Implemente um contentor personalizado no App Service usando GitHub Actions

Pode usar o GitHub Actions para construir um fluxo de trabalho automatizado de desenvolvimento de software. Pode usar a ação Azure Web Deploy para automatizar o seu fluxo de trabalho e implementar contentores personalizados no Azure App Service.

Um fluxo de trabalho é definido por um arquivo YAML (.yml) no /.github/workflows/ caminho no repositório. Esta definição contém as várias etapas e parâmetros que estão no fluxo de trabalho.

Para um fluxo de trabalho de contentor de App Service, o ficheiro tem três secções:

Section	Tarefas
Autenticação	1. Recupere uma entidade de serviço ou um perfil de publicação. 2. Crie um segredo do GitHub.
Compilação	1. Crie o ambiente. 2. Crie a imagem do contêiner.
Implementar	1. Implante a imagem do contêiner.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.
• Uma conta GitHub. Se não tiver uma, inscreva-se gratuitamente. Você precisa ter código em um repositório GitHub para implantar no Serviço de Aplicativo do Azure.
• Um registro de contêiner de trabalho e um aplicativo do Serviço de Aplicativo do Azure para contêineres. Este exemplo usa o Azure Container Registry. Certifique-se de terminar a implementação completa no Azure App Service para contentores. Ao contrário dos aplicativos Web comuns, os aplicativos Web para contêineres não têm uma página de destino padrão. Publique o contêiner para ter um exemplo de trabalho.
• Complete estas tarefas: Aprenda a criar uma aplicação de Node.js containerizada usando o Docker, envie a imagem do contentor para um registo e depois implemente a imagem no Azure App Service.

Gerar credenciais de implantação

Recomendamos que se autentique com o Azure App Services para as Ações do GitHub utilizando o OpenID Connect. Também pode autenticar-se com um parceiro de serviço ou com um perfil publicado.

Para autenticar com o Azure, guarde a credencial do seu perfil de publicação ou o principal do serviço como um segredo no GitHub. Acedes ao segredo do teu fluxo de trabalho.

Publicar perfil

Um perfil de publicação é uma credencial no nível do aplicativo. Configure seu perfil de publicação como um segredo do GitHub.

1. Vá para Serviço de Aplicativo no portal do Azure.

2. No painel de Visão Geral , selecione Publicar perfil.

   Nota

   Desde Outubro de 2020, os utilizadores devem configurar a definição da aplicação nas aplicações web Linux WEBSITE_WEBDEPLOY_USE_SCM antes de truedescarregarem o ficheiro. Para aprender a configurar as definições comuns de aplicações web, vá a Configurar uma aplicação de Serviços de Aplicações no portal Azure.

3. Salve o arquivo baixado. Utiliza-se o conteúdo do ficheiro para criar um segredo no GitHub.

Principal de serviço

1. Crie uma aplicação Microsoft Entra com um principal de serviço utilizando o portal Azure, a CLI do Azure ou o Azure PowerShell.

2. Crie um segredo de cliente para o seu principal de serviço usando o portal Azure, a CLI do Azure ou o Azure PowerShell.

3. Copie os valores para ID do cliente, Segredo do cliente, ID da assinatura e ID do diretório (locatário) para usar posteriormente no fluxo de trabalho de Ações do GitHub.

4. Atribua um papel apropriado ao seu principal de serviço usando o portal Azure, a CLI do Azure ou o Azure PowerShell.

Conexão OpenID

OpenID Connect é um método de autenticação que usa tokens de curta duração. Configurar o OpenID Connect com GitHub Actions é um processo mais complexo que oferece segurança reforçada.

Para usar a ação Azure Login com o OpenID Connect, precisa de configurar uma credencial de identidade federada numa aplicação Microsoft Entra ou numa identidade gerida atribuída pelo utilizador.

Opção 1: Usar uma aplicação Microsoft Entra

1. Crie uma aplicação Microsoft Entra com um principal de serviço utilizando o portal Azure, a CLI do Azure ou o Azure PowerShell.

