使用 GitHub Actions 部署 ARM 範本

GitHub Actions 為 GitHub 中的一組功能，其可在與您儲存程式碼相同的位置將您的軟體開發工作流程自動化，並針對提取要求和問題進行共同作業。

使用 [部署 Azure Resource Manager 範本動作]，自動將 Azure Resource Manager 範本 (ARM 範本) 部署到 Azure。

必要條件

• 具有有效訂用帳戶的 Azure 帳戶。 免費建立帳戶。

• GitHub 帳戶。 如果您沒有 Microsoft 帳戶，請免費註冊。

  • GitHub 存放庫，以儲存 Resource Manager 範本和工作流程檔案。 若要建立一個，請參閱建立新的存放庫 \(英文\)。

工作流程檔案概觀

工作流程是由您存放庫內 /.github/workflows/ 路徑中的 YAML (. yml) 檔案所定義的。 此定義包含組成工作流程的各種步驟與參數。

檔案內有兩個區段：

區段	工作
驗證	1.產生部署認證。
部署	1.部署 Resource Manager 範本。

產生部署認證

服務主體

使用 Azure CLI 中的 az ad sp create-for-rbac 命令來建立服務主體。 請使用 Azure 入口網站中的 Azure Cloud Shell，或選取 [試試看] 按鈕來執行此命令。

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

參數 --json-auth 可在 Azure CLI 版本 >= 2.51.0 中使用。 此版本之前的版本會搭配取代警告使用 --sdk-auth。

在上述範例中，將預留位置換成為您的訂用帳戶識別碼、資源群組名稱和應用程式名稱。 輸出是一個 JSON 物件，內有角色指派認證可讓您存取 App Service 應用程式，如下所示。 複製此 JSON 物件以供後續使用。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Connect 是使用短期權杖的驗證方法。 使用 GitHub Actions 設定 OpenID Connect 是更複雜的程序，可提供強化的安全性。

1. 若您沒有現有的應用程式，請註冊可存取資源的新 Microsoft Entra 應用程式與服務主體。

   az ad app create --display-name myApp
   

   此命令會使用作為您 client-id 的 appId 來輸出 JSON。 objectId 是 APPLICATION-OBJECT-ID，而且會用來搭配圖形 API 呼叫建立同盟認證。 儲存值以稍後作為 AZURE_CLIENT_ID GitHub 秘密。

2. 建立服務主體。 將 $appID 取代為您 JSON 輸出中的 appId。 此命令會產生具有不同 objectId 的 JSON 輸出，並將用於下一個步驟中。 新的 objectId 是 assignee-object-id。

   此命令會產生具有不同 objectId 的 JSON 輸出，並將在下一個步驟中使用。 新的 objectId 是 assignee-object-id。

   複製 appOwnerTenantId 以供稍後作為 AZURE_TENANT_ID 的 GitHub 秘密使用。

    az ad sp create --id $appId
   

3. 依訂用帳戶和物件建立新的角色指派。 依預設，角色指派將會繫結至您的預設訂用帳戶。 以訂用帳戶識別碼取代 $subscriptionId，以資源群組名稱取代 $resourceGroupName，並以產生的 assignee-object-id (新建立的服務主體物件識別碼) 取代 $assigneeObjectId。

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. 執行下列命令，為您的 Microsoft Entra 應用程式建立新的同盟身分識別認證。

   • 針對您的 Microsoft Entra 應用程式，以 objectId (建立應用程式時產生) 取代 APPLICATION-OBJECT-ID。
   • 將 CREDENTIAL-NAME 的值設定為稍後參考。
   • 設定 subject。 依據您的工作流程，GitHub 會定義此項目的值：
     • 您 GitHub Actions 環境中的工作：repo:< Organization/Repository >:environment:< Name >
     • 針對未繫結至環境的作業，請根據用來觸發工作流程的參考路徑，包含分支/標記的參考路徑：repo:< Organization/Repository >:ref:< ref path>。 例如，repo:n-username/ node_express:ref:refs/heads/my-branch 或 repo:n-username/ node_express:ref:refs/tags/my-tag。
     • 針對由提取要求事件所觸發的工作流程：repo:< Organization/Repository >:pull_request。

