將容器化的 Python 應用程式部署至 App Service

本文是如何將 Python Web 應用程式容器化和部署至 Azure App 服務 的教學課程的一部分。 App Service 可讓您執行容器化 Web 應用程式，並透過 Docker Hub、Azure Container Registry 和 Visual Studio Team Services 的持續整合/持續部署 （CI/CD） 功能進行部署。

在本教學課程的這個部分中，您將瞭解如何使用適用於容器的 App Service Web 應用程式，將容器化的 Python Web 應用程式部署至 App Service。 適用於容器的 Web 應用程式可讓您專注於撰寫容器，而不必擔心管理和維護基礎容器協調器。

遵循這裡的步驟，您最終會使用 Docker 容器映像來使用 App Service 網站。 App Service 會使用受控識別從 Azure Container Registry 提取初始映射以進行驗證。

以下顯示的服務圖表會反白顯示本文所涵蓋的元件。

1.建立 Web 應用程式

Azure CLI

Azure CLI 命令可以在 Azure Cloud Shell 或已安裝 Azure CLI 的工作站上執行。

步驟 1： 使用 az group show 命令，取得包含 Azure Container Registry 之群組的資源識別符。

# RESOURCE_GROUP_NAME='msdocs-web-app-rg'

RESOURCE_ID=$(az group show \
  --resource-group $RESOURCE_GROUP_NAME \
  --query id \
  --output tsv)
echo $RESOURCE_ID

在上述命令中，RESOURCE_GROUP_NAME仍應該在您的環境中設定為您在第 3 部分中 使用的資源組名。在本教學課程的 Azure 中建置容器。 如果不是，請取消批注第一行，並確定它已設定為您使用的名稱。

步驟 2。 使用 az appservice plan create 命令建立 App Service 方案。

APP_SERVICE_PLAN_NAME='msdocs-web-app-plan'

az appservice plan create \
    --name $APP_SERVICE_PLAN_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --sku B1 \
    --is-linux

步驟 3。 使用 az webapp create 命令建立 Web 應用程式。

下列命令也會為 Web 應用程式啟用 系統指派的受控識別 ，並在指定的資源上指派 AcrPull 角色 ，在此案例中為包含 Azure Container Registry 的資源群組。 這會授與資源群組中任何 Azure Container Registry 的系統指派受控識別提取許可權。

APP_SERVICE_NAME='<website-name>'
# REGISTRY_NAME='<your Azure Container Registry name>'
CONTAINER_NAME=$REGISTRY_NAME'.azurecr.io/msdocspythoncontainerwebapp:latest'

az webapp create \
  --resource-group $RESOURCE_GROUP_NAME \
  --plan $APP_SERVICE_PLAN_NAME \
  --name $APP_SERVICE_NAME \
  --assign-identity '[system]' \
  --scope $RESOURCE_ID \
  --role acrpull \
  --deployment-container-image-name $CONTAINER_NAME 

在上述命令中：

• APP_SERVICE_NAME必須是全域唯一的，因為它會成為URL https://<website-name>.azurewebsites.net中的網站名稱。
• CONTAINER_NAME的格式為 「yourregistryname.azurecr.io/repo_name:tag」。
• 您的環境中仍應將REGISTRY_NAME設定為您在第 3 部分中 使用的登錄名稱。在本教學課程的 Azure 中建置容器。 如果不是，請取消批注上面設定的行，並確定它已設定為您使用的名稱。

注意

執行 命令時，您可能會看到類似下列的錯誤：

No credential was provided to access Azure Container Registry. Trying to look up...
Retrieving credentials failed with an exception:'No resource or more than one were found with name ...'

