Краткое руководство. Использование GitHub Actions для подключения к База данных Azure для MySQL — гибкий сервер

Начало работы с GitHub Actions с помощью рабочего процесса для развертывания обновлений базы данных на База данных Azure для MySQL гибком сервере.

Необходимые компоненты

Что вам понадобится:

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .

• Учетная запись GitHub. Если у вас нет учетной записи GitHub, зарегистрируйтесь бесплатно.

• Репозиторий GitHub с примером данных (data.sql).

  Внимание

  В этом кратком руководстве предполагается, что вы клонировали репозиторий GitHub на свой компьютер, чтобы при необходимости можно было добавить связанный IP-адрес в правило брандмауэра.

• Гибкий экземпляр сервера База данных Azure для MySQL.

  • Краткое руководство. Создание гибкого экземпляра База данных Azure для MySQL сервера в портал Azure

Общие сведения о файле рабочего процесса

Рабочий процесс в GitHub Actions определяется файлом .yml, который размещается в папке репозитория /.github/workflows/. Это определение содержит разные шаги и параметры рабочего процесса.

Этот файл содержит два раздела:

Раздел	Задачи
Аутентификация	1. Создание учетных данных для развертывания.
Развертывание	1. Развертывание базы данных.

Создание учетных данных для развертывания.

Субъект-служба

Создайте субъект-службу с помощью командыaz ad sp create-for-rbac в Azure CLI. Чтобы выполнить эту команду, откройте Azure Cloud Shell на портале Azure или нажмите кнопку Попробовать.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

Параметр --json-auth доступен в версиях >Azure CLI = 2.51.0. Версии до этого использования --sdk-auth с предупреждением об нерекомендуемом.

В указанном выше примере замените заполнители соответствующим идентификатором подписки, именем группы ресурсов и именем приложения. Выходные данные содержат объект JSON с учетными данными назначения роли, которые предоставляют доступ к приложению Службы приложений, как показано ниже. Скопируйте этот объект JSON для последующего использования.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

Метод проверки подлинности OpenID Connect использует маркеры с коротким сроком жизни. Настройка OpenID Connect с помощью GitHub Actions выполняется сложнее, но зато обеспечивает более безопасную работу.

1. Если у вас нет существующего приложения, зарегистрируйте новое приложение Microsoft Entra и субъект-службу, которое может получить доступ к ресурсам.

   az ad app create --display-name myApp
   

   Эта команда выводит код JSON с объектом appId, который представляет client-id. APPLICATION-OBJECT-ID Он objectId используется для создания федеративных учетных данных с помощью вызовов API Graph. Сохраните это значение, чтобы позднее применить в качестве секрета GitHub AZURE_CLIENT_ID.

2. Создание субъекта-службы. Замените $appID значением appId из выходных данных в формате JSON. Эта команда создает выходные данные JSON с другим objectId будет использоваться на следующем шаге. Новое значение objectId представляет assignee-object-id.

   Эта команда создает выходные данные в формате JSON с другим значением objectId, которое вы примените на следующем шаге. Новое значение objectId представляет assignee-object-id.

   Скопируйте appOwnerTenantId, чтобы позднее применить в качестве секрета GitHub AZURE_TENANT_ID.

    az ad sp create --id $appId
   

3. Создайте назначение ролей для подписки и объекта. По умолчанию назначение ролей будет привязано к вашей подписке по умолчанию. Замените $subscriptionId идентификатором подписки, $resourceGroupName именем группы ресурсов и $assigneeObjectId созданным assignee-object-id (только что созданный идентификатор объекта субъекта-службы).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Выполните следующую команду, чтобы создать новые федеративные учетные данные удостоверения для приложения Microsoft Entra.

   • Замените APPLICATION-OBJECT-ID объектным идентификатором (созданным при создании приложения) для приложения Microsoft Entra.
   • Задайте значение для CREDENTIAL-NAME, оно понадобится позже.
   • Задайте subject. Значение этого определяется GitHub в зависимости от рабочего процесса:
     • Задания в среде GitHub Actions: repo:< Organization/Repository >:environment:< Name >.
     • Если задания не привязаны к среде, включите путь ссылки для ветви или тега с учетом пути, используемого для запуска рабочего процесса: repo:< Organization/Repository >:ref:< ref path>. Например, repo:n-username/ node_express:ref:refs/heads/my-branch или repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Для рабочих процессов, запускаемых событием запроса на вытягивание: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

Скопируйте строку подключения MySQL

В портал Azure перейдите к База данных Azure для MySQL гибкому экземпляру сервера и откройте строки подключения параметров>. Скопируйте строку подключения по протоколу ADO.NET. Замените заполнители значениями для your_database и your_password.

Внимание

• Для одного сервера База данных Azure для MySQL используйте Uid=adminusername@servername. Обратите внимание, что @servername является обязательным элементом.
• Для База данных Azure для MySQL гибкого сервера используйте uid=adminusername без @servername.

Эту строку подключения вы примените в качестве секрета GitHub.

