Quickstart: Use GitHub Actions para ligar ao Azure PostgreSQL

Artigo
12/05/2022
6 minutos para ler

APLICA-SE A: Base de Dados do Azure para PostgreSQL - Servidor Único

APLICA-SE A: Base de Dados do Azure para PostgreSQL - Base de Dados do Azure para PostgreSQL de servidor único - Servidor Flexível

Começa com GitHub Actions utilizando um fluxo de trabalho para implementar atualizações de bases de dados para Base de Dados do Azure para PostgreSQL.

Pré-requisitos

Vai precisar de:

Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuita.
Um repositório GitHub com dados de amostra (data.sql). Se não tem uma conta GitHub, inscreva-se gratuitamente.
Um servidor Base de Dados do Azure para PostgreSQL.
- Início Rápido: Criar um servidor da Base de Dados do Azure para PostgreSQL no portal do Azure

Visão geral do ficheiro de fluxo de trabalho

Um fluxo de trabalho GitHub Actions é definido por um ficheiro YAML (.yml) no caminho do /.github/workflows/ seu repositório. Esta definição contém os vários passos e parâmetros que compõem o fluxo de trabalho.

O ficheiro tem duas secções:

Section	Tarefas
Autenticação	1. Gerar credenciais de implantação.
Implementar	1. Desdobre a base de dados.

Crie um diretor de serviço com o comando ad sp create-for-rbac no Azure CLI. Executar este comando com Cloud Shell Azure no portal do Azure ou selecionando o botão Tentar.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --sdk-auth

No exemplo acima, substitua os espaços reservados pelo seu ID de subscrição, nome de grupo de recursos e nome da aplicação. A saída é um objeto JSON com as credenciais de atribuição de funções que fornecem acesso à sua aplicação Serviço de Aplicações semelhante abaixo. Copie este objeto JSON para mais tarde.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect é um método de autenticação que utiliza fichas de curta duração. A configuração do OpenID Connect com GitHub Actions é um processo mais complexo que oferece segurança reforçada.

Se não tiver uma aplicação existente, registe uma nova aplicação e um diretor de serviços do Ative Directory que possa aceder aos recursos. Crie a aplicação Ative Directory.
```
az ad app create --display-name myApp
```
Este comando irá produção JSON com um appId que é seu client-id. Guarde o valor para usar como segredo do AZURE_CLIENT_ID GitHub mais tarde.

Você usará o valor ao objectId criar credenciais federadas com Graph API e referenciar-lo como o APPLICATION-OBJECT-ID.
Criar um diretor de serviço. Substitua-a $appID por appId da saída JSON.

Este comando gera saída JSON com uma saída diferente objectId e será usado no passo seguinte. O novo objectId é o assignee-object-id.

