GitHub Actions 워크플로를 사용하여 Azure Storage에 정적 웹 사이트 배포

워크플로를 사용하여 Azure Storage 계정에 정적 사이트를 배포하여 GitHub Actions 를 시작합니다. GitHub Actions 워크플로를 설정하면 사이트 코드를 변경할 때 GitHub에서 Azure에 사이트를 자동으로 배포할 수 있습니다.

참고 항목

Azure Static Web Apps를 사용하는 경우 GitHub Actions 워크플로를 수동으로 설정할 필요가 없습니다. Azure Static Web Apps는 자동으로 GitHub Actions 워크플로를 만듭니다.

필수 조건

Azure 구독 및 GitHub 계정

• 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
• 정적 웹 사이트 코드가 있는 GitHub 리포지토리입니다. GitHub 계정이 없는 경우 무료로 등록하세요.
• Azure Storage에서 호스팅되는 정적 웹 사이트. Azure Storage에서 정적 웹 사이트를 호스트하는 방법을 알아봅니다. 이 예제를 수행하려면 Azure CDN도 배포해야 합니다.

참고 항목

CDN(콘텐츠 배달 네트워크)을 사용하여 전 세계 사용자의 대기 시간을 줄이고 스토리지 계정에 대한 트랜잭션 수를 줄이는 것이 일반적입니다. 정적 콘텐츠를 클라우드 기반 스토리지 서비스에 배포하면 잠재적으로 비용이 많이 드는 컴퓨팅 인스턴스의 필요성을 줄일 수 있습니다. 자세한 내용은 정적 콘텐츠 호스팅 패턴을 참조 하세요.

배포 자격 증명 생성

서비스 주체

Azure CLI에서 az ad sp create-for-rbac 명령을 사용하여 서비스 주체를 만듭니다. 이 명령은 Azure Portal에서 Azure Cloud Shell을 사용하거나 사용해 보세요 단추를 선택하여 실행합니다.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

매개 변수 --json-auth 는 Azure CLI 버전 >= 2.51.0에서 사용할 수 있습니다. 사용 중단 경고와 함께 사용하기 --sdk-auth 이전 버전입니다.

위의 예시에서 자리 표시자를 구독 ID, 리소스 그룹 이름 및 앱 이름으로 바꿉니다. 출력은 아래와 비슷한 App Service 앱에 대한 액세스를 제공하는 역할 할당 자격 증명이 있는 JSON 개체입니다. 나중에 사용할 수 있도록 이 JSON 개체를 복사합니다.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Connect는 단기 토큰을 사용하는 인증 방법입니다. GitHub Actions로 OpenID Connect 설정은 보안 강화를 제공하는 더 복잡한 프로세스입니다.

1. 기존 애플리케이션이 없는 경우 리소스에 액세스할 수 있는 새 Microsoft Entra 애플리케이션 및 서비스 주체를 등록합니다.

   az ad app create --display-name myApp
   

   이 명령은 appId(사용자의 client-id)가 포함된 JSON을 출력합니다. is objectId APPLICATION-OBJECT-ID 및 Graph API 호출을 사용하여 페더레이션된 자격 증명을 만드는 데 사용됩니다. 이 값을 저장하여, 나중에 AZURE_CLIENT_ID GitHub 비밀로 사용합니다.

2. 서비스 주체를 생성합니다. $appID를 JSON 출력의 appId로 대체합니다. 이 명령은 다음 단계에서 사용되는 다른 objectId JSON 출력을 생성합니다. 새 objectId는 assignee-object-id입니다.

   이 명령은 다른 objectId로 JSON 출력을 생성하며 다음 단계에서 사용됩니다. 새 objectId는 assignee-object-id입니다.

   appOwnerTenantId를 복사하여 나중에 AZURE_TENANT_ID에 대한 GitHub 비밀로 사용합니다.

    az ad sp create --id $appId
   

3. 구독 및 개체별 새 역할 할당을 만듭니다. 기본적으로 역할 할당은 기본 구독에 연결됩니다. 구독 ID, $resourceGroupName 리소스 그룹 이름 및 $assigneeObjectId 생성된 assignee-object-id 서비스 주체 개체 ID로 바꿉 $subscriptionId 니다.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. 다음 명령을 실행하여 Microsoft Entra 애플리케이션에 대한 새 페더레이션 ID 자격 증명 을 만듭니다.

