GitHub Actions를 사용하여 Azure SQL Database에 연결하기

아티클
03/25/2024

적용 대상: Azure SQL Database

워크플로를 통해 데이터베이스 업데이트를 Azure SQL Database에 배포하여 GitHub Actions를 시작합니다.

필수 조건

다음 작업을 수행해야 합니다.

활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
dacpac 패키지(Database.dacpac)가 있는 GitHub 리포지토리. GitHub 계정이 없는 경우 평가판에 가입하세요.
Azure SQL Database. 빠른 시작: Azure SQL Database 단일 데이터베이스 만들기
데이터베이스로 가져올 .dacpac 파일.

워크플로 파일 개요

GitHub Actions 워크플로는 리포지토리의 /.github/workflows/ 경로에 있는 YAML(.yml) 파일에서 정의됩니다. 이 정의는 워크플로를 구성하는 다양한 단계와 매개 변수를 포함합니다.

이 파일에는 다음 두 가지 섹션이 있습니다.

섹션	작업
인증	1.1. 배포 자격 증명을 생성합니다.
Deploy	1. 데이터베이스를 배포합니다.

Azure CLI에서 az ad sp create-for-rbac 명령을 사용하여 서비스 주체를 만듭니다. 이 명령은 Azure Portal에서 Azure Cloud Shell을 사용하거나 사용해 보세요 단추를 선택하여 실행합니다.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

--json-auth 매개 변수는 Azure CLI 버전 >= 2.51.0에서 사용할 수 있습니다. 이전 버전에서는 사용 중단 경고와 함께 --sdk-auth를 사용합니다.

위의 예시에서 자리 표시자를 구독 ID, 리소스 그룹 이름 및 앱 이름으로 바꿉니다. 출력은 아래와 비슷한 App Service 앱에 대한 액세스를 제공하는 역할 할당 자격 증명이 있는 JSON 개체입니다. 나중에 사용할 수 있도록 이 JSON 개체를 복사합니다.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect는 단기 토큰을 사용하는 인증 방법입니다. GitHub Actions로 OpenID Connect 설정은 보안 강화를 제공하는 더 복잡한 프로세스입니다.

기존 애플리케이션이 없는 경우 리소스에 액세스할 수 있는 새 Microsoft Entra 애플리케이션 및 서비스 주체를 등록합니다.
```
az ad app create --display-name myApp
```
이 명령은 appId(사용자의 client-id)가 포함된 JSON을 출력합니다. objectId는 APPLICATION-OBJECT-ID이며 Graph API 호출로 페더레이션된 자격 증명을 만드는 데 사용됩니다. 이 값을 저장하여, 나중에 AZURE_CLIENT_ID GitHub 비밀로 사용합니다.
서비스 주체를 생성합니다. $appID를 JSON 출력의 appId로 대체합니다. 이 명령은 다른 objectId로 JSON 출력을 생성하며 다음 단계에서 사용됩니다. 새 objectId는 assignee-object-id입니다.

이 명령은 다른 objectId로 JSON 출력을 생성하며 다음 단계에서 사용됩니다. 새 objectId는 assignee-object-id입니다.

appOwnerTenantId를 복사하여 나중에 AZURE_TENANT_ID에 대한 GitHub 비밀로 사용합니다.
```
 az ad sp create --id $appId
```
구독 및 개체별 새 역할 할당을 만듭니다. 기본적으로 역할 할당은 기본 구독에 연결됩니다. $subscriptionId를 구독 ID로 바꾸고, $resourceGroupName을 리소스 그룹 이름으로 바꾸고, $assigneeObjectId를 생성된 assignee-object-id(새로 만들어진 서비스 주체 개체 ID)로 바꿉니다.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
다음 명령을 실행하여 Microsoft Entra 애플리케이션에 대한 새 페더레이션된 ID 자격 증명을 만듭니다.
- APPLICATION-OBJECT-ID를 Microsoft Entra 애플리케이션의 objectId(앱 만들기 중에 생성됨)로 바꿉니다.
- CREDENTIAL-NAME의 값을 나중에 참조하도록 설정합니다.
- subject를 설정합니다. 이 값은 워크플로에 따라 GitHub에 의해 정의됩니다.
  - GitHub Actions 환경의 작업: repo:< Organization/Repository >:environment:< Name >
  - 환경에 연결되지 않은 작업의 경우 워크플로를 트리거하는 데 사용되는 참조 경로를 기반으로 분기/태그에 대한 참조 경로(repo:< Organization/Repository >:ref:< ref path>)를 포함합니다. 예를 들어 repo:n-username/ node_express:ref:refs/heads/my-branch 또는 repo:n-username/ node_express:ref:refs/tags/my-tag입니다.
  - 끌어오기 요청 이벤트에 의해 트리거된 워크플로의 경우: repo:< Organization/Repository >:pull_request
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

SQL 연결 문자열 복사

Azure Portal에서 Azure SQL Database로 이동하여 설정>연결 문자열을 차례로 엽니다. ADO.NET 연결 문자열을 복사합니다. your_database 및 your_password의 자리 표시자 값을 바꿉니다.

AZURE_SQL_CONNECTION_STRING 연결 문자열을 GitHub 비밀로 사용합니다.

GitHub 비밀 구성

서비스 주체
OpenID Connect

GitHub에서 리포지토리로 이동합니다.
탐색 메뉴에서 설정으로 이동합니다.
보안 > 비밀 및 변수 > 작업을 선택합니다.
새 리포지토리 비밀을 선택합니다.
Azure CLI 명령의 전체 JSON 출력을 비밀의 값 필드에 붙여넣습니다. 비밀 이름을 AZURE_CREDENTIALS으로 지정합니다.
비밀 추가를 선택합니다.

