Краткое руководство. Использование GitHub Actions для подключения к База данных Azure для MySQL — гибкий сервер

Начало работы с GitHub Actions с помощью рабочего процесса для развертывания обновлений базы данных на База данных Azure для MySQL гибком сервере.

Необходимые компоненты

Что вам понадобится:

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Учетная запись GitHub. Если у вас нет учетной записи GitHub, зарегистрируйтесь бесплатно.

• Репозиторий GitHub с примером данных (data.sql).

  Внимание

  В этом кратком руководстве предполагается, что вы клонировали репозиторий GitHub на свой компьютер, чтобы при необходимости можно было добавить связанный IP-адрес в правило брандмауэра.

• Экземпляр гибкого сервера Базы данных Azure для MySQL.

  • Краткое руководство. Создание экземпляра гибкого сервера Базы данных Azure для MySQL на портале Azure

Общие сведения о файле рабочего процесса

Рабочий процесс в GitHub Actions определяется файлом .yml, который размещается в папке репозитория /.github/workflows/. Это определение содержит разные шаги и параметры рабочего процесса.

Этот файл содержит два раздела:

Раздел	Задачи
Аутентификация	1. Создание учетных данных для развертывания.
Развертывание	1. Развертывание базы данных.

Создание учетных данных для развертывания.

OpenID Connect

Чтобы использовать действие входа Azure с OIDC, необходимо настроить федеративные учетные данные удостоверения в приложении Microsoft Entra или управляемом удостоверении, назначаемом пользователем.

Вариант 1. Приложение Microsoft Entra

• Создайте приложение Microsoft Entra с субъектом-службой с помощью портала Azure, Azure CLI или Azure PowerShell.
• Скопируйте значения для идентификатора клиента, идентификатора подписки и идентификатора каталога (клиента), чтобы использовать его позже в рабочем процессе GitHub Actions.
• Назначьте соответствующую роль субъекту-службе, портал Azure, Azure CLI или Azure PowerShell.
• Настройте учетные данные федеративного удостоверения в приложении Microsoft Entra, чтобы доверять токенам, выдаваемым GitHub Actions в вашем репозитории GitHub.

Вариант 2. Управляемое удостоверение, назначаемое пользователем

• Создайте управляемое удостоверение, назначаемое пользователем.
• Скопируйте значения для идентификатора клиента, идентификатора подписки и идентификатора каталога (клиента), чтобы использовать его позже в рабочем процессе GitHub Actions.
• Назначьте соответствующую роль управляемому удостоверению, назначенному пользователем.
• Настройте учетные данные федеративного удостоверения в управляемом удостоверении , назначаемом пользователем, для доверия маркеров, выданных GitHub Actions в репозитории GitHub.

Субъект-служба

• Создайте приложение Microsoft Entra с субъектом-службой с помощью портала Azure, Azure CLI или Azure PowerShell.
• Создайте секрет клиента для субъекта-службы, портал Azure, Azure CLI или Azure PowerShell.
• Скопируйте значения для идентификатора клиента, секрета клиента, идентификатора подписки и идентификатора каталога (клиента), чтобы использовать его позже в рабочем процессе GitHub Actions.
• Назначьте соответствующую роль субъекту-службе, портал Azure, Azure CLI или Azure PowerShell.

Скопируйте строку подключения MySQL

В портал Azure перейдите к База данных Azure для MySQL гибкому экземпляру сервера и откройте строки подключения параметров>. Скопируйте строку подключения по протоколу ADO.NET. Замените заполнители значениями для your_database и your_password.

Внимание

• Для одного сервера База данных Azure для MySQL используйте Uid=adminusername@servername. Обратите внимание, что @servername является обязательным элементом.
• Для База данных Azure для MySQL гибкого сервера используйте uid=adminusername без @servername.

Эту строку подключения вы примените в качестве секрета GitHub.

Настройка секретов GitHub

OpenID Connect

Необходимо указать идентификатор клиента приложения, идентификатор каталога (клиента) и идентификатор подписки для действия входа. Эти значения могут быть указаны непосредственно в рабочем процессе или храниться в секретах GitHub с указанием ссылок на них в рабочем процессе. Сохранение значений в виде секретов GitHub является более безопасным вариантом.

1. В GitHub перейдите в репозиторий.

2. Выберите > переменных>".

   

3. Нажмите Создать секрет репозитория.

   Замечание

   Чтобы повысить безопасность рабочих процессов в общедоступных репозиториях, используйте секреты среды вместо секретов репозитория. Если среда требует утверждения, задание не сможет получить доступ к секретам среды, пока один из обязательных рецензентов не утвердит его.