   • Microsoft Entra 애플리케이션에 대한 objectId(앱을 만드는 동안 생성됨)로 바꿉 APPLICATION-OBJECT-ID 니다.
   • CREDENTIAL-NAME의 값을 나중에 참조하도록 설정합니다.
   • subject를 설정합니다. 이 값은 워크플로에 따라 GitHub에 의해 정의됩니다.
     • GitHub Actions 환경의 작업: repo:< Organization/Repository >:environment:< Name >
     • 환경에 연결되지 않은 작업의 경우 워크플로를 트리거하는 데 사용되는 참조 경로를 기반으로 분기/태그에 대한 참조 경로(repo:< Organization/Repository >:ref:< ref path>)를 포함합니다. 예를 들어 repo:n-username/ node_express:ref:refs/heads/my-branch 또는 repo:n-username/ node_express:ref:refs/tags/my-tag입니다.
     • 끌어오기 요청 이벤트에 의해 트리거된 워크플로의 경우: repo:< Organization/Repository >:pull_request

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

GitHub 비밀 구성

서비스 주체

1. GitHub에서 리포지토리로 이동합니다.

2. 탐색 메뉴에서 설정으로 이동합니다.

3. 보안 > 비밀 및 변수 > 작업을 선택합니다.

   

4. 새 리포지토리 비밀을 선택합니다.

5. Azure CLI 명령의 전체 JSON 출력을 비밀의 값 필드에 붙여넣습니다. 비밀 이름을 AZURE_CREDENTIALS으로 지정합니다.

6. 비밀 추가를 선택합니다.

OpenID Connect

로그인 작업에 애플리케이션의 클라이언트 ID, 테넌트 ID 및 구독 ID를 제공해야 합니다. 이러한 값은 워크플로에서 직접 제공하거나 GitHub 비밀에 저장하고 워크플로에서 참조할 수 있습니다. 값을 GitHub 비밀로 저장하는 것이 더 안전한 옵션입니다.

1. GitHub에서 리포지토리로 이동합니다.

2. 보안 > 비밀 및 변수 > 작업을 선택합니다.

   

3. 새 리포지토리 비밀을 선택합니다.

4. AZURE_CLIENT_ID, AZURE_TENANT_ID 및 AZURE_SUBSCRIPTION_ID에 대한 비밀을 만듭니다. GitHub 비밀에 대해 Microsoft Entra 애플리케이션에서 다음 값을 사용합니다.

   GitHub 비밀	Microsoft Entra 애플리케이션
   AZURE_CLIENT_ID	애플리케이션(클라이언트) ID
   AZURE_TENANT_ID	디렉터리(테넌트) ID
   AZURE_SUBSCRIPTION_ID	구독 ID

5. 비밀 추가를 선택하여 각 비밀을 저장합니다.

워크플로 추가

서비스 주체

1. GitHub 리포지토리에 대한 작업으로 이동합니다.

   

2. 워크플로 설정을 직접 선택합니다.

3. 워크플로 파일의 섹션 뒤의 on: 모든 항목을 삭제합니다. 예를 들어 다시 기본 워크플로는 다음과 같습니다.

   name: CI
   
   on:
       push:
           branches: [ main ]
   

4. 워크플로 이름을 Blob storage website CI로 바꾸고, 체크 아웃 및 로그인 작업을 추가합니다. 이러한 작업은 사이트 코드를 체크 아웃하고 이전에 만든 AZURE_CREDENTIALS GitHub 비밀을 사용하여 Azure에서 인증합니다.

   name: Blob storage website CI
   
   on:
       push:
           branches: [ main ]
   
   jobs:
     build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v3
       - uses: azure/login@v1
         with:
             creds: ${{ secrets.AZURE_CREDENTIALS }}
   

5. Azure CLI 작업을 사용하여 Blob Storage에 코드를 업로드하고 CDN 엔드포인트를 제거합니다. az storage blob upload-batch의 경우 자리 표시자를 스토리지 계정 이름으로 바꿉니다. 스크립트가 컨테이너에 $web 업로드됩니다. 의 경우 az cdn endpoint purge자리 표시자를 CDN 프로필 이름, CDN 엔드포인트 이름 및 리소스 그룹으로 바꿉니다. CDN 제거 속도를 높이기 위해 옵션을 az cdn endpoint purge추가할 --no-wait 수 있습니다. 보안을 강화하려면 스토리지 계정 키를 사용하여 --account-key 옵션도 추가할 수 있습니다.

       - name: Upload to blob storage
         uses: azure/CLI@v1
         with:
           inlineScript: |
               az storage blob upload-batch --account-name <STORAGE_ACCOUNT_NAME>  --auth-mode key -d '$web' -s .
       - name: Purge CDN endpoint
         uses: azure/CLI@v1
         with:
           inlineScript: |
              az cdn endpoint purge --content-paths  "/*" --profile-name "CDN_PROFILE_NAME" --name "CDN_ENDPOINT" --resource-group "RESOURCE_GROUP"
   

6. Azure에서 로그아웃하는 작업을 추가하여 워크플로를 완성합니다. 완료된 워크플로는 다음과 같습니다. 파일이 리포지토리의 폴더에 .github/workflows 표시됩니다.

   name: Blob storage website CI
   
   on:
       push:
           branches: [ main ]
   
   jobs:
     build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v3
       - uses: azure/login@v1
         with:
             creds: ${{ secrets.AZURE_CREDENTIALS }}
   
