Szybki start: nawiązywanie połączenia z usługą Azure PostgreSQL przy użyciu GitHub Actions

DOTYCZY: Azure Database for PostgreSQL — pojedynczy serwer

DOTYCZY: Azure Database for PostgreSQL — pojedynczy serwer Azure Database for PostgreSQL — serwer elastyczny

Rozpocznij pracę z GitHub Actions przy użyciu przepływu pracy w celu wdrożenia aktualizacji bazy danych w Azure Database for PostgreSQL.

Wymagania wstępne

Potrzebne elementy:

• Konto platformy Azure z aktywną subskrypcją. Utwórz bezpłatne konto.
• Repozytorium GitHub z przykładowymi danymi (data.sql). Jeśli nie masz konta usługi GitHub, zarejestruj się bezpłatnie.
• Serwer Azure Database for PostgreSQL.
  • Szybki start: tworzenie serwera usługi Azure Database for PostgreSQL w witrynie Azure Portal

Omówienie pliku przepływu pracy

Przepływ pracy GitHub Actions jest definiowany przez plik YAML (yml) w /.github/workflows/ ścieżce w repozytorium. Ta definicja zawiera różne kroki i parametry, które tworzą przepływ pracy.

Plik zawiera dwie sekcje:

Sekcja	Zadania
Authentication	1. Generuj poświadczenia wdrożenia.
Wdrażanie	1. Wdróż bazę danych.

Generowanie poświadczeń wdrożenia

Jednostka usługi

Utwórz jednostkę usługi za pomocą polecenia az ad sp create-for-rbac w interfejsie wiersza polecenia platformy Azure. Uruchom to polecenie za pomocą usługi Azure Cloud Shell w Azure Portal lub wybierając przycisk Wypróbuj.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --sdk-auth

W powyższym przykładzie zastąp symbole zastępcze identyfikatorem subskrypcji, nazwą grupy zasobów i nazwą aplikacji. Dane wyjściowe to obiekt JSON z poświadczeniami przypisania roli, które zapewniają dostęp do aplikacji App Service podobnej do poniższej. Skopiuj ten obiekt JSON do późniejszego użycia.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Connect to metoda uwierzytelniania, która używa tokenów krótkotrwałych. Konfigurowanie programu OpenID Connect za pomocą GitHub Actions jest bardziej złożonym procesem, który zapewnia zabezpieczenia ze wzmocnionymi zabezpieczeniami.

1. Jeśli nie masz istniejącej aplikacji, zarejestruj nową aplikację usługi Active Directory i jednostkę usługi, która może uzyskiwać dostęp do zasobów. Utwórz aplikację usługi Active Directory.

   az ad app create --display-name myApp
   

   To polecenie wyświetli kod JSON z elementem appId , który jest twoim client-idelementem . Zapisz wartość do użycia jako AZURE_CLIENT_ID wpis tajny usługi GitHub później.

   Użyjesz objectId wartości podczas tworzenia poświadczeń federacyjnych za pomocą interfejs Graph API i odwołujesz się do niej jako APPLICATION-OBJECT-ID.

2. Tworzenie jednostki usługi. Zastąp element $appID identyfikatorem appId z danych wyjściowych JSON.

   To polecenie generuje dane wyjściowe JSON z innym objectId i będzie używane w następnym kroku. Nowy objectId element to assignee-object-id.

   Skopiuj element appOwnerTenantId , aby użyć go jako wpisu tajnego w usłudze GitHub w AZURE_TENANT_ID przyszłości.

    az ad sp create --id $appId
   

3. Utwórz nowe przypisanie roli według subskrypcji i obiektu. Domyślnie przypisanie roli będzie powiązane z domyślną subskrypcją. Zastąp $subscriptionId ciąg identyfikatorem subskrypcji nazwą $resourceGroupName grupy zasobów i $assigneeObjectId wygenerowaną assignee-object-idwartością . Dowiedz się , jak zarządzać subskrypcjami platformy Azure za pomocą interfejsu wiersza polecenia platformy Azure.

   az role assignment create --role contributor --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal
   

4. Uruchom następujące polecenie, aby utworzyć nowe poświadczenia tożsamości federacyjnej dla aplikacji usługi Active Directory.

   • Zastąp APPLICATION-OBJECT-ID ciąg objectId (wygenerowany podczas tworzenia aplikacji) dla aplikacji usługi Active Directory.
   • Ustaw wartość dla elementu , CREDENTIAL-NAME aby odwołać się później.
   • Ustaw wartość subject. Wartość tej wartości jest definiowana przez usługę GitHub w zależności od przepływu pracy:
     • Zadania w środowisku GitHub Actions:repo:< Organization/Repository >:environment:< Name >
     • W przypadku zadań, które nie są powiązane ze środowiskiem, dołącz ścieżkę ref dla gałęzi/tagu na podstawie ścieżki ref używanej do wyzwalania przepływu pracy: repo:< Organization/Repository >:ref:< ref path>. Na przykład: repo:n-username/ node_express:ref:refs/heads/my-branch lub repo:n-username/ node_express:ref:refs/tags/my-tag.
     • W przypadku przepływów pracy wyzwalanych przez zdarzenie żądania ściągnięcia: repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

Aby dowiedzieć się, jak utworzyć aplikację usługi Active Directory, jednostkę usługi i poświadczenia federacyjne w Azure Portal, zobacz Łączenie z usługą GitHub i platformą Azure.

