Arquitetura de linha de base de CI/CD com o Azure Pipelines

Este artigo descreve um fluxo de trabalho DevOps de alto nível para implantar alterações de aplicativo em ambientes de preparo e produção no Azure. A solução usa práticas de CI/CD (integração contínua/implantação contínua) com o Azure Pipelines.

Importante

Este artigo aborda uma arquitetura geral de CI/CD usando o Azure Pipelines. Não se destina a abranger as especificidades da implantação em ambientes diferentes, como Azure App Services, Máquinas Virtuais e Azure Power Platform. As especificidades da plataforma de implantação são abordadas em artigos separados.

Arquitetura

Diagrama de arquitetura de um pipeline do Azure. O diagrama mostra as seguintes etapas: 1. Um engenheiro que envia por push o código muda para um repositório Git do Azure DevOps. 2. Um pipeline de PR do Azure Pipelines sendo disparado. Esse pipeline mostra as seguintes tarefas: lint, restauração, build e testes de unidade. 3. Um pipeline de CI do Azure Pipelines sendo disparado. Esse pipeline mostra as seguintes tarefas: obter segredos, lint, restaurar, compilar, testes de unidade, testes de integração e publicar artefatos de build. 3. Um pipeline de CD do Azure Pipelines sendo disparado. Esse pipeline mostra as seguintes tarefas: baixar artefatos, implantar em preparo, testes, intervenção manual e lançamento. 4. Mostra o pipeline de CD implantando em um ambiente de preparo. 5. Mostra o pipeline de CD lançado em um ambiente de produção. 6. Mostra um operador monitorando o pipeline, aproveitando o Azure Monitor, Azure Application Insights e o Workspace do Azure Analytics.

Baixe um Arquivo Visio dessa arquitetura.

Observação

Embora este artigo aborde CI/CD para alterações de aplicativo, o Azure Pipelines também pode ser usado para criar pipelines de CI/CD para alterações de IaC (infraestrutura como código).

Fluxo de dados

O fluxo de dados neste cenário ocorre da seguinte forma:

1. Pipeline de PR – uma PR (solicitação de pull) para Git do Azure Repos dispara um pipeline de PR. Esse pipeline executa verificações de qualidade rápidas. Essas verificações devem incluir:

   • Criar o código, que requer a extração de dependências de um sistema de gerenciamento de dependências.
   • O uso de ferramentas para analisar o código, como análise de código estático, lint e verificação de segurança
   • Testes de unidade

   Se qualquer uma das verificações falhar, a execução do pipeline será encerrada e o desenvolvedor precisará fazer as alterações necessárias. Se todas as verificações forem aprovadas, o pipeline deverá exigir uma revisão de PR. Se a revisão de PR falhar, o pipeline terminará e o desenvolvedor terá que fazer as alterações necessárias. Se todas as verificações e revisões de PR forem aprovadas, a PR será mesclada com êxito.

2. Pipeline de CI – uma mesclagem para Git do Azure Repos dispara um pipeline de CI. Esse pipeline executa as mesmas verificações que o pipeline de PR com algumas adições importantes. O pipeline de CI executa testes de integração. Esses testes de integração não devem exigir a implantação da solução, pois os artefatos de build ainda não foram criados. Se os testes de integração exigirem segredos, o pipeline obterá esses segredos do Azure Key Vault. Se qualquer uma das verificações falhar, o pipeline será encerrado e o desenvolvedor precisará fazer as alterações necessárias. O resultado de uma execução bem-sucedida desse pipeline é a criação e publicação de artefatos de build

3. Gatilho de pipeline de CD – a publicação de artefatos dispara o pipeline de CD.

4. Versão de CD para preparo – o pipeline de CD baixa os artefatos de build criados no pipeline de CI e implanta a solução em um ambiente de preparo. Em seguida, o pipeline executa testes de aceitação no ambiente de preparo para validar a implantação. Se qualquer teste de aceitação falhar, o pipeline terminará e o desenvolvedor terá que fazer as alterações necessárias. Se os testes forem bem-sucedidos, uma tarefa de validação manual poderá ser implementada para exigir que uma pessoa ou grupo valide a implantação e retome o pipeline.

5. Lançamento de CD para produção – se a intervenção manual for retomada ou não houver intervenção manual implementada, o pipeline lançará a solução para produção. O pipeline deve executar smoke tests em produção para garantir que a versão esteja funcionando conforme o esperado. Se uma etapa de intervenção manual resultar em um cancelamento, a versão falhar ou os smoke tests falharem, a versão será revertida, o pipeline terminará e o desenvolvedor terá que fazer as alterações necessárias.

6. Monitoramento – o Azure Monitor coleta dados de observabilidade, como logs e métricas, para que um operador possa analisar dados de integridade, desempenho e uso. O Application Insights coleta todos os dados de monitoramento específicos do aplicativo, como rastreamentos. O Azure Log Analytics é usado para armazenar todos esses dados.

