GitHub Actions kullanarak App Service'e özel kapsayıcı dağıtma

GitHub Actions, otomatik yazılım geliştirme iş akışı oluşturma esnekliği sunar. Azure Web Dağıtımı eylemiyle, GitHub Actions kullanarak özel kapsayıcıları App Service dağıtmak için iş akışınızı otomatikleştirebilirsiniz.

İş akışı, deponuzdaki yoldaki /.github/workflows/ bir YAML (.yml) dosyası tarafından tanımlanır. Bu tanım, iş akışındaki çeşitli adımları ve parametreleri içerir.

Azure App Service kapsayıcı iş akışı için dosyanın üç bölümü vardır:

Section	Görevler
Kimlik Doğrulaması	1. Hizmet sorumlusu alın veya profili yayımlayın. 2. GitHub gizli dizisi oluşturun.
Derleme	1. Ortamı oluşturun. 2. Kapsayıcı görüntüsünü oluşturun.
Dağıtma	1. Kapsayıcı görüntüsünü dağıtın.

Önkoşullar

• Etkin aboneliği olan bir Azure hesabı. Ücretsiz hesap oluşturma
• GitHub hesabı. Aboneliğiniz yoksa ücretsiz kaydolun. Azure App Service dağıtmak için GitHub deposunda kodunuz olması gerekir.
• Kapsayıcılar için çalışan bir kapsayıcı kayıt defteri ve Azure App Service uygulaması. Bu örnekte Azure Container Registry kullanılır. Kapsayıcılar için Azure App Service dağıtımının tamamını tamamladığınızdan emin olun. Normal web uygulamalarından farklı olarak kapsayıcılar için web uygulamalarının varsayılan giriş sayfası yoktur. Çalışan bir örne sahip olmak için kapsayıcıyı yayımlayın.
  • Docker kullanarak kapsayıcılı Node.js uygulaması oluşturmayı, kapsayıcı görüntüsünü kayıt defterine göndermeyi ve ardından görüntüyü Azure App Service'ye dağıtmayı öğrenin

Dağıtım kimlik bilgileri oluşturma

GitHub Actions için Azure Uygulaması Hizmetleri ile kimlik doğrulaması yapmak için önerilen yol bir yayımlama profili kullanmaktır. Ayrıca bir hizmet sorumlusu veya Open ID Connect ile de kimlik doğrulaması yapabilirsiniz, ancak işlem için daha fazla adım gerekir.

Azure'da kimlik doğrulaması yapmak için yayımlama profili kimlik bilgilerinizi veya hizmet sorumlunuzu GitHub gizli dizisi olarak kaydedin. Gizli diziye iş akışınızda erişeceksiniz.

Yayımlama profili

Yayımlama profili, uygulama düzeyinde bir kimlik bilgisidir. Yayımlama profilinizi GitHub gizli dizisi olarak ayarlayın.

1. Azure portal uygulama hizmetinize gidin.

2. Genel Bakış sayfasında Yayımlama profilini al'ı seçin.

   Not

   Ekim 2020 itibarıyla, Linux web uygulamalarının dosyayı indirmeden önce uygulama ayarınınWEBSITE_WEBDEPLOY_USE_SCM olarak ayarlanması true gerekir. Bu gereksinim gelecekte kaldırılacaktır. Yaygın web uygulaması ayarlarını yapılandırmayı öğrenmek için bkz. Azure portal App Service uygulaması yapılandırma.

3. İndirdiğiniz dosyayı kaydedin. GitHub gizli dizisi oluşturmak için dosyanın içeriğini kullanacaksınız.

Hizmet sorumlusu

Azure CLI'daaz ad sp create-for-rbac komutuyla bir hizmet sorumlusu oluşturabilirsiniz. Azure portal Azure Cloud Shell ile veya Deneyin düğmesini seçerek bu komutu çalıştırın.

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

Örnekte yer tutucuları abonelik kimliğiniz, kaynak grubu adınız ve uygulama adınızla değiştirin. Çıktı, App Service uygulamanıza erişim sağlayan rol atama kimlik bilgilerine sahip bir JSON nesnesidir. Bu JSON nesnesini daha sonrası için kopyalayın.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Önemli

Minimum erişim vermek her zaman iyi bir uygulamadır. Önceki örnekteki kapsam, kaynak grubunun tamamıyla değil, belirli App Service uygulamasıyla sınırlıdır.

OpenID Connect

OpenID Connect, kısa süreli belirteçler kullanan bir kimlik doğrulama yöntemidir. OpenID Connect'i GitHub Actions ile ayarlamak, sağlamlaştırılmış güvenlik sunan daha karmaşık bir işlemdir.

