Wdrażanie kontenera niestandardowego w usłudze App Service przy użyciu funkcji GitHub Actions

GitHub Actions zapewnia elastyczność tworzenia zautomatyzowanego przepływu pracy tworzenia oprogramowania. Za pomocą akcji Azure Web Deploy możesz zautomatyzować przepływ pracy w celu wdrożenia kontenerów niestandardowych w App Service przy użyciu GitHub Actions.

Przepływ pracy jest definiowany przez plik YAML (yml) w /.github/workflows/ ścieżce w repozytorium. Ta definicja zawiera różne kroki i parametry, które znajdują się w przepływie pracy.

W przypadku przepływu pracy kontenera Azure App Service plik zawiera trzy sekcje:

Sekcja	Zadania
Authentication	1. Pobierz jednostkę usługi lub profil publikowania. 2. Utwórz wpis tajny usługi GitHub.
Kompilacja	1. Utwórz środowisko. 2. Skompiluj obraz kontenera.
Wdrażanie	1. Wdróż obraz kontenera.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Bezpłatne tworzenie konta
• Konto usługi GitHub. Jeśli go nie masz, zarejestruj się bezpłatnie. Musisz mieć kod w repozytorium GitHub, aby wdrożyć go w Azure App Service.
• Działający rejestr kontenerów i aplikacja Azure App Service dla kontenerów. W tym przykładzie użyto Azure Container Registry. Pamiętaj, aby ukończyć pełne wdrożenie, aby Azure App Service dla kontenerów. W przeciwieństwie do zwykłych aplikacji internetowych aplikacje internetowe dla kontenerów nie mają domyślnej strony docelowej. Opublikuj kontener, aby mieć przykład pracy.
  • Dowiedz się, jak utworzyć konteneryzowaną aplikację Node.js przy użyciu platformy Docker, wypchnąć obraz kontenera do rejestru, a następnie wdrożyć obraz w Azure App Service

Generowanie poświadczeń wdrożenia

Zalecanym sposobem uwierzytelniania za pomocą usług aplikacja systemu Azure dla GitHub Actions jest profil publikowania. Możesz również uwierzytelnić się za pomocą jednostki usługi lub programu Open ID Connect, ale proces wymaga wykonania dodatkowych kroków.

Zapisz poświadczenia profilu publikowania lub jednostkę usługi jako wpis tajny usługi GitHub , aby uwierzytelnić się za pomocą platformy Azure. Uzyskasz dostęp do wpisu tajnego w przepływie pracy.

Publikowanie profilu

Profil publikowania to poświadczenia na poziomie aplikacji. Skonfiguruj profil publikowania jako wpis tajny usługi GitHub.

1. Przejdź do usługi app service w Azure Portal.

2. Na stronie Przegląd wybierz pozycję Pobierz profil publikowania.

   Uwaga

   Od października 2020 r. aplikacje internetowe systemu Linux będą potrzebować ustawienia WEBSITE_WEBDEPLOY_USE_SCM aplikacji ustawionego na truewartość przed pobraniem pliku. To wymaganie zostanie usunięte w przyszłości. Zobacz Konfigurowanie aplikacji App Service w Azure Portal, aby dowiedzieć się, jak skonfigurować typowe ustawienia aplikacji internetowej.

3. Zapisz pobrany plik. Zawartość pliku zostanie użyta do utworzenia wpisu tajnego usługi GitHub.

Jednostka usługi

Jednostkę usługi można utworzyć za pomocą polecenia az ad sp create-for-rbac w interfejsie wiersza polecenia platformy Azure. Uruchom to polecenie za pomocą usługi Azure Cloud Shell w Azure Portal lub wybierając przycisk Wypróbuj.

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

W tym przykładzie zastąp symbole zastępcze identyfikatorem subskrypcji, nazwą grupy zasobów i nazwą aplikacji. Dane wyjściowe to obiekt JSON z poświadczeniami przypisania roli, które zapewniają dostęp do aplikacji App Service. Skopiuj ten obiekt JSON do późniejszego użycia.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Ważne

Zawsze dobrym rozwiązaniem jest przyznanie minimalnego dostępu. Zakres w poprzednim przykładzie jest ograniczony do określonej aplikacji App Service, a nie całej grupy zasobów.

OpenID Connect

OpenID Connect to metoda uwierzytelniania, która używa tokenów krótkotrwałych. Konfigurowanie programu OpenID Connect za pomocą GitHub Actions jest bardziej złożonym procesem, który zapewnia zabezpieczenia ze wzmocnionymi zabezpieczeniami.

