Implementar um contentor personalizado no Serviço de Aplicações através do GitHub Actions

Artigo
07/03/2024

O GitHub Actions oferece a flexibilidade de criar um fluxo de trabalho automatizado de desenvolvimento de software. Com a ação Implantação da Web do Azure, você pode automatizar seu fluxo de trabalho para implantar contêineres personalizados no Serviço de Aplicativo usando as Ações do GitHub.

Um fluxo de trabalho é definido por um arquivo YAML (.yml) no /.github/workflows/ caminho no repositório. Esta definição contém as várias etapas e parâmetros que estão no fluxo de trabalho.

Para um fluxo de trabalho de contêiner do Serviço de Aplicativo do Azure, o arquivo tem três seções:

Section	Tarefas
Autenticação	1. Recupere uma entidade de serviço ou um perfil de publicação. 2. Crie um segredo do GitHub.
Compilação	1. Crie o ambiente. 2. Crie a imagem do contêiner.
Implementar	1. Implante a imagem do contêiner.

Pré-requisitos

Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente
Uma conta GitHub. Se não tiver uma, inscreva-se gratuitamente. Você precisa ter código em um repositório GitHub para implantar no Serviço de Aplicativo do Azure.
Um registro de contêiner de trabalho e um aplicativo do Serviço de Aplicativo do Azure para contêineres. Este exemplo usa o Azure Container Registry. Certifique-se de concluir a implantação completa no Serviço de Aplicativo do Azure para contêineres. Ao contrário dos aplicativos Web comuns, os aplicativos Web para contêineres não têm uma página de destino padrão. Publique o contêiner para ter um exemplo de trabalho.
- Saiba como criar um aplicativo Node.js em contêiner usando o Docker, enviar a imagem do contêiner para um Registro e implantar a imagem no Serviço de Aplicativo do Azure

Gerar credenciais de implantação

A maneira recomendada de autenticar com os Serviços de Aplicativo do Azure para Ações do GitHub é com um perfil de publicação. Você também pode se autenticar com uma entidade de serviço ou Open ID Connect, mas o processo requer mais etapas.

Salve sua credencial de perfil de publicação ou entidade de serviço como um segredo do GitHub para autenticar com o Azure. Você acessará o segredo em seu fluxo de trabalho.

Um perfil de publicação é uma credencial no nível do aplicativo. Configure seu perfil de publicação como um segredo do GitHub.

Aceda ao serviço da sua aplicação no portal do Azure.
Na página Visão geral, selecione Obter perfil de publicação.

Nota

A partir de outubro de 2020, os aplicativos Web Linux precisarão da configuração WEBSITE_WEBDEPLOY_USE_SCM do aplicativo definida como true antes de baixar o arquivo. Este requisito será suprimido no futuro. Consulte Configurar um aplicativo do Serviço de Aplicativo no portal do Azure para saber como definir configurações comuns do aplicativo Web.
Salve o arquivo baixado. Você usará o conteúdo do arquivo para criar um segredo do GitHub.

Você pode criar uma entidade de serviço com o comando az ad sp create-for-rbac na CLI do Azure. Execute este comando com o Azure Cloud Shell no portal do Azure ou selecionando o botão Experimentar .

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

No exemplo, substitua os espaços reservados pela ID da assinatura, nome do grupo de recursos e nome do aplicativo. A saída é um objeto JSON com as credenciais de atribuição de função que fornecem acesso ao seu aplicativo do Serviço de Aplicativo. Copie este objeto JSON para mais tarde.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Importante

É sempre uma boa prática conceder acesso mínimo. O escopo no exemplo anterior é limitado ao aplicativo do Serviço de Aplicativo específico e não a todo o grupo de recursos.

OpenID Connect é um método de autenticação que usa tokens de curta duração. Configurar o OpenID Connect com o GitHub Actions é um processo mais complexo que oferece segurança reforçada.

