Hızlı Başlangıç: GitHub Actions kullanarak Bicep dosyalarını dağıtma

GitHub Actions , yazılım geliştirme iş akışlarınızı otomatikleştirmek için GitHub'daki bir özellik paketidir. Bu hızlı başlangıçta, Bir Bicep dosyasını Azure'a dağıtma işlemini otomatikleştirmek için Azure Resource Manager için GitHub Actions dağıtımını kullanacaksınız.

GitHub eylemlerine ve Bicep dosyalarına kısa bir giriş sağlar. GitHub eylemlerini ve projesini ayarlama konusunda daha ayrıntılı adımlar istiyorsanız bkz . Bicep ve GitHub Actions kullanarak Azure kaynaklarını dağıtma.

Önkoşullar

• Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.
• Bir GitHub hesabı. Hesabınız yoksa ücretsiz olarak kaydolun.
• Bicep dosyalarınızı ve iş akışı dosyalarınızı depolamak için bir GitHub deposu. Bir depo oluşturmak için bkz . Yeni depo oluşturma.

Kaynak grubu oluştur

Kaynak grubu oluşturun. Bu hızlı başlangıcın ilerleyen bölümlerinde Bicep dosyanızı bu kaynak grubuna dağıtacaksınız.

CLI

az group create -n exampleRG -l westus

PowerShell

New-AzResourceGroup -Name exampleRG -Location westus

Dağıtım kimlik bilgileri oluşturma

Hizmet sorumlusu

GitHub Actions'ınız bir kimlik altında çalışır. Kimlik için bir hizmet sorumlusu oluşturmak için az ad sp create-for-rbac komutunu kullanın. Kimlikli GitHub eyleminin bu kaynak grubunda kaynak oluşturabilmesi için hizmet sorumlusuna önceki oturumda oluşturulan kaynak grubu için katkıda bulunan rolü verin. Gerekli en düşük erişimi vermenizi öneririz.

az ad sp create-for-rbac --name {app-name} --role contributor --scopes /subscriptions/{subscription-id}/resourceGroups/exampleRG --json-auth

Yer tutucusunu {app-name} uygulamanızın adıyla değiştirin. değerini abonelik kimliğiniz ile değiştirin {subscription-id} .

Çıktı, App Service uygulamanıza erişim sağlayan rol ataması kimlik bilgilerine sahip bir JSON nesnesidir ve aşağıdaki çıkışa benzer.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    ...
  }

Bu JSON nesnesini daha sonra için kopyalayın. Yalnızca , , clientSecretsubscriptionIdve tenantId değerlerini içeren clientIdbölümlere ihtiyacınız vardır. Örneğin, önceki örnekteki satır gibi son satırın tenantId sonunda fazladan virgül olmadığından emin olun, aksi halde geçersiz bir JSON dosyasıyla sonuçlayın. Dağıtım sırasında "Oturum açma hatasıyla başarısız oldu: İçerik geçerli bir JSON nesnesi değil. 'auth-type' öğesinin doğru olup olmadığını bir kez daha denetleyin."

Open ID Connect

Open ID Connect, kısa süreli belirteçler kullanan bir kimlik doğrulama yöntemidir. GitHub Actions ile OpenID Connect'i ayarlamak, sağlamlaştırılmış güvenlik sunan daha karmaşık bir işlemdir.

1. Mevcut bir uygulamanız yoksa, kaynaklara erişebilen yeni bir Active Directory uygulaması ve hizmet sorumlusu kaydedin. Active Directory uygulamasını oluşturun.

   az ad app create --display-name myApp
   

   Bu komut, JSON'un çıkışını sizin client-idolan bir appId ile oluşturur. GitHub gizli dizisi olarak AZURE_CLIENT_ID kullanılacak değeri daha sonra kaydedin.

   Graph API'siyle objectId federasyon kimlik bilgileri oluştururken değerini kullanır ve buna olarak başvurursunuz APPLICATION-OBJECT-ID.

