Een aangepaste container implementeren in App Service met behulp van GitHub Actions

Artikel
07/03/2024

GitHub Actions biedt u de flexibiliteit om een geautomatiseerde werkstroom voor softwareontwikkeling te bouwen. Met de actie Azure Web Deploy kunt u uw werkstroom automatiseren om aangepaste containers te implementeren in App Service met behulp van GitHub Actions.

Een werkstroom wordt gedefinieerd door een YAML-bestand (.yml) in het pad /.github/workflows/ in uw opslagplaats. Deze definitie bevat de verschillende stappen en parameters die zich in de werkstroom bevinden.

Voor een Azure-app Service-containerwerkstroom heeft het bestand drie secties:

Sectie	Opdrachten
Verificatie	1. Haal een service-principal of een publicatieprofiel op. 2. Maak een GitHub-geheim.
Bouwen	1. Maak de omgeving. 2. Bouw de containerinstallatiekopieën.
Implementatie	1. Implementeer de containerinstallatiekopieën.

Vereisten

Een Azure-account met een actief abonnement. Gratis een account maken
Een GitHub-account. Als u geen account hebt, kunt u zich registreren voor een gratis account. U moet code in een GitHub-opslagplaats hebben om te implementeren in Azure-app Service.
Een werkend containerregister en Azure-app Service-app voor containers. In dit voorbeeld wordt Azure Container Registry gebruikt. Zorg ervoor dat u de volledige implementatie naar Azure-app Service voor containers voltooit. In tegenstelling tot gewone web-apps hebben web-apps voor containers geen standaardlandingspagina. Publiceer de container om een werkend voorbeeld te hebben.
- Meer informatie over het maken van een in een container geplaatste Node.js-toepassing met behulp van Docker, het pushen van de containerinstallatiekopieën naar een register en vervolgens de installatiekopieën implementeren in Azure-app Service

Genereer implementatiereferenties

De aanbevolen manier om te verifiëren met Azure-app Services voor GitHub Actions is met een publicatieprofiel. U kunt zich ook verifiëren met een service-principal of Open ID Connect, maar het proces vereist meer stappen.

Sla uw publicatieprofielreferenties of service-principal op als een GitHub-geheim om te verifiëren met Azure. U opent het geheim in uw werkstroom.

Een publicatieprofiel is een referentie op app-niveau. Stel uw publicatieprofiel in als een GitHub-geheim.

Ga naar uw app-service in Azure Portal.
Selecteer Op de pagina Overzicht het profiel Publiceren ophalen.

Notitie

Vanaf oktober 2020 hebben Linux-web-apps de app-instelling nodig waarop deze is WEBSITE_WEBDEPLOY_USE_SCM ingesteld true voordat het bestand wordt gedownload. Deze vereiste wordt in de toekomst verwijderd. Zie Een App Service-app configureren in Azure Portal voor meer informatie over het configureren van algemene web-app-instellingen.
Sla het gedownloade bestand op. U gebruikt de inhoud van het bestand om een GitHub-geheim te maken.

U kunt een service-principal maken met de opdracht az ad sp create-for-rbac in de Azure CLI. Voer deze opdracht uit met Azure Cloud Shell in de Azure Portal of door de knop Uitproberen te selecteren.

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

Vervang in het voorbeeld de tijdelijke aanduidingen door uw abonnements-id, resourcegroepnaam en app-naam. De uitvoer is een JSON-object met de roltoewijzingsreferenties die toegang bieden tot uw App Service-app. Kopieer dit JSON-object voor later gebruik.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Belangrijk

Het is altijd een goed idee om minimale toegang te verlenen. Het bereik in het vorige voorbeeld is beperkt tot de specifieke App Service-app en niet de hele resourcegroep.

OpenID Connect is een verificatiemethode die gebruikmaakt van kortstondige tokens. Het instellen van OpenID Connect met GitHub Actions is complexer en biedt beperkte beveiliging.

Als u geen bestaande toepassing hebt, registreert u een nieuwe Active Directory-toepassing en service-principal die toegang heeft tot resources. Maak de Active Directory-toepassing.
```
az ad app create --display-name myApp
```
Met deze opdracht wordt JSON uitgevoerd met een appId JSON die uw client-id. Sla de waarde op die u later wilt gebruiken als het AZURE_CLIENT_ID GitHub-geheim.