1. Jeśli nie masz istniejącej aplikacji, zarejestruj nową aplikację usługi Active Directory i jednostkę usługi, która może uzyskiwać dostęp do zasobów. Utwórz aplikację usługi Active Directory.

   az ad app create --display-name myApp
   

   To polecenie wyświetli kod JSON z elementem appId , który jest twoim client-idelementem . Zapisz wartość do użycia jako AZURE_CLIENT_ID wpis tajny usługi GitHub później.

   Użyjesz objectId wartości podczas tworzenia poświadczeń federacyjnych za pomocą interfejs Graph API i odwołujesz się do niej jako APPLICATION-OBJECT-ID.

2. Tworzenie jednostki usługi. Zastąp element $appID identyfikatorem appId z danych wyjściowych JSON.

   To polecenie generuje dane wyjściowe JSON z innym objectId i będzie używane w następnym kroku. Nowy objectId element to assignee-object-id.

   Skopiuj element appOwnerTenantId , aby użyć go jako wpisu tajnego w usłudze GitHub w AZURE_TENANT_ID przyszłości.

    az ad sp create --id $appId
   

3. Utwórz nowe przypisanie roli według subskrypcji i obiektu. Domyślnie przypisanie roli będzie powiązane z domyślną subskrypcją. Zastąp $subscriptionId ciąg identyfikatorem subskrypcji nazwą $resourceGroupName grupy zasobów i $assigneeObjectId wygenerowaną assignee-object-idwartością . Dowiedz się , jak zarządzać subskrypcjami platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. Uruchom następujące polecenie, aby utworzyć nowe poświadczenia tożsamości federacyjnej dla aplikacji usługi Active Directory.

   • Zastąp APPLICATION-OBJECT-ID ciąg objectId (wygenerowany podczas tworzenia aplikacji) dla aplikacji usługi Active Directory.
   • Ustaw wartość , aby CREDENTIAL-NAME odwołać się później.
   • Ustaw wartość subject. Wartość tej wartości jest definiowana przez usługę GitHub w zależności od przepływu pracy:
     • Zadania w środowisku GitHub Actions:repo:< Organization/Repository >:environment:< Name >
     • W przypadku zadań, które nie są powiązane ze środowiskiem, dołącz ścieżkę ref gałęzi/tagu na podstawie ścieżki ref używanej do wyzwalania przepływu pracy: repo:< Organization/Repository >:ref:< ref path>. Na przykład: repo:n-username/ node_express:ref:refs/heads/my-branch lub repo:n-username/ node_express:ref:refs/tags/my-tag.
     • W przypadku przepływów pracy wyzwalanych przez zdarzenie żądania ściągnięcia: repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

   Aby dowiedzieć się, jak utworzyć aplikację usługi Active Directory, jednostkę usługi i poświadczenia federacyjne w Azure Portal, zobacz Łączenie z usługą GitHub i platformą Azure.

Konfigurowanie wpisu tajnego usługi GitHub na potrzeby uwierzytelniania

Publikowanie profilu

W usłudze GitHub przejrzyj repozytorium. Wybierz pozycję Ustawienia > Wpisy tajne zabezpieczeń > i zmienne > Akcje > Nowy wpis tajny repozytorium.

Aby użyć poświadczeń na poziomie aplikacji, wklej zawartość pobranego pliku profilu publikowania w polu wartości wpisu tajnego. Nadaj wpisowi nazwę wpisu tajnego AZURE_WEBAPP_PUBLISH_PROFILE.

Podczas konfigurowania przepływu pracy usługi GitHub użyjesz AZURE_WEBAPP_PUBLISH_PROFILE akcji wdróż aplikację internetową platformy Azure. Na przykład:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Jednostka usługi

W usłudze GitHub przejrzyj repozytorium. Wybierz pozycję Ustawienia > Wpisy tajne zabezpieczeń > i zmienne > Akcje > Nowy wpis tajny repozytorium.

Aby użyć poświadczeń na poziomie użytkownika, wklej całe dane wyjściowe JSON z polecenia interfejsu wiersza polecenia platformy Azure do pola wartości wpisu tajnego. Nadaj wpisowi tajnym nazwę, na przykład AZURE_CREDENTIALS.

Podczas późniejszego konfigurowania pliku przepływu pracy użyj wpisu tajnego dla danych wejściowych creds akcji Logowania platformy Azure. Na przykład:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

Musisz podać identyfikator klienta aplikacji, identyfikator dzierżawy i identyfikator subskrypcji do akcji logowania. Te wartości mogą być udostępniane bezpośrednio w przepływie pracy lub mogą być przechowywane w wpisach tajnych usługi GitHub i przywołyne w przepływie pracy. Zapisanie wartości jako wpisów tajnych usługi GitHub jest bezpieczniejszą opcją.

1. Otwórz repozytorium GitHub i przejdź do pozycji Ustawienia > Wpisy tajne zabezpieczeń > i zmienne > Akcje > Nowy wpis tajny repozytorium.

