教程：使用 Azure 容器应用和 PostgreSQL 生成和部署 Python Web 应用

本文是一个关于如何将 Python Web 应用程序容器化并部署到 Azure 容器应用的系列教程的一部分。 容器应用让你能够部署容器化应用，而无需管理复杂的基础结构。

在本教程中，你将：

• 通过在云中生成容器映像来容器化 Python 示例 Web 应用（Django 或 Flask）。
• 将容器映像部署到 Azure 容器应用。
• 定义环境变量，使容器应用能够连接到 Azure Database for PostgreSQL 灵活服务器 实例，其中示例应用存储数据。

下图重点介绍了本教程中的任务：生成和部署容器映像。

先决条件

如果没有 Azure 订阅，请在开始之前创建 免费帐户。

Azure CLI

可以在 Azure Cloud Shell 或安装了 Azure CLI 的工作站上运行 Azure CLI 命令。

如果在本地运行，请按照以下步骤登录并安装本教程所需的模块：

1. 如有必要，请登录到 Azure 并进行身份验证：

   az login
   

2. 请确保运行最新版本的 Azure CLI：

   az upgrade
   

3. 使用 az extension add 命令来安装或升级 containerapp 和 rdbms-connect Azure CLI 扩展：

   az extension add --name containerapp --upgrade
   az extension add --name rdbms-connect --upgrade
   

   注意

   若要列出系统上安装的扩展，可以使用 az extension list 命令。 例如：

   az extension list --query [].name --output tsv
   

VS Code

请确保 Visual Studio Code 中安装了以下扩展（VS Code）：

• Docker 扩展
• Azure 数据库扩展
• Azure 容器应用扩展

Azure 门户

登录 Azure 门户。

获取示例应用

分叉并将示例代码克隆到开发人员环境：

1. 转到示例应用程序（Django 或 Flask）的 GitHub 存储库，然后选择“分叉”。

   请按照以下步骤将存储库分叉到 GitHub 帐户。 还可以直接将代码存储库下载到本地计算机，而无需分叉或 GitHub 帐户。 但是，如果使用下载方法，将无法在本系列的下一教程中设置持续集成和持续交付（CI/CD）。

2. 在控制台中的命令提示符下，使用 git clone 命令将分叉存储库克隆到 python-container 文件夹中：

   # Django
   git clone https://github.com/<github-username>/msdocs-python-django-azure-container-apps.git python-container
   
   # Flask
   # git clone https://github.com/<github-username>/msdocs-python-flask-azure-container-apps.git python-container
   

3. 更改目录：

   cd python-container
   

从 Web 应用代码生成容器映像

执行这些步骤后，你将有一个 Azure 容器注册表实例，该实例包含从示例代码生成的 Docker 容器映像。

1. 如果在 Windows 计算机上的 Git Bash shell 中运行命令，请在继续操作之前输入以下命令：

   #!/bin/bash
   export MSYS_NO_PATHCONV=1
   

2. 使用 az group create 命令创建资源组：

   #!/bin/bash
   RESOURCE_GROUP_NAME=<resource-group-name>
   LOCATION=<location>
   az group create \
       --name $RESOURCE_GROUP_NAME \
       --location $LOCATION
   

3. 使用 az acr create 命令创建容器注册表：

   #!/bin/bash
   REGISTRY_NAME=<registry-name> #The name that you use for *\<registry-name>* must be unique within Azure, and it must contain 5 to 50 alphanumeric characters.
   az acr create \
       --resource-group $RESOURCE_GROUP_NAME \
       --name $REGISTRY_NAME \
       --sku Basic \
       --admin-enabled true
   

4. 使用 az acr login 命令登录到注册表：

   az acr login --name $REGISTRY_NAME
   

   该命令会在名称中添加“azurecr.io”，以创建完全限定的注册表名称。 如果登录成功，将显示消息“登录成功”。 如果访问注册表的订阅不同于创建注册表的订阅，请使用 --suffix 开关。

   如果登录失败，请确保 Docker 守护程序正在系统上运行。

5. 使用 az acr build 命令生成映像：

   #!/bin/bash
   az acr build \
       --registry $REGISTRY_NAME \
       --resource-group $RESOURCE_GROUP_NAME \
       --image pythoncontainer:latest .
   

   以下注意事项适用：

   • 命令末尾的点（.）指示要生成的源代码的位置。 如果未在示例应用的根目录中运行此命令，请指定代码的路径。

   • 如果在 Azure Cloud Shell 中运行命令，请使用 git clone 先将存储库拉取到 Cloud Shell 环境中。 然后将目录更改为项目的根目录，以便正确解释点 (.)。

   • 如果不使用 -t（与 --image 相同）选项，则命令会将本地上下文生成排入队列，而不会将其推送到注册表。 在不推送的情况下生成映像可用于检查映像是否已生成。

6. 使用 az acr repository list 命令确认已创建容器映像：

   az acr repository list --name $REGISTRY_NAME
   

这些步骤需要 VS Code 的 Docker 扩展。

1. 创建 Azure 容器注册表实例。

   启动创建注册表任务：

   1. 选择 F1 键或 CtrlL+Shift+P 以打开命令面板。
   2. 键入 Azure 容器注册表。
   3. 选择任务“Azure 容器注册表：创建注册表”。

   

   按照提示创建注册表和资源组：

   • 如果系统提示，请选择要为本教程创建资源的订阅。
   • 注册表名称：注册表名称在 Azure 中必须唯一，并且包含 5 到 50 个字母数字字符。
   • 选择 SKU：选择基本。
   • 创建新的资源组：选择此选项以创建资源组。
   • 资源组：创建名为 pythoncontainer-rg的新资源组。
   • 位置：选择一个位置并等待指示已创建注册表的通知。

