GitHub Actions를 사용하여 ARM 템플릿 배포

GitHub Actions는 코드를 저장하고 끌어오기 요청 및 이슈에 대해 공동 작업하는 곳과 동일한 위치에서 소프트웨어 개발 워크플로를 자동화하는 GitHub의 기능 모음입니다.

Azure Resource Manager 템플릿 배포 작업을 사용하여 Azure에 대한 ARM 템플릿(Azure Resource Manager 템플릿) 배포를 자동화할 수 있습니다.

필수 조건

• 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.

• GitHub 계정. 없는 경우 평가판에 등록하세요.

  • Resource Manager 템플릿 및 워크플로 파일을 저장하는 GitHub 리포지토리. 리포지토리를 만들려면 새 리포지토리 만들기를 참조하세요.

워크플로 파일 개요

워크플로는 리포지토리의 /.github/workflows/ 경로에 있는 YAML(.yml) 파일에서 정의됩니다. 이 정의는 워크플로를 구성하는 다양한 단계와 매개 변수를 포함합니다.

이 파일에는 다음 두 가지 섹션이 있습니다.

섹션	작업
인증	1. 배포 자격 증명을 생성합니다.
Deploy	1. Resource Manager 템플릿을 배포합니다.

배포 자격 증명 생성

서비스 주체

Azure CLI에서 az ad sp create-for-rbac 명령을 사용하여 서비스 주체를 만듭니다. 이 명령은 Azure Portal에서 Azure Cloud Shell을 사용하거나 사용해 보세요 단추를 선택하여 실행합니다.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

--json-auth 매개 변수는 Azure CLI 버전 >= 2.51.0에서 사용할 수 있습니다. 이전 버전에서는 사용 중단 경고와 함께 --sdk-auth를 사용합니다.

위의 예시에서 자리 표시자를 구독 ID, 리소스 그룹 이름 및 앱 이름으로 바꿉니다. 출력은 아래와 비슷한 App Service 앱에 대한 액세스를 제공하는 역할 할당 자격 증명이 있는 JSON 개체입니다. 나중에 사용할 수 있도록 이 JSON 개체를 복사합니다.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Connect는 단기 토큰을 사용하는 인증 방법입니다. GitHub Actions로 OpenID Connect 설정은 보안 강화를 제공하는 더 복잡한 프로세스입니다.

1. 기존 애플리케이션이 없는 경우 리소스에 액세스할 수 있는 새 Microsoft Entra 애플리케이션 및 서비스 주체를 등록합니다.

   az ad app create --display-name myApp
   

   이 명령은 appId(사용자의 client-id)가 포함된 JSON을 출력합니다. objectId는 APPLICATION-OBJECT-ID이며 Graph API 호출로 페더레이션된 자격 증명을 만드는 데 사용됩니다. 이 값을 저장하여, 나중에 AZURE_CLIENT_ID GitHub 비밀로 사용합니다.

2. 서비스 주체를 생성합니다. $appID를 JSON 출력의 appId로 대체합니다. 이 명령은 다른 objectId로 JSON 출력을 생성하며 다음 단계에서 사용됩니다. 새 objectId는 assignee-object-id입니다.

   이 명령은 다른 objectId로 JSON 출력을 생성하며 다음 단계에서 사용됩니다. 새 objectId는 assignee-object-id입니다.

   appOwnerTenantId를 복사하여 나중에 AZURE_TENANT_ID에 대한 GitHub 비밀로 사용합니다.

    az ad sp create --id $appId
   

3. 구독 및 개체별 새 역할 할당을 만듭니다. 기본적으로 역할 할당은 기본 구독에 연결됩니다. $subscriptionId를 구독 ID로 바꾸고, $resourceGroupName을 리소스 그룹 이름으로 바꾸고, $assigneeObjectId를 생성된 assignee-object-id(새로 만들어진 서비스 주체 개체 ID)로 바꿉니다.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. 다음 명령을 실행하여 Microsoft Entra 애플리케이션에 대한 새 페더레이션된 ID 자격 증명을 만듭니다.

   • APPLICATION-OBJECT-ID를 Microsoft Entra 애플리케이션의 objectId(앱 만들기 중에 생성됨)로 바꿉니다.
   • CREDENTIAL-NAME의 값을 나중에 참조하도록 설정합니다.
   • subject를 설정합니다. 이 값은 워크플로에 따라 GitHub에 의해 정의됩니다.
     • GitHub Actions 환경의 작업: repo:< Organization/Repository >:environment:< Name >
     • 환경에 연결되지 않은 작업의 경우 워크플로를 트리거하는 데 사용되는 참조 경로를 기반으로 분기/태그에 대한 참조 경로(repo:< Organization/Repository >:ref:< ref path>)를 포함합니다. 예를 들어 repo:n-username/ node_express:ref:refs/heads/my-branch 또는 repo:n-username/ node_express:ref:refs/tags/my-tag입니다.
     • 끌어오기 요청 이벤트에 의해 트리거된 워크플로의 경우: repo:< Organization/Repository >:pull_request

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

GitHub 비밀 구성

서비스 주체

1. GitHub에서 리포지토리로 이동합니다.

2. 탐색 메뉴에서 설정으로 이동합니다.