1. Mevcut bir uygulamanız yoksa , kaynaklara erişebilen yeni bir Active Directory uygulaması ve hizmet sorumlusu kaydedin. Active Directory uygulamasını oluşturun.

   az ad app create --display-name myApp
   

   Bu komut, JSON çıkışını sizin client-idolan bir appId ile oluşturur. GitHub gizli dizisi olarak AZURE_CLIENT_ID kullanılacak değeri daha sonra kaydedin.

   Graph API ile federasyon kimlik bilgileri oluştururken değerini kullanacak objectId ve buna olarak APPLICATION-OBJECT-IDbaşvuracaksınız.

2. Hizmet sorumlusu oluşturun. değerini $appID JSON çıkışınızdaki appId değeriyle değiştirin.

   Bu komut farklı objectId bir JSON çıkışı oluşturur ve sonraki adımda kullanılacaktır. Yeni objectId , şeklindedir assignee-object-id.

   appOwnerTenantId GitHub gizli dizisi olarak kullanmak üzere öğesini daha sonra kullanmak üzere AZURE_TENANT_ID kopyalayın.

    az ad sp create --id $appId
   

3. Aboneliğe ve nesneye göre yeni bir rol ataması oluşturun. Varsayılan olarak, rol ataması varsayılan aboneliğinize bağlanır. değerini abonelik kimliğiniz, $resourceGroupName kaynak grubu adınız ve $assigneeObjectId oluşturulan assignee-object-idile değiştirin$subscriptionId. Azure CLI ile Azure aboneliklerini yönetmeyi öğrenin.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. Active Directory uygulamanız için yeni bir federasyon kimliği kimlik bilgisi oluşturmak için aşağıdaki komutu çalıştırın.

   • değerini Active Directory uygulamanız için objectId (uygulama oluşturulurken oluşturulur) ile değiştirinAPPLICATION-OBJECT-ID.
   • Daha sonra başvurmak için CREDENTIAL-NAME değerini ayarlayın.
   • öğesini subjectayarlayın. Bunun değeri, iş akışınıza bağlı olarak GitHub tarafından tanımlanır:
     • GitHub Actions ortamınızdaki işler:repo:< Organization/Repository >:environment:< Name >
     • Bir ortama bağlı olmayan işler için, iş akışını tetiklerken kullanılan başvuru yolunu temel alan dal/etiket için başvuru yolunu ekleyin: repo:< Organization/Repository >:ref:< ref path>. Örneğin repo:n-username/ node_express:ref:refs/heads/my-branch veya repo:n-username/ node_express:ref:refs/tags/my-tag olabilir.
     • Çekme isteği olayı tarafından tetiklenen iş akışları için: repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

   Azure portal'de Active Directory uygulaması, hizmet sorumlusu ve federasyon kimlik bilgileri oluşturma hakkında bilgi edinmek için bkz. GitHub ve Azure'ı bağlama.

Kimlik doğrulaması için GitHub gizli dizisini yapılandırma

Yayımlama profili

GitHub'da deponuza göz atın. Ayarlar > Güvenlik > Gizli Dizileri ve değişkenler > Eylemler > Yeni depo gizli dizisi'ni seçin.

Uygulama düzeyinde kimlik bilgilerini kullanmak için indirilen yayımlama profili dosyasının içeriğini gizli dizinin değer alanına yapıştırın. Gizli diziyi AZURE_WEBAPP_PUBLISH_PROFILEolarak adlandırın.

GitHub iş akışınızı yapılandırırken Azure Web App'i dağıtma eyleminde öğesini AZURE_WEBAPP_PUBLISH_PROFILE kullanırsınız. Örnek:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Hizmet sorumlusu

GitHub'da deponuza göz atın. Ayarlar > Güvenlik > Gizli Dizileri ve değişkenler > Eylemler > Yeni depo gizli dizisi'ni seçin.

Kullanıcı düzeyinde kimlik bilgilerini kullanmak için Azure CLI komutundaki JSON çıkışının tamamını gizli dizinin değer alanına yapıştırın. Gizli diziye gibi AZURE_CREDENTIALSbir ad verin.

İş akışı dosyasını daha sonra yapılandırdığınızda, Azure Oturum Açma eyleminin girişi creds için gizli diziyi kullanırsınız. Örnek:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

Oturum açma eylemine uygulamanızın İstemci Kimliğini, Kiracı Kimliğini ve Abonelik Kimliğini sağlamanız gerekir. Bu değerler doğrudan iş akışında sağlanabilir veya GitHub gizli dizilerinde depolanabilir ve iş akışınızda başvurulabilir. GitHub gizli dizileri olarak değerleri kaydetmek daha güvenli bir seçenektir.

1. GitHub deponuzu açın ve Ayarlar > Güvenlik > Gizli Dizileri ve değişkenler > Eylemler > Yeni depo gizli dizisi'ne gidin.