       - name: Upload to blob storage
         uses: azure/CLI@v1
         with:
           inlineScript: |
               az storage blob upload-batch --account-name <STORAGE_ACCOUNT_NAME> --auth-mode key -d '$web' -s .
       - name: Purge CDN endpoint
         uses: azure/CLI@v1
         with:
           inlineScript: |
              az cdn endpoint purge --content-paths  "/*" --profile-name "CDN_PROFILE_NAME" --name "CDN_ENDPOINT" --resource-group "RESOURCE_GROUP"
   
     # Azure logout
       - name: logout
         run: |
               az logout
         if: always()
   

OpenID Connect

1. GitHub 리포지토리에 대한 작업으로 이동합니다.

   

2. 워크플로 설정을 직접 선택합니다.

3. 워크플로 파일의 섹션 뒤의 on: 모든 항목을 삭제합니다. 예를 들어 다시 기본 워크플로는 다음과 같습니다.

   name: CI with OpenID Connect
   
   on:
       push:
           branches: [ main ]
   

4. 권한 섹션을 추가합니다.

   name: CI with OpenID Connect
   
   on:
       push:
           branches: [ main ]
   
   permissions:
         id-token: write
         contents: read
   

5. 체크 아웃 및 로그인 작업을 추가합니다. 이러한 작업은 사이트 코드를 체크 아웃하고 이전에 만든 GitHub 비밀을 사용하여 Azure에서 인증합니다.

   name: CI with OpenID Connect
   
   on:
       push:
           branches: [ main ]
   
   permissions:
         id-token: write
         contents: read
   
   jobs:
     build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v3
       - uses: azure/login@v1
         with:
         client-id: ${{ secrets.AZURE_CLIENT_ID }}
         tenant-id: ${{ secrets.AZURE_TENANT_ID }}
         subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   

6. Azure CLI 작업을 사용하여 Blob Storage에 코드를 업로드하고 CDN 엔드포인트를 제거합니다. az storage blob upload-batch의 경우 자리 표시자를 스토리지 계정 이름으로 바꿉니다. 스크립트가 컨테이너에 $web 업로드됩니다. 의 경우 az cdn endpoint purge자리 표시자를 CDN 프로필 이름, CDN 엔드포인트 이름 및 리소스 그룹으로 바꿉니다. CDN 제거 속도를 높이기 위해 옵션을 az cdn endpoint purge추가할 --no-wait 수 있습니다. 보안을 강화하려면 스토리지 계정 키를 사용하여 --account-key 옵션도 추가할 수 있습니다.

       - name: Upload to blob storage
         uses: azure/CLI@v1
         with:
           inlineScript: |
               az storage blob upload-batch --account-name <STORAGE_ACCOUNT_NAME>  --auth-mode key -d '$web' -s .
       - name: Purge CDN endpoint
         uses: azure/CLI@v1
         with:
           inlineScript: |
              az cdn endpoint purge --content-paths  "/*" --profile-name "CDN_PROFILE_NAME" --name "CDN_ENDPOINT" --resource-group "RESOURCE_GROUP"
   

7. Azure에서 로그아웃하는 작업을 추가하여 워크플로를 완성합니다. 완료된 워크플로는 다음과 같습니다. 파일이 리포지토리의 폴더에 .github/workflows 표시됩니다.

   name: CI with OpenID Connect
   
   on:
       push:
           branches: [ main ]
   
   permissions:
         id-token: write
         contents: read
   
   jobs:
     build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v3
       - uses: azure/login@v1
         with:
         client-id: ${{ secrets.AZURE_CLIENT_ID }}
         tenant-id: ${{ secrets.AZURE_TENANT_ID }}
         subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
       - name: Upload to blob storage
         uses: azure/CLI@v1
         with:
           inlineScript: |
               az storage blob upload-batch --account-name <STORAGE_ACCOUNT_NAME> --auth-mode key -d '$web' -s .
       - name: Purge CDN endpoint
         uses: azure/CLI@v1
         with:
           inlineScript: |
              az cdn endpoint purge --content-paths  "/*" --profile-name "CDN_PROFILE_NAME" --name "CDN_ENDPOINT" --resource-group "RESOURCE_GROUP"
   
     # Azure logout
       - name: logout
         run: |
               az logout
         if: always()
   

배포 검토

1. GitHub 리포지토리에 대한 작업으로 이동합니다.

2. 첫 번째 결과를 열어 워크플로 실행에 대한 자세한 로그를 확인합니다.

   

리소스 정리

정적 웹 사이트 및 GitHub 리포지토리가 더 이상 필요하지 않은 경우 리소스 그룹 및 GitHub 리포지토리를 삭제하여 배포한 리소스를 클린.

다음 단계

Azure Static Web Apps에 대해 알아보기