使用 GitHub Actions 將自訂容器部署至 App Service

GitHub Actions 可讓您彈性地建置自動化軟體開發工作流程。 搭配 Azure Web 部署動作，您可以使用 GitHub Actions 將工作流程自動化，以將自訂容器部署至 App Service。

工作流程是由您存放庫內 /.github/workflows/ 路徑中的 YAML (. yml) 檔案所定義的。 此定義包含工作流程中的各種步驟與參數。

針對 Azure App Service 容器工作流程，檔案有三個區段：

區段	工作
驗證	1.擷取服務主體或發行設定檔。 2.建立 GitHub 祕密。
建立	1.建立環境。 2.建置容器映像。
部署	1.部署容器映像。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶
• GitHub 帳戶。 如果您沒有 Microsoft 帳戶，請免費註冊。 您必須在 GitHub 存放庫中擁有程式碼，才能部署至 Azure App Service。
• 適用於容器的工作容器登錄與 Azure App Service 應用程式。 此範例使用 Azure Container Registry。 請務必針對容器完成 Azure App Service 的完整部署。 不同於一般 Web 應用程式，適用於容器的 Web 應用程式沒有預設登陸頁面。 發佈容器以取得工作範例。
  • 了解如何建立使用 Docker 的容器化 Node.js 應用程式、將容器映像推送至登錄，然後將映像部署至 Azure App Service

產生部署認證

使用 GitHub Actions 的 Azure App Services 進行驗證的建議方式是使用發行設定檔。 您也可以使用服務主體或 OpenID Connect 進行驗證，但此程序會需要更多步驟。

將您的發行設定檔認證或服務主體儲存為 GitHub 祕密，以搭配 Azure 進行驗證。 您將存取工作流程中的祕密。

發行設定檔

發行設定檔是應用程式層級認證。 將發行設定檔設定為 GitHub 祕密。

1. 前往 Azure 入口網站中的 App Service。

2. 在 [概觀] 頁面上，選取 [取得發行設定檔]。

   注意

   自 2020 年 10 月起，Linux Web 應用程式需要將應用程式設定 WEBSITE_WEBDEPLOY_USE_SCM 設定為 true，才能下載檔案。 未來將移除此需求。 若要了解如何設定常見的 Web 應用程式設定，請參閱在 Azure 入口網站中設定 App Service 應用程式。

3. 儲存下載的檔案。 您將使用檔案的內容來建立 GitHub 祕密。

服務主體

您可以使用 Azure CLI 中的 az ad sp create-for-rbac 命令來建立服務主體。 請使用 Azure 入口網站中的 Azure Cloud Shell，或選取 [試試看] 按鈕來執行此命令。

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

在上述範例中，將預留位置取代為您的訂閱識別碼、資源群組名稱與應用程式名稱。 輸出是 JSON 物件，其中有角色指派認證可讓您存取 App Service 應用程式。 複製此 JSON 物件以供後續使用。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

重要

授與最小存取權永遠是最佳作法。 上一個範例中的範圍限制為特定 App Service 應用程式，而不是整個資源群組。

OpenID Connect

OpenID Connect 是使用短期權杖的驗證方法。 使用 GitHub Actions 設定 OpenID Connect 是更複雜的程序，可提供強化的安全性。

1. 若您沒有現有的應用程式，請註冊可存取資源的新 Active Directory 應用程式與服務主體。 建立 Active Directory 應用程式。

   az ad app create --display-name myApp
   

   此命令會使用作為您 client-id 的 appId 來輸出 JSON。 儲存值以稍後作為 AZURE_CLIENT_ID GitHub 秘密。

   使用圖形 API 建立同盟認證時，您將使用此 objectId 值，並將其作為 APPLICATION-OBJECT-ID 參考。

2. 建立服務主體。 將 $appID 取代為您 JSON 輸出中的 appId。

   此命令會產生具有不同 objectId 的 JSON 輸出，並將在下一個步驟中使用。 新的 objectId 是 assignee-object-id。

   複製 appOwnerTenantId 以供稍後作為 AZURE_TENANT_ID 的 GitHub 秘密使用。

    az ad sp create --id $appId
   

3. 依訂用帳戶和物件建立新的角色指派。 依預設，角色指派將會繫結至您的預設訂用帳戶。 以您的訂用帳戶識別碼取代 $subscriptionId，以資源群組名稱取代 $resourceGroupName，並以產生的 assignee-object-id 取代 $assigneeObjectId。 瞭解如何使用 Azure CLI 來管理 Azure 訂用帳戶。

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. 執行下列命令，為您的 Active Directory 應用程式建立新的同盟身分識別認證。

   • 針對您的 Active Directory 應用程式使用 objectId (當建立應用程式時產生) 取代 APPLICATION-OBJECT-ID。
   • 將 CREDENTIAL-NAME 的值設定為稍後參考。
   • 設定 subject。 依據您的工作流程，GitHub 會定義此項目的值：
     • 您 GitHub Actions 環境中的工作：repo:< Organization/Repository >:environment:< Name >
     • 針對未繫結至環境的作業，請根據用來觸發工作流程的參考路徑，包含分支/標記的參考路徑：repo:< Organization/Repository >:ref:< ref path>。 例如，repo:n-username/ node_express:ref:refs/heads/my-branch 或 repo:n-username/ node_express:ref:refs/tags/my-tag。
     • 針對由提取要求事件所觸發的工作流程：repo:< Organization/Repository >:pull_request。