2. Tworzenie wpisów tajnych dla AZURE_CLIENT_IDelementów , AZURE_TENANT_IDi AZURE_SUBSCRIPTION_ID. Użyj tych wartości z aplikacji usługi Active Directory dla wpisów tajnych usługi GitHub. Te wartości można znaleźć w Azure Portal, wyszukując aplikację usługi Active Directory.

   Wpis tajny usługi GitHub	Aplikacja usługi Active Directory
   AZURE_CLIENT_ID	Identyfikator aplikacji (klienta)
   AZURE_TENANT_ID	Identyfikator katalogu (dzierżawcy)
   AZURE_SUBSCRIPTION_ID	Identyfikator subskrypcji

3. Zapisz każdy wpis tajny, wybierając pozycję Dodaj wpis tajny.

Konfigurowanie wpisów tajnych usługi GitHub dla rejestru

Zdefiniuj wpisy tajne do użycia z akcją Logowania platformy Docker. W przykładzie w tym dokumencie użyto Azure Container Registry dla rejestru kontenerów.

1. Przejdź do kontenera w Azure Portal lub docker i skopiuj nazwę użytkownika i hasło. Nazwę użytkownika i hasło Azure Container Registry można znaleźć w Azure Portal w obszarze Ustawienia>Klucze dostępu dla rejestru.

2. Zdefiniuj nowy wpis tajny dla nazwy użytkownika rejestru o nazwie REGISTRY_USERNAME.

3. Zdefiniuj nowy wpis tajny dla hasła rejestru o nazwie REGISTRY_PASSWORD.

Kompilowanie obrazu kontenera

W poniższym przykładzie pokazano część przepływu pracy, który tworzy obraz platformy Docker Node.JS. Logowanie do platformy Docker umożliwia zalogowanie się do prywatnego rejestru kontenerów. W tym przykładzie użyto Azure Container Registry, ale ta sama akcja działa w przypadku innych rejestrów.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Możesz również użyć logowania do platformy Docker , aby zalogować się do wielu rejestrów kontenerów w tym samym czasie. Ten przykład obejmuje dwa nowe wpisy tajne usługi GitHub do uwierzytelniania za pomocą docker.io. W przykładzie przyjęto założenie, że na poziomie głównym rejestru znajduje się plik Dockerfile.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Wdrażanie w kontenerze App Service

Aby wdrożyć obraz w kontenerze niestandardowym w App Service, użyj azure/webapps-deploy@v2 akcji . Ta akcja ma siedem parametrów:

Parametr	Wyjaśnienie
nazwa aplikacji	(Wymagane) Nazwa aplikacji App Service
profil publikowania	(Opcjonalnie) Dotyczy Web Apps (Windows i Linux) i Web App Containers (linux). Scenariusz z wieloma kontenerami nie jest obsługiwany. Zawartość pliku profilu publikowania (*.publishsettings) z wpisami tajnymi narzędzia Web Deploy
nazwa miejsca	(Opcjonalnie) Wprowadź istniejące miejsce inne niż miejsce produkcyjne
Pakiet	(Opcjonalnie) Dotyczy tylko aplikacji internetowej: ścieżka do pakietu lub folderu. *.zip, *.war, *.jar lub folder do wdrożenia
Obrazów	(Wymagane) Dotyczy tylko kontenerów aplikacji internetowych: określ w pełni kwalifikowaną nazwę obrazów kontenera. Na przykład "myregistry.azurecr.io/nginx:latest" lub "python:3.7.2-alpine/". W przypadku aplikacji z wieloma kontenerami można podać wiele nazw obrazów kontenera (rozdzielonych wieloma wierszami)
configuration-file	(Opcjonalnie) Dotyczy tylko kontenerów aplikacji internetowych: ścieżka pliku Docker-Compose. Powinna być w pełni kwalifikowaną ścieżką lub względem domyślnego katalogu roboczego. Wymagane w przypadku aplikacji wielokontenerowych.
polecenie uruchamiania	(Opcjonalnie) Wprowadź polecenie uruchamiania. Na przykład dotnet run lub dotnet filename.dll

Publikowanie profilu

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Jednostka usługi

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Następne kroki

Zestaw akcji pogrupowanych w różne repozytoria można znaleźć w usłudze GitHub, z których każda zawiera dokumentację i przykłady, które ułatwiają korzystanie z usługi GitHub na potrzeby ciągłej integracji/ciągłego wdrażania i wdrażania aplikacji na platformie Azure.

• Przepływy pracy akcji do wdrożenia na platformie Azure

• Logowanie do platformy Azure

• Azure WebApp

• Logowanie/wylogowywanie platformy Docker

• Zdarzenia wyzwalające przepływy pracy

• Wdrażanie K8s

• Początkowe przepływy pracy