Implantar modelos do ARM usando o GitHub Actions.

O GitHub Actions é um pacote de recursos do GitHub usado para automatizar seus fluxos de trabalho de desenvolvimento de software no mesmo local em que você armazena o código e colabora com outras pessoas em solicitações de pull e problemas.

Use a Ação Azure Resource Manager Modelo de Implantação para automatizar a implantação de um modelo arm (modelo arm) de Azure Resource Manager no Azure.

Pré-requisitos

• Uma conta do Azure com uma assinatura ativa. Crie uma conta gratuitamente.

• Uma conta do GitHub. Caso ainda não tenha uma, inscreva-se gratuitamente.

  • Um repositório GitHub para armazenar seus modelos do Resource Manager e seus arquivos de fluxo de trabalho. Para criá-lo, confira Como criar um repositório.

Visão geral do arquivo do fluxo de trabalho

Um fluxo de trabalho é definido por um arquivo YAML (.yml) no caminho /.github/workflows/ no repositório. Essa definição contém as várias etapas e os parâmetros que compõem o fluxo de trabalho.

O arquivo tem duas seções:

Seção	Tarefas
Autenticação	1. Gerar as credenciais de implantação.
Implantar	1. Implantar o modelo do Resource Manager.

Gerar as credenciais de implantação

Entidade de serviço

Crie uma entidade de serviço com o comando az ad sp create-for-rbac na CLI do Azure. Execute esse comando com o Azure Cloud Shell no portal do Azure ou selecionando o botão Experimentar.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

O parâmetro --json-auth está disponível nas versões da CLI do Azure >= 2.51.0. Versões anteriores a essa usam --sdk-auth com um aviso de substituição.

No exemplo acima, substitua os espaços reservados pela ID da assinatura, nome do grupo de recursos e nome do aplicativo. A saída é um objeto JSON com as credenciais de atribuição de função que fornecem acesso ao aplicativo do Serviço de Aplicativo semelhante ao mostrado abaixo. Copie esse objeto JSON para uso posterior.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

O OpenID Connect é um método de autenticação que usa tokens de curta duração. A configuração do OpenID Connect com o GitHub Actions é um processo mais complexo que oferece segurança aprimorada.

1. Se você não tiver um aplicativo existente, registre uma entidade de serviço e um novo aplicativo do Microsoft Entra que possam acessar recursos.

   az ad app create --display-name myApp
   

   Esse comando produzirá um JSON com um appId que consiste em seu client-id. A objectId, APPLICATION-OBJECT-ID, será usada para criar credenciais federadas com as chamadas à API do Graph. Salve o valor para usar mais tarde como o segredo AZURE_CLIENT_ID do GitHub.

2. Crie uma entidade de serviço. Substitua $appID pelo AppID de sua saída JSON. Esse comando gera uma saída JSON com uma objectId diferente que será usada na próxima etapa. O novo objectId é o assignee-object-id.

   Esse comando gera uma saída JSON com um objectId diferente e será usado na próxima etapa. O novo objectId é o assignee-object-id.

   Copie o appOwnerTenantId para usar mais tarde como um segredo do GitHub para AZURE_TENANT_ID.

    az ad sp create --id $appId
   

3. Crie uma atribuição de função por assinatura e objeto. Por padrão, a atribuição de função será vinculada à sua assinatura padrão. Substitua $subscriptionId pela ID da sua assinatura, $resourceGroupName pelo nome do seu grupo de recursos e $assigneeObjectId pela assignee-object-id gerada (a ID do objeto da entidade de serviço recém-criada).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Execute o comando a seguir para criar uma nova credencial de identidade federada para o seu aplicativo do Microsoft Entra.

   • Substitua a APPLICATION-OBJECT-ID pela objectId (gerada ao criar o aplicativo) do seu aplicativo do Microsoft Entra.
   • Defina um valor de CREDENTIAL-NAME para referência posterior.
   • Defina o subject. O valor disso é definido pelo GitHub dependendo do seu fluxo de trabalho:
     • Trabalhos em seu ambiente do GitHub Actions: repo:< Organization/Repository >:environment:< Name >
     • Para trabalhos não vinculados a um ambiente, inclua o caminho de referência para ramificação/marca com base no caminho de referência usado para disparar o fluxo de trabalho: repo:< Organization/Repository >:ref:< ref path>. Por exemplo, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Para fluxos de trabalho disparados por um evento de solicitação de pull: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

Configurar os segredos do GitHub

Entidade de serviço

1. No GitHub, acesse seu repositório.

2. Acesse Configurações no menu de navegação.

3. Selecione Segurança > Segredos e variáveis > Ações.

   

4. Selecione Novo segredo de repositório.

5. Cole toda a saída JSON do comando da CLI do Azure no campo valor do segredo. Dê ao segredo o nome AZURE_CREDENTIALS.

6. Selecione Adicionar segredo.

OpenID Connect

Você precisa fornecer a ID do cliente, a ID do locatário e a ID da assinatura do seu aplicativo para a ação de logon. Esses valores podem ser fornecidos diretamente no fluxo de trabalho ou podem ser armazenados em segredos do GitHub e referenciados em seu fluxo de trabalho. Salvar os valores como segredos do GitHub é a opção mais segura.