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

   若要瞭解如何在 Azure 入口網站中建立 Active Directory 應用程式、服務主體和同盟認證，請參閱連線 GitHub 和 Azure。

設定用於驗證的 GitHub 祕密

發行設定檔

在 GitHub 中，瀏覽您的存放庫。 選取設定>安全性>秘密與變數>動作>新存放庫密碼。

若要使用應用程式層級認證，請將所下載發行設定檔內容貼到祕密的值欄位中。 將祕密命名為 AZURE_WEBAPP_PUBLISH_PROFILE。

設定 GitHub 工作流程時，您會在部署 Azure Web 應用程式動作中使用 AZURE_WEBAPP_PUBLISH_PROFILE。 例如：

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

服務主體

在 GitHub 中，瀏覽您的存放庫。 選取設定>安全性>秘密與變數>動作>新存放庫密碼。

若要使用使用者層級認證，請將得 Azure CLI 命令的整個 JSON 輸出貼到祕密的值欄位中。 為秘密命名，例如 AZURE_CREDENTIALS。

當您稍後設定工作流程檔案時，會將祕密用於 Azure 登入動作的輸入 creds。 例如：

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

您必須將應用程式的用戶端識別碼、租用戶識別碼與訂閱識別碼提供給登入動作。 這些值可以直接在工作流程中提供，也可以儲存在 GitHub 的秘密中，並在您的工作流程中參考。 將值儲存為 GitHub 秘密是較安全的選擇。

1. 開啟您的 GitHub 存放庫，然後前往設定>安全性>秘密與變數>動作>新存放庫密碼。

2. 建立 AZURE_CLIENT_ID、AZURE_TENANT_ID 和 AZURE_SUBSCRIPTION_ID 的秘密。 使用 Active Directory 應用程式中的這些值來取得 GitHub 祕密。 您可以藉由在 Azure 入口網站中搜尋 Active Directory 應用程式來找到這些值。

   GitHub 祕密	Active Directory 應用程式
   AZURE_CLIENT_ID	應用程式 (用戶端) 識別碼
   AZURE_TENANT_ID	目錄 (租用戶) 識別碼
   AZURE_SUBSCRIPTION_ID	訂用帳戶識別碼

3. 選取 [新增秘密] 以儲存每個秘密。

設定登錄的 GitHub 祕密

定義要搭配 Docker 登入動作一起使用的祕密。 本文件中的範例會針對容器登錄使用 Azure Container Registry。

1. 前往 Azure 入口網站或 Docker 中的容器，並複製使用者名稱與密碼。 您可以在 Azure 入口網站中的 [設定] > [存取金鑰] 下找到用於登錄的 Azure Container Registry 使用者名稱與密碼。

2. 為名為 REGISTRY_USERNAME 的登錄使用者名稱定義新的祕密。

3. 為名為 REGISTRY_PASSWORD 的登錄密碼定義新的祕密。

建置容器映像

下列範例顯示建置 Node.JS Docker 映像的部分工作流程。 使用 Docker 登入來登入私人容器登錄。 此範例會使用 Azure Container Registry，但相同的動作也適用於其他登錄。

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

您也可以使用 Docker 登入同時登入多個容器登錄。 此範例包含兩個新的 GitHub 祕密，用於使用 docker.io 進行驗證。 此範例假設登錄的根層級有 Dockerfile。

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

部署至 App Service 容器

若要將映像部署至 App Service 中的自訂容器，請使用 azure/webapps-deploy@v2 動作。 此動作有七個參數：

參數	說明
app-name	(必要) App Service 應用程式的名稱
publish-profile	(選用) 適用於 Web Apps (Windows 與 Linux) 及 Web App Containers (linux)。 不支援多容器案例。 包含 Web Deploy 祕密的發行設定檔 (*.publishsettings) 檔案內容
slot-name	(選擇性) 輸入生產位置以外的現有位置。
套件	(選用) 僅適用於 Web 應用程式：套件或資料夾的路徑。 要部署的 *.zip、*.war、*.jar 或資料夾
images	(必要) 僅適用於 Web 應用程式容器：指定完整容器映像名稱。 例如：'myregistry.azurecr.io/nginx:latest' 或 'python:3.7.2-alpine/'。 針對多容器應用程式，可以提供多容器映像名稱 (多行分隔)
configuration-file	(選用) 僅適用於 Web 應用程式容器：Docker-Compose 檔案的路徑。 應該是完整路徑或預設工作目錄的相對路徑。 多容器應用程式的必要項目。
startup-command	(選用) 輸入啟動命令。 例如：dotnet run 或 dotnet filename.dll

發行設定檔

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

服務主體

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

下一步

您可以在 GitHub 上找到分組到不同存放庫的一組動作，其中每一個都包含文件與範例，以協助您使用 GitHub 來進行 CI/CD，並將您的應用程式部署至 Azure。

• 要部署至 Azure 的動作工作流程

• Azure 登入

• Azure WebApp

• Docker 登入/登出

• 觸發工作流程的事件

• K8s 部署

• 入門工作流程