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

設定 GitHub 祕密

服務主體

1. 在 GitHub (英文) 中，前往您的存放庫。

2. 移至導覽功能表中的 [設定]。

3. 選取 [安全性] > [祕密和變數] > [動作]。

   

4. 選取 [新增存放庫祕密]。

5. 將得自 Azure CLI 命令的整個 JSON 輸出貼到祕密的 [值] 欄位中。 將祕密命名為 AZURE_CREDENTIALS。

6. 選取 [新增祕密]。

OpenID Connect

您必須將應用程式的用戶端識別碼、租用戶識別碼和訂用帳戶識別碼提供給登入動作。 這些值可以直接在工作流程中提供，也可以儲存在 GitHub 的秘密中，並在您的工作流程中參考。 將值儲存為 GitHub 秘密是較安全的選擇。

1. 在 GitHub (英文) 中，前往您的存放庫。

2. 選取 [安全性] > [祕密和變數] > [動作]。

   

3. 選取 [新增存放庫祕密]。

4. 建立 AZURE_CLIENT_ID、AZURE_TENANT_ID 和 AZURE_SUBSCRIPTION_ID 的秘密。 使用 Microsoft Entra 應用程式中的這些值來取得 GitHub 祕密：

   GitHub 祕密	Microsoft Entra 應用程式
   AZURE_CLIENT_ID	應用程式 (用戶端) 識別碼
   AZURE_TENANT_ID	目錄 (租用戶) 識別碼
   AZURE_SUBSCRIPTION_ID	訂用帳戶識別碼

5. 選取 [新增秘密] 以儲存每個秘密。

新增 Resource Manager 範本

將 Resource Manager 範本新增至您的 GitHub 存放庫。 此範本會建立儲存體帳戶。

https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json

您可以將檔案放置於存放庫中的任何位置。 下一節的工作流程範例假設範本檔案名稱為 azuredeploy.json，且會儲存於存放庫根目錄中。

建立工作流程

工作流程檔案必須儲存於存放庫根目錄的 .github/workflow 資料夾中。 工作流程副檔名可以是 .yml 或 .yaml。

1. 從您的 GitHub 存放庫，選取頂端功能表中的 [動作]。
2. 選取 [新增工作流程]。
3. 選取 [自行設定工作流程]。
4. 如果您偏好使用 main.yml 以外的其他名稱，請將工作流程檔案重新命名。 例如：deployStorageAccount.yml。
5. 以下列內容取代 yml 檔案的內容：

服務主體

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

注意

您可以改為在 ARM 部署動作中指定 JSON 格式參數檔案 (範例：.azuredeploy.parameters.json)。

工作流程檔案的第一個區段包括：

• name：工作流程的名稱。
• on：觸發工作流程的 GitHub 事件名稱。 當主要分支上有推送事件時，就會觸發工作流程，修改這兩個指定檔案的至少其中之一。 這兩個檔案為工作流程檔案和範本檔案。

OpenID Connect

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

注意

您可以改為在 ARM 部署動作中指定 JSON 格式參數檔案 (範例：.azuredeploy.parameters.json)。

工作流程檔案的第一個區段包括：

• name：工作流程的名稱。
• on：觸發工作流程的 GitHub 事件名稱。 當主要分支上有推送事件時，就會觸發工作流程，修改這兩個指定檔案的至少其中之一。 這兩個檔案為工作流程檔案和範本檔案。

1. 選取 [開始認可]。
2. 選取 [直接認可至主分支]。
3. 選取 [認可新檔案] (或 [認可變更])。

由於工作流程會設定為透過要更新的工作流程檔案或範本檔案來觸發，因此，工作流程會在您認可變更後立即啟動。

檢查工作流程狀態

1. 選取 [動作] 索引標籤。您會看到 Create deployStorageAccount.yml 工作流程列出。 執行工作流程需要 1-2 分鐘的時間。
2. 選取工作流程以將其開啟。
3. 從功能表選取 [執行 ARM 部署] 以確認部署。

清除資源

不再需要資源群組和存放庫時，請刪除資源群組和 GitHub 存放庫，以清除您所部署的資源。

下一步

建立您的第一個範本

學習模組：使用 GitHub Actions 將 ARM 範本的部署自動化