Настройка секретов GitHub

Субъект-служба

1. В GitHub перейдите в репозиторий.

2. Перейдите к параметрам в меню навигации .

3. Выберите "Секреты безопасности>" и "Действия переменных>".

   

4. Нажмите Создать секрет репозитория.

5. Вставьте все выходные данные JSON, полученные из команды Azure CLI, в поле значения секрета. Присвойте секрету имя AZURE_CREDENTIALS.

6. Выберите Добавить секрет.

OpenID Connect

Вам необходимо указать для действия входа идентификатор клиента, идентификатор арендатора и идентификатор подписки вашего приложения. Эти значения могут быть указаны непосредственно в рабочем процессе или храниться в секретах GitHub с указанием ссылок на них в рабочем процессе. Сохранение значений в виде секретов GitHub является более безопасным вариантом.

1. В GitHub перейдите в репозиторий.

2. Выберите "Секреты безопасности>" и "Действия переменных>".

   

3. Нажмите Создать секрет репозитория.

4. Создайте секреты для AZURE_CLIENT_ID, AZURE_TENANT_ID и AZURE_SUBSCRIPTION_ID. Используйте эти значения из приложения Microsoft Entra для секретов GitHub:

   Секрет GitHub	Приложение Microsoft Entra
   AZURE_CLIENT_ID	Идентификатор приложения (клиент)
   AZURE_TENANT_ID	Идентификатор каталога (клиента)
   AZURE_SUBSCRIPTION_ID	ИД подписки

5. Сохраните каждый секрет, выбрав Добавить секрет.

Добавление рабочего процесса

1. Перейдите в раздел Actions (Действия) для репозитория GitHub.

2. Выберите Set up your workflow yourself (Настроить рабочий процесс самостоятельно).

3. Удалите все содержимое в файле рабочего процесса после раздела on:. Например, оставшийся рабочий процесс может выглядеть следующим образом.

   name: CI
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   

4. Присвойте рабочему процессу имя MySQL for GitHub Actions и добавьте действия для извлечения и входа. Эти действия проверяют код сайта и проходят проверку подлинности в Azure с помощью созданного ранее секрета AZURE_CREDENTIALS GitHub.

   Субъект-служба

   name: MySQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   
   jobs:
       build:
           runs-on: windows-latest
           steps:
           - uses: actions/checkout@v1
           - uses: azure/login@v1
               with:
                   creds: ${{ secrets.AZURE_CREDENTIALS }}
   

   OpenID Connect

   name: MySQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   
   jobs:
       build:
           runs-on: windows-latest
           steps:
           - uses: actions/checkout@v1
           - uses: azure/login@v1
               with:
                 client-id: ${{ secrets.AZURE_CLIENT_ID }}
                 tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                 subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   

5. Используйте действие развертывания Azure MySQL для подключения к экземпляру MySQL. Замените MYSQL_SERVER_NAME именем сервера. На корневом уровне репозитория должен размещаться файл данных MySQL с именем data.sql.

   - uses: azure/mysql@v1
     with:
       server-name: MYSQL_SERVER_NAME
       connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
       sql-file: './data.sql'
   

6. Завершите создание рабочего процесса, добавив действие для выхода из Azure. Готовый рабочий процесс выглядит так: Файл отображается в папке .github/workflows репозитория.

   Субъект-служба

   name: MySQL for GitHub Actions
   
   on:
     push:
         branches: [ main ]
     pull_request:
         branches: [ main ]
   jobs:
       build:
           runs-on: windows-latest
           steps:
             - uses: actions/checkout@v1
             - uses: azure/login@v1
               with:
                 creds: ${{ secrets.AZURE_CREDENTIALS }}
   
             - uses: azure/mysql@v1
               with:
                 server-name: MYSQL_SERVER_NAME
                 connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
                 sql-file: './data.sql'
   
               # Azure logout
             - name: logout
               run: |
                 az logout
   

   OpenID Connect

   name: MySQL for GitHub Actions
   
   on:
     push:
         branches: [ main ]
     pull_request:
         branches: [ main ]
   jobs:
       build:
           runs-on: windows-latest
           steps:
             - uses: actions/checkout@v1
             - uses: azure/login@v1
               with:
                 client-id: ${{ secrets.AZURE_CLIENT_ID }}
                 tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                 subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
             - uses: azure/mysql@v1
               with:
                 server-name: MYSQL_SERVER_NAME
                 connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
                 sql-file: './data.sql'
   
               # Azure logout
             - name: logout
               run: |
                 az logout
   

Проверка развертывания

1. Перейдите в раздел Actions (Действия) для репозитория GitHub.

2. Откройте первый результат, чтобы проверить подробные журналы выполнения рабочего процесса.

   

Очистка ресурсов

Если База данных Azure для MySQL гибкой базе данных сервера и репозитория больше не нужны, очистите ресурсы, развернутые путем удаления группы ресурсов и репозитория GitHub.

Следующий шаг

Сведения об интеграции Azure с GitHub