因為 Web 應用程式預設使用 Azure Container Registry 的系統管理員認證向登錄進行驗證，而且登錄上尚未啟用管理員認證，因此會發生此錯誤。 您可以放心地忽略此錯誤，因為您會在下一個命令中將 Web 應用程式設定為使用系統指派的受控識別進行驗證。

VS Code

這些步驟需要適用於 VS Code 的 Docker 擴充功能 。

指示	Screenshot
在 Docker 擴充功能中重新整理 Azure Container Registry。 確認您建置的容器會出現在 Docker 延伸模組的 REGISTRIES 區段底下。 如果沒有，請以滑鼠右鍵按下登錄名稱，然後選取 [ 重新整理]。
選取 F1 或 CTRL+SHIFT+P 以開啟命令選擇區，然後啟動 Docker 登錄工作：將映射部署至 Azure App 服務...
請遵循提示來部署映像： 選取登錄提供者→ “Azure” 選取登錄→輸入您稍早在本教學課程中建立的登錄名稱。 選取存放庫→輸入存放庫名稱 「msdocspythoncontainerwebapp」。 如果您沒有看到此存放庫，請重新整理 Docker 擴充 功能 REGISTRIES 一節。 選取標籤→「最新」 輸入 web 應用程式的全域唯一名稱，→輸入全域唯一的名稱以 Azure App 服務。 例如，如果您使用 “msdocs-python-container-web-app”，Web 應用程式 URL 會是 http://msdocs-python-container-web-app.azurewebsites.net。 選取資源群組→使用包含您稍早建立之 Azure Container Registry 的資源群組。 選取位置→使用與資源群組相同的位置。 選取 Linux App Service 方案→使用現有方案或建立新的方案。
檢視 [輸出 ] 視窗，以取得部署的詳細數據。 其中一個輸出行是「授與 App Service 從 ACR 提取映像的許可權...」，App Service 會使用受控識別存取登錄。 最後一個網站 https://<app-name>.azurewebsites.net 尚未就緒，因為您需要指定 MongoDB 資訊。

Azure 入口網站

登入 Azure 入口網站 並遵循下列步驟來建立 Web 應用程式。

指示	Screenshot
建立新的 App Service： 在 Azure 入口網站 搜尋中，搜尋 「應用程式服務」，然後選取 [應用程式服務]。 選取 [+ 建立 ] 以啟動建立程式。
在 App Service 的基本設定上，指定： 資源群組 →使用 Azure Container Registry 所在的相同資源群組。 名稱 → 使用將會 http://<app-name>.azurewebsites.net是的唯一名稱。 發佈 →使用 Docker 容器 ，以便使用您所建置的登錄映像。 操作系統→ Linux 區域 →使用與資源群組和 Azure Container Registry 相同的區域。 Linux 方案 →選取現有的Linux方案或使用新的方案。 Sku 和大小 →選取 [基本 B1]。 選取 [ 變更大小] 連結以存取更多選項。 區域備援 →如果此選項可供選取的 SKU 使用，請選取 [已 停用]。 選取 [ 下一步：Docker ] 以繼續。
指定 App Service 的 Docker 資訊，包括： →選取單一容器的選項。 映射來源 →選取 [Azure Container Registry]。 登錄 →您為此教學課程建立的登錄。 映射 →登錄中的映像。 標記 →「最新」 當您使用 Azure 入口網站 部署容器映射時，需要登錄系統管理員帳戶。 如果未啟用系統管理員帳戶，您會在指定 映像時看到錯誤。 建立 App Service 之後，系統會使用受控識別從登錄提取映射，而且可以停用系統管理員帳戶。
移至 [ 檢閱 + 建立] 頁面，然後選取 [ 建立]。

2.設定受控識別和 Webhook

Azure CLI

步驟 1： 使用 az webapp config set 命令，將 Web 應用程式設定為使用受控識別從 Azure Container Registry 提取。

az webapp config set \
  --resource-group $RESOURCE_GROUP_NAME \
  --name $APP_SERVICE_NAME \
  --generic-configurations '{"acrUseManagedIdentityCreds": true}'

因為您在建立 Web 應用程式時已啟用系統指派的受控識別，所以它會是用來從 Azure Container Registry 提取的受控識別。

步驟 2。 使用 az webapp deployment list-publishing-credentials 命令取得應用程式範圍認證。

CREDENTIAL=$(az webapp deployment list-publishing-credentials \
  --resource-group $RESOURCE_GROUP_NAME \
  --name $APP_SERVICE_NAME \
  --query publishingPassword \
  --output tsv)
echo $CREDENTIAL 

