Szybki start: wdrażanie plików Bicep przy użyciu funkcji GitHub Actions

Artykuł
01/22/2024

Funkcja GitHub Actions to zestaw funkcji w usłudze GitHub do automatyzowania przepływów pracy tworzenia oprogramowania. W tym przewodniku Szybki start użyjesz funkcji GitHub Actions dla wdrożenia usługi Azure Resource Manager, aby zautomatyzować wdrażanie pliku Bicep na platformie Azure.

Zawiera krótkie wprowadzenie do funkcji GitHub actions i plików Bicep. Jeśli chcesz uzyskać bardziej szczegółowe instrukcje dotyczące konfigurowania akcji i projektu usługi GitHub, zobacz Wdrażanie zasobów platformy Azure przy użyciu funkcji Bicep i GitHub Actions.

Wymagania wstępne

Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
Konto usługi GitHub. Jeśli nie masz takiego konta, zarejestruj się bezpłatnie.
Repozytorium GitHub do przechowywania plików Bicep i plików przepływu pracy. Aby go utworzyć, zobacz Tworzenie nowego repozytorium.

Utwórz grupę zasobów

Utwórz grupę zasobów. W dalszej części tego przewodnika Szybki start wdrożysz plik Bicep w tej grupie zasobów.

Interfejs wiersza polecenia
Program PowerShell

az group create -n exampleRG -l westus

New-AzResourceGroup -Name exampleRG -Location westus

Funkcja GitHub Actions jest uruchamiana w ramach tożsamości. Użyj polecenia az ad sp create-for-rbac, aby utworzyć jednostkę usługi dla tożsamości. Udziel jednostce usługi roli współautora dla grupy zasobów utworzonej w poprzedniej sesji, aby akcja usługi GitHub z tożsamością mogła tworzyć zasoby w tej grupie zasobów. Zaleca się przyznanie minimalnego wymaganego dostępu.

az ad sp create-for-rbac --name {app-name} --role contributor --scopes /subscriptions/{subscription-id}/resourceGroups/exampleRG --json-auth

Zastąp symbol zastępczy {app-name} nazwą aplikacji. Zastąp {subscription-id} ciąg identyfikatorem subskrypcji.

Dane wyjściowe to obiekt JSON z poświadczeniami przypisania roli, które zapewniają dostęp do aplikacji usługi App Service podobnej do poniższej.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    ...
  }

Skopiuj ten obiekt JSON do późniejszego użycia. Będziesz potrzebować tylko sekcji z wartościami clientId, clientSecret, subscriptionIdi tenantId . Upewnij się, tenantId że nie masz dodatkowego przecinka na końcu ostatniego wiersza, na przykład wiersza w poprzednim przykładzie lub spowoduje to nieprawidłowy plik JSON. Podczas wdrażania zostanie wyświetlony błąd z komunikatem "Logowanie nie powiodło się z powodu błędu: zawartość nie jest prawidłowym obiektem JSON. Sprawdź dokładnie, czy typ uwierzytelniania jest poprawny".

Open ID Połączenie to metoda uwierzytelniania, która używa tokenów krótkotrwałych. Konfigurowanie Połączenie OpenID za pomocą funkcji GitHub Actions jest bardziej złożonym procesem, który oferuje zabezpieczenia ze wzmocnionymi zabezpieczeniami.

Jeśli nie masz istniejącej aplikacji, zarejestruj nową aplikację usługi Active Directory i jednostkę usługi, która może uzyskiwać dostęp do zasobów. Utwórz aplikację usługi Active Directory.
```
az ad app create --display-name myApp
```
To polecenie zwróci kod JSON z elementem , który jest twoim client-idelementem appId . Zapisz wartość do użycia jako AZURE_CLIENT_ID wpis tajny usługi GitHub później.

Użyjesz objectId wartości podczas tworzenia poświadczeń federacyjnych przy użyciu interfejsu APPLICATION-OBJECT-IDAPI programu Graph i odwołujesz się do niej jako .
Tworzenie jednostki usługi. Zastąp element $appID identyfikatorem appId z danych wyjściowych JSON.

To polecenie generuje dane wyjściowe JSON z inną objectId wartością i będzie używane w następnym kroku. objectId Nowy element to assignee-object-id.

