快速入門：使用 GitHub Actions 部署 Bicep 檔案

GitHub Actions (英文) 是 GitHub 中的一個功能套件，可將您的軟體開發工作流程自動化。 在此快速入門中，您將使用適用於 Azure Resource Manager 部署的 GitHub 動作，將 Bicep 檔案自動部署至 Azure。

其提供 GitHub 動作和 Bicep 檔案的簡介。 如需更多設定 GitHub 動作和專案的詳細步驟，請參閱使用 Bicep 和 GitHub Actions 部署 Azure 資源。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。
• GitHub 帳戶。 如果您沒有 Microsoft 帳戶，請免費註冊。
• 儲存 Bicep 檔案和工作流程檔案的 GitHub 存放庫。 若要建立一個，請參閱建立新的存放庫 \(英文\)。

建立資源群組

建立資源群組。 稍後在此快速入門中，您會將 Bicep 檔案部署到此資源群組。

CLI

az group create -n exampleRG -l westus

PowerShell

New-AzResourceGroup -Name exampleRG -Location westus

產生部署認證

服務主體

您的 GitHub Actions 會在某個身分識別下執行。 使用 az ad sp create-for-rbac (部分機器翻譯) 命令，針對身分識別建立服務主體 (部分機器翻譯)。 為服務主體授與上一個工作階段中建立之資源群組的參與者角色，讓有身分識別的 GitHub 動作可以在此資源群組中建立資源。 建議您授與最低的必要存取權。

az ad sp create-for-rbac --name {app-name} --role contributor --scopes /subscriptions/{subscription-id}/resourceGroups/exampleRG --json-auth

請將預留位置 {app-name} 取代為您的應用程式名稱。 使用您的訂用帳戶 ID 來取代 {subscription-id} 。

輸出是 JSON 物件，內有角色指派認證可讓您存取 App Service 應用程式，與以下輸出類似。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    ...
  }

複製此 JSON 物件以供後續使用。 您只需具有 clientId、clientSecret、subscriptionId 和 tenantId 值的區段。 請確定您在最後一行結尾沒有額外的逗號，例如前面範例的 tenantId 行，否則會產生無效的 JSON 檔案。 您會在部署期間收到錯誤，指出「登入失敗並出現錯誤：內容不是有效的 JSON 物件。 請仔細檢查 'auth-type' 是否正確。」

Open ID Connect

Open ID Connect 是使用短期權杖的驗證方法。 使用 GitHub Actions 設定 OpenID Connect 是更複雜的程序，可提供強化的安全性。

1. 若您沒有現有的應用程式，請註冊可存取資源的新 Active Directory 應用程式與服務主體。 建立 Active Directory 應用程式。

   az ad app create --display-name myApp
   

   此命令會使用 appId 作為 client-id 來輸出 JSON。 儲存值以稍後作為 AZURE_CLIENT_ID GitHub 秘密。

   使用圖形 API 建立同盟認證時，您使用 objectId 值，並將其作為 APPLICATION-OBJECT-ID 加以參考。

2. 建立服務主體。 將 $appID 取代為您 JSON 輸出中的 appId。

   此命令會產生具有不同 objectId 的 JSON 輸出，並將在下一個步驟中使用。 新的 objectId 是 assignee-object-id。

   複製 appOwnerTenantId 以供稍後作為 AZURE_TENANT_ID 的 GitHub 秘密使用。

    az ad sp create --id $appId
   

3. 依訂用帳戶和物件建立新的角色指派。 根據預設，角色指派將會繫結至預設訂用帳戶。 以您的訂用帳戶識別碼取代 $subscriptionId，以資源群組名稱取代 $resourceGroupName，並以產生的 assignee-object-id 取代 $assigneeObjectId。 瞭解如何使用 Azure CLI 來管理 Azure 訂用帳戶。

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. 執行下列命令，為您的 Active Directory 應用程式建立新的同盟身分識別認證。

   • 針對您的 Active Directory 應用程式使用 objectId (當建立應用程式時產生) 取代 APPLICATION-OBJECT-ID。
   • 將 CREDENTIAL-NAME 的值設定為稍後參考。
   • 設定 subject。 依據您的工作流程，GitHub 會定義此項目的值：
     • 您 GitHub Actions 環境中的工作：repo:< Organization/Repository >:environment:< Name >
     • 針對未繫結至環境的作業，請根據用來觸發工作流程的參考路徑，包含分支/標記的參考路徑：repo:< Organization/Repository >:ref:< ref path>。 例如，repo:n-username/ node_express:ref:refs/heads/my-branch 或 repo:n-username/ node_express:ref:refs/tags/my-tag。
     • 針對由提取要求事件所觸發的工作流程：repo:< Organization/Repository >:pull_request。

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}'
   

   若要瞭解如何在 Azure 入口網站中建立 Active Directory 應用程式、服務主體和同盟認證，請參閱連線 GitHub 和 Azure。

設定 GitHub 祕密

服務主體

為您的 Azure 認證、資源群組和訂用帳戶建立秘密。 您會在 [建立工作流程] 區段中使用這些祕密。

1. 在 GitHub (英文) 中，瀏覽到您的存放庫。

2. 選取 [設定] > [祕密和變數] > [動作] > [新存放庫祕密]。

3. 將得自 Azure CLI 命令的整個 JSON 輸出貼到祕密的 [值] 欄位中。 將祕密命名為 AZURE_CREDENTIALS。

4. 建立另一個名為 AZURE_RG 的祕密。 將資源群組名稱新增至祕密的值欄位 (exampleRG)。

5. 建立另一個名為 AZURE_SUBSCRIPTION 的祕密。 將您的訂用帳戶識別碼新增至祕密的值欄位 (範例：90fd3f9d-4c61-432d-99ba-1273f236afa2)。