步驟 3。 使用應用程式範圍認證，使用 az acr webhook create 命令建立 Webhook。

SERVICE_URI='https://$'$APP_SERVICE_NAME':'$CREDENTIAL'@'$APP_SERVICE_NAME'.scm.azurewebsites.net/api/registry/webhook'

az acr webhook create \
  --name webhookforwebapp \
  --registry $REGISTRY_NAME \
  --scope msdocspythoncontainerwebapp:* \
  --uri $SERVICE_URI \
  --actions push 

根據預設，此命令會在與指定的 Azure Container Registry 相同的資源群組和位置中建立 Webhook。 如有需要，您可以使用 --resource-group 和 --location 參數來覆寫此行為。

VS Code

指示	Screenshot
當您使用 Visual Studio Code 進行部署時，App Service 已設定受控識別，以從登錄提取映像。 您可以在 [輸出] 視窗中檢視記錄，並尋找「授與 App Service 從 ACR 提取映像的許可權...」訊息，以確認受控識別已啟用。
使用 VS Code 部署期間，會建立 Webhook，讓 Web 應用程式從 Azure Container Registry 提取新的映像。 重要 檢閱 Azure 入口網站中的 Webhook 組態，以確認 服務 URI 以 “/api/registry/webhook” 結尾。 若要檢閱服務 URI，請在 VS Code 中開啟 Docker 擴充功能，並尋找您所建立的登錄。 以滑鼠右鍵按下登錄，然後選取 [在入口網站中開啟]。 在 Azure 入口網站 中，移至登錄的 Webhook 資源。

Azure 入口網站

移至 Azure 入口網站 以遵循下列步驟。

指示	Screenshot
已啟用受控識別。 移至 App Service 的身分 識別資源。 在 [系統指派] 底下，選取 [開啟] 狀態。 選取 [儲存]。 在提示中選取 [ 是 ] 以繼續。
在 App Service 的 [ 身分識別 ] 資源中，選取您剛才啟用受控識別的位置，選取 [Azure 角色指派]。
為系統指派的受控識別新增 「AcrPull」 角色。 AcrPull 角色可讓 App Service 從 Azure 容器提取映射 Registry.In「Azure 角色指派」，選取 [+ 新增角色指派 ]，並遵循提示新增： 範圍 →「資源群組」 訂 用帳戶→您的訂用帳戶。 資源群組 →具有 Azure Container Registry 和 App Service 的群組。 角色 → “AcrPull” 選取 [ 儲存 ] 以儲存角色。 如需詳細資訊，請參閱使用 Azure 入口網站指派 Azure 角色。
設定 App Service 部署以使用受控識別。 移至 App Service 的部署中心 資源。 在 [設定] 索引標籤中，將 [驗證] 設定為 [受控識別]。 選取儲存以儲存變更。
建立 Webhook，以在將新映射推送至 Azure Container Registry 時觸發 App Service 的更新。 首先，取得應用程式範圍認證： 移至 App Service 的部署中心 資源。 在 [FTPS 認證] 索引標籤中，取得 [應用程式範圍] 底下的 [密碼] 值。 然後，使用認證值和 App Service 名稱建立 Webhook： 移至具有存放庫和容器映射的 Azure Container Registry，然後選取 [Webhook] 資源頁面。 在 [Webhook] 頁面上，選取 [+ 新增]。 指定如下的參數： Webhook 名稱 →輸入 「webhookforwebapp」。。 位置 → 使用登錄的位置。 服務 URI → App Service 名稱和認證的組合字串。 請參閱下方 。 動作 →選取 推送。 狀態 →選取 [開啟]。 範圍 →輸入 「msdocspythoncontainerwebapp：*」。。 服務 URI 的格式為 “https://$” + APP_SERVICE_NAME + “：” + CREDENTIAL + “@” + APP_SERVICE_NAME + “.scm.azurewebsites.net/api/registry/webhook”。 例如：「HTTPs：//$msdocs-python-container-web-app：credential@msdocs-python-container-web-app.scm.azurewebsites.net/api/registry/webhook“。