2. 生成映像。

   选择在 Azure 中生成映像任务：

   1. 选择 F1 键或 Ctrl+Shift+P 以打开命令面板。
   2. 键入 Azure 容器注册表。
   3. 选择任务“Azure 容器注册表：在 Azure 中生成映像”。

   

   或者，可以右键单击 Dockerfile 并选择 在 Azure 中构建映像 以启动构建映像的任务。 如果未显示在 Azure 中生成映像任务，请确保你已登录 Azure。

   按照提示生成映像：

   • 将映像标记为：输入 pythoncontainer:latest。
   • 注册表提供程序：选择 Azure。
   • 如果系统提示，请选择订阅。
   • 注册表：从列表中选择容器注册表。
   • 选择 OS：选择 Linux。

   监视 输出 窗口中的进度，并确认映像生成成功。 如果发生错误，请参阅 故障排除部分。

3. 确认是否已创建注册表。

   选择 Docker 扩展并转到“REGISTRIES”部分。 展开 Azure 节点以查找新的 Azure 容器注册表实例。

   

4. 使用 az acr update 命令为注册表启用管理员用户帐户。 可以在 VS Code 终端窗口或 Azure Cloud Shell 中运行该命令。

   az acr update --name <registry-name> \
       --resource-group pythoncontainer-rg \
       --admin-enabled true
   

   或者，可以在 Docker 扩展中选择注册表，右键单击，然后选择在门户中打开。 然后，可以按照本教程本部分中 Azure 门户 选项卡上的说明启用管理员用户帐户。

   可以使用以下命令查看为管理员帐户创建的凭据：

   az acr credential show \
       --name  <registry-name> \
       --resource-group pythoncontainer-rg
   

1. 在 Azure 门户中，搜索 容器注册表。 在结果中的市场下，选择容器注册表。

2. 在“基本信息”选项卡上，输入以下值：

   • 资源组：选择 创建新，然后输入 pythoncontainer-rg。
   • 注册表名称：注册表名称在 Azure 中必须唯一，并且包含 5 到 50 个字母数字字符。
   • 位置：选择你附近的位置。
   • SKU：选择基本。

   完成后，选择“查看 + 创建”。 完成验证后，选择“创建”。

3. 部署完成后，选择 转到资源。 如果错过了此通知，可以搜索 容器注册表，然后在结果中的 资源 下选择注册表。

4. 启用管理员用户帐户：

   1. 在服务菜单上的 “设置”下，选择 访问密钥。
   2. 选择管理员用户复选框。

5. 若要完成配置并生成映像，请选择顶部菜单栏上的 Azure Cloud Shell 图标。

   

   也可以直接访问 Azure Cloud Shell。

6. 使用 az acr build 命令从存储库生成映像：

   az acr build --registry <registry-name> \
       --resource-group pythoncontainer-rg \ 
       --image pythoncontainer:latest <repo-path>
   

   将 <> 指定为您创建的注册表名称。 对于 <repo-path>，请选择“Django”或“Flask”存储库路径。

7. 命令完成后，在 服务下，选择 存储库 并确认映像出现。

注意

本部分中的步骤在基本服务层中创建容器注册表。 此层经过成本优化，具有面向开发人员方案的功能集和吞吐量，适用于本教程的要求。 在生产环境中，您最有可能使用标准或高级服务层级。 这些层提供增强的存储和吞吐量级别。

若要了解详细信息，请参阅 Azure 容器注册表服务层。 有关定价的信息，请参阅 Azure 容器注册表定价。

创建 PostgreSQL 灵活服务器实例

示例应用程序（Django 或 Flask）将餐厅评论数据存储在 PostgreSQL 数据库中。 在这些步骤中，将创建包含数据库的服务器。

1. 使用 az postgres flexible-server create 命令在 Azure 中创建 PostgreSQL 服务器。 此命令通常会运行几分钟才能完成。

   #!/bin/bash
   ADMIN_USERNAME=demoadmin
   ADMIN_PASSWORD=<admin-password> # Use a strong password that meets the requirements for PostgreSQL.
   POSTGRES_SERVER_NAME=<postgres-server-name> 
   az postgres flexible-server create \
     --resource-group $RESOURCE_GROUP_NAME \
     --name $POSTGRES_SERVER_NAME \
     --location $LOCATION \
     --admin-user $ADMIN_USERNAME \
     --admin-password $ADMIN_PASSWORD \
     --version 16 \
     --tier Burstable \
     --sku-name Standard_B1ms \
     --public-access 0.0.0.0 \
     --microsoft-entra-auth Enabled \
     --storage-size 32 \
     --backup-retention 7 \
     --high-availability Disabled \
     --yes
   
   

   使用以下值：

   • <postgres-server-name>：PostgreSQL 数据库服务器名称。 此名称在所有 Azure 中必须是唯一的。 服务器终结点为 https://<postgres-server-name>.postgres.database.azure.com。 允许的字符 AZ、09和连字符（-）。

   • <位置>：使用用于 Web 应用的相同位置。 <位置> 是命令 Name输出中的 Azure 位置 az account list-locations -o table 值之一。

   • <管理员用户名>：管理员帐户的用户名。 它不能 azure_superuser、admin、administrator、root、guest或 public。 在本教程中使用 demoadmin。

   • <管理员密码>：管理员用户的密码。 密码必须包含以下三个类别的 8 到 128 个字符：英文大写字母、英文小写字母、数字和非字母数字字符。

     重要

     创建用户名或密码时，不要使用美元符号 ($) 字符。 稍后，使用这些值创建环境变量时，该字符在用于运行 Python 应用的 Linux 容器中具有特殊含义。

   • --version：使用 16。 它指定要用于服务器的 PostgreSQL 版本。

   • --tier：使用 Burstable。 它指定服务器的定价层。 可突发层是一种较低成本的选项，适用于不需要持续使用完整 CPU 的工作负荷，并且适合本教程的要求。

