快速入門：使用 GitHub Actions 連線至 Azure PostgreSQL

發行項
04/28/2023

適用於：適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器

重要

適用於 PostgreSQL 的 Azure 資料庫 - 單一伺服器位於淘汰路徑上。強烈建議您升級至適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器。如需移轉至適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器的詳細資訊，請參閱單一伺服器適用於 PostgreSQL 的 Azure 資料庫發生什麼情況？

藉由使用工作流程將資料庫更新部署至適用於 PostgreSQL 的 Azure 資料庫，來開始使用 GitHub Actions。

必要條件

您需要：

具有有效訂用帳戶的 Azure 帳戶。免費建立帳戶。
具有範例資料 (data.sql) 的 GitHub 存放庫。如果您沒有 GitHub 帳戶，請免費註冊。
適用於 PostgreSQL 的 Azure 資料庫伺服器。
- 快速入門：在 Azure 入口網站中建立 Azure Database for PostgreSQL 伺服器

工作流程檔案概觀

GitHub Actions 工作流程是由您存放庫內 /.github/workflows/ 路徑中的 YAML (.yml) 檔案所定義的。此定義包含組成工作流程的各種步驟與參數。

檔案內有兩個區段：

區段	工作
驗證	1. 產生部署認證。
部署	1.部署資料庫。

使用 Azure CLI 中的 az ad sp create-for-rbac 命令來建立服務主體。請使用 Azure 入口網站中的 Azure Cloud Shell，或選取 [試試看] 按鈕來執行此命令。

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --sdk-auth

在上述範例中，將預留位置換成為您的訂用帳戶識別碼、資源群組名稱和應用程式名稱。輸出是一個 JSON 物件，內有角色指派認證可讓您存取 App Service 應用程式，如下所示。複製此 JSON 物件以供後續使用。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect 是使用短期權杖的驗證方法。使用 GitHub Actions 設定 OpenID Connect 是更複雜的程序，可提供強化的安全性。

若您沒有現有的應用程式，請註冊可存取資源的新 Active Directory 應用程式與服務主體。建立 Active Directory 應用程式。
```
az ad app create --display-name myApp
```
此命令會使用作為您 client-id 的 appId 來輸出 JSON。儲存值以稍後作為 AZURE_CLIENT_ID GitHub 秘密。

使用圖形 API 建立同盟認證時，您將使用此 objectId 值，並將其作為 APPLICATION-OBJECT-ID 參考。
建立服務主體。將 $appID 取代為您 JSON 輸出中的 appId。