U gebruikt de waarde bij het objectId maken van federatieve referenties met Graph API en verwijst ernaar als de APPLICATION-OBJECT-ID.
Een service-principal maken. Vervang de door de $appID appId uit uw JSON-uitvoer.

Met deze opdracht wordt JSON-uitvoer gegenereerd met een andere objectId en wordt in de volgende stap gebruikt. Het nieuwe objectId is de assignee-object-id.

Kopieer het appOwnerTenantId te gebruiken als gitHub-geheim voor AZURE_TENANT_ID later gebruik.
```
 az ad sp create --id $appId
```
Maak een nieuwe roltoewijzing per abonnement en object. De roltoewijzing wordt standaard gekoppeld aan uw standaardabonnement. Vervang $subscriptionId door uw abonnements-id, $resourceGroupName door de naam van uw resourcegroep en $assigneeObjectId door de gegenereerde assignee-object-id. Meer informatie over het beheren van Azure-abonnementen met de Azure CLI.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
```
Voer de volgende opdracht uit om een nieuwe federatieve identiteitsreferentie te maken voor uw Active Directory-toepassing.
- Vervang door APPLICATION-OBJECT-ID de objectId (gegenereerd tijdens het maken van een app) voor uw Active Directory-toepassing.
- Stel een waarde in om CREDENTIAL-NAME later te verwijzen.
- Stel de subject in. De waarde hiervan wordt gedefinieerd door GitHub, afhankelijk van uw werkstroom:
  - Taken in uw GitHub Actions-omgeving: repo:< Organization/Repository >:environment:< Name >
  - Voor taken die niet zijn gekoppeld aan een omgeving, moet u het referentiepad voor vertakkingen/tags opnemen op basis van het referentiepad dat wordt gebruikt voor het activeren van de werkstroom: repo:< Organization/Repository >:ref:< ref path>. Bijvoorbeeld repo:n-username/ node_express:ref:refs/heads/my-branch of repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Voor werkstromen die door een pull-aanvraaggebeurtenis zijn geactiveerd: repo:< Organization/Repository >:pull_request.
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
```
Zie Connect GitHub en Azure voor meer informatie over het maken van een Active Directory-toepassing, service-principal en federatieve referenties in Azure Portal.

Het GitHub-geheim configureren voor verificatie

In GitHub, bladert u in uw opslagplaats. Selecteer Beveiligingsgeheimen > > en variabelen Instellingen Voor nieuwe > opslagplaatsgeheimen>.

Als u referenties op app-niveau wilt gebruiken, plakt u de inhoud van het gedownloade publicatieprofielbestand in het waardeveld van het geheim. Geef het geheim AZURE_WEBAPP_PUBLISH_PROFILEeen naam.

Wanneer u uw GitHub-werkstroom configureert, gebruikt u de AZURE_WEBAPP_PUBLISH_PROFILE actie in de azure-web-app implementeren. Voorbeeld:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

In GitHub, bladert u in uw opslagplaats. Selecteer Beveiligingsgeheimen > > en variabelen Instellingen Voor nieuwe > opslagplaatsgeheimen>.

Als u referenties op gebruikersniveau wilt gebruiken, plakt u de volledige JSON-uitvoer van de Azure CLI-opdracht in het waardeveld van het geheim. Geef het geheim een naam, zoals AZURE_CREDENTIALS.

Wanneer u het werkstroombestand later configureert, gebruikt u het geheim voor de invoer creds van de Azure-aanmeldingsactie. Voorbeeld:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

U moet de client-id, tenant-id en abonnements-id van uw toepassing opgeven voor de aanmeldingsactie. Deze waarden kunnen rechtstreeks in de werkstroom worden opgegeven of kunnen worden opgeslagen in GitHub-geheimen en waarnaar wordt verwezen in uw werkstroom. Het opslaan van de waarden als GitHub-geheimen is de veiligere optie.