   • --sku-name：定价层和计算配置的名称;例如，Standard_B1ms。 有关详细信息，请参阅 Azure Database for PostgreSQL 定价。 要列出可用层级，请使用az postgres flexible-server list-skus --location <location>。

   • --public-access：使用 0.0.0.0。 它允许从任何 Azure 服务（例如容器应用）公开访问服务器。

   • --microsoft-entra-auth：使用 Enabled。 它在服务器上启用Microsoft Entra 身份验证。

   • --storage-size：使用 32。 它指定服务器的存储大小（GB）。 最小值为 32 GB。

   • --backup-retention：使用 7。 它指定保留服务器的备份的天数。 最小值为 7 天。

   • --high-availability：使用 Disabled。 它禁用服务器的高可用性。 本教程不需要高可用性。

   • --yes：它接受 PostgreSQL 服务器的使用条款。

   注意

   如果你计划从本地工作站通过工具访问 PostgreSQL 服务器，则需要使用 az postgres flexible-server firewall-rule create 命令为工作站的 IP 地址添加防火墙规则。

2. 使用 az ad signed-in-user show 命令来获取用户帐户的对象 ID。 在下一个命令中将会用到此 ID。

   #!/bin/bash
   CALLER_OBJECT_ID=$(az ad signed-in-user show --query id -o tsv)
   CALLER_DISPLAY_NAME=$(az ad signed-in-user show --query userPrincipalName -o tsv)
   

3. 使用 az postgres flexible-server ad-admin create 命令将用户帐户添加为 PostgreSQL 服务器上的 Microsoft Entra 管理员：

   #!/bin/bash
   az postgres flexible-server microsoft-entra-admin create \
     --server-name "$POSTGRES_SERVER_NAME" \
     --resource-group "$RESOURCE_GROUP_NAME" \
     --display-name "$CALLER_DISPLAY_NAME" \
     --object-id "$CALLER_OBJECT_ID" \
     --type User
   
   

4. 使用 az postgres flexible-server firewall-rule create 命令添加一条允许 Web 应用访问 PostgreSQL 灵活服务器的规则。 在以下命令中，将服务器的防火墙配置为使用公共 IP 地址接受来自开发工作站的连接：

   MY_IP=$(curl -s ifconfig.me)
   az postgres flexible-server firewall-rule create \
     --name "$POSTGRES_SERVER_NAME" \
     --resource-group "$RESOURCE_GROUP_NAME" \
     --rule-name allow-my-ip \
     --start-ip-address "$MY_IP" \
     --end-ip-address "$MY_IP"
       ```
   
   

这些步骤需要使用 VS Code 的 Azure 数据库扩展。

1. 启动 PostgreSQL 创建服务器 任务：

   1. 选择 F1 键或 Ctrl+Shift+P 以打开命令面板。
   2. 键入 Azure 数据库。
   3. 选择任务“Azure 数据库：创建服务器”。

   

   或者，您可以选择 Azure 扩展，转到 RESOURCES页面，然后扩展您的订阅。 （请确保按按资源类型分组查看资源。）然后，右键单击 PostgreSQL 服务器，并选择创建服务器，以启动同一任务。

2. 一系列提示将指导你完成创建服务器的过程。 按如下所示填写信息：

   • 如果系统要求你选择订阅，请选择用于本教程的订阅。

   • 选择 Azure 数据库服务器：选择 PostgreSQL 灵活服务器。

   • 服务器名称：指定数据库服务器的名称。 该名称在所有 Azure 中必须是唯一的。 数据库服务器的 URL 将变为 https://<server-name>.postgres.database.azure.com。 允许的字符 AZ、09和连字符（-）。 例如：postgres-db-<unique-id>。

   • 选择 Postgres SKU 和选项：选择 B1ms 基本层级（1 个 vCore、2 GiB 内存、5 GB 存储）。

   • 管理员用户名：为数据库服务器上的管理员帐户创建用户名。 在本教程中使用 demoadmin。

   • 管理员密码：为管理员创建密码并确认密码。

   • 为新资源选择资源组：选择要包含服务器的资源组。 使用创建容器注册表的同一资源组，pythoncontainer-rg。

   • 选择新资源的位置：选择与资源组和容器注册表相同的位置。

   在 Azure 窗口中监视进度，并确认服务器已成功创建。 如果发生错误，请参阅 故障排除部分。

   

3. 创建服务器后，配置从本地环境访问 Azure Database for PostgreSQL 服务器的访问权限：

   1. 首先检查 Azure：活动日志窗口，确认服务器已创建。

   2. 打开命令面板（选择 F1 键或 Ctrl+Shift+P）。

   3. 搜索并选择“PostgreSQL： 配置防火墙”。 如果系统提示，请选择订阅。

   4. 选择 PostgreSQL 服务器（灵活），然后选择在上一步中创建的服务器。 如果服务器未显示在列表中，则它可能仍在创建中。

   5. 在对话框中选择是，将你的 IP 地址添加到 PostgreSQL 服务器的防火墙规则中。

      

4. 以下步骤需要 Azure CLI。 如果在本地安装了 Azure CLI，可以在终端提示符下运行它们。 否则，请在浏览器中打开 Azure Cloud Shell。

5. 使用 az postgres flexible-server firewall-rule create 命令添加一条允许 Web 应用访问 PostgreSQL 灵活服务器的规则。 在以下命令中，将服务器的防火墙配置为接受来自所有 Azure 资源的连接：

   az postgres flexible-server firewall-rule create \
       --name <postgres-server_name> \
       --resource-group pythoncontainer-rg \
       --rule-name AllowAllAzureServices \
       --start-ip-address 0.0.0.0 \
       --end-ip-address 0.0.0.0
   

6. 使用 az postgres flexible-server update 命令在服务器上启用 Microsoft Entra 身份验证：

   az postgres flexible-server update \
       --resource-group pythoncontainer-rg \
       --name <postgres-server-name> 
       --active-directory-auth Enabled
   