Open ID Connect

您必須將應用程式的用戶端識別碼、租用戶識別碼和訂用帳戶識別碼提供給登入動作。 這些值可以直接在工作流程中提供，也可以儲存在 GitHub 的秘密中，並在您的工作流程中參考。 將值儲存為 GitHub 秘密是較安全的選擇。

1. 開啟您的 GitHub 存放庫並移至 [設定]。

2. 選取 [設定] > [秘密] > [新增秘密]。

3. 建立 AZURE_CLIENT_ID、AZURE_TENANT_ID 和 AZURE_SUBSCRIPTION_ID 的秘密。 使用 Active Directory 應用程式中的這些值來取得 GitHub 秘密：

   GitHub 祕密	Active Directory 應用程式
   AZURE_CLIENT_ID	應用程式 (用戶端) 識別碼
   AZURE_TENANT_ID	目錄 (租用戶) 識別碼
   AZURE_SUBSCRIPTION_ID	訂用帳戶識別碼

4. 選取 [新增秘密] 以儲存每個秘密。

新增 Bicep 檔案

將 Bicep 檔案新增至 GitHub 存放庫。 下列 Bicep 檔案會建立儲存體帳戶：

@minLength(3)
@maxLength(11)
param storagePrefix string

@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_RAGRS'
  'Standard_ZRS'
  'Premium_LRS'
  'Premium_ZRS'
  'Standard_GZRS'
  'Standard_RAGZRS'
])
param storageSKU string = 'Standard_LRS'

param location string = resourceGroup().location

var uniqueStorageName = '${storagePrefix}${uniqueString(resourceGroup().id)}'

resource stg 'Microsoft.Storage/storageAccounts@2023-04-01' = {
  name: uniqueStorageName
  location: location
  sku: {
    name: storageSKU
  }
  kind: 'StorageV2'
  properties: {
    supportsHttpsTrafficOnly: true
  }
}

output storageEndpoint object = stg.properties.primaryEndpoints

Bicep 檔案需要一個名為 storagePrefix 的參數，其長度為 3 到 11 個字元。

您可以將檔案放置於存放庫中的任何位置。 下一節的工作流程範例假設 Bicep 檔案名稱為 main.bicep，且儲存於存放庫根目錄中。

建立工作流程

工作流程會定義觸發時要執行的步驟。 其是位於您存放庫 .github/workflows/ 路徑中的 YAML (.yml) 檔案。 工作流程副檔名可以是 .yml 或 .yaml。

若要建立工作流程，請採取下列步驟：

1. 從您的 GitHub 存放庫，選取頂端功能表中的 [動作]。

2. 選取 [新增工作流程]。

3. 選取 [自行設定工作流程]。

4. 如果您偏好使用 main.yml 以外的其他名稱，請將工作流程檔案重新命名。 例如：deployBicepFile.yml。

5. 使用下列程式碼來取代 yml 檔案的內容：

   服務主體

   name: Deploy Bicep file
   on: [push]
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
       - name: Checkout code
         uses: actions/checkout@main
   
       - name: Log into Azure
         uses: azure/login@v1
         with:
           creds: ${{ secrets.AZURE_CREDENTIALS }}
   
       - name: Deploy Bicep file
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

   使用您自己的儲存體帳戶名稱前置詞來取代 mystore。

   注意

   您可以改為在 ARM 部署動作中指定 JSON 格式參數檔案 (範例：.azuredeploy.parameters.json)。

   工作流程檔案的第一個區段包括：

   • name：工作流程的名稱。
   • on：觸發工作流程的 GitHub 事件名稱。 當主分支上有推送事件時，就會觸發工作流程。

   OpenID Connect

   on: [push]
   name: Azure ARM
   permissions:
     id-token: write
     contents: read
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
         # Checkout code
       - uses: actions/checkout@main
   
         # Log into Azure
       - uses: azure/login@v1
         with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
         # Deploy Bicep file
       - name: deploy
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

6. 選取 [認可變更]。

7. 選取 [直接認可至主分支]。

8. 選取 [認可新檔案] (或 [認可變更])。

更新工作流程檔案或 Bicep 檔案會觸發工作流程。 工作流程會在您認可變更之後立即啟動。

檢查工作流程狀態

1. 選取 [動作] 索引標籤。您會看到列出建立 deployBicepFile.yml 工作流程。 執行工作流程需要 1-2 分鐘的時間。
2. 選取工作流程加以開啟，並確認 Status 為 Success。

清除資源

不再需要資源群組和存放庫時，請刪除資源群組和 GitHub 存放庫，以清除您所部署的資源。

CLI

az group delete --name exampleRG

PowerShell

Remove-AzResourceGroup -Name exampleRG

下一步

Bicep 檔案結構和語法 (部分機器翻譯)