Se você não tiver um aplicativo existente, registre um novo aplicativo e entidade de serviço do Ative Directory que possa acessar recursos. Crie o aplicativo Ative Directory.
```
az ad app create --display-name myApp
```
Este comando produzirá JSON com um appId que é o seu client-id. Salve o valor para usar como o segredo do AZURE_CLIENT_ID GitHub mais tarde.

Você usará o valor ao criar credenciais federadas com a API do Graph e fará referência a objectId ele como o APPLICATION-OBJECT-ID.
Crie uma entidade de serviço. Substitua o $appID pelo appId da sua saída JSON.

Este comando gera saída JSON com um diferente objectId e será usado na próxima etapa. O novo objectId é o assignee-object-id.

Copie o appOwnerTenantId para usar como um segredo do GitHub para AZURE_TENANT_ID mais tarde.
```
 az ad sp create --id $appId
```
Crie uma nova atribuição de função por assinatura e objeto. Por padrão, a atribuição de função será vinculada à sua assinatura padrão. Substitua $subscriptionId pelo ID da assinatura, $resourceGroupName pelo nome do grupo de recursos e $assigneeObjectId pelo arquivo assignee-object-id. Saiba como gerenciar assinaturas do Azure com a CLI do Azure.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
```
Execute o seguinte comando para criar uma nova credencial de identidade federada para seu aplicativo Ative Directory.
- Substitua APPLICATION-OBJECT-ID pelo objectId (gerado durante a criação do aplicativo) para seu aplicativo do Ative Directory.
- Defina um valor para CREDENTIAL-NAME referenciar mais tarde.
- Defina o subjectarquivo . O valor disso é definido pelo GitHub dependendo do seu fluxo de trabalho:
  - Trabalhos em seu ambiente de ações do GitHub: repo:< Organization/Repository >:environment:< Name >
  - Para Trabalhos não vinculados a um ambiente, inclua o caminho ref para ramificação/tag com base no caminho ref usado para acionar o fluxo de trabalho: repo:< Organization/Repository >:ref:< ref path>. Por exemplo, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Para fluxos de trabalho acionados por um evento pull request: repo:< Organization/Repository >:pull_request.
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
```
Para saber como criar um aplicativo Criar um Ative Directory, entidade de serviço e credenciais federadas no portal do Azure, consulte Conectar o GitHub e o Azure.

Configurar o segredo do GitHub para autenticação

No GitHub, navegue pelo repositório. Selecione Configurações > Segredos de segurança > e variáveis > Ações > Novo segredo do repositório.

Para usar credenciais no nível do aplicativo, cole o conteúdo do arquivo de perfil de publicação baixado no campo de valor do segredo. Nomeie o segredo AZURE_WEBAPP_PUBLISH_PROFILE.

Ao configurar seu fluxo de trabalho do GitHub, você usa a ação implantar o AZURE_WEBAPP_PUBLISH_PROFILE Aplicativo Web do Azure. Por exemplo:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

No GitHub, navegue pelo repositório. Selecione Configurações > Segredos de segurança > e variáveis > Ações > Novo segredo do repositório.

Para usar credenciais de nível de usuário, cole toda a saída JSON do comando CLI do Azure no campo de valor do segredo. Dê um nome ao segredo, como AZURE_CREDENTIALS.

Ao configurar o arquivo de fluxo de trabalho posteriormente, você usa o segredo para a entrada creds da ação Logon do Azure. Por exemplo:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

Você precisa fornecer a ID do cliente, a ID do locatário e a ID da assinatura do aplicativo para a ação de login. Esses valores podem ser fornecidos diretamente no fluxo de trabalho ou podem ser armazenados em segredos do GitHub e referenciados em seu fluxo de trabalho. Salvar os valores como segredos do GitHub é a opção mais segura.