Componentes

• Um repositório Git do Azure Repos serve como um repositório de código que fornece controle de versão e uma plataforma para projetos colaborativos.

• O Azure Pipelines fornece uma maneira de criar, testar, empacotar e liberar código de aplicativo e infraestrutura. Este exemplo tem três pipelines distintos com as seguintes responsabilidades:

  • Os pipelines de PR validam o código antes de permitir que uma PR mescle por meio de lint, compilação e teste de unidade.
  • Os pipelines de CI são executados depois que o código é mesclado. Eles executam a mesma validação que os pipelines de PR, mas adicionam testes de integração e publicam artefatos de build se tudo for bem-sucedido.
  • Os pipelines de CD implantam artefatos de build, executam testes de aceitação e são liberados para produção.

• Os Feeds de Artefatos do Azure permitem que você gerencie e compartilhe pacotes de software, como Maven, npm e NuGet. Os feeds de artefato permitem que você gerencie o ciclo de vida de seus pacotes, incluindo controle de versão, promoção e desativação de pacotes. Isso ajuda você a garantir que sua equipe esteja usando as versões mais recentes e seguras de seus pacotes.

• Key Vault fornece uma maneira de gerenciar dados seguros para sua solução, incluindo segredos, chaves de criptografia e certificados. Nessa arquitetura, ela é usada para armazenar segredos do aplicativo. Esses segredos são acessados por meio do pipeline. Os segredos podem ser acessados pelo Azure Pipelines com uma tarefa Key Vault ou vinculando segredos de Key Vault.

• Monitor é um recurso de observabilidade que coleta e armazena métricas e logs, telemetria de aplicativos e métricas de plataforma para os serviços do Azure. Use esses dados para monitorar o aplicativo, configurar alertas e painéis e executar a análise da causa raiz de falhas.

• O Application Insights é um serviço de monitoramento que fornece insights em tempo real sobre o desempenho e o uso de seus aplicativos Web.

• O workspace do Log Analytics fornece um local central onde você pode armazenar, consultar e analisar dados de várias fontes, incluindo recursos, aplicativos e serviços do Azure.

Alternativas

Embora este artigo se concentre no Azure Pipelines, você pode considerar estas alternativas:

• O Azure DevOps Server (conhecido como Team Foundation Server) poderia ser usado como substituto local.

• Jenkins é uma ferramenta de código aberto usada para automatizar builds e implantações.

• GitHub Actions permite que você automatize seus fluxos de trabalho de CI/CD diretamente do GitHub.

• Os repositórios do GitHub podem ser substituídos como o repositório de código. O Azure Pipelines se integra perfeitamente aos repositórios do GitHub.

Este artigo se concentra em práticas gerais de CI/CD com o Azure Pipelines. Veja a seguir alguns ambientes de computação nos quais você pode considerar a implantação:

• O Serviço de Aplicativo é um serviço com base em HTTP para hospedagem de aplicativos Web, APIs REST e back-ends móveis. Você pode desenvolver em seu idioma favorito e aplicativos são executados e dimensionados com facilidade em ambientes baseados em Windows e Linux. Os Aplicativos Web dão suporte a slots de implantação, como preparo e produção. Você pode implantar um aplicativo em um slot de preparo e liberá-lo para o slot de produção.

• As Máquinas Virtuais do Azure lidam com cargas de trabalho que exigem um alto grau de controle, ou dependem dos componentes do sistema operacional e serviços que não são possíveis com Aplicativos Web (por exemplo, o Windows GAC ou COM).

• O Azure Power Platform é uma coleção de serviços de nuvem que permitem que os usuários criem, implantem e gerenciem aplicativos sem a necessidade de infraestrutura ou experiência técnica.

• O Azure Functions é uma plataforma de computação sem servidor que você pode usar para criar aplicativos. Com o Functions, você pode usar gatilhos e associações para integrar serviços. As funções também dão suporte a slots de implantação, como preparo e produção. Você pode implantar um aplicativo em um slot de preparo e liberá-lo para o slot de produção.

• O AKS (Serviço de Kubernetes do Azure) são um cluster do Kubernetes gerenciado no Azure. O Kubernetes é uma plataforma de orquestração de contêiner de código aberto.

• Os Aplicativos de Contêiner do Azure permitem executar aplicativos em contêineres em uma plataforma sem servidor.