7. 使用 az ad signed-in-user show 命令来获取用户帐户的对象 ID。 在下一个命令中将会用到此 ID。

   az ad signed-in-user show --query id --output tsv
   

8. 使用 az postgres flexible-server ad-admin create 命令将用户帐户添加为 PostgreSQL 服务器上的 Microsoft Entra 管理员：

   az postgres flexible-server ad-admin create \
      --resource-group pythoncontainer-rg \
      --server-name <postgres-server-name>  \
      --display-name <your-email-address> \
      --object-id <your-account-object-id>
   

   对于帐户对象 ID，请使用在上一步中获取的值。

1. 在 Azure 门户中，搜索 PostgreSQL 灵活。 在结果中的市场下，选择 Azure Database for PostgreSQL 灵活服务器。

2. 在“基本信息”选项卡上，输入以下值：

   • 资源组：输入本教程中使用的资源组，pythoncontainer-rg。
   • 服务器名称：输入在 Azure 中唯一的数据库服务器的名称。 数据库服务器的 URL 将变为 https://<server-name>.postgres.database.azure.com。 允许的字符 AZ、09和连字符（-）。 例如：postgres-db-<unique-id>。
   • 区域：选择与资源组相同的区域。
   • 工作负荷类型：选择开发。
   • 身份验证方法：选择 PostgreSQL 和Microsoft Entra 身份验证。
   • 设置Microsoft Entra 管理员：选择 设置管理员。在“选择”Microsoft Entra Admins“ 窗格中，搜索 Azure 用户帐户，在结果中选择该帐户，然后单击 ”选择”。
   • 管理员用户名：使用 demoadmin。
   • 密码 和 确认密码：输入管理员帐户的密码。

   所有其他设置均保留默认值。 完成后，选择下一步：网络。

3. 在“网络”选项卡上，输入以下值：

   • 连接方法：确保已选择 公共访问（允许的 IP 地址）和专用终结点。
   • 允许通过 Internet 使用公共 IP 地址访问此资源：确保选中该复选框。
   • 允许从 Azure 中的任何 Azure 服务公开访问此服务器：选中该复选框。
   • 添加当前客户端 IP 地址：如果计划从本地服务器访问数据库，请选择（添加）。

   所有其他设置均保留默认值。 选择“查看 + 创建”以继续。

4. 查看设置。 感到满意后，请选择创建。

注意

本部分中的步骤在可突发定价层中创建具有单个 vCore 和有限内存的 PostgreSQL 服务器。 可突发层是一种较低成本的选项，适用于不需要持续使用完整 CPU 的工作负荷，并且适合本教程的要求。 对于生产工作负荷，可以升级到“常规用途”或“内存优化”定价层。 这些层提供更高的性能，但会增加成本。

若要了解详细信息，请参阅 Azure Database for PostgreSQL 灵活服务器中的 计算选项。 有关定价的信息，请参阅 Azure Database for PostgreSQL 定价。

在服务器上创建数据库

至此，你就拥有了一个 PostgreSQL 服务器。 在本部分中，你将在服务器上创建一个数据库。

使用 az postgres flexible-server db create 命令来创建名为 restaurants_reviews 的数据库：

#!/bin/bash
DATABASE_NAME=restaurants_reviews
az postgres flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $POSTGRES_SERVER_NAME \
    --database-name $DATABASE_NAME

还可以使用 az postgres flexible-server connect 命令来连接到数据库，然后再使用 psql 命令。 在使用 psql 时，通常更容易使用 Azure Cloud Shell，因为该 shell 为你包含了所有所需的依赖项。

这些步骤需要使用 VS Code 的 Azure 数据库扩展。

1. 在 Azure 数据库扩展中，找到创建的 PostgreSQL 服务器，右键单击它，然后选择 创建数据库。

2. 在提示符下，输入 restaurants_reviews 作为数据库名称值。

如果在创建数据库时遇到问题，服务器可能仍在处理上一步中的防火墙规则。 请稍等片刻，然后重试。 如果系统提示输入凭据以访问数据库，请使用 demoadmin 作为用户名，以及在创建数据库时输入的密码。

1. 在 Azure 门户中，转到 PostgreSQL 服务器。 例如，可以在搜索栏上输入 PostgreSQL 服务器的名称，并在结果中的 资源 下将其选中。

2. 在服务菜单上的 “设置”下，选择“数据库”。

3. 在“数据库”窗格顶部的菜单中，选择 添加。

4. 在创建数据库窗格中，将 restaurants_reviews 输入到名称，然后选择保存。

5. 操作完成后，返回到“数据库” 窗格。 验证 restaurants_reviews 是否显示在数据库列表中。 可能需要刷新窗格才能显示。

还可以连接到 Azure Database for PostgreSQL 灵活服务器，并使用 psql 或支持 PostgreSQL 的 IDE 创建数据库，例如 Azure Data Studio。 有关使用 psql 的步骤，请参阅本文后面的 在 PostgreSQL 数据库上配置托管标识。

创建用户分配的托管标识

创建用户分配的托管标识，以便在 Azure 中运行时用作容器应用的标识。

注意

若要创建用户分配的托管标识，你的帐户需要托管标识参与者角色分配。

使用 az identity create 命令创建用户分配的托管标识：

UA_MANAGED_IDENTITY_NAME=<managed-identity-name> # Use a unique name for the managed identity, such as-"my-ua-managed-id".
az identity create \
    --name $UA_MANAGED_IDENTITY_NAME 
    --resource-group $RESOURCE_GROUP_NAME