2. Copie os valores para ID do cliente, ID da assinatura e ID do diretório (locatário) para usar posteriormente no fluxo de trabalho das Ações do GitHub.

3. Atribua um papel apropriado ao seu principal de serviço usando o portal Azure, a CLI do Azure ou o Azure PowerShell.

4. Configure uma credencial de identidade federada numa aplicação Microsoft Entra para confiar nos tokens que o GitHub Actions emite para o seu repositório GitHub.

Opção 2: Usar uma identidade gerida atribuída pelo utilizador

1. Crie uma identidade gerenciada atribuída pelo usuário.

2. Copie os valores para ID do cliente, ID da assinatura e ID do diretório (locatário) para usar posteriormente no fluxo de trabalho das Ações do GitHub.

3. Atribua uma função apropriada à sua identidade gerenciada atribuída pelo usuário.

4. Configure uma credencial de identidade federada numa identidade gerida atribuída pelo utilizador para confiar nos tokens que o GitHub Actions emite para o seu repositório GitHub.

Configurar o segredo do GitHub para autenticação

Publicar perfil

No GitHub, navegue pelo repositório. Selecione Configurações>> do repositório.

Para usar credenciais no nível do aplicativo, cole o conteúdo do arquivo de perfil de publicação baixado no campo de valor do segredo. Nomeie o segredo AZURE_WEBAPP_PUBLISH_PROFILE.

Quando configurares o teu fluxo de trabalho no GitHub, usa o AZURE_WEBAPP_PUBLISH_PROFILE segredo na ação de implementação do Azure Web App. Por exemplo:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Principal de serviço

No GitHub, navegue pelo repositório. Selecione Configurações>> do repositório.

Para usar credenciais de nível de usuário, cole toda a saída JSON do comando CLI do Azure no campo de valor do segredo. Dê um nome ao segredo, como AZURE_CREDENTIALS.

Quando configurares o ficheiro de workflow mais tarde, usa o segredo como valor de entrada creds da ação de login do Azure. Por exemplo:

- uses: azure/login@v2
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

Conexão OpenID

É necessário fornecer o ID do Cliente, o ID do Tenant e o ID da Subscrição da sua aplicação para a ação de início de sessão. Pode fornecer estes valores diretamente no fluxo de trabalho ou armazená-los em segredos do GitHub e consultá-los no seu fluxo de trabalho. É mais seguro guardar os valores como segredos do GitHub.

1. Abra seu repositório GitHub e vá para Configurações>Segredos de segurança>Novo segredo do repositório.

   Nota

   Para melhorar a segurança do fluxo de trabalho em repositórios públicos, use segredos de ambiente em vez de segredos de repositório. Se o ambiente exigir aprovação, um trabalho não pode aceder aos segredos do ambiente até que um dos revisores necessários os aprove.

2. Crie segredos para AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_SUBSCRIPTION_ID. Use estes valores da sua aplicação Active Directory para os seus segredos do GitHub. Você pode encontrar esses valores no portal do Azure pesquisando seu aplicativo Ative Directory.

   Segredo do GitHub	Aplicativo Ative Directory
   AZURE_CLIENT_ID	ID da aplicação (cliente)
   AZURE_TENANT_ID	ID do Diretório (inquilino)
   AZURE_SUBSCRIPTION_ID	ID de Subscrição

3. Salve cada segredo selecionando Adicionar segredo.

Configurar segredos do GitHub para seu registro

Defina segredos para usar com a ação Login do Docker. O exemplo neste artigo utiliza o Azure Container Registry para o registo de contentores.

1. Vá para seu contêiner no portal do Azure ou no Docker e copie o nome de usuário e a senha. Você pode encontrar o nome de usuário e a senha do Registro de Contêiner do Azure no portal do Azure em Configurações>Chaves de acesso para seu registro.

