GitHub Actions kullanarak App Service'e özel kapsayıcı dağıtma

GitHub Actions , otomatik yazılım geliştirme iş akışı oluşturma esnekliği sunar. Azure Web Dağıtımı eylemiyle, GitHub Actions'ı kullanarak app service'e özel kapsayıcılar dağıtmak için iş akışınızı otomatikleştirebilirsiniz.

İş akışı, deponuzdaki yoldaki /.github/workflows/ bir YAML (.yml) dosyası tarafından tanımlanır. Bu tanım, iş akışındaki çeşitli adımları ve parametreleri içerir.

Azure Uygulaması Hizmeti kapsayıcısı iş akışı için dosyanın üç bölümü vardır:

Section	Görevler
Kimlik Doğrulaması	1. Hizmet sorumlusu alın veya profili yayımlayın. 2. GitHub gizli dizisi oluşturun.
Yapı	1. Ortamı oluşturun. 2. Kapsayıcı görüntüsünü oluşturun.
Dağıtma	1. Kapsayıcı görüntüsünü dağıtın.

Önkoşullar

• Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturma
• Bir GitHub hesabı. Hesabınız yoksa ücretsiz olarak kaydolun. Azure Uygulaması Service'e dağıtmak için GitHub deposunda kodunuz olması gerekir.
• Kapsayıcılar için çalışan bir kapsayıcı kayıt defteri ve Azure Uygulaması Hizmeti uygulaması. Bu örnekte Azure Container Registry kullanılır. Kapsayıcılar için Azure Uygulaması Hizmeti'ne tam dağıtımı tamamladığınızdan emin olun. Normal web uygulamalarından farklı olarak kapsayıcılar için web uygulamalarının varsayılan giriş sayfası yoktur. Çalışan bir örneği olması için kapsayıcıyı yayımlayın.
  • Docker kullanarak kapsayıcılı Node.js uygulaması oluşturmayı, kapsayıcı görüntüsünü bir kayıt defterine göndermeyi ve ardından görüntüyü Azure Uygulaması Hizmeti'ne dağıtmayı öğrenin

Dağıtım kimlik bilgileri oluşturma

GitHub Actions için Azure Uygulaması Services ile kimlik doğrulaması yapmak için önerilen yol bir yayımlama profilidir. Ayrıca bir hizmet sorumlusu veya Open ID Connect ile de kimlik doğrulaması yapabilirsiniz, ancak işlem için daha fazla adım gerekir.

Azure'da kimlik doğrulaması yapmak için yayımlama profili kimlik bilgilerinizi veya hizmet sorumlunuzu GitHub gizli dizisi olarak kaydedin. gizli diziye iş akışınızda erişeceksiniz.

Yayımlama profili

Yayımlama profili, uygulama düzeyinde bir kimlik bilgisidir. Yayımlama profilinizi GitHub gizli dizisi olarak ayarlayın.

1. Azure portalında uygulama hizmetinize gidin.

2. Genel Bakış sayfasında Yayımlama profilini al'ı seçin.

   Not

   Ekim 2020 itibarıyla, Linux web uygulamalarının dosyayı indirmeden önce uygulama ayarının WEBSITE_WEBDEPLOY_USE_SCM olarak ayarlanması true gerekir. Bu gereksinim gelecekte kaldırılacaktır. Yaygın web uygulaması ayarlarını yapılandırmayı öğrenmek için bkz . Azure portalında App Service uygulaması yapılandırma.

3. İndirilen dosyayı kaydedin. GitHub gizli dizisi oluşturmak için dosyanın içeriğini kullanacaksınız.

Hizmet sorumlusu

Azure CLI'da az ad sp create-for-rbac komutuyla bir hizmet sorumlusu oluşturabilirsiniz. Azure portalında veya Deneyin düğmesini seçerek bu komutu Azure Cloud Shell ile çalıştırın.

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

Örnekte yer tutucuları abonelik kimliğiniz, kaynak grubu adınız ve uygulama adınızla değiştirin. Çıkış, App Service uygulamanıza erişim sağlayan rol ataması kimlik bilgilerine sahip bir JSON nesnesidir. Bu JSON nesnesini daha sonra için kopyalayın.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Önemli

Minimum erişim vermek her zaman iyi bir uygulamadır. Önceki örnekteki kapsam, kaynak grubunun tamamıyla değil, belirli App Service uygulamasıyla sınırlıdır.

OpenID Connect

OpenID Connect, kısa süreli belirteçler kullanan bir kimlik doğrulama yöntemidir. GitHub Actions ile OpenID Connect'i ayarlamak, sağlamlaştırılmış güvenlik sunan daha karmaşık bir işlemdir.