目前没有支持创建用户分配的托管标识的 VS Code 扩展。 按照 Azure CLI 或 Azure 门户的步骤操作。

1. 在 Azure 门户中，搜索托管标识。 在结果中的市场下，选择用户分配的托管标识。

2. 在“基本信息”选项卡上，输入以下值：

   • 订阅：选择你为本教程中的资源使用的订阅。
   • 资源组：输入本教程的资源组，pythoncontainer-rg。
   • 区域：选择您在本教程中使用这些资源的区域。
   • 名称：输入为您用户分配的托管身份名称。 对于本教程，请使用 my-ua-managed-id。可以使用其他名称，但本教程中的命令假定 my-ua-managed-id。如果使用其他名称，则必须在其他命令中更改它。

3. 选择“查看 + 创建”以查看更改。

4. 选择 创建。

在 PostgreSQL 数据库上配置托管标识

将托管标识配置为 PostgreSQL 服务器上的角色，然后向其授予对 restaurants_reviews 数据库所需的权限。 无论是使用 Azure CLI 还是 psql，都必须使用服务器实例中配置为 Microsoft Entra 管理员的用户连接到 Azure PostgreSQL 服务器。 只有被配置为 PostgreSQL 管理员的 Microsoft Entra 帐户才能在您的服务器上配置托管标识和其他 Microsoft 管理员角色。

1. 使用 az account get-access-token 命令获取 Azure 帐户的访问令牌。 后续步骤中使用访问令牌。

   #!/bin/bash
   MY_ACCESS_TOKEN=$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken)
   echo $MY_ACCESS_TOKEN
   

2. 使用 az postgres flexible-server execute 命令，将用户分配的托管标识添加为 PostgreSQL 服务器上的数据库角色。

   #!/bin/bash
   az postgres flexible-server execute \
     --name "$POSTGRES_SERVER_NAME" \
     --admin-user "$CALLER_DISPLAY_NAME" \
     --admin-password "$ACCESS_TOKEN" \
     --database-name postgres \
     --querytext "SELECT * FROM pgaadauth_create_principal('$UA_MANAGED_IDENTITY_NAME', false, false);"
   

   注意

   如果在本地工作站上运行 az postgres flexible-server execute 命令，请确保为工作站的 IP 地址添加了防火墙规则。 可以使用 az postgres flexible-server firewall-rule create 命令添加规则。 对于下一步中的命令也存在相同的要求。

3. 使用以下 az postgres flexible-server execute 命令授予用户分配的托管标识对 restaurants_reviews 数据库的必要权限：

   #!/bin/bash
   SQL_GRANTS=$(cat <<EOF
   GRANT CONNECT ON DATABASE $DATABASE_NAME TO "$UA_MANAGED_IDENTITY_NAME";
   GRANT USAGE, CREATE ON SCHEMA public TO "$UA_MANAGED_IDENTITY_NAME";
   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "$UA_MANAGED_IDENTITY_NAME";
   ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO "$UA_MANAGED_IDENTITY_NAME";
   EOF
   )
   
   az postgres flexible-server execute \
     --name "$POSTGRES_SERVER_NAME" \
     --admin-user "$CALLER_DISPLAY_NAME" \
     --admin-password "$MY_ACCESS_TOKEN" \
     --database-name "$DATABASE_NAME" \
     --querytext "$SQL_GRANTS"
   
   

   此 Azure CLI 命令连接到服务器上的 restaurants_reviews 数据库，并发出以下 SQL 命令：

   GRANT CONNECT ON DATABASE restaurants_reviews TO "my-ua-managed-id";
   GRANT USAGE ON SCHEMA public TO "my-ua-managed-id";
   GRANT CREATE ON SCHEMA public TO "my-ua-managed-id";
   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "my-ua-managed-id";
   ALTER DEFAULT PRIVILEGES IN SCHEMA public
   GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO "my-ua-managed-id";
   

可以在本地环境中或 azure Cloud Shell中使用 PostgreSQL 交互式终端 psql，Azure 门户中也可访问该终端。 使用 psql 时，通常更容易使用 Cloud Shell，因为 shell 包含所有依赖项。

1. 使用你之前在服务器上配置为 Microsoft Entra 管理员的 Azure 帐户，使用 psql 连接到数据库：

   psql --host=<postgres-server-name>.postgres.database.azure.com \
        --port=5432 \
        --username=<your-azure-email-address> \
        --dbname=postgres \
        --set sslmode=require
   

   在命令中，<postgres-server-name> 是 PostgreSQL 服务器的名称，<your-azure-email-address> 是 Azure 帐户的电子邮件地址。 该命令会提示输入 Azure 帐户密码。

   如果在 Azure Cloud Shell 中工作，或者在本地系统上安装了 Azure CLI，则可以使用 az account get-access-token 命令获取可以复制并输入为密码的访问令牌：

   az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken
   

   或者，可以合并 psql 和 Azure CLI 命令：

   psql "host=<postgres-server-name>.postgres.database.azure.com port=5432 dbname=postgres user=<your-azure-email-address> password='$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken)' sslmode=require"
   

   在运行命令之前，请务必替换 <postgres-server-name> 和 <你的-azure-email-address> 占位符。

   如果连接时遇到问题，请重启数据库并重试。 如果从本地环境连接，则必须将 IP 地址添加到数据库服务的防火墙规则列表中。

2. 将用户分配的托管标识添加为 PostgreSQL 服务器上的数据库角色。

   在 postgres=> 提示符处，输入：

   SELECT * FROM pgaadauth_create_principal('my-ua-managed-id', false, false);SELECT * FROM pgaadauth_list_principals(false);
   

   每个命令末尾的分号 （;） 是必需的。 要验证数据库是否创建成功，请使用 \c restaurants_reviews 命令。 输入 \? 以显示帮助或输入 \q 退出。