2. Hizmet sorumlusu oluşturma. değerini $appID JSON çıkışınızdaki appId değeriyle değiştirin.

   Bu komut farklı objectId bir JSON çıkışı oluşturur ve sonraki adımda kullanılacaktır. Yeni objectId , şeklindedir assignee-object-id.

   appOwnerTenantId daha sonra kullanmak üzere öğesini GitHub gizli dizisi AZURE_TENANT_ID olarak kopyalayın.

    az ad sp create --id $appId
   

3. Aboneliğe ve nesneye göre yeni bir rol ataması oluşturun. Varsayılan olarak, rol ataması varsayılan aboneliğinize bağlıdır. değerini abonelik kimliğiniz, $resourceGroupName kaynak grubu adınız ve $assigneeObjectId oluşturulan assignee-object-idile değiştirin$subscriptionId. Azure CLI ile Azure aboneliklerini yönetmeyi öğrenin.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. Active Directory uygulamanız için yeni bir federasyon kimliği kimlik bilgisi oluşturmak için aşağıdaki komutu çalıştırın.

   • değerini Active Directory uygulamanız için objectId (uygulama oluşturulurken oluşturulur) ile değiştirinAPPLICATION-OBJECT-ID.
   • Daha sonra başvurmak için için CREDENTIAL-NAME bir değer ayarlayın.
   • öğesini subjectayarlayın. Bunun değeri, iş akışınıza bağlı olarak GitHub tarafından tanımlanır:
     • GitHub Actions ortamınızdaki işler: repo:< Organization/Repository >:environment:< Name >
     • Bir ortama bağlı olmayan işler için, iş akışını tetiklerken kullanılan başvuru yolunu temel alan dal/etiket için başvuru yolunu ekleyin: repo:< Organization/Repository >:ref:< ref path>. Örneğin, repo:n-username/ node_express:ref:refs/heads/my-branch veya repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Çekme isteği olayı tarafından tetiklenen iş akışları için: repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}'
   

   Azure portalında Active Directory uygulaması, hizmet sorumlusu ve federasyon kimlik bilgileri oluşturma hakkında bilgi edinmek için bkz . GitHub ve Azure'a bağlanma.

GitHub gizli dizilerini yapılandırma

Hizmet sorumlusu

Azure kimlik bilgileriniz, kaynak grubunuz ve abonelikleriniz için gizli diziler oluşturun. Bu gizli dizileri İş akışı oluştur bölümünde kullanırsınız.

1. GitHub'da deponuza gidin.

2. Ayarlar Gizli Dizileri > ve değişkenler Eylemler > Yeni depo gizli dizisi'ni seçin.>

3. Azure CLI komutundaki JSON çıkışının tamamını gizli dizinin değer alanına yapıştırın. Gizli diziyi AZURE_CREDENTIALSolarak adlandırın.

4. adlı AZURE_RGbaşka bir gizli dizi oluşturun. Kaynak grubunuzun adını gizli dizinin değer alanına (exampleRG ) ekleyin.

5. adlı AZURE_SUBSCRIPTIONbaşka bir gizli dizi oluşturun. Abonelik kimliğinizi gizli dizinin değer alanına ekleyin (örnek: aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e).

Open ID Connect

Oturum açma eylemine uygulamanızın İstemci Kimliğini, Kiracı Kimliğini ve Abonelik Kimliğini sağlamanız gerekir. Bu değerler doğrudan iş akışında sağlanabilir veya GitHub gizli dizilerinde depolanabilir ve iş akışınızda başvurulabilir. Değerleri GitHub gizli dizileri olarak kaydetmek daha güvenli bir seçenektir.

1. GitHub deponuzu açın ve Ayarlar'a gidin.

2. Ayarlar > Gizli Diziler > Yeni gizli dizi'yi seçin.

3. , AZURE_TENANT_IDve AZURE_SUBSCRIPTION_IDiçin AZURE_CLIENT_IDgizli diziler oluşturun. GitHub gizli dizileriniz için Active Directory uygulamanızdaki şu değerleri kullanın:

   GitHub Gizli Dizisi	Active Directory Uygulaması
   AZURE_CLIENT_ID	Uygulama (istemci) kimliği
   AZURE_TENANT_ID	Dizin (kiracı) kimliği
   AZURE_SUBSCRIPTION_ID	Subscription ID

4. Gizli dizi ekle'yi seçerek her gizli diziyi kaydedin.

Bicep dosyası ekleme

GitHub deponuza bir Bicep dosyası ekleyin. Aşağıdaki Bicep dosyası bir depolama hesabı oluşturur:

@minLength(3)
@maxLength(11)
param storagePrefix string

@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_RAGRS'
  'Standard_ZRS'
  'Premium_LRS'
  'Premium_ZRS'
  'Standard_GZRS'
  'Standard_RAGZRS'
])
param storageSKU string = 'Standard_LRS'

param location string = resourceGroup().location

var uniqueStorageName = '${storagePrefix}${uniqueString(resourceGroup().id)}'

resource stg 'Microsoft.Storage/storageAccounts@2023-04-01' = {
  name: uniqueStorageName
  location: location
  sku: {
    name: storageSKU
  }
  kind: 'StorageV2'
  properties: {
    supportsHttpsTrafficOnly: true
  }
}

output storageEndpoint object = stg.properties.primaryEndpoints

Bicep dosyası 3 ile 11 karakter arasında storagePrefix adlı bir parametre gerektirir.

Dosyayı deponun herhangi bir yerine yerleştirebilirsiniz. Sonraki bölümdeki iş akışı örneği, Bicep dosyasının main.bicep olarak adlandırılıp deponuzun kökünde depolandığını varsayar.

İş akışı oluşturma

İş akışı, tetiklendiğinde yürütülecek adımları tanımlar. Bu, deponuzun .github/workflows/ yolundaki bir YAML (.yml) dosyasıdır. İş akışı dosya uzantısı .yml veya .yaml olabilir.

İş akışı oluşturmak için aşağıdaki adımları izleyin:

1. GitHub deponuzdan üstteki menüden Eylemler'i seçin.

2. Yeni iş akışı'ı seçin.

3. İş akışını kendiniz ayarlayın'ı seçin.

4. main.yml dışında farklı bir ad tercih ediyorsanız iş akışı dosyasını yeniden adlandırın. Örneğin: deployBicepFile.yml.

5. yml dosyasının içeriğini aşağıdaki kodla değiştirin:

   Hizmet sorumlusu

   name: Deploy Bicep file
   on: [push]
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
       - name: Checkout code
         uses: actions/checkout@main
   
       - name: Log into Azure
         uses: azure/login@v1
         with:
           creds: ${{ secrets.AZURE_CREDENTIALS }}
   
       - name: Deploy Bicep file
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

   değerini kendi depolama hesabı adı ön ekinizle değiştirin mystore .

   Not

   ARM Dağıtımı eyleminde (örnek: .azuredeploy.parameters.json) bunun yerine bir JSON biçimi parametre dosyası belirtebilirsiniz.

   İş akışı dosyasının ilk bölümü şunları içerir:

   • name: İş akışının adı.
   • tarihinde: İş akışını tetikleyen GitHub olaylarının adı. Ana dalda bir gönderme olayı olduğunda iş akışı tetikleniyor.

   OpenID Connect

   on: [push]
   name: Azure ARM
   permissions:
     id-token: write
     contents: read
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
         # Checkout code
       - uses: actions/checkout@main
   
         # Log into Azure
       - uses: azure/login@v1
         with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
         # Deploy Bicep file
       - name: deploy
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

6. Değişiklikleri işle'yi seçin.

7. Doğrudan ana dala işle'yi seçin.

8. Yeni dosya işle'yi (veya Değişiklikleri işle)'yi seçin.

İş akışı dosyasının veya Bicep dosyasının güncelleştirilmesi iş akışını tetikler. İş akışı, değişiklikleri işledikten hemen sonra başlar.

İş akışı durumunu denetleme

1. Eylemler sekmesini seçin. DeployBicepFile.yml oluştur iş akışının listelendiğini görürsünüz. İş akışının çalıştırılması 1-2 dakika sürer.
2. İş akışını seçerek açın ve öğesinin Status olduğunu Successdoğrulayın.

Kaynakları temizleme

Kaynak grubunuz ve deponuz artık gerekli olmadığında, kaynak grubunu ve GitHub deponuzu silerek dağıttığınız kaynakları temizleyin.

CLI

az group delete --name exampleRG

PowerShell

Remove-AzResourceGroup -Name exampleRG

Sonraki adımlar

Bicep dosya yapısı ve söz dizimi