1. Mevcut bir uygulamanız yoksa, kaynaklara erişebilen yeni bir Active Directory uygulaması ve hizmet sorumlusu kaydedin. Active Directory uygulamasını oluşturun.

   az ad app create --display-name myApp
   

   Bu komut, JSON çıkışını sizin client-idolan bir appId ile oluşturur. GitHub gizli dizisi olarak AZURE_CLIENT_ID kullanılacak değeri daha sonra kaydedin.

   Graph API ile federasyon kimlik bilgileri oluştururken değerini kullanacaksınız objectId ve buna olarak APPLICATION-OBJECT-IDbaşvuracaksınız.

2. Hizmet sorumlusu oluşturma. değerini $appID JSON çıkışınızdaki appId değeriyle değiştirin.

   Bu komut farklı objectId bir JSON çıkışı oluşturur ve sonraki adımda kullanılacaktır. Yeni objectId , şeklindedir assignee-object-id.

   appOwnerTenantId daha sonra kullanmak üzere öğesini GitHub gizli dizisi AZURE_TENANT_ID olarak kopyalayın.

    az ad sp create --id $appId
   

3. Aboneliğe ve nesneye göre yeni bir rol ataması oluşturun. Varsayılan olarak, rol ataması varsayılan aboneliğinize bağlanır. değerini abonelik kimliğiniz, $resourceGroupName kaynak grubu adınız ve $assigneeObjectId oluşturulan assignee-object-idile değiştirin$subscriptionId. Azure CLI ile Azure aboneliklerini yönetmeyi öğrenin.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. Active Directory uygulamanız için yeni bir federasyon kimliği kimlik bilgisi oluşturmak için aşağıdaki komutu çalıştırın.

   • değerini Active Directory uygulamanız için objectId (uygulama oluşturulurken oluşturulur) ile değiştirinAPPLICATION-OBJECT-ID.
   • Daha sonra başvurmak için için CREDENTIAL-NAME bir değer ayarlayın.
   • öğesini subjectayarlayın. Bunun değeri, iş akışınıza bağlı olarak GitHub tarafından tanımlanır:
     • GitHub Actions ortamınızdaki işler: repo:< Organization/Repository >:environment:< Name >
     • Bir ortama bağlı olmayan işler için, iş akışını tetiklerken kullanılan başvuru yolunu temel alan dal/etiket için başvuru yolunu ekleyin: repo:< Organization/Repository >:ref:< ref path>. Örneğin, repo:n-username/ node_express:ref:refs/heads/my-branch veya repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Çekme isteği olayı tarafından tetiklenen iş akışları için: repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

   Azure portalında Active Directory uygulaması, hizmet sorumlusu ve federasyon kimlik bilgileri oluşturma hakkında bilgi edinmek için bkz . GitHub ve Azure'a bağlanma.

GitHub gizli dizisini kimlik doğrulaması için yapılandırma

Yayımlama profili

GitHub'da deponuza göz atın. Ayarlar > Güvenlik Gizli Dizileri ve değişkenler > Eylemler > Yeni depo gizli dizisi'ni seçin>.

Uygulama düzeyinde kimlik bilgilerini kullanmak için indirilen yayımlama profili dosyasının içeriğini gizli dizinin değer alanına yapıştırın. Gizli diziyi AZURE_WEBAPP_PUBLISH_PROFILEolarak adlandırın.

GitHub iş akışınızı yapılandırırken Azure Web App'i dağıtma eyleminde öğesini kullanırsınız AZURE_WEBAPP_PUBLISH_PROFILE . Örneğin:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Hizmet sorumlusu

GitHub'da deponuza göz atın. Ayarlar > Güvenlik Gizli Dizileri ve değişkenler > Eylemler > Yeni depo gizli dizisi'ni seçin>.

Kullanıcı düzeyinde kimlik bilgilerini kullanmak için Azure CLI komutundaki JSON çıkışının tamamını gizli dizinin değer alanına yapıştırın. Gizli diziye gibi AZURE_CREDENTIALSbir ad verin.

İş akışı dosyasını daha sonra yapılandırdığınızda, Azure Oturum Açma eyleminin girişi creds için gizli diziyi kullanırsınız. Örneğin:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

Oturum açma eylemine uygulamanızın İstemci Kimliğini, Kiracı Kimliğini ve Abonelik Kimliğini sağlamanız gerekir. Bu değerler doğrudan iş akışında sağlanabilir veya GitHub gizli dizilerinde depolanabilir ve iş akışınızda başvurulabilir. Değerleri GitHub gizli dizileri olarak kaydetmek daha güvenli bir seçenektir.

1. GitHub deponuzu açın ve Ayarlar > Güvenlik Gizli Dizileri ve değişkenler > Eylemler > Yeni depo gizli dizisi'ne > gidin.