3. 使用 （connect） 命令连接到 \c 数据库：

   \c restaurants_reviews
   

   注意

   如果尚未创建 restaurants_reviews 数据库，可以使用以下命令执行此操作：

   CREATE DATABASE resaurants_reviews
   

4. 向用户分配的托管标识授予对 restaurants_reviews 数据库的必要权限。

   在 restaurants_reviews_=> 提示符下，输入以下命令：

   GRANT CONNECT ON DATABASE restaurants_reviews TO "my-ua-managed-id";
   GRANT USAGE ON SCHEMA public TO "my-ua-managed-id";
   GRANT CREATE ON SCHEMA public TO "my-ua-managed-id";
   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "my-ua-managed-id";
   ALTER DEFAULT PRIVILEGES IN SCHEMA public
   GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO "my-ua-managed-id";
   

5. 使用 \q 命令退出 psql：

   \q
   

将 Web 应用部署到容器应用中

容器应用部署到 Azure 容器应用 环境，该环境充当安全边界。 在以下步骤中，将创建环境和环境内的容器。 然后配置容器，以便网站在外部可见。

这些步骤需要 Azure 容器应用扩展，containerapp。

1. 使用 az containerapp env create 命令创建容器应用环境：

   #!/bin/bash
   APP_ENV_NAME=<app-env-name> # Use a unique name for the environment, such as "python-container-env".
   az containerapp env create \
   --name python-container-env \
   --resource-group $RESOURCE_GROUP_NAME \
   --location $LOCATION
   

2. 使用 az acr credential show 命令获取 Azure 容器注册表实例的登录凭据：

   #!/bin/bash
   REGISTRY_CREDS=$(az acr credential show -n "$REGISTRY_NAME" --query "[username,passwords[0].value]" -o tsv)
   REGISTRY_USERNAME=$(echo "$REGISTRY_CREDS" | head -n1)
   REGISTRY_PASSWORD=$(echo "$REGISTRY_CREDS" | tail -n1)
   

   在步骤 5 中创建容器应用时，可以使用命令输出中返回的用户名和密码之一。

3. 使用 az identity show 命令，以获取用户分配的托管标识的客户端 ID 和资源 ID：

   UA_CLIENT_ID=$(az identity show \
       --name "$UA_MANAGED_IDENTITY_NAME" \
       --resource-group "$RESOURCE_GROUP" \
       --query clientId -o tsv)
   UA_RESOURCE_ID=$(az identity show \
       --name "$UA_MANAGED_IDENTITY_NAME" \
       --resource-group "$RESOURCE_GROUP" \
       --query id -o tsv)
   

   在步骤 5 中创建容器应用时，可以使用命令输出中的客户端 ID（GUID）值和资源 ID。 资源 ID 具有以下形式：/subscriptions/<subscription-id>/resourcegroups/pythoncontainer-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-ua-managed-id。

4. 运行以下命令以生成密钥值：

   AZURE_SECRET_KEY=$(python -c 'import secrets; print(secrets.token_hex())')
   

   在步骤 5 中创建容器应用时，可以使用密钥值设置环境变量。

   注意

   此步骤显示的命令适用于 Bash shell。 根据环境，可能需要使用 python3调用 Python。 在 Windows 上，需要将命令用双引号而不是单引号括在 -c 参数中。 可能还需要使用 py 或 py -3调用 Python，具体取决于环境。

5. 使用 az containerapp create 命令在环境中创建容器应用：

   az containerapp create \
     --name "$CONTAINER_APP_NAME" \
     --resource-group "$RESOURCE_GROUP" \
     --environment "$APP_ENV" \
     --image "$REGISTRY_NAME.azurecr.io/$IMAGE_NAME" \
     --target-port "$TARGET_PORT" \
     --ingress external \
     --registry-server "$REGISTRY_NAME.azurecr.io" \
     --registry-username "$REGISTRY_USERNAME" \
     --registry-password "$REGISTRY_PASSWORD" \
     --user-assigned "$UA_RESOURCE_ID" \
     --env-vars \
         DBHOST="$POSTGRES_SERVER_NAME" \
         DBNAME="$DATABASE_NAME" \
         DBUSER="$UA_MANAGED_IDENTITY_NAME" \
         RUNNING_IN_PRODUCTION=1 \
         AZURE_CLIENT_ID="$UA_CLIENT_ID" \
         AZURE_SECRET_KEY="$AZURE_SECRET_KEY"
       ```
   
   

6. 仅对 Django 迁移并创建数据库架构。 （在 Flask 示例应用中，这一步将自动完成，因此你可以跳过。）

   使用 az containerapp exec 命令进行连接：

       az containerapp exec \
           --name $CONTAINER_APP_NAME \
           --resource-group $RESOURCE_GROUP_NAME
   

   然后，在 shell 命令提示符处输入 python manage.py migrate。

   不需要为容器的修订版本进行迁移。

7. 测试网站。

   之前输入的 az containerapp create 命令会输出一个应用程序 URL，您可以使用此 URL 浏览到应用程序。 URL 以 azurecontainerapps.io结尾。 在浏览器中打开该 URL。 或者，也可以使用 az containerapp browse 命令。

这些步骤需要 VS Code 的 Azure 容器应用扩展。

1. 获取环境变量所需的值：

   1. 在 VS Code 中为以下 Azure CLI 命令打开终端。 还可以从 Azure Cloud Shell 输入命令。

   2. 可以使用 az identity show 命令来获取托管标识的客户端 ID：

      az identity show --name my-ua-managed-id --resource-group pythoncontainer-rg --query clientId -o tsv
      

      客户端 ID 是 GUID。 在下一步中，可以使用它设置环境变量。

   3. 生成密钥值：

      python -c 'import secrets; print(secrets.token_hex())'
      

      使用密钥值在下一步中设置环境变量。

      注意

      此处显示的命令适用于 Bash shell。 根据环境，可能需要使用 python3调用 Python。 在 Windows 上，需要将命令用双引号而不是单引号括在 -c 参数中。 你还可能需要使用 py 或 py -3调用 Python。

