GitHub Actions kullanarak ARM şablonlarını dağıtma

GitHub Actions , GitHub'da kod depoladığınız ve çekme istekleri ve sorunları üzerinde işbirliği yaptığınız yerde yazılım geliştirme iş akışlarınızı otomatikleştirmeye yönelik bir özellik paketidir.

Azure Resource Manager şablonunu (ARM şablonu) Azure'a dağıtma işlemini otomatikleştirmek için Azure Resource Manager Şablonu Dağıtma Eylemi'ni kullanın.

Önkoşullar

• Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturun.

• Bir GitHub hesabı. Hesabınız yoksa ücretsiz olarak kaydolun.

  • Resource Manager şablonlarınızı ve iş akışı dosyalarınızı depolamak için bir GitHub deposu. Bir depo oluşturmak için bkz . Yeni depo oluşturma.

İş akışı dosyasına genel bakış

İş akışı, deponuzdaki yoldaki /.github/workflows/ bir YAML (.yml) dosyası tarafından tanımlanır. Bu tanım, iş akışını oluşturan çeşitli adımları ve parametreleri içerir.

Dosyanın iki bölümü vardır:

Section	Görevler
Kimlik Doğrulaması	1. Dağıtım kimlik bilgileri oluşturun.
Dağıtma	1. Resource Manager şablonunu dağıtın.

Dağıtım kimlik bilgileri oluşturma

Hizmet sorumlusu

Azure CLI'da az ad sp create-for-rbac komutuyla bir hizmet sorumlusu oluşturun. Azure portalında veya Deneyin düğmesini seçerek bu komutu Azure Cloud Shell ile çalıştırın.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

parametresi --json-auth Azure CLI sürümlerinde >= 2.51.0 kullanılabilir. Bu --sdk-auth kullanımdan önceki sürümler kullanımdan kaldırma uyarısıyla kullanılır.

Yukarıdaki örnekte yer tutucuları abonelik kimliğiniz, kaynak grubu adınız ve uygulama adınızla değiştirin. Çıktı, Aşağıdakine benzer şekilde App Service uygulamanıza erişim sağlayan rol ataması kimlik bilgilerine sahip bir JSON nesnesidir. Bu JSON nesnesini daha sonra için kopyalayın.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Bağlan, kısa süreli belirteçler kullanan bir kimlik doğrulama yöntemidir. GitHub Actions ile OpenID Bağlan ayarlamak, sağlamlaştırılmış güvenlik sunan daha karmaşık bir işlemdir.

1. Mevcut bir uygulamanız yoksa kaynaklara erişebilen yeni bir Microsoft Entra uygulaması ve hizmet sorumlusu kaydedin.

   az ad app create --display-name myApp
   

   Bu komut, JSON çıkışını sizin client-idolan bir appId ile oluşturur. objectId veAPPLICATION-OBJECT-ID, Graph API çağrılarıyla federasyon kimlik bilgileri oluşturmak için kullanılır. GitHub gizli dizisi olarak AZURE_CLIENT_ID kullanılacak değeri daha sonra kaydedin.

2. Hizmet sorumlusu oluşturma. değerini $appID JSON çıkışınızdaki appId değeriyle değiştirin. Bu komut, sonraki adımda farklı objectId bir JSON çıkışı oluşturur. Yeni objectId , şeklindedir assignee-object-id.

   Bu komut farklı objectId bir JSON çıkışı oluşturur ve sonraki adımda kullanılacaktır. Yeni objectId , şeklindedir assignee-object-id.

   appOwnerTenantId daha sonra kullanmak üzere öğesini GitHub gizli dizisi AZURE_TENANT_ID olarak kopyalayın.

    az ad sp create --id $appId
   

3. Aboneliğe ve nesneye göre yeni bir rol ataması oluşturun. Varsayılan olarak, rol ataması varsayılan aboneliğinize bağlanır. değerini abonelik kimliğiniz, $resourceGroupName kaynak grubu adınız ve $assigneeObjectId oluşturulan assignee-object-id (yeni oluşturulan hizmet sorumlusu nesne kimliği) ile değiştirin$subscriptionId.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Microsoft Entra uygulamanız için yeni bir federasyon kimliği kimlik bilgisi oluşturmak için aşağıdaki komutu çalıştırın.

   • değerini Microsoft Entra uygulamanız için objectId (uygulama oluşturulurken oluşturulur) ile değiştirinAPPLICATION-OBJECT-ID.
   • Daha sonra başvurmak için için CREDENTIAL-NAME bir değer ayarlayın.
   • öğesini subjectayarlayın. Bunun değeri, iş akışınıza bağlı olarak GitHub tarafından tanımlanır:
     • GitHub Actions ortamınızdaki işler: repo:< Organization/Repository >:environment:< Name >
     • Bir ortama bağlı olmayan işler için, iş akışını tetiklerken kullanılan başvuru yolunu temel alan dal/etiket için başvuru yolunu ekleyin: repo:< Organization/Repository >:ref:< ref path>. Örneğin, repo:n-username/ node_express:ref:refs/heads/my-branch veya repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Çekme isteği olayı tarafından tetiklenen iş akışları için: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

GitHub gizli dizilerini yapılandırma

Hizmet sorumlusu

1. GitHub'da deponuza gidin.

2. Gezinti menüsünde Ayarlar gidin.

3. Güvenlik > Gizli Dizileri ve değişkenler Eylemler'i> seçin.

   

4. Yeni depo gizli dizisi'ni seçin.

5. Azure CLI komutundaki JSON çıkışının tamamını gizli dizinin değer alanına yapıştırın. Gizli diziye adını AZURE_CREDENTIALSverin.