2. , AZURE_TENANT_IDve AZURE_SUBSCRIPTION_IDiçin AZURE_CLIENT_IDgizli diziler oluşturun. GitHub gizli dizileriniz için Active Directory uygulamanızdaki bu değerleri kullanın. Active Directory uygulamanızı arayarak bu değerleri Azure portalında bulabilirsiniz.

   GitHub Gizli Dizisi	Active Directory Uygulaması
   AZURE_CLIENT_ID	Uygulama (istemci) kimliği
   AZURE_TENANT_ID	Dizin (kiracı) kimliği
   AZURE_SUBSCRIPTION_ID	Subscription ID

3. Gizli dizi ekle'yi seçerek her gizli diziyi kaydedin.

Kayıt defteriniz için GitHub gizli dizilerini yapılandırma

Docker Oturum Açma eylemiyle kullanılacak gizli dizileri tanımlayın. Bu belgedeki örnek, kapsayıcı kayıt defteri için Azure Container Registry'yi kullanır.

1. Azure portalında veya Docker'da kapsayıcınıza gidin ve kullanıcı adı ile parolayı kopyalayın. Azure Container Registry kullanıcı adını ve parolasını Azure portalında kayıt defterinizin Ayarlar>Erişim anahtarları altında bulabilirsiniz.

2. adlı REGISTRY_USERNAMEkayıt defteri kullanıcı adı için yeni bir gizli dizi tanımlayın.

3. adlı kayıt defteri parolası için yeni bir gizli dizi REGISTRY_PASSWORDtanımlayın.

Kapsayıcı görüntüsünü oluşturma

Aşağıdaki örnekte, Node.JS Docker görüntüsü oluşturan iş akışının bir bölümü gösterilmektedir. Docker Login'i kullanarak özel bir kapsayıcı kayıt defterinde oturum açın. Bu örnekte Azure Container Registry kullanılır ancak aynı eylem diğer kayıt defterleri için de çalışır.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Aynı anda birden çok kapsayıcı kayıt defterine oturum açmak için Docker oturum açma özelliğini de kullanabilirsiniz. Bu örnek, docker.io ile kimlik doğrulaması için iki yeni GitHub gizli dizisini içerir. Örnekte, kayıt defterinin kök düzeyinde bir Dockerfile olduğu varsayılır.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

App Service kapsayıcısına dağıtma

Görüntünüzü App Service'teki özel bir kapsayıcıya dağıtmak için eylemi kullanın azure/webapps-deploy@v2 . Bu eylemin yedi parametresi vardır:

Parametre	Açıklama
uygulama adı	(Gerekli) App Service uygulamasının adı
publish-profile	(İsteğe bağlı) Web Apps(Windows ve Linux) ve Web Uygulaması Kapsayıcıları (linux) için geçerlidir. Çok kapsayıcılı senaryo desteklenmiyor. Web Dağıtımı gizli dizileriyle profil (*.publishsettings) dosya içeriğini yayımlama
yuva adı	(İsteğe bağlı) Üretim yuvası dışında var olan bir Yuvayı girin
paket	(İsteğe bağlı) Yalnızca Web Uygulaması için geçerlidir: Paket veya klasör yolu. *.zip, *.war, *.jar veya dağıtılacak klasör
Görüntü	(Gerekli) Yalnızca Web Uygulaması Kapsayıcıları için geçerlidir: Tam kapsayıcı görüntüsü adını belirtin. Örneğin, 'myregistry.azurecr.io/nginx:latest' veya 'python:3.7.2-alpine/'. Çok kapsayıcılı bir uygulama için birden çok kapsayıcı görüntüsü adı sağlanabilir (çok satırlı ayrılmış)
yapılandırma dosyası	(İsteğe bağlı) Yalnızca Web Uygulaması Kapsayıcıları için geçerlidir: Docker-Compose dosyasının yolu. Tam yol veya varsayılan çalışma dizinine göre olmalıdır. Çok kapsayıcılı uygulamalar için gereklidir.
startup-command	(İsteğe bağlı) Start-up komutunu girin. Ex. dotnet run veya dotnet filename.dll için

Yayımlama profili

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Hizmet sorumlusu

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Sonraki adımlar

Her biri CI/CD için GitHub'ı kullanmanıza ve uygulamalarınızı Azure'a dağıtmanıza yardımcı olacak belgeler ve örnekler içeren, GitHub'da farklı depolar halinde gruplandırılmış Eylemler kümemizi bulabilirsiniz.

• Azure'a dağıtılacak eylem iş akışları

• Azure oturum açma

• Azure WebApp

• Docker oturum açma/kapatma

• İş akışlarını tetikleyen olaylar

• K8s dağıtımı

• Başlangıç İş Akışları