Abra seu repositório GitHub e vá para Configurações > Segredos de segurança > e variáveis > Ações > Novo segredo do repositório.
Crie segredos para AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_SUBSCRIPTION_ID. Use esses valores do seu aplicativo Ative Directory para seus segredos do GitHub. Você pode encontrar esses valores no portal do Azure pesquisando seu aplicativo Ative Directory.

Segredo do GitHub Aplicativo Ative Directory

AZURE_CLIENT_ID ID da aplicação (cliente)

AZURE_TENANT_ID ID do Diretório (inquilino)

AZURE_SUBSCRIPTION_ID ID de Subscrição
Salve cada segredo selecionando Adicionar segredo.

Segredo do GitHub	Aplicativo Ative Directory
AZURE_CLIENT_ID	ID da aplicação (cliente)
AZURE_TENANT_ID	ID do Diretório (inquilino)
AZURE_SUBSCRIPTION_ID	ID de Subscrição

Configurar segredos do GitHub para seu registro

Defina segredos para usar com a ação Login do Docker. O exemplo neste documento usa o Registro de Contêiner do Azure para o Registro de contêiner.

Vá para seu contêiner no portal do Azure ou no Docker e copie o nome de usuário e a senha. Você pode encontrar o nome de usuário e a senha do Registro de Contêiner do Azure no portal do Azure em Configurações>Chaves de acesso para seu registro.
Defina um novo segredo para o nome de usuário do Registro chamado REGISTRY_USERNAME.
Defina um novo segredo para a senha do Registro chamada REGISTRY_PASSWORD.

Criar a imagem do contêiner

O exemplo a seguir mostra parte do fluxo de trabalho que cria uma imagem Node.JS Docker. Use o Login do Docker para fazer login em um registro de contêiner privado. Este exemplo usa o Registro de Contêiner do Azure, mas a mesma ação funciona para outros registros.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

Você também pode usar o login do Docker para fazer login em vários registros de contêiner ao mesmo tempo. Este exemplo inclui dois novos segredos do GitHub para autenticação com docker.io. O exemplo pressupõe que há um Dockerfile no nível raiz do registro.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

Implantar em um contêiner do Serviço de Aplicativo

Para implantar sua imagem em um contêiner personalizado no Serviço de Aplicativo, use a azure/webapps-deploy@v2 ação. Esta ação tem sete parâmetros:

Parâmetro	Explicação
nome do aplicativo	(Obrigatório) Nome do aplicativo do Serviço de Aplicativo
publicar-perfil	(Opcional) Aplica-se a Web Apps(Windows e Linux) e Web App Containers(linux). Cenário de vários contêineres não suportado. Publicar conteúdo do arquivo de perfil (*.publishsettings) com segredos do Web Deploy
nome do slot	(Opcional) Insira um Slot existente diferente do slot de Produção
embalagem	(Opcional) Aplica-se apenas ao Web App: caminho para o pacote ou pasta. .zip, .war, *.jar ou uma pasta para implantar
imagens	(Obrigatório) Aplica-se somente a contêineres de aplicativos Web: especifique o nome da(s) imagem(ns) de contêiner totalmente qualificada(s). Por exemplo, 'myregistry.azurecr.io/nginx:latest' ou 'python:3.7.2-alpine/'. Para um aplicativo de vários contêineres, vários nomes de imagem de contêiner podem ser fornecidos (separados por várias linhas)
arquivo-configuração	(Opcional) Aplica-se somente a contêineres de aplicativos Web: caminho do arquivo Docker-Compose. Deve ser um caminho totalmente qualificado ou relativo ao diretório de trabalho padrão. Necessário para aplicativos de vários contêineres.
comando de inicialização	(Opcional) Insira o comando start-up. Por exemplo, dotnet run ou dotnet filename.dll

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Próximos passos

Você pode encontrar nosso conjunto de Ações agrupadas em diferentes repositórios no GitHub, cada um contendo documentação e exemplos para ajudá-lo a usar o GitHub para CI/CD e implantar seus aplicativos no Azure.

Partilhar via