4. Создайте секреты для AZURE_CLIENT_ID, AZURE_TENANT_ID и AZURE_SUBSCRIPTION_ID. Скопируйте эти значения из приложения Microsoft Entra или назначенного пользователем управляемого удостоверения для секретов GitHub.

   Секрет GitHub	Приложение Microsoft Entra или назначенное пользователем управляемое удостоверение
   AZURE_CLIENT_ID	Идентификатор клиента
   AZURE_SUBSCRIPTION_ID	ИД подписки
   AZURE_TENANT_ID	Идентификатор каталога (клиента)

   Замечание

   По соображениям безопасности рекомендуется использовать секреты GitHub, а не передавать значения непосредственно в рабочий процесс.

Субъект-служба

1. В GitHub перейдите в репозиторий.

2. Перейдите к параметрам в меню навигации .

3. Выберите > переменных>".

   

4. Нажмите Создать секрет репозитория.

5. Вставьте все выходные данные JSON, полученные из команды Azure CLI, в поле значения секрета. Присвойте секрету имя AZURE_CREDENTIALS.

6. Выберите Добавить секрет.

Добавление рабочего процесса

1. Перейдите в раздел Actions (Действия) для репозитория GitHub.

2. Выберите Set up your workflow yourself (Настроить рабочий процесс самостоятельно).

3. Удалите все содержимое в файле рабочего процесса после раздела on:. Например, оставшийся рабочий процесс может выглядеть следующим образом.

   name: CI
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   

4. Присвойте рабочему процессу имя MySQL for GitHub Actions и добавьте действия для извлечения и входа. Эти действия проверяют код сайта и проходят проверку подлинности в Azure с помощью созданного ранее секрета AZURE_CREDENTIALS GitHub.

   OpenID Connect

   name: MySQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   
   jobs:
       build:
           runs-on: windows-latest
           steps:
           - uses: actions/checkout@v1
           - uses: azure/login@v2
               with:
                 client-id: ${{ secrets.AZURE_CLIENT_ID }}
                 tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                 subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   

   Субъект-служба

   name: MySQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   
   jobs:
       build:
           runs-on: windows-latest
           steps:
           - uses: actions/checkout@v1
           - uses: azure/login@v1
               with:
                   creds: ${{ secrets.AZURE_CREDENTIALS }}
   

5. Используйте действие развертывания Azure MySQL для подключения к экземпляру MySQL. Замените MYSQL_SERVER_NAME именем сервера. На корневом уровне репозитория должен размещаться файл данных MySQL с именем data.sql.

   - uses: azure/mysql@v1
     with:
       server-name: MYSQL_SERVER_NAME
       connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
       sql-file: './data.sql'
   

6. Завершите создание рабочего процесса, добавив действие для выхода из Azure. Готовый рабочий процесс выглядит так: Файл отображается в папке .github/workflows репозитория.

   OpenID Connect

   name: MySQL for GitHub Actions
   
   on:
     push:
         branches: [ main ]
     pull_request:
         branches: [ main ]
   jobs:
       build:
           runs-on: windows-latest
           steps:
             - uses: actions/checkout@v1
             - uses: azure/login@v2
               with:
                 client-id: ${{ secrets.AZURE_CLIENT_ID }}
                 tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                 subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
             - uses: azure/mysql@v1
               with:
                 server-name: MYSQL_SERVER_NAME
                 connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
                 sql-file: './data.sql'
   
               # Azure logout
             - name: logout
               run: |
                 az logout
   

   Субъект-служба

   name: MySQL for GitHub Actions
   
   on:
     push:
         branches: [ main ]
     pull_request:
         branches: [ main ]
   jobs:
       build:
           runs-on: windows-latest
           steps:
             - uses: actions/checkout@v1
             - uses: azure/login@v2
               with:
                 creds: ${{ secrets.AZURE_CREDENTIALS }}
   
             - uses: azure/mysql@v1
               with:
                 server-name: MYSQL_SERVER_NAME
                 connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
                 sql-file: './data.sql'
   
               # Azure logout
             - name: logout
               run: |
                 az logout
   

Проверка развертывания

1. Перейдите в раздел Actions (Действия) для репозитория GitHub.

2. Откройте первый результат, чтобы проверить подробные журналы выполнения рабочего процесса.

   

Очистка ресурсов

Если в базе данных Azure для MySQL на гибком сервере и репозитории больше нет необходимости, удалите развернутые ресурсы, удалив группу ресурсов и репозиторий GitHub.

Следующий шаг

Сведения об интеграции Azure с GitHub