Open uw GitHub-opslagplaats en ga naar Beveiligingsgeheimen > > > en variabelen Acties > nieuwe opslagplaats.
Geheimen maken voor AZURE_CLIENT_ID, AZURE_TENANT_IDen AZURE_SUBSCRIPTION_ID. Gebruik deze waarden uit uw Active Directory-toepassing voor uw GitHub-geheimen. U vindt deze waarden in Azure Portal door te zoeken naar uw Active Directory-toepassing.

GitHub Secret Active Directory-toepassing

AZURE_CLIENT_ID Client-id van toepassing

AZURE_TENANT_ID Id van directory (tenant)

AZURE_SUBSCRIPTION_ID Abonnements-id
Sla elk geheim op door Geheim toevoegen te selecteren.

GitHub Secret	Active Directory-toepassing
AZURE_CLIENT_ID	Client-id van toepassing
AZURE_TENANT_ID	Id van directory (tenant)
AZURE_SUBSCRIPTION_ID	Abonnements-id

GitHub-geheimen configureren voor uw register

Geheimen definiëren die moeten worden gebruikt met de actie Docker-aanmelding. In het voorbeeld in dit document wordt Azure Container Registry gebruikt voor het containerregister.

Ga naar uw container in Azure Portal of Docker en kopieer de gebruikersnaam en het wachtwoord. U vindt de gebruikersnaam en het wachtwoord van Azure Container Registry in Azure Portal onder Toegangssleutels voor instellingen>voor uw register.
Definieer een nieuw geheim voor de gebruikersnaam van het register met de naam REGISTRY_USERNAME.
Definieer een nieuw geheim voor het registerwachtwoord met de naam REGISTRY_PASSWORD.

De containerinstallatiekopieën bouwen

In het volgende voorbeeld ziet u een deel van de werkstroom waarmee een Node.JS Docker-installatiekopieën worden gebouwd. Gebruik Docker-aanmelding om u aan te melden bij een privécontainerregister. In dit voorbeeld wordt Azure Container Registry gebruikt, maar dezelfde actie werkt voor andere registers.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

U kunt docker-aanmelding ook gebruiken om u tegelijkertijd aan te melden bij meerdere containerregisters. Dit voorbeeld bevat twee nieuwe GitHub-geheimen voor verificatie met docker.io. In het voorbeeld wordt ervan uitgegaan dat er een Dockerfile is op het hoofdniveau van het register.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

Implementeren in een App Service-container

Als u uw installatiekopieën wilt implementeren in een aangepaste container in App Service, gebruikt u de azure/webapps-deploy@v2 actie. Deze actie heeft zeven parameters:

Parameter	Uitleg
app-naam	(Vereist) Naam van de App Service-app
publicatieprofiel	(Optioneel) Van toepassing op Web Apps (Windows en Linux) en Web App Containers (Linux). Scenario met meerdere containers wordt niet ondersteund. Inhoud van het profiel (*.publishsettings) publiceren met Web Deploy-geheimen
sitenaam	(Optioneel) Voer een andere site in dan de productiesite
package	(Optioneel) Alleen van toepassing op web-app: pad naar pakket of map. .zip, .war, *.jar of een map die moet worden geïmplementeerd
beelden	(Vereist) Alleen van toepassing op Web App Containers: Geef de volledig gekwalificeerde containerinstallatiekopieën op. Bijvoorbeeld 'myregistry.azurecr.io/nginx:latest' of 'python:3.7.2-alpine/'. Voor een app met meerdere containers kunnen meerdere namen van containerinstallatiekopieën worden opgegeven (gescheiden door meerdere regels)
configuratiebestand	(Optioneel) Alleen van toepassing op Web App Containers: pad van het Docker-Compose-bestand. Moet een volledig gekwalificeerd pad zijn of ten opzichte van de standaardwerkmap. Vereist voor apps met meerdere containers.
startup-command	(Optioneel) Voer de opstartopdracht in. Voor bijvoorbeeld dotnet-uitvoering of dotnet-filename.dll

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Volgende stappen

U vindt onze set acties die zijn gegroepeerd in verschillende opslagplaatsen op GitHub, elk met documentatie en voorbeelden om u te helpen GitHub voor CI/CD te gebruiken en uw apps in Azure te implementeren.

Share via