Distribuera ARM-mallar med hjälp av GitHub Actions

GitHub Actions är en uppsättning funktioner i GitHub för att automatisera dina arbetsflöden för programvaruutveckling på samma plats som du lagrar kod och samarbetar med pull-begäranden och problem.

Använd åtgärden Distribuera Azure Resource Manager-mall för att automatisera distributionen av en Azure Resource Manager-mall (ARM-mall) till Azure.

Förutsättningar

• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.

• Ett GitHub-konto. Om du inte har ett sådant kan du registrera dig utan kostnad.

  • En GitHub-lagringsplats för att lagra dina Resource Manager-mallar och dina arbetsflödesfiler. Information om hur du skapar en finns i Skapa en ny lagringsplats.

Översikt över arbetsflödesfil

Ett arbetsflöde definieras av en YAML-fil (.yml) i /.github/workflows/ sökvägen på lagringsplatsen. Den här definitionen innehåller de olika steg och parametrar som utgör arbetsflödet.

Filen har två avsnitt:

Avsnitt	Uppgifter
Autentisering	1. Generera autentiseringsuppgifter för distribution.
Distribuera	1. Distribuera Resource Manager-mallen.

Generera autentiseringsuppgifter för distribution

Tjänstens huvud

Skapa ett huvudnamn för tjänsten med kommandot az ad sp create-for-rbac i Azure CLI. Kör det här kommandot med Azure Cloud Shell i Azure Portal eller genom att välja knappen Prova.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

Parametern --json-auth är tillgänglig i Azure CLI-versioner >= 2.51.0. Versioner före den här användningen --sdk-auth med en utfasningsvarning.

I exemplet ovan ersätter du platshållarna med ditt prenumerations-ID, resursgruppsnamn och appnamn. Utdata är ett JSON-objekt med autentiseringsuppgifterna för rolltilldelning som ger åtkomst till din App Service-app på liknande sätt som nedan. Kopiera det här JSON-objektet för senare.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Connect är en autentiseringsmetod som använder kortlivade token. Att konfigurera OpenID Connect med GitHub Actions är en mer komplex process som ger förstärkt säkerhet.

1. Om du inte har ett befintligt program registrerar du ett nytt Microsoft Entra-program och tjänstens huvudnamn som kan komma åt resurser.

   az ad app create --display-name myApp
   

   Det här kommandot matar ut JSON med en appId som är din client-id. is objectId APPLICATION-OBJECT-ID och används för att skapa federerade autentiseringsuppgifter med Graph API-anrop. Spara värdet som ska användas som AZURE_CLIENT_ID GitHub-hemlighet senare.

2. Skapa ett huvudnamn för tjänsten. $appID Ersätt med appId från dina JSON-utdata. Det här kommandot genererar JSON-utdata med en annan objectId som används i nästa steg. Den nya objectId är assignee-object-id.

   Det här kommandot genererar JSON-utdata med en annan objectId och används i nästa steg. Den nya objectId är assignee-object-id.

   Kopiera som appOwnerTenantId ska användas som en GitHub-hemlighet för AZURE_TENANT_ID senare.

    az ad sp create --id $appId
   

3. Skapa en ny rolltilldelning efter prenumeration och objekt. Som standard är rolltilldelningen kopplad till din standardprenumeration. Ersätt $subscriptionId med ditt prenumerations-ID, $resourceGroupName med resursgruppens namn och $assigneeObjectId med genererat assignee-object-id (det nyligen skapade objekt-ID:t för tjänstens huvudnamn).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Kör följande kommando för att skapa en ny federerad identitetsautentiseringsuppgift för ditt Microsoft Entra-program.

   • Ersätt APPLICATION-OBJECT-ID med objectId (genereras när du skapar appen) för ditt Microsoft Entra-program.
   • Ange ett värde som CREDENTIAL-NAME ska refereras senare.
   • subjectAnge . Värdet för detta definieras av GitHub beroende på ditt arbetsflöde:
     • Jobb i din GitHub Actions-miljö: repo:< Organization/Repository >:environment:< Name >
     • För Jobb som inte är knutna till en miljö inkluderar du referenssökvägen för gren/tagg baserat på referenssökvägen som används för att utlösa arbetsflödet: repo:< Organization/Repository >:ref:< ref path>. Exempel: repo:n-username/ node_express:ref:refs/heads/my-branch eller repo:n-username/ node_express:ref:refs/tags/my-tag.
     • För arbetsflöden som utlöses av en pull-begärandehändelse: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

Konfigurera GitHub-hemligheterna

Tjänstens huvud

1. Gå till din lagringsplats i GitHub.

2. Gå till Inställningar i navigeringsmenyn.

3. Välj Säkerhetshemligheter > och variabler > Åtgärder.

   

4. Välj Ny lagringsplatshemlighet.

5. Klistra in hela JSON-utdata från Azure CLI-kommandot i hemlighetens värdefält. Ge hemligheten namnet AZURE_CREDENTIALS.