Skopiuj element appOwnerTenantId , aby użyć go jako wpisu tajnego usługi GitHub do AZURE_TENANT_ID późniejszego użycia.
```
 az ad sp create --id $appId
```
Utwórz nowe przypisanie roli według subskrypcji i obiektu. Domyślnie przypisanie roli będzie powiązane z domyślną subskrypcją. Zastąp $subscriptionId ciąg identyfikatorem subskrypcji nazwą $resourceGroupName grupy zasobów i $assigneeObjectId wygenerowaną assignee-object-idwartością . Dowiedz się , jak zarządzać subskrypcjami platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
```
Uruchom następujące polecenie, aby utworzyć nowe poświadczenia tożsamości federacyjnej dla aplikacji usługi Active Directory.
- Zastąp APPLICATION-OBJECT-ID element objectId (wygenerowany podczas tworzenia aplikacji) dla aplikacji usługi Active Directory.
- Ustaw wartość dla elementu , CREDENTIAL-NAME aby odwoływać się później.
- Ustaw wartość subject. Wartość tej wartości jest definiowana przez usługę GitHub w zależności od przepływu pracy:
  - Zadania w środowisku funkcji GitHub Actions: repo:< Organization/Repository >:environment:< Name >
  - W przypadku zadań, które nie są powiązane ze środowiskiem, dołącz ścieżkę ref dla gałęzi/tagu na podstawie ścieżki ref używanej do wyzwalania przepływu pracy: repo:< Organization/Repository >:ref:< ref path>. Na przykład: repo:n-username/ node_express:ref:refs/heads/my-branch lub repo:n-username/ node_express:ref:refs/tags/my-tag.
  - W przypadku przepływów pracy wyzwalanych przez zdarzenie żądania ściągnięcia: repo:< Organization/Repository >:pull_request.
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}'
```
Aby dowiedzieć się, jak utworzyć aplikację usługi Active Directory, jednostkę usługi i poświadczenia federacyjne w witrynie Azure Portal, zobacz Połączenie GitHub i Azure.

Konfigurowanie wpisów tajnych usługi GitHub

Jednostka usługi
Otwórz Połączenie identyfikatora

Utwórz wpisy tajne dla poświadczeń platformy Azure, grupy zasobów i subskrypcji. Te wpisy tajne będą używane w sekcji Tworzenie przepływu pracy .

W usłudze GitHub przejdź do repozytorium.
Wybierz pozycję Ustawienia > Wpisy tajne i zmienne > Akcje > Nowy wpis tajny repozytorium.
Wklej całe dane wyjściowe JSON z polecenia interfejsu wiersza polecenia platformy Azure do pola wartości wpisu tajnego. Nadaj kluczowi nazwę wpisu tajnego AZURE_CREDENTIALS.
Utwórz kolejny wpis tajny o nazwie AZURE_RG. Dodaj nazwę grupy zasobów do pola wartości wpisu tajnego (exampleRG).
Utwórz kolejny wpis tajny o nazwie AZURE_SUBSCRIPTION. Dodaj identyfikator subskrypcji do pola wartości wpisu tajnego (na przykład: 90fd3f9d-4c61-432d-99ba-1273f236afa2).

Musisz podać identyfikator klienta aplikacji, identyfikator dzierżawy i identyfikator subskrypcji do akcji logowania. Te wartości można podać bezpośrednio w przepływie pracy lub przechowywać w wpisach tajnych usługi GitHub i odwoływać się do nich w przepływie pracy. Zapisanie wartości jako wpisów tajnych usługi GitHub jest bezpieczniejszą opcją.

Otwórz repozytorium GitHub i przejdź do Ustawienia.
Wybierz pozycję Ustawienia > Wpisy tajne > Nowy wpis tajny.

Utwórz wpisy tajne dla , AZURE_CLIENT_IDAZURE_TENANT_IDi AZURE_SUBSCRIPTION_ID. Użyj tych wartości z aplikacji usługi Active Directory dla wpisów tajnych usługi GitHub:

Wpis tajny usługi GitHub	Aplikacja usługi Active Directory
AZURE_CLIENT_ID	Identyfikator aplikacji (klient)
AZURE_TENANT_ID	Identyfikator katalogu (dzierżawcy)
AZURE_SUBSCRIPTION_ID	Identyfikator subskrypcji

Zapisz każdy wpis tajny, wybierając pozycję Dodaj wpis tajny.