Copie o appOwnerTenantId para usar como um segredo do GitHub para AZURE_TENANT_ID mais tarde.
```
 az ad sp create --id $appId
```
Crie uma nova atribuição de funções por subscrição e objeto. Por predefinição, a atribuição de funções estará ligada à sua subscrição padrão. Substitua-o pelo $subscriptionId seu ID de subscrição, $resourceGroupName pelo nome do seu grupo de recursos e $assigneeObjectId pelo gerado assignee-object-id. Saiba como gerir as subscrições do Azure com o Azure CLI.
```
az role assignment create --role contributor --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal
```
Executar o seguinte comando para criar uma nova credencial de identidade federada para a sua aplicação de diretório ativo.
- Substitua-o APPLICATION-OBJECT-IDpelo objectId (gerado durante a criação da app) para a sua aplicação Ative Directory.
- Desa esta hora um valor para CREDENTIAL-NAME referência mais tarde.
- Desemote o subject. O valor disto é definido pelo GitHub dependendo do seu fluxo de trabalho:
  - Empregos no seu ambiente GitHub Actions:repo:< Organization/Repository >:environment:< Name >
  - Para jobs não ligados a um ambiente, inclua o caminho ref para ramo/etiqueta com base no caminho ref utilizado para desencadear o fluxo de trabalho: repo:< Organization/Repository >:ref:< ref path>. Por exemplo, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Para fluxos de trabalho desencadeados por um evento de pedido de puxar: repo:< Organization/Repository >:pull_request.
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
```

Para aprender a criar uma aplicação de diretório ativo, diretor de serviço e credenciais federadas em portal do Azure, consulte Connect GitHub e Azure.

Copie a cadeia de ligação PostgreSQL

Na portal do Azure, vá ao servidor Base de Dados do Azure para PostgreSQL e abraas cadeias de ligaçãode definições>. Copie a cadeia de ligação de ADO.NET. Substitua os valores de espaço reservado para your_database e your_password. A cadeia de ligação será semelhante a esta.

Importante

Para a utilização user=adminusername@servername de um único servidor . Note o @servername que é necessário.
Para servidor flexível, utilize user= adminusername sem o @servername.

psql host={servername.postgres.database.azure.com} port=5432 dbname={your_database} user={adminusername} password={your_database_password} sslmode=require

Usará a cadeia de ligação como segredo do GitHub.

Configure os segredos do GitHub

Service principal (Principal de serviço)
OpenID Connect

Em GitHub, vá ao seu repositório.
Selecione Segredos de Segurança > e variáveis > Ações.
Selecione novo segredo do repositório.
Cole toda a saída JSON do comando Azure CLI para o campo de valor do segredo. Dê o nome AZURE_CREDENTIALSao segredo.
Selecione Add secret (Adicionar segredo).

Você precisa fornecer o ID do cliente da sua aplicação, ID do inquilino e ID de assinatura para a ação de login. Estes valores podem ser fornecidos diretamente no fluxo de trabalho ou podem ser armazenados em segredos do GitHub e referenciados no seu fluxo de trabalho. Guardar os valores como segredos do GitHub é a opção mais segura.

Em GitHub, vá ao seu repositório.
Selecione Segredos de Segurança > e variáveis > Ações.
Selecione novo segredo do repositório.
Criar segredos paraAZURE_CLIENT_IDAZURE_TENANT_ID, e AZURE_SUBSCRIPTION_ID. Utilize estes valores a partir da sua aplicação Ative Directory para os seus segredos GitHub:

Segredo de GitHub Aplicação de Diretório Ativo

AZURE_CLIENT_ID ID da Aplicação (cliente)

AZURE_TENANT_ID ID do Diretório (inquilino)

AZURE_SUBSCRIPTION_ID ID da subscrição
Guarde cada segredo selecionando Add secret.

Segredo de GitHub	Aplicação de Diretório Ativo
AZURE_CLIENT_ID	ID da Aplicação (cliente)
AZURE_TENANT_ID	ID do Diretório (inquilino)
AZURE_SUBSCRIPTION_ID	ID da subscrição

Adicione o seu fluxo de trabalho

Vá a Ações para o seu repositório GitHub.
Selecione Configurar o seu fluxo de trabalho por si mesmo.
Elimine tudo após a on: secção do seu ficheiro de fluxo de trabalho. Por exemplo, o seu fluxo de trabalho restante pode ser assim.
```
name: CI

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]
```

Mude o nome do seu fluxo de PostgreSQL for GitHub Actions trabalho e adicione as ações de check-out e login. Estas ações irão verificar o código do seu site e autenticar-se com o Azure utilizando os segredos do GitHub que criou anteriormente.

Service principal (Principal de serviço)
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Utilize a ação Azure PostgreSQL Deploy para ligar à sua instância PostgreSQL. Substitua-o POSTGRESQL_SERVER_NAME pelo nome do seu servidor. Deve ter um ficheiro de dados PostgreSQL nomeado data.sql ao nível da raiz do seu repositório.
```
 - uses: azure/postgresql@v1
   with:
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    server-name: POSTGRESQL_SERVER_NAME
    sql-file: './data.sql'
```

Complete o seu fluxo de trabalho adicionando uma ação ao logout da Azure. Aqui está o fluxo de trabalho completo. O ficheiro aparecerá na .github/workflows pasta do seu repositório.

Service principal (Principal de serviço)
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CREDENTIALS }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    sql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    sql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

Reveja a sua implementação

Vá a Ações para o seu repositório GitHub.
Abra o primeiro resultado para ver registos detalhados do funcionaamento do seu fluxo de trabalho.

Limpar os recursos

Quando a sua base de dados e repositório Azure PostgreSQL já não forem necessárias, limpe os recursos que implementou eliminando o grupo de recursos e o seu repositório GitHub.

Passos seguintes

Conheça a integração de Azure e GitHub

Saiba como se conectar ao servidor