3. 보안 > 비밀 및 변수 > 작업을 선택합니다.

   

4. 새 리포지토리 비밀을 선택합니다.

5. Azure CLI 명령의 전체 JSON 출력을 비밀의 값 필드에 붙여넣습니다. 비밀 이름을 AZURE_CREDENTIALS으로 지정합니다.

6. 비밀 추가를 선택합니다.

OpenID Connect

로그인 작업에 애플리케이션의 클라이언트 ID, 테넌트 ID 및 구독 ID를 제공해야 합니다. 이러한 값은 워크플로에서 직접 제공하거나 GitHub 비밀에 저장하고 워크플로에서 참조할 수 있습니다. 값을 GitHub 비밀로 저장하는 것이 더 안전한 옵션입니다.

1. GitHub에서 리포지토리로 이동합니다.

2. 보안 > 비밀 및 변수 > 작업을 선택합니다.

   

3. 새 리포지토리 비밀을 선택합니다.

4. AZURE_CLIENT_ID, AZURE_TENANT_ID 및 AZURE_SUBSCRIPTION_ID에 대한 비밀을 만듭니다. GitHub 비밀에 대해 Microsoft Entra 애플리케이션의 다음 값을 사용합니다.

   GitHub 비밀	Microsoft Entra 애플리케이션
   AZURE_CLIENT_ID	애플리케이션(클라이언트) ID
   AZURE_TENANT_ID	디렉터리(테넌트) ID
   AZURE_SUBSCRIPTION_ID	구독 ID

5. 비밀 추가를 선택하여 각 비밀을 저장합니다.

Resource Manager 템플릿 추가

GitHub 리포지토리에 Resource Manager 템플릿을 추가합니다. 이 템플릿으로 스토리지 계정을 만듭니다.

https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json

파일을 리포지토리의 어디에나 배치할 수 있습니다. 다음 섹션의 워크플로 샘플에서는 템플릿 파일의 이름이 azuredeploy.json이고 리포지토리의 루트에 저장된다고 가정합니다.

워크플로 만들기

워크플로 파일은 리포지토리의 루트에 있는 .github/workflows 폴더에 저장해야 합니다. 워크플로 파일 확장명은 .yml 또는 .yaml일 수 있습니다.

1. GitHub 리포지토리의 상단 메뉴에서 작업을 선택합니다.
2. 새 워크플로를 선택합니다.
3. 워크플로 직접 설정을 선택합니다.
4. main.yml이 아닌 다른 이름을 선호하는 경우 워크플로 파일의 이름을 바꿉니다. 예: deployStorageAccount.yml.
5. yml 파일의 내용을 다음으로 바꿉니다.

서비스 주체

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

참고 항목

ARM 배포 작업에 대신 JSON 형식 매개 변수 파일을 지정할 수 있습니다(예: .azuredeploy.parameters.json).

워크플로 파일의 첫 번째 섹션에는 다음이 포함됩니다.

• name: 워크플로의 이름입니다.
• on: 워크플로를 트리거하는 GitHub 이벤트의 이름입니다. 기본 분기에 지정된 두 파일 중 하나 이상을 수정하는 푸시 이벤트가 있는 경우 워크플로가 트리거됩니다. 두 파일은 워크플로 파일 및 템플릿 파일입니다.

OpenID Connect

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

참고 항목

ARM 배포 작업에 대신 JSON 형식 매개 변수 파일을 지정할 수 있습니다(예: .azuredeploy.parameters.json).

워크플로 파일의 첫 번째 섹션에는 다음이 포함됩니다.

• name: 워크플로의 이름입니다.
• on: 워크플로를 트리거하는 GitHub 이벤트의 이름입니다. 기본 분기에 지정된 두 파일 중 하나 이상을 수정하는 푸시 이벤트가 있는 경우 워크플로가 트리거됩니다. 두 파일은 워크플로 파일 및 템플릿 파일입니다.

1. 커밋 시작을 선택합니다.
2. 기본 분기에 직접 커밋을 선택합니다.
3. 새 파일 커밋(또는 변경 내용 커밋)을 선택합니다.

업데이트되는 워크플로 파일이나 템플릿 파일에 의해 트리거되도록 워크플로를 구성했기 때문에 변경 내용을 커밋하면 워크플로가 바로 시작됩니다.

워크플로 상태 확인

1. 작업 탭을 선택합니다. deployStorageAccount.yml 만들기 워크플로가 나열되어 있습니다. 워크플로를 실행하는 데 1-2분이 소요됩니다.
2. 워크플로를 선택하여 엽니다.
3. 메뉴에서 ARM 배포 실행을 선택하여 배포를 확인합니다.

리소스 정리

리소스 그룹 및 리포지토리가 더 이상 필요하지 않은 경우 리소스 그룹과 GitHub 리포지토리를 삭제하여 배포한 리소스를 정리합니다.

다음 단계

첫 번째 ARM 템플릿 만들기

모듈 Learn: GitHub Actions를 사용하여 ARM 템플릿 배포 자동화