此命令會產生具有不同 objectId 的 JSON 輸出，並將在下一個步驟中使用。新的 objectId 是 assignee-object-id。

複製 appOwnerTenantId 以供稍後作為 AZURE_TENANT_ID 的 GitHub 秘密使用。
```
 az ad sp create --id $appId
```
依訂用帳戶和物件建立新的角色指派。依預設，角色指派將會繫結至您的預設訂用帳戶。以您的訂用帳戶識別碼取代 $subscriptionId，以資源群組名稱取代 $resourceGroupName，並以產生的 assignee-object-id 取代 $assigneeObjectId。瞭解如何使用 Azure CLI 來管理 Azure 訂用帳戶。
```
az role assignment create --role contributor --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal
```
執行下列命令，為您的 Active Directory 應用程式建立新的同盟身分識別認證。
- 針對您的 Active Directory 應用程式使用 objectId (當建立應用程式時產生) 取代 APPLICATION-OBJECT-ID。
- 將 CREDENTIAL-NAME 的值設定為稍後參考。
- 設定 subject。根據您的工作流程，GitHub 會定義此項目的值：
  - 您 GitHub Actions 環境中的工作：repo:< Organization/Repository >:environment:< Name >
  - 針對未繫結至環境的作業，請根據用來觸發工作流程的參考路徑，包含分支/標記的參考路徑：repo:< Organization/Repository >:ref:< ref path>。例如，repo:n-username/ node_express:ref:refs/heads/my-branch 或 repo:n-username/ node_express:ref:refs/tags/my-tag。
  - 針對由提取要求事件所觸發的工作流程：repo:< Organization/Repository >:pull_request。
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
```

若要瞭解如何在 Azure 入口網站中建立 Active Directory 應用程式、服務主體和同盟認證，請參閱連線 GitHub 和 Azure。

複製 PostgreSQL 連接字串

在 Azure 入口網站中，移至適用於 PostgreSQL 的 Azure 資料庫伺服器，然後開啟 [設定]>[連接字串]。複製 ADO.NET 連接字串。取代 your_database 和 your_password 的預留位置值。連接字串看起來像這樣。

重要

若為單一伺服器，請使用 user=adminusername@servername。請注意，@servername 是必要項目。
若為彈性伺服器，請使用不含 @servername 的 user= adminusername。

psql host={servername.postgres.database.azure.com} port=5432 dbname={your_database} user={adminusername} password={your_database_password} sslmode=require

您可以使用連接字串作為 GitHub 秘密。

設定 GitHub 祕密

服務主體
OpenID Connect

在 GitHub (英文) 中，前往您的存放庫。
移至導覽功能表中的 [ 設定 ]。
選取 [安全性] > [祕密和變數] > [動作]。
選取 [新增存放庫祕密]。
將得自 Azure CLI 命令的整個 JSON 輸出貼到祕密的 [值] 欄位中。將祕密命名為 AZURE_CREDENTIALS。
選取 [新增祕密]。

您必須將應用程式的用戶端識別碼、租用戶識別碼和訂用帳戶識別碼提供給登入動作。這些值可以直接在工作流程中提供，也可以儲存在 GitHub 的秘密中，並在您的工作流程中參考。將值儲存為 GitHub 秘密是較安全的選擇。

在 GitHub (英文) 中，前往您的存放庫。
選取 [安全性] > [祕密和變數] > [動作]。
選取 [新增存放庫祕密]。
建立 AZURE_CLIENT_ID、AZURE_TENANT_ID 和 AZURE_SUBSCRIPTION_ID 的秘密。使用 Active Directory 應用程式中的這些值來取得 GitHub 秘密：

GitHub 祕密 Active Directory 應用程式

AZURE_CLIENT_ID 應用程式 (用戶端) 識別碼

AZURE_TENANT_ID 目錄 (租用戶) 識別碼

AZURE_SUBSCRIPTION_ID 訂用帳戶識別碼
選取 [新增秘密] 以儲存每個秘密。

GitHub 祕密	Active Directory 應用程式
AZURE_CLIENT_ID	應用程式 (用戶端) 識別碼
AZURE_TENANT_ID	目錄 (租用戶) 識別碼
AZURE_SUBSCRIPTION_ID	訂用帳戶識別碼

新增您的工作流程

移至 GitHub 存放庫的 [動作]。
選取 [自行設定工作流程]。
刪除工作流程檔案 on: 區段之後的所有內容。例如，剩餘的工作流程看起來可能像這樣。
```
name: CI

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]
```

重新命名工作流程 PostgreSQL for GitHub Actions ，並新增簽出和登入動作。這些動作會簽出您的網站程式碼，並使用您稍早建立) 的 GitHub 秘密 (azure 進行驗證。

服務主體
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

使用 Azure PostgreSQL 的「部署」動作來連線到您的 PostgreSQL 執行個體。以伺服器的名稱取代 POSTGRESQL_SERVER_NAME。在存放庫的根層級中，您應該會有名為 data.sql 的 PostgreSQL 資料檔案。
```
 - uses: azure/postgresql@v1
   with:
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    server-name: POSTGRESQL_SERVER_NAME
    plsql-file: './data.sql'
```

將動作新增至 Azure 登出，完成您的工作流程。以下為完成的工作流程。檔案會出現在存放庫的 .github/workflows 資料夾中。

服務主體
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CREDENTIALS }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

檢閱您的部署

移至 GitHub 存放庫的 [動作]。
開啟第一個結果，以查看工作流程的執行詳細記錄。

清除資源

當您不再需要 Azure PostgreSQL 資料庫和存放庫時，請刪除資源群組和 GitHub 存放庫，以清除您所部署的資源。

後續步驟

了解 Azure 和 GitHub 整合

了解如何連線到伺服器