1. No GitHub, acesse seu repositório.

2. Selecione Segurança > Segredos e variáveis > Ações.

   

3. Selecione Novo segredo de repositório.

4. Crie segredos para AZURE_CLIENT_ID, AZURE_TENANT_ID e AZURE_SUBSCRIPTION_ID. Use esses valores do aplicativo Microsoft Entra para seus segredos do GitHub:

   Segredo do GitHub	Aplicativo do Microsoft Entra
   AZURE_CLIENT_ID	ID do aplicativo (cliente)
   AZURE_TENANT_ID	ID do diretório (locatário)
   AZURE_SUBSCRIPTION_ID	ID da assinatura

5. Salve cada segredo selecionando Adicionar segredo.

Adicionar modelo do Resource Manager

Adicione um modelo do Resource Manager ao repositório GitHub. O modelo cria uma conta de armazenamento.

https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json

Você pode colocar o arquivo em qualquer lugar do repositório. O exemplo do fluxo de trabalho na próxima seção presume que o arquivo de modelo foi denominado como azuredeploy.json e armazenado na raiz do seu repositório.

Criar fluxo de trabalho

O arquivo de fluxo de trabalho deve ser armazenado na pasta .github/workflows, na raiz do repositório. A extensão do arquivo do fluxo de trabalho pode ser .yml ou .yaml.

1. No repositório GitHub, selecione Actions no menu superior.
2. Selecione Novo fluxo de trabalho.
3. Selecione Configurar fluxo de trabalho por conta própria.
4. Renomeie o arquivo do fluxo de trabalho se preferir usar um nome diferente de main.yml. Por exemplo: deployStorageAccount.yml.
5. Substitua o conteúdo do arquivo yml pelo seguinte:

Entidade de serviço

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Observação

Em vez disso, você pode especificar um arquivo de parâmetros de formato JSON na ação De implantação do ARM (exemplo: .azuredeploy.parameters.json).

A primeira seção do arquivo de fluxo de trabalho inclui:

• nome: Nome do fluxo de trabalho.
• Ativado: o nome dos eventos do GitHub que acionam o fluxo de trabalho. O fluxo de trabalho é acionado quando há um evento no qual efetua-se o push na ramificação principal, que modifica pelo menos um dos dois arquivos especificados. Os dois arquivos correspondem ao arquivo de fluxo de trabalho e ao arquivo de modelo.

OpenID Connect

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Observação

Em vez disso, você pode especificar um arquivo de parâmetros de formato JSON na ação De implantação do ARM (exemplo: .azuredeploy.parameters.json).

A primeira seção do arquivo de fluxo de trabalho inclui:

• nome: Nome do fluxo de trabalho.
• Ativado: o nome dos eventos do GitHub que acionam o fluxo de trabalho. O fluxo de trabalho é acionado quando há um evento no qual efetua-se o push na ramificação principal, que modifica pelo menos um dos dois arquivos especificados. Os dois arquivos correspondem ao arquivo de fluxo de trabalho e ao arquivo de modelo.

1. Selecione Confirmar início.
2. Selecione Confirmar diretamente na ramificação principal.
3. Selecione Confirmar novo arquivo (ou Confirmar alterações).

Como o fluxo de trabalho está configurado para ser acionado pelo arquivo de fluxo de trabalho ou pelo arquivo de modelo que está sendo atualizado, ele é iniciado logo após você confirmar as alterações.

Verificar status do fluxo de trabalho

1. Selecione a guia Actions. Você verá listado um fluxo de trabalho Criar deployStorageAccount.yml. O fluxo de trabalho leva de um a dois minutos para ser executado.
2. Selecione o fluxo de trabalho para abri-lo.
3. Selecione Executar implantação do ARM no menu para verificar a implantação.

Limpar os recursos

Quando seu grupo de recursos e repositório não forem mais necessários, limpe os recursos implantados excluindo o grupo de recursos e o repositório GitHub.

Próximas etapas

Crie o seu primeiro modelo ARM

Módulo de aprendizado: Automatizar a implantação de modelos do ARM usando o GitHub Actions