2. , AZURE_TENANT_IDve AZURE_SUBSCRIPTION_IDiçin AZURE_CLIENT_IDgizli diziler oluşturun. GitHub gizli dizileriniz için Active Directory uygulamanızdaki bu değerleri kullanın. Active Directory uygulamanızı arayarak bu değerleri Azure portal bulabilirsiniz.

   GitHub Gizli Dizisi	Active Directory Uygulaması
   AZURE_CLIENT_ID	Uygulama (istemci) kimliği
   AZURE_TENANT_ID	Dizin (kiracı) kimliği
   AZURE_SUBSCRIPTION_ID	Abonelik Kimliği

3. Gizli dizi ekle'yi seçerek her gizli diziyi kaydedin.

Kayıt defteriniz için GitHub gizli dizilerini yapılandırma

Docker Oturum Açma eylemiyle kullanılacak gizli dizileri tanımlayın. Bu belgedeki örnekte kapsayıcı kayıt defteri için Azure Container Registry kullanılır.

1. Azure portal veya Docker'da kapsayıcınıza gidin ve kullanıcı adını ve parolayı kopyalayın. Azure Container Registry kullanıcı adını ve parolayı kayıt defterinizin Ayarlar>Erişim anahtarları altındaki Azure portal bulabilirsiniz.

2. adlı REGISTRY_USERNAMEkayıt defteri kullanıcı adı için yeni bir gizli dizi tanımlayın.

3. adlı REGISTRY_PASSWORDkayıt defteri parolası için yeni bir gizli dizi tanımlayın.

Kapsayıcı görüntüsünü derleme

Aşağıdaki örnek, Node.JS Docker görüntüsü oluşturan iş akışının bir bölümünü gösterir. Docker Login'i kullanarak özel bir kapsayıcı kayıt defterinde oturum açın. Bu örnekte Azure Container Registry kullanılır, ancak aynı eylem diğer kayıt defterleri için de çalışır.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Aynı anda birden çok kapsayıcı kayıt defterine oturum açmak için Docker oturum açma özelliğini de kullanabilirsiniz. Bu örnek, docker.io ile kimlik doğrulaması için iki yeni GitHub gizli dizisini içerir. Örnekte, kayıt defterinin kök düzeyinde bir Dockerfile olduğu varsayılır.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

App Service kapsayıcısına dağıtma

Görüntünüzü App Service özel bir kapsayıcıya dağıtmak için eylemini azure/webapps-deploy@v2 kullanın. Bu eylemin yedi parametresi vardır:

Parametre	Açıklama
uygulama adı	(Gerekli) App Service uygulamasının adı
publish-profile	(İsteğe bağlı) Web Apps(Windows ve Linux) ve Web Uygulaması Kapsayıcıları (linux) için geçerlidir. Çok kapsayıcılı senaryo desteklenmiyor. Web Dağıtımı gizli dizileriyle profil (*.publishsettings) dosya içeriğini yayımlama
yuva adı	(İsteğe bağlı) Üretim yuvası dışında var olan bir Yuvayı girin
Paket	(İsteğe bağlı) Yalnızca Web Uygulaması için geçerlidir: Paket veya klasör yolu. *.zip, *.war, *.jar veya dağıtılacak klasör
Görüntü	(Gerekli) Yalnızca Web Uygulaması Kapsayıcıları için geçerlidir: Tam kapsayıcı görüntüsü adını belirtin. Örneğin, 'myregistry.azurecr.io/nginx:latest' veya 'python:3.7.2-alpine/'. Çok kapsayıcılı bir uygulama için birden çok kapsayıcı görüntüsü adı sağlanabilir (çok satırlı ayrılmış)
yapılandırma dosyası	(İsteğe bağlı) Yalnızca Web Uygulaması Kapsayıcıları için geçerlidir: Docker-Compose dosyasının yolu. Tam yol veya varsayılan çalışma dizinine göre olmalıdır. Çok kapsayıcılı uygulamalar için gereklidir.
startup-command	(İsteğe bağlı) Start-up komutunu girin. Örneğin dotnet run veya dotnet filename.dll

Yayımlama profili

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Hizmet sorumlusu

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Sonraki adımlar

Her biri CI/CD için GitHub'ı kullanmanıza ve uygulamalarınızı Azure'a dağıtmanıza yardımcı olacak belgeler ve örnekler içeren, GitHub'da farklı depolarda gruplandırılmış Eylemler kümemizi bulabilirsiniz.

• Azure'a dağıtılacak eylem iş akışları

• Azure oturum açma

• Azure WebApp

• Docker oturum açma/kapatma

• İş akışlarını tetikleyen olaylar

• K8s dağıtımı

• Başlangıç İş Akışları