로그인 작업에 애플리케이션의 클라이언트 ID, 테넌트 ID 및 구독 ID를 제공해야 합니다. 이러한 값은 워크플로에서 직접 제공하거나 GitHub 비밀에 저장하고 워크플로에서 참조할 수 있습니다. 값을 GitHub 비밀로 저장하는 것이 더 안전한 옵션입니다.

GitHub에서 리포지토리로 이동합니다.
보안 > 비밀 및 변수 > 작업을 선택합니다.
새 리포지토리 비밀을 선택합니다.
AZURE_CLIENT_ID, AZURE_TENANT_ID 및 AZURE_SUBSCRIPTION_ID에 대한 비밀을 만듭니다. GitHub 비밀에 대해 Microsoft Entra 애플리케이션의 다음 값을 사용합니다.

GitHub 비밀 Microsoft Entra 애플리케이션

AZURE_CLIENT_ID 애플리케이션(클라이언트) ID

AZURE_TENANT_ID 디렉터리(테넌트) ID

AZURE_SUBSCRIPTION_ID 구독 ID
비밀 추가를 선택하여 각 비밀을 저장합니다.

GitHub 비밀	Microsoft Entra 애플리케이션
AZURE_CLIENT_ID	애플리케이션(클라이언트) ID
AZURE_TENANT_ID	디렉터리(테넌트) ID
AZURE_SUBSCRIPTION_ID	구독 ID

SQL 연결 문자열 비밀 추가가

GitHub에서 리포지토리로 이동합니다.
탐색 메뉴에서 설정으로 이동합니다.
보안 > 비밀 및 변수 > 작업을 선택합니다.
새 리포지토리 비밀을 선택합니다.
SQL 연결 문자열을 붙여 넣습니다. 비밀 이름을 AZURE_SQL_CONNECTION_STRING으로 지정합니다.
비밀 추가를 선택합니다.

워크플로 추가

GitHub 리포지토리에 대한 작업으로 이동합니다.
워크플로 직접 설정을 선택합니다.
워크플로 파일의 on: 섹션 뒤에 있는 모든 항목을 삭제합니다. 예를 들어 나머지 워크플로는 다음과 같습니다.
```
name: SQL for GitHub Actions

on:
    push:
        branches: [ main ]
    pull_request:
        branches: [ main ]
```

워크플로 이름을 SQL for GitHub Actions로 바꾸고, 체크 아웃 및 로그인 작업을 추가합니다. 이러한 작업은 사이트 코드를 체크 아웃하고 이전에 만든 AZURE_CREDENTIALS GitHub 비밀을 사용하여 Azure에서 인증합니다.

서비스 주체
OpenID Connect

name: SQL for GitHub Actions

on:
    push:
        branches: [ main ]
    pull_request:
        branches: [ main ]

jobs:
    build:
        runs-on: windows-latest
        steps:
         - uses: actions/checkout@v1
         - uses: azure/login@v1
           with:
            creds: ${{ secrets.AZURE_CREDENTIALS }}

    name: SQL for GitHub Actions

    on:
        push:
            branches: [ main ]
        pull_request:
            branches: [ main ]

    jobs:
        build:
            runs-on: windows-latest
            steps:
             - uses: actions/checkout@v1
             - uses: azure/login@v1
               with:
                client-id: ${{ secrets.AZURE_CLIENT_ID }}
                tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Azure SQL 배포 작업을 사용하여 SQL 인스턴스에 연결합니다. 리포지토리의 루트 수준에 dacpac 패키지(Database.dacpac)가 있을 것입니다. 이전에 만든 GitHub 비밀(AZURE_SQL_CONNECTION_STRING)을 사용합니다.
```
- uses: azure/sql-action@v2
  with:
    connection-string: ${{ secrets.AZURE_SQL_CONNECTION_STRING }}
    path: './Database.dacpac'
    action: 'Publish'
```

Azure에서 로그아웃하는 작업을 추가하여 워크플로를 완성합니다. 완성된 워크플로는 다음과 같습니다. 파일이 리포지토리의 .github/workflows 폴더에 표시됩니다.

서비스 주체
OpenID Connect

name: SQL for GitHub Actions

on:
    push:
        branches: [ main ]
    pull_request:
        branches: [ main ]

jobs:
    build:
        runs-on: windows-latest
        steps:
         - uses: actions/checkout@v1
         - uses: azure/login@v1
           with:
            creds: ${{ secrets.AZURE_CREDENTIALS }}
         - uses: azure/sql-action@v2
           with:
            connection-string: ${{ secrets.AZURE_SQL_CONNECTION_STRING }}
            path: './Database.dacpac'
            action: 'Publish'

            # Azure logout 
         - name: logout
           run: |
              az logout

    name: SQL for GitHub Actions

    on:
        push:
            branches: [ main ]
        pull_request:
            branches: [ main ]

    jobs:
        build:
            runs-on: windows-latest
            steps:
             - uses: actions/checkout@v1
             - uses: azure/login@v1
               with:
                client-id: ${{ secrets.AZURE_CLIENT_ID }}
                tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
            # Azure logout 
             - name: logout
               run: |
                 az logout

배포 검토

GitHub 리포지토리에 대한 작업으로 이동합니다.
첫 번째 결과를 열어 워크플로 실행에 대한 자세한 로그를 확인합니다.

리소스 정리

Azure SQL 데이터베이스 및 리포지토리가 더 이상 필요하지 않은 경우 리소스 그룹과 GitHub 리포지토리를 삭제하여 배포한 리소스를 정리합니다.

다음 단계

Azure 및 GitHub 통합에 대해 알아보기

다음을 통해 공유