2. Defina um novo segredo para o nome de usuário do Registro chamado REGISTRY_USERNAME.

3. Defina um novo segredo para a senha do Registro chamada REGISTRY_PASSWORD.

Criar a imagem do contentor

O exemplo seguinte mostra parte do fluxo de trabalho que constrói uma imagem Node.js Docker. Use Docker Login para iniciar sessão num repositório privado de contentores. Este exemplo usa o Registro de Contêiner do Azure, mas a mesma ação funciona para outros registros.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Também pode usar o login do Docker para iniciar sessão em vários registos de contentores ao mesmo tempo. Este exemplo inclui dois novos segredos do GitHub para autenticação com docker.io. O exemplo pressupõe que há um Dockerfile no nível raiz do registro.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

O exemplo a seguir mostra parte do fluxo de trabalho que cria uma imagem do Windows Docker. Utilize o Docker Login para iniciar sessão num registo privado de contentores. Este exemplo usa o Registro de Contêiner do Azure, mas a mesma ação funciona para outros registros.

name: Windows Container Workflow
on: [push]
jobs:
  build:
    runs-on: windows-latest
    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Também pode usar o login do Docker para iniciar sessão em vários registos de contentores ao mesmo tempo. Este exemplo inclui dois novos segredos do GitHub para autenticação com docker.io. O exemplo pressupõe que há um Dockerfile no nível raiz do registro.

name: Windows Container Workflow
on: [push]
jobs:
  build:
    runs-on: windows-latest
    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Implantar em um contêiner do Serviço de Aplicativo

Para implantar sua imagem em um contêiner personalizado no Serviço de Aplicativo, use a azure/webapps-deploy@v2 ação. Esta ação tem sete parâmetros:

Parâmetro	Explicação
app-name	(Obrigatório) Nome da aplicação App Service.
publish-profile	(Opcional) Usado com aplicações web (Windows e Linux) e containers de aplicações web (Linux). Cenário de múltiplos contentores não suportado. Publique o conteúdo do ficheiro de perfil \*.publishsettings com os segredos do Web Deploy.
slot-name	(Opcional) Introduza um slot existente diferente do slot de produção.
package	(Opcional) Usado apenas com aplicações web: Caminho para pacote ou pasta. \*.zip, \*.war, \*.jar, ou uma pasta para implementar.
images	(Obrigatório) Usado apenas com contentores de aplicações web: Especifique o nome da imagem do contentor totalmente qualificado. Por exemplo, myregistry.azurecr.io/nginx:latest ou python:3.12.12-alpine/. Para uma aplicação multi-contentor, podem ser fornecidos vários nomes de imagem de contentor (separados por várias linhas).
configuration-file	(Opcional) Usado apenas com contentores de aplicações web: caminho do ficheiro Docker Compose. Deve ser um caminho totalmente qualificado ou relativo ao diretório de trabalho padrão. Necessário para aplicativos de vários contêineres.
startup-command	(Opcional) Introduza o comando de arranque. Por exemplo: dotnet run ou dotnet filename.dll.

Publicar perfil

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Principal de serviço

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

Conexão OpenID

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

Publicar perfil

name: Windows_Container_Workflow

on: [push]

jobs:
  build:
    runs-on: windows-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Principal de serviço

on: [push]

name: Windows_Container_Workflow

jobs:
  build-and-deploy:
    runs-on: windows-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

Conexão OpenID

on: [push]
name: Windows_Container_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: windows-latest
    steps:
    # Check out the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main

    - name: 'Sign in via Azure CLI'
      uses: azure/login@v2
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

    - name: Azure logout
      run: |
        az logout

---

Conteúdo relacionado

Pode encontrar o nosso conjunto de ações agrupado em diferentes repositórios no GitHub. Cada repositório contém documentação e exemplos para te ajudar a usar o GitHub para CI/CD e a implementar as tuas aplicações no Azure.

• Fluxos de trabalho de ações para implantar no Azure
• Entrada do Azure
• Azure WebApp
• Entrada/saída do Docker
• Eventos que acionam fluxos de trabalho
• Implantação do K8s
• Fluxos de trabalho iniciais