Kopiowanie parametrów połączenia postgreSQL

W Azure Portal przejdź do serwera Azure Database for PostgreSQL i otwórz pozycję Ustawienia>Parametry połączenia. Skopiuj parametry połączenia ADO.NET. Zastąp wartości symboli zastępczych dla your_database i your_password. Parametry połączenia będą wyglądać podobnie do tego.

Ważne

• W przypadku pojedynczego serwera użyj polecenia user=adminusername@servername . Zanotuj, że @servername jest to wymagane.
• W przypadku serwera elastycznego użyj polecenia user= adminusername bez elementu @servername.

psql host={servername.postgres.database.azure.com} port=5432 dbname={your_database} user={adminusername} password={your_database_password} sslmode=require

Parametry połączenia będą używane jako wpis tajny usługi GitHub.

Konfigurowanie wpisów tajnych usługi GitHub

Jednostka usługi

1. W usłudze GitHub przejdź do repozytorium.

2. Wybierz pozycję Wpisy tajne zabezpieczeń > i zmienne > Akcje.

   

3. Wybierz pozycję Nowy wpis tajny repozytorium.

4. Wklej całe dane wyjściowe JSON z polecenia interfejsu wiersza polecenia platformy Azure do pola wartości wpisu tajnego. Nadaj wpisowi tajnym nazwę AZURE_CREDENTIALS.

5. Wybierz przycisk Add secret (Dodaj wpis tajny).

OpenID Connect

Musisz podać identyfikator klienta aplikacji, identyfikator dzierżawy i identyfikator subskrypcji do akcji logowania. Te wartości mogą być udostępniane bezpośrednio w przepływie pracy lub mogą być przechowywane w wpisach tajnych usługi GitHub i przywołyne w przepływie pracy. Zapisywanie wartości jako wpisów tajnych usługi GitHub jest bardziej bezpieczną opcją.

1. W usłudze GitHub przejdź do repozytorium.

2. Wybierz pozycję Wpisy tajne zabezpieczeń > i zmienne > Akcje.

   

3. Wybierz pozycję Nowy wpis tajny repozytorium.

4. Utwórz wpisy tajne dla AZURE_CLIENT_ID, AZURE_TENANT_IDi AZURE_SUBSCRIPTION_ID. Użyj tych wartości z aplikacji usługi Active Directory dla wpisów tajnych usługi GitHub:

   Wpis tajny usługi GitHub	Aplikacja usługi Active Directory
   AZURE_CLIENT_ID	Identyfikator aplikacji (klienta)
   AZURE_TENANT_ID	Identyfikator katalogu (dzierżawcy)
   AZURE_SUBSCRIPTION_ID	Identyfikator subskrypcji

5. Zapisz każdy wpis tajny, wybierając pozycję Dodaj wpis tajny.

Dodawanie przepływu pracy

1. Przejdź do pozycji Akcje dla repozytorium GitHub.

2. Wybierz pozycję Skonfiguruj przepływ pracy samodzielnie.

3. Usuń wszystko po on: sekcji pliku przepływu pracy. Na przykład pozostały przepływ pracy może wyglądać następująco.

   name: CI
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   

4. Zmień nazwę przepływu pracy PostgreSQL for GitHub Actions i dodaj akcje wyewidencjonowania i logowania. Te akcje będą wyewidencjonowywały kod witryny i uwierzytelniają się na platformie Azure przy użyciu utworzonych wcześniej wpisów tajnych usługi GitHub.

   Jednostka usługi

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           creds: ${{ secrets.AZURE_CREDENTIALS }}
   

   OpenID Connect

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   

5. Użyj akcji Wdrażanie usługi Azure PostgreSQL, aby nawiązać połączenie z wystąpieniem bazy danych PostgreSQL. Zastąp POSTGRESQL_SERVER_NAME ciąg nazwą serwera. Powinien istnieć plik danych PostgreSQL o nazwie data.sql na poziomie głównym repozytorium.

    - uses: azure/postgresql@v1
      with:
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       server-name: POSTGRESQL_SERVER_NAME
       sql-file: './data.sql'
   

6. Ukończ przepływ pracy, dodając akcję w celu wylogowania platformy Azure. Oto ukończony przepływ pracy. Plik zostanie wyświetlony w .github/workflows folderze repozytorium.

   Jednostka usługi

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CREDENTIALS }}
   
   - uses: azure/postgresql@v1
     with:
       server-name: POSTGRESQL_SERVER_NAME
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       sql-file: './data.sql'
   
       # Azure logout
   - name: logout
     run: |
        az logout
   

   OpenID Connect

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
   - uses: azure/postgresql@v1
     with:
       server-name: POSTGRESQL_SERVER_NAME
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       sql-file: './data.sql'
   
       # Azure logout
   - name: logout
     run: |
        az logout
   

Przeglądanie wdrożenia

1. Przejdź do pozycji Akcje dla repozytorium GitHub.

2. Otwórz pierwszy wynik, aby wyświetlić szczegółowe dzienniki przebiegu przepływu pracy.

   

Czyszczenie zasobów

Gdy baza danych i repozytorium usługi Azure PostgreSQL nie są już potrzebne, wyczyść wdrożone zasoby, usuwając grupę zasobów i repozytorium GitHub.

Następne kroki

Dowiedz się więcej o integracji z platformą Azure i usługą GitHub

Dowiedz się, jak nawiązać połączenie z serwerem