2. 创建一个在创建容器应用时参考的 .env 文件。

   示例存储库包含一个 .env.example 文件，可以从该文件开始。 使用以下值创建 .env 文件：

   DBHOST="<postgres-server-name>"
   DBNAME="restaurants_reviews"
   DBUSER="my-ua-managed-id"
   RUNNING_IN_PRODUCTION="1"
   AZURE_CLIENT_ID="<managed-identity-client-id>"
   AZURE_SECRET_KEY="<your-secret-key>"
   

   DBUSER 值是用户分配的托管标识的名称。

   AZURE_CLIENT_ID 值是用户分配的托管标识的客户端 ID。 你在上一步中得到了它。

   AZURE_SECRET_KEY 值是在上一步中生成的密钥值。

3. 创建容器应用环境。

   启动 创建容器应用环境 任务：

   1. 选择 F1 键或 Ctrl+Shift+P 以打开命令面板。
   2. 键入容器应用。
   3. 选择任务 Azure 容器应用：创建容器应用环境。

   或者，可以打开 Azure 扩展，然后在 + 部分选择加号（）图标。

   按照提示创建容器应用环境：

   • 如果系统提示，请选择订阅。
   • 输入容器应用环境名称：输入 python-container-env。
   • 选择新资源的位置：选择与之前创建的资源组相同的位置。

   创建环境需要几分钟时间。 通知会显示操作进度。 在进入下一步之前，请查看“已成功创建新的容器应用环境”。 环境是在同名资源组中创建的，python-container-env。

   

4. 通过查找 Azure 容器应用在新环境中创建容器应用：在命令面板中创建容器应用 任务。

   启动 创建容器应用 任务：

   1. 选择 F1 键或 Ctrl+Shift+P 以打开命令面板。
   2. 键入容器应用。
   3. 选择 Azure 容器应用 任务：创建容器应用。

   或者，可以打开 Azure 扩展并转到 容器应用 部分。 选择环境，右键单击，然后选择 创建容器应用 以启动任务。

   按照提示创建容器应用：

   • 选择订阅：选择用于本教程的订阅。
   • 选择容器应用环境：选择在上一步中创建的环境。
   • 输入容器应用名称：输入 python-container-app。
   • 为容器应用选择映像源：选择 容器注册表。
   • 选择容器注册表：选择 Azure 容器注册表。
   • 选择 Azure 容器注册表：选择之前创建的注册表的名称。
   • 选择存储库：选择 pythoncontainer。
   • 选择标记：选择最新。
   • 选择 .env 文件以设置容器实例的环境变量：选择在步骤 2 中创建的 .env 文件。
   • 为需要 HTTP 终结点的应用程序启用入口：选择启用。
   • 选择终结点将接受的 HTTP 流量：选择外部。
   • 容器正在侦听的端口：设置为 8000 (Django) 或 5000 (Flask)。

   

   通知会显示操作进度。 在进入下一步之前，请查看“已成功创建新的容器应用环境”。 容器应用在容器应用环境所在的资源组中创建，python-container-env。

5. 在新建的容器应用上配置用户分配的托管标识：

   1. 在 VS Code 中为以下 Azure CLI 命令打开终端。 还可以从 Azure Cloud Shell 输入命令。

   2. 获取托管标识的资源 ID：

      az identity show --name my-ua-managed-id --resource-group pythoncontainer-rg --query id -o tsv
      

      资源 ID 的格式如下：/subscriptions/<subscription ID>/resourcegroups/pythoncontainer-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-ua-managed-id。

   3. 使用 az containerapp identity assign 命令将托管标识分配给容器应用：

      az containerapp identity assign  \
          --name python-container-app \
          --resource-group container-app-environment  \
          --user-assigned <managed-identity-resource-id>      
      

      将 <managed-identity-resource-id> 占位符替换为上一命令输出中的资源 ID。

      此命令中的资源组与在其中创建了容器应用环境和容器应用的资源组相同，python-container-app。

6. 仅对 Django 迁移并创建数据库架构。 （在 Flask 示例应用中，这一步将自动完成，因此你可以跳过。）

   1. 请转到 Azure 扩展，然后展开容器应用部分。 查找并展开容器环境，右键单击创建的容器应用，然后选择 门户中的“打开控制台”。
   2. 选择启动命令，然后选择“连接”。
   3. 在 shell 提示符下，输入 python manage.py migrate。

   不需要为容器的修订版本进行迁移。

   

7. 测试网站。

   创建容器应用 任务完成后，会显示一条通知，其中包含 浏览 按钮以便访问网站。

   

   如果错过了通知，请转到 Azure 扩展，然后展开容器应用区域。 查找并展开容器环境，右键单击容器应用，然后选择浏览。 还可以在命令面板中输入 Azure 容器应用：浏览任务，并按照提示进行操作。

1. 获取用户分配的托管标识的客户端 ID。 后面的步骤需要用到。

   1. 在 Azure 门户中，搜索 my-ua-managed-id，然后在结果中的资源下选择它。
   2. 在服务菜单上，选择 概述 并记下 客户端 ID 值。

2. 打开 Azure Cloud Shell 并输入以下命令以获取密钥值：

   python -c 'import secrets; print(secrets.token_hex())'
   

   可以使用密钥值在后面的步骤中设置环境变量。

3. 在门户中，搜索容器应用。 在结果中的市场下，选择容器应用。

4. 在“基本信息”选项卡上，输入以下值：

   • 资源组：使用以前创建的包含 Azure 容器注册表实例的组。
   • 容器应用名称：输入 python-container-app。
   • 部署源：确保已选择容器映像。
   • 区域：使用与资源组相同的区域/位置。
   • 容器应用环境：选择 创建新 以创建 名为 python-container-env的新环境。

   选择“下一步：容器”以继续配置。

5. 在“容器”选项卡上，继续配置容器应用：

   • 使用快速入门映像：确保清除复选框。
   • 映像源：确保已选择 Azure 容器注册表。
   • 注册表：选择之前创建的注册表的名称。
   • 映像：选择 pythoncontainer（所生成映像的名称）。
   • 映像标记：选择最新。