Dodawanie pliku Bicep

Dodaj plik Bicep do repozytorium GitHub. Następujący plik Bicep tworzy konto magazynu:

@minLength(3)
@maxLength(11)
param storagePrefix string

@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_RAGRS'
  'Standard_ZRS'
  'Premium_LRS'
  'Premium_ZRS'
  'Standard_GZRS'
  'Standard_RAGZRS'
])
param storageSKU string = 'Standard_LRS'

param location string = resourceGroup().location

var uniqueStorageName = '${storagePrefix}${uniqueString(resourceGroup().id)}'

resource stg 'Microsoft.Storage/storageAccounts@2021-04-01' = {
  name: uniqueStorageName
  location: location
  sku: {
    name: storageSKU
  }
  kind: 'StorageV2'
  properties: {
    supportsHttpsTrafficOnly: true
  }
}

output storageEndpoint object = stg.properties.primaryEndpoints

Plik Bicep wymaga jednego parametru o nazwie storagePrefix z 3 do 11 znaków.

Plik można umieścić w dowolnym miejscu w repozytorium. Przykładowy przepływ pracy w następnej sekcji zakłada, że plik Bicep nosi nazwę main.bicep i jest przechowywany w katalogu głównym repozytorium.

Tworzenie przepływu pracy

Przepływ pracy definiuje kroki do wykonania po wyzwoleniu. Jest to plik YAML (.yml) w ścieżce .github/workflows/ repozytorium. Rozszerzenie pliku przepływu pracy może być .yml lub yaml.

Aby utworzyć przepływ pracy, wykonaj następujące kroki:

W repozytorium GitHub wybierz pozycję Akcje z górnego menu.
Wybierz pozycję Nowy przepływ pracy.
Wybierz opcję Skonfiguruj przepływ pracy samodzielnie.
Zmień nazwę pliku przepływu pracy, jeśli wolisz inną nazwę niż main.yml. Na przykład: deployBicepFile.yml.

Zastąp zawartość pliku yml następującym kodem:

Jednostka usługi
OpenID Connect

name: Deploy Bicep file
on: [push]
jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:

    - name: Checkout code
      uses: actions/checkout@main

    - name: Log into Azure
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - name: Deploy Bicep file
      uses: azure/arm-deploy@v1
      with:
        subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
        resourceGroupName: ${{ secrets.AZURE_RG }}
        template: ./main.bicep
        parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
        failOnStdErr: false

Zastąp mystore ciąg własnym prefiksem nazwy konta magazynu.

Uwaga

Możesz określić plik parametrów formatu JSON zamiast tego w akcji Wdrażanie usługi ARM (na przykład: .azuredeploy.parameters.json).

Pierwsza sekcja pliku przepływu pracy obejmuje:

name: nazwa przepływu pracy.
on: nazwa zdarzeń usługi GitHub, które wyzwala przepływ pracy. Przepływ pracy jest wyzwalany po wystąpieniu zdarzenia wypychania w gałęzi głównej.

on: [push]
name: Azure ARM
permissions:
  id-token: write
  contents: read
jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:

      # Checkout code
    - uses: actions/checkout@main

      # Log into Azure
    - uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      # Deploy Bicep file
    - name: deploy
      uses: azure/arm-deploy@v1
      with:
        subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
        resourceGroupName: ${{ secrets.AZURE_RG }}
        template: ./main.bicep
        parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
        failOnStdErr: false

Wybierz pozycję Zatwierdź zmiany.
Wybierz pozycję Zatwierdź bezpośrednio w gałęzi głównej.
Wybierz pozycję Zatwierdź nowy plik (lub Zatwierdź zmiany).

Aktualizowanie pliku przepływu pracy lub pliku Bicep wyzwala przepływ pracy. Przepływ pracy rozpoczyna się bezpośrednio po zatwierdzeniu zmian.

Sprawdzanie stanu przepływu pracy

Wybierz kartę Akcje . Zostanie wyświetlony przepływ pracy Tworzenie deployBicepFile.yml . Uruchomienie przepływu pracy trwa od 1 do 2 minut.
Wybierz przepływ pracy, aby go otworzyć, a następnie sprawdź, czy element Status to Success.

Czyszczenie zasobów

Gdy grupa zasobów i repozytorium nie są już potrzebne, wyczyść wdrożone zasoby, usuwając grupę zasobów i repozytorium GitHub.

Interfejs wiersza polecenia
Program PowerShell

az group delete --name exampleRG

Remove-AzResourceGroup -Name exampleRG

Następne kroki

Struktura i składnia pliku Bicep