移動します。

2. ナビゲーション メニューで [設定] に移動します。

3. [Security] (セキュリティ) > [Secrets and variables] (シークレットと変数) > [Actions] (アクション) を選びます。

   

4. [New repository secret](新しいリポジトリ シークレット) を選択します。

5. Azure CLI コマンドからの JSON 出力全体をシークレットの値フィールドに貼り付けます。 シークレットに AZURE_CREDENTIALS と名前を付けます。

6. [Add secret](シークレットの追加) を選択します。

OpenID Connect

ログイン アクションには、アプリケーションのクライアント ID、テナント ID、サブスクリプション IDを指定する必要があります。 これらの値は、ワークフロー内で直接指定するか、GitHub シークレットに格納してワークフローで参照できます。 GitHub シークレットとして値を保存する方がより安全なオプションです。

1. GitHub で、お使いのリポジトリに移動します。

2. [Security] (セキュリティ) > [Secrets and variables] (シークレットと変数) > [Actions] (アクション) を選びます。

   

3. [New repository secret](新しいリポジトリ シークレット) を選択します。

4. AZURE_CLIENT_ID、AZURE_TENANT_ID、AZURE_SUBSCRIPTION_ID のシークレットを作成します。 GitHub シークレットには、Microsoft Entra アプリケーションの次の値を使用します。

   GitHub シークレット	Microsoft Entra アプリケーション
   AZURE_CLIENT_ID	アプリケーション (クライアント) ID
   AZURE_TENANT_ID	ディレクトリ (テナント) ID
   AZURE_SUBSCRIPTION_ID	サブスクリプション ID

5. [Add secret](シークレットの追加) を選択して各シークレットを保存します。

ワークフローを追加する

1. GitHub リポジトリの [Actions](アクション) にアクセスします。

2. [Set up a workflow yourself](ワークフローを自分でセットアップする) を選択します。

3. ワークフロー ファイルの on: セクションの後にあるすべてのものを削除します。 たとえば、残りのワークフローは次のようになります。

   name: CI
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   

4. ワークフロー MySQL for GitHub Actions の名前を変更し、チェックアウトとログインのアクションを追加します。 これらのアクションにより、サイト コードがチェックアウトされ、先ほど作成した AZURE_CREDENTIALS GitHub シークレットを使って Azure に対する認証が行われます。

   サービス プリンシパル

   name: MySQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   
   jobs:
       build:
           runs-on: windows-latest
           steps:
           - uses: actions/checkout@v1
           - uses: azure/login@v1
               with:
                   creds: ${{ secrets.AZURE_CREDENTIALS }}
   

   OpenID Connect

   name: MySQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   
   jobs:
       build:
           runs-on: windows-latest
           steps:
           - uses: actions/checkout@v1
           - uses: azure/login@v1
               with:
                 client-id: ${{ secrets.AZURE_CLIENT_ID }}
                 tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                 subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   

5. Azure MySQL のデプロイ アクションを使用して、MySQL インスタンスに接続します。 MYSQL_SERVER_NAME をご自分のサーバーの名前に置き換えます。 リポジトリのルート レベルに data.sql という名前の MySQL データ ファイルを配置する必要があります。

   - uses: azure/mysql@v1
     with:
       server-name: MYSQL_SERVER_NAME
       connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
       sql-file: './data.sql'
   

6. Azure のサインアウトにアクションを追加して、ワークフローを完成させます。 完成したワークフローを次に示します。 このファイルは、リポジトリの .github/workflows フォルダーに表示されます。

   サービス プリンシパル

   name: MySQL for GitHub Actions
   
   on:
     push:
         branches: [ main ]
     pull_request:
         branches: [ main ]
   jobs:
       build:
           runs-on: windows-latest
           steps:
             - uses: actions/checkout@v1
             - uses: azure/login@v1
               with:
                 creds: ${{ secrets.AZURE_CREDENTIALS }}
   
             - uses: azure/mysql@v1
               with:
                 server-name: MYSQL_SERVER_NAME
                 connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
                 sql-file: './data.sql'
   
               # Azure logout
             - name: logout
               run: |
                 az logout
   

   OpenID Connect

   name: MySQL for GitHub Actions
   
   on:
     push:
         branches: [ main ]
     pull_request:
         branches: [ main ]
   jobs:
       build:
           runs-on: windows-latest
           steps:
             - uses: actions/checkout@v1
             - uses: azure/login@v1
               with:
                 client-id: ${{ secrets.AZURE_CLIENT_ID }}
                 tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                 subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
             - uses: azure/mysql@v1
               with:
                 server-name: MYSQL_SERVER_NAME
                 connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
                 sql-file: './data.sql'
   
               # Azure logout
             - name: logout
               run: |
                 az logout
   

デプロイを確認する

1. GitHub リポジトリの [Actions](アクション) にアクセスします。

2. 最初の結果を開くと、ワークフローの実行の詳細なログが表示されます。

   

リソースをクリーンアップする

Azure Database for MySQL フレキシブル サーバー データベースとリポジトリが不要になったら、リソース グループと GitHub リポジトリを削除して、デプロイしたリソースをクリーンアップします。

次のステップ

Azure と GitHub の統合に関する詳細