Detalhes do cenário

O uso de práticas comprovadas de CI e CD para implantar alterações de aplicativo ou infraestrutura oferece vários benefícios, incluindo:

• Ciclos de versão mais curtos – os processos automatizados de CI/CD permitem que você implante mais rapidamente do que as práticas manuais. Muitas organizações implantam várias vezes por dia.
• Melhor qualidade de código – os portões de qualidade em pipelines de CI, como lint e teste de unidade, resultam em um código de maior qualidade.
• Diminuição do risco de lançamento – as práticas adequadas de CI/CD diminuem drasticamente o risco de liberar novos recursos. A implantação pode ser testada antes da versão.
• Aumento da produtividade – a CI/CD automatizada libera os desenvolvedores de trabalhar em integrações e implantações manuais para que eles possam se concentrar em novos recursos.
• Habilitar reversões – embora as práticas adequadas de CI/CD reduzam o número de bugs ou regressões lançadas, elas ainda ocorrem. CI/CD pode habilitar reversões automatizadas para versões anteriores.

Possíveis casos de uso

Considere o Azure Pipelines e os processos de CI/CD para:

• Acelerar o desenvolvimento de aplicativos e ciclos de vida de desenvolvimento.
• Gerar qualidade e consistência em um processo de versão e build automatizado.
• Aumentar a estabilidade e o tempo de atividade do aplicativo.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Excelência operacional

• Implemente a IaC (Infraestrutura como Código) para definir sua infraestrutura e implantá-la em seus pipelines.

• Considere usar uma das Tarefas de Tokenização disponíveis no marketplace do VSTS, no contexto geralmente se refere a um processo em que informações confidenciais (como chaves de API, senhas ou outros segredos) são substituídas por tokens ou espaços reservados durante a implantação ou configuração.

• Use variáveis de versão em suas definições de versão para conduzir alterações de configuração de seus ambientes. As variáveis de versão podem ser definidas para uma versão inteira ou um determinado ambiente. Ao usar variáveis de informações secretas, selecione o ícone de cadeado.

• Use agentes auto-hospedados se você estiver implantando em recursos em execução em uma rede virtual protegida. Você também pode considerar agentes auto-hospedados se estiver executando um grande volume de builds. Em casos de grandes volumes de build, agentes auto-hospedados podem ser usados para acelerar os builds de maneira econômica.

• Use o Application Insights e outras ferramentas de monitoramento o mais cedo possível no seu pipeline de lançamento. Muitas organizações só começam o monitoramento em seus ambientes de produção. Ao monitorar outros ambientes, você pode identificar bugs desde o início do processo de desenvolvimento e evitar problemas em seu ambiente de produção.

• Use recursos de monitoramento separados para produção.

• Use pipelines YAML em vez da interface Clássica. Os pipelines YAML podem ser tratados como outros códigos. Os pipelines YAML podem ser verificados no controle do código-fonte e com controle de versão, por exemplo.

• Use modelos YAML para promover a reutilização e simplificar pipelines. Por exemplo, pipelines de PR e CI são semelhantes. Um único modelo parametrizado pode ser usado para ambos os pipelines.

• Crie ambientes além de preparo e produção para dar suporte a atividades como testes manuais de aceitação do usuário, teste de desempenho e carga e reversões.

Otimização de custo

A otimização de custos é a análise de maneiras de reduzir as despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

Os custos do Azure DevOps dependem do número de usuários em sua organização que precisam de acesso, juntamente com outros fatores, como o número de builds/versões simultâneos necessários e o números de usuários de teste. Para saber mais, confira Preços de Azure DevOps.

Essa Calculadora de preços fornece uma estimativa para a execução do Azure DevOps com 20 usuários.

O Azure DevOps é cobrado por mês e por usuário. Pode haver mais cobranças, dependendo da necessidade de pipelines simultâneos, além de usuários de teste ou licenças de usuário básicas adicionais.

Segurança

• Considere os benefícios de segurança do uso de agentes hospedados pela Microsoft ao escolher se deseja usar agentes hospedados pela Microsoft ou auto-hospedados.

• Verifique se todas as alterações nos ambientes são feitas por meio de pipelines. Implemente RBACs (controles de acesso baseados em função) no princípio de privilégios mínimos, impedindo que os usuários acessem ambientes.

• Integre as etapas no Azure Pipelines para acompanhar dependências, gerenciar o licenciamento, verificar se há vulnerabilidades e manter as dependências atualizadas.

Próximas etapas

Examine os seguintes recursos para saber mais sobre CI/CD e o Azure DevOps:

• O que é DevOps?
• DevOps na Microsoft ‒ como trabalhamos com o Azure DevOps
• Criar um pipeline de CI/CD para .NET com o Azure DevOps Projects
• O que é o Azure Repos?
• O que é o Azure Pipelines?
• Azure DevOps
• Visão geral do Serviço de Aplicativo
• Introdução ao Azure Functions
• Conceitos básicos do Azure Key Vault
• Visão geral do Azure Monitor

Recursos relacionados

• Lista de verificação de DevOps
• CI/CD para VMs Azure
• CI/CD para contêineres
• Criar um pipeline de CI/CD para microsserviços no Kubernetes