6. Add secret (Gizli dizi ekle) öğesini seçin.

OpenID Connect

Oturum açma eylemine uygulamanızın İstemci Kimliğini, Kiracı Kimliğini ve Abonelik Kimliğini sağlamanız gerekir. Bu değerler doğrudan iş akışında sağlanabilir veya GitHub gizli dizilerinde depolanabilir ve iş akışınızda başvurulabilir. Değerleri GitHub gizli dizileri olarak kaydetmek daha güvenli bir seçenektir.

1. GitHub'da deponuza gidin.

2. Güvenlik > Gizli Dizileri ve değişkenler Eylemler'i> seçin.

   

3. Yeni depo gizli dizisi'ni seçin.

4. , AZURE_TENANT_IDve AZURE_SUBSCRIPTION_IDiçin AZURE_CLIENT_IDgizli diziler oluşturun. GitHub gizli dizileriniz için Microsoft Entra uygulamanızdaki şu değerleri kullanın:

   GitHub gizli dizisi	Microsoft Entra uygulaması
   AZURE_CLIENT_ID	Uygulama (istemci) kimliği
   AZURE_TENANT_ID	Dizin (kiracı) kimliği
   AZURE_SUBSCRIPTION_ID	Subscription ID

5. Gizli dizi ekle'yi seçerek her gizli diziyi kaydedin.

Resource Manager şablonu ekleme

GitHub deponuza bir Resource Manager şablonu ekleyin. Bu şablon bir depolama hesabı oluşturur.

https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json

Dosyayı deponun herhangi bir yerine yerleştirebilirsiniz. Sonraki bölümdeki iş akışı örneği, şablon dosyasının azuredeploy.json olarak adlandırılıp deponuzun kökünde depolandığını varsayar.

İş akışı oluşturma

İş akışı dosyası, deponuzun kökündeki .github/workflows klasöründe depolanmalıdır. İş akışı dosya uzantısı .yml veya .yaml olabilir.

1. GitHub deponuzdan üstteki menüden Eylemler'i seçin.
2. Yeni iş akışı'ı seçin.
3. İş akışını kendiniz ayarlayın'ı seçin.
4. main.yml dışında farklı bir ad tercih ediyorsanız iş akışı dosyasını yeniden adlandırın. Örneğin: deploy Depolama Account.yml.
5. yml dosyasının içeriğini aşağıdakilerle değiştirin:

Hizmet sorumlusu

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Not

ARM Dağıtımı eyleminde (örnek: .azuredeploy.parameters.json) bunun yerine bir JSON biçimi parametre dosyası belirtebilirsiniz.

İş akışı dosyasının ilk bölümü şunları içerir:

• name: İş akışının adı.
• tarihinde: İş akışını tetikleyen GitHub olaylarının adı. Ana dalda belirtilen iki dosyadan en az birini değiştiren bir gönderme olayı olduğunda iş akışı tetiklenir. İki dosya iş akışı dosyası ve şablon dosyasıdır.

OpenID Connect

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Not

ARM Dağıtımı eyleminde (örnek: .azuredeploy.parameters.json) bunun yerine bir JSON biçimi parametre dosyası belirtebilirsiniz.

İş akışı dosyasının ilk bölümü şunları içerir:

• name: İş akışının adı.
• tarihinde: İş akışını tetikleyen GitHub olaylarının adı. Ana dalda belirtilen iki dosyadan en az birini değiştiren bir gönderme olayı olduğunda iş akışı tetiklenir. İki dosya iş akışı dosyası ve şablon dosyasıdır.

1. Start commit (İşlemeye başla) öğesini seçin.
2. Doğrudan ana dala işle'yi seçin.
3. Yeni dosya işle'yi (veya Değişiklikleri işle)'yi seçin.

İş akışı, iş akışı dosyası veya güncelleştirilmekte olan şablon dosyası tarafından tetiklenecek şekilde yapılandırıldığından, değişiklikleri kaydettikten hemen sonra iş akışı başlatılır.

İş akışı durumunu denetleme

1. Eylemler sekmesini seçin. Dağıtım oluştur Depolama Account.yml iş akışının listelendiğini görürsünüz. İş akışının çalıştırılması 1-2 dakika sürer.
2. İş akışını seçerek açın.
3. Dağıtımı doğrulamak için menüden ARM dağıtımını çalıştır'ı seçin.

Kaynakları temizleme

Kaynak grubunuz ve deponuz artık gerekli olmadığında, kaynak grubunu ve GitHub deponuzu silerek dağıttığınız kaynakları temizleyin.

Sonraki adımlar

İlk ARM şablonunuzu oluşturma

Learn modülü: GitHub Actions kullanarak ARM şablonlarının dağıtımını otomatikleştirme