   在 环境变量下，输入以下变量的值：

   • DBHOST=<postgres-server-name>
   • DBNAME=restaurants_reviews
   • DBUSER=my-ua-managed-id
   • RUNNING_IN_PRODUCTION=1
   • = AZURE_CLIENT_ID<managed-identity-client-id>
   • AZURE_SECRET_KEY=<你的密钥>

   对于 AZURE_CLIENT_ID，使用你为用户分配的托管标识复制的客户端 ID。

   对于 AZURE_SECRET_KEY，请使用在上一步中生成的密钥值。

   选择 下一步：入口以继续。

6. 在“Ingress”选项卡上，继续配置容器应用程序：

   • 入口：选择已启用复选框。 将显示更多选择。
   • 入口流量：选择 接受来自任何位置的流量。
   • 目标端口：设置为 Django 8000，或者为 Flask 5000。

   选择“查看 + 创建”。

7. 查看设置，然后选择 创建 以开始部署。

8. 部署完成后，选择“转到资源”。

9. 将用户分配的托管标识添加到容器应用：

   1. 在服务菜单上的 “安全性”下，选择“ 标识”。
   2. 在“用户分配”选项卡上，选择“添加”。
   3. 在添加用户分配的托管标识窗格中，选择 my-ua-managed-identity，然后选择添加。
   4. 操作完成后，返回到 用户分配 选项卡。验证 my-ua-managed-id 是否显示在标识列表中。

   提示

   可以使用服务连接器，而不是添加托管标识和定义环境变量。 服务连接器通过配置连接信息以及为你生成和存储环境变量，帮助将 Azure 计算服务连接到其他支持服务。

   如果使用服务连接器，请确保将示例代码中的环境变量同步到使用服务连接器创建的环境变量。

10. 仅对 Django 迁移并创建数据库架构。 （在 Flask 示例应用中，这一步将自动完成，因此你可以跳过。）

    1. 在服务菜单上的“监控”下，选择“控制台”。
    2. 选择启动命令，然后选择“连接”。
    3. 在 shell 提示符下，输入 python manage.py migrate。

    不需要为容器的修订版本进行迁移。

    

11. 测试网站。

    1. 在服务菜单中，选择“概述”。
    2. 在“概要”下，选择“应用程序 Url”以便在浏览器中打开网站。

    

下面是增加了一家餐厅和两条评论后的示例网站。

排查部署问题

你忘记了用于访问网站的应用程序 URL

在 Azure 门户中：

• 转到容器应用的 概述 页，查找 应用程序 URL。

在 VS Code 中：

1. 转到 Azure 视图 (Ctrl+Shift+A)，并展开正在处理的订阅。
2. 展开容器应用节点，展开托管环境，右键单击 python-container-app，并选择浏览。 VS Code 使用应用程序 URL 打开浏览器。

在 Azure CLI 中：

• 使用命令 az containerapp show -g pythoncontainer-rg -n python-container-app --query properties.configuration.ingress.fqdn。

在 VS Code 中，Azure 任务中的生成映像返回错误

如果“错误：未能下载上下文。 请检查 VS Code 输出 窗口中的 URL 是否不正确，请在 Docker 扩展中刷新注册表。 若要刷新，请选择 Docker 扩展，转到 注册表 部分，找到注册表，然后选择它。

如果再次运行在 Azure 中生成映像任务，请检查上次运行的注册表是否存在。 如果存在，请使用它。

在 Azure 门户中，在创建容器应用期间出现访问错误

禁用 Azure 容器注册表实例上的管理员凭据时，会出现包含“无法访问 ACR'<名称>.azurecr.io'”的访问错误。

若要在门户中检查管理员状态，请转到 Azure 容器注册表实例，选择 访问密钥 资源，并确保启用 管理员用户。

容器映像不会显示在 Azure 容器注册表实例中

• 检查 Azure CLI 命令或 VS Code 输出的输出，并查找消息以确认成功。
• 检查使用 Azure CLI 的构建命令或 VS Code 任务提示中是否正确指定了注册表的名称。
• 确保证书没有过期。 例如，在 VS Code 中，在 Docker 扩展中找到目标注册表并刷新。 在 Azure CLI 中，运行 az login。

网站返回“错误请求（400）”

如果收到“错误请求（400）”错误，请检查传递到容器的 PostgreSQL 环境变量。 400 错误通常表示 Python 代码无法连接 PostgreSQL 实例。

本教程中使用的示例代码检查容器环境变量是否存在 RUNNING_IN_PRODUCTION，该变量可以设置为任何值（如 1）。

网站返回“未找到（404）”

• 检查概述页面上容器的应用程序 Url 值。 如果应用程序 URL 包含“内部”一词，则未正确设置入口。
• 检查容器的入口。 例如，在 Azure 门户中，转到容器的入口资源。 确保启用了 HTTP 入口，并选择了接受来自任何位置的流量。

网站无法启动，你会看到“流超时”，或者未返回任何结果

• 检查日志：
  • 在 Azure 门户中，转到容器应用的修订管理功能资源，并查看容器的 预配状态：
    • 如果状态为正在预配，请等待预配完成。
    • 如果状态是失败，请选择修订并查看控制台日志。 选择显示生成时间、Stream_s 和 Log_s 列的顺序。 按最新日志进行排序，并在 stderr 列中查找 Python stdout 和 消息。 Python print 输出 stdout 消息。
  • 在 Azure CLI 中，使用 az containerapp logs show 命令。
• 如果使用 Django 框架，请检查数据库中是否存在 restaurants_reviews 表。 如果没有，请使用控制台访问容器并运行 python manage.py migrate。

下一步

在 Azure 容器应用中为 Python Web 应用配置持续部署