6. Välj Add secret (Lägg till hemlighet).

OpenID Connect

Du måste ange programmets klient-ID, klient-ID och prenumerations-ID för inloggningsåtgärden. Dessa värden kan antingen anges direkt i arbetsflödet eller lagras i GitHub-hemligheter och refereras till i arbetsflödet. Att spara värdena som GitHub-hemligheter är det säkrare alternativet.

1. Gå till din lagringsplats i GitHub.

2. Välj Säkerhetshemligheter > och variabler > Åtgärder.

   

3. Välj Ny lagringsplatshemlighet.

4. Skapa hemligheter för AZURE_CLIENT_ID, AZURE_TENANT_IDoch AZURE_SUBSCRIPTION_ID. Använd dessa värden från ditt Microsoft Entra-program för dina GitHub-hemligheter:

   GitHub-hemlighet	Microsoft Entra-program
   AZURE_CLIENT_ID	App-ID (klient-ID)
   AZURE_TENANT_ID	Katalog-ID (klientorganisation)
   AZURE_SUBSCRIPTION_ID	Prenumerations-ID:t

5. Spara varje hemlighet genom att välja Lägg till hemlighet.

Lägg till Resource Manager-mall

Lägg till en Resource Manager-mall till din GitHub-lagringsplats. Den här mallen skapar ett lagringskonto.

https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json

Du kan placera filen var som helst på lagringsplatsen. Arbetsflödesexemplet i nästa avsnitt förutsätter att mallfilen heter azuredeploy.json och lagras i roten på lagringsplatsen.

Skapa arbetsflöde

Arbetsflödesfilen måste lagras i mappen .github/workflows i roten på lagringsplatsen. Filtillägget för arbetsflödet kan vara antingen .yml eller .yaml.

1. På din GitHub-lagringsplats väljer du Åtgärder på den översta menyn.
2. Välj Nytt arbetsflöde.
3. Välj konfigurera ett arbetsflöde själv.
4. Byt namn på arbetsflödesfilen om du föredrar ett annat namn än main.yml. Till exempel: deployStorageAccount.yml.
5. Ersätt innehållet i YML-filen med följande:

Tjänstens huvud

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Kommentar

Du kan ange en JSON-formatparametrarfil i stället i åtgärden ARM Deploy (exempel: .azuredeploy.parameters.json).

Det första avsnittet i arbetsflödesfilen innehåller:

• name: Namnet på arbetsflödet.
• on: Namnet på de GitHub-händelser som utlöser arbetsflödet. Arbetsflödet utlöses när det finns en push-händelse på huvudgrenen, som ändrar minst en av de två angivna filerna. De två filerna är arbetsflödesfilen och mallfilen.

OpenID Connect

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Kommentar

Du kan ange en JSON-formatparametrarfil i stället i åtgärden ARM Deploy (exempel: .azuredeploy.parameters.json).

Det första avsnittet i arbetsflödesfilen innehåller:

• name: Namnet på arbetsflödet.
• on: Namnet på de GitHub-händelser som utlöser arbetsflödet. Arbetsflödet utlöses när det finns en push-händelse på huvudgrenen, som ändrar minst en av de två angivna filerna. De två filerna är arbetsflödesfilen och mallfilen.

1. Välj Start commit (Starta incheckning).
2. Välj Checka in direkt till huvudgrenen.
3. Välj Checka in ny fil (eller Genomför ändringar).

Eftersom arbetsflödet har konfigurerats för att utlösas av antingen arbetsflödesfilen eller mallfilen som uppdateras, startar arbetsflödet direkt efter att du har checkat in ändringarna.

Kontrollera arbetsflödesstatus

1. Välj fliken Åtgärder . Du ser arbetsflödet Skapa deployStorageAccount.yml . Det tar 1–2 minuter att köra arbetsflödet.
2. Välj arbetsflödet för att öppna det.
3. Välj Kör ARM-distribution på menyn för att verifiera distributionen.

Rensa resurser

När resursgruppen och lagringsplatsen inte längre behövs rensar du de resurser som du har distribuerat genom att ta bort resursgruppen och GitHub-lagringsplatsen.

Nästa steg

Skapa din första ARM-mall

Learn-modul: Automatisera distributionen av ARM-mallar med hjälp av GitHub Actions