3.設定與 MongoDB 的連線

在此步驟中，您會指定連線到 MongoDB 所需的環境變數。

如果您需要建立適用於 MongoDB 的 Azure Cosmos DB，建議您遵循步驟，在第 2 部分中設定適用於 MangoDB 的 Cosmos DB。在本教學課程的本機建置和測試容器。 當您完成時，應該會有適用於 MongoDB 的 Azure Cosmos DB 連接字串 格式mongodb://<server-name>:<password>@<server-name>.mongo.cosmos.azure.com:10255/?ssl=true&<other-parameters>。

您需要 MongoDB 連接字串 資訊，才能遵循下列步驟。

Azure CLI

若要在 App Service 中設定環境變數，請使用下列 az webapp config appsettings set 命令建立應用程式設定。

MONGO_CONNECTION_STRING='your Mongo DB connection string in single quotes'
MONGO_DB_NAME=restaurants_reviews
MONGO_COLLECTION_NAME=restaurants_reviews

az webapp config appsettings set \
   --resource-group $RESOURCE_GROUP_NAME \
   --name $APP_SERVICE_NAME \
   --settings CONNECTION_STRING=$MONGO_CONNECTION_STRING \
              DB_NAME=$MONGO_DB_NAME  \
              COLLECTION_NAME=$MONGO_COLLECTION_NAME 

• CONNECTION_STRING：開頭為 “mongodb://” 的 連接字串。
• DB_NAME：使用 「restaurants_reviews」。。
• COLLECTION_NAME：使用“restaurants_reviews”。

VS Code

若要從 VS Code 設定 Web 應用程式的環境變數，您必須 安裝 Azure Tools 擴充功能套件 ，並從 VS Code 登入 Azure。

指示	Screenshot
在適用於 Visual Studio Code 的 Azure Tools 擴充功能中： 展開 [資源 ]，然後在您的訂用帳戶下尋找 App Services 。 （確定您檢視資源的方式 依資源類型分組。） 展開 [應用程式服務 ]，然後尋找您剛才建立的 Web 應用程式。 展開您的 Web 應用程式，然後以滑鼠右鍵按兩下 [應用程式 設定]。 選取 [ 新增設定...]。
每次新增設定時，VS Code 視窗頂端會出現一個對話框，您可以在其中新增每個設定名稱，後面接著其值。 新增下列設定： CONNECTION_STRING → 開頭為 「mongodb://」 的 A 連接字串。 DB_NAME →使用 「restaurants_reviews」。 COLLECTION_NAME →使用 「restaurants_reviews」。。 WEBSITES_PORT →針對 Django 使用 “8000” 和 Flask 的 “5000”。 此環境變數會指定容器正在接聽的埠。

Azure 入口網站

指示	Screenshot
移至 Web 應用程式的 App Service 頁面。 選取左側資源功能表上 設定 下的 [組態]。 選取 頁面頂端的 [應用程式設定 ]。
建立應用程式設定： 選取 [+ 新增應用程式] 設定 ，以為每個下列值建立設定： CONNECTION_STRING → 開頭為 「mongodb://」 的 A 連接字串。 DB_NAME →使用 「restaurants_reviews」。 COLLECTION_NAME →使用 「restaurants_reviews」。。 確認您有三個具有正確值的設定。 選取 [ 儲存] 以套用設定。

4.瀏覽網站

若要確認網站正在執行中，請移至 https://<website-name>.azurewebsites.net;其中網站名稱是您的應用程式服務名稱。 如果成功，您應該會看到餐廳檢閱範例應用程式。 網站可能需要一些時間才能第一次啟動。 當網站出現時，請新增餐廳，以及該餐廳的檢閱，以確認範例應用程式正常運作。

Azure CLI

如果您在本機執行 Azure CLI，您可以使用 az webapp browse 命令瀏覽至網站。 如果您使用 Cloud Shell，請開啟瀏覽器視窗並瀏覽至網站 URL。

az webapp browse  --name $APP_SERVICE_NAME --resource-group $RESOURCE_GROUP_NAME 

注意

az webapp browse Cloud Shell 不支援命令。 開啟瀏覽器視窗，並改為瀏覽至網站URL。

VS Code

指示	Screenshot
在適用於 Visual Studio Code 的 Azure Tools 擴充功能中： 展開 [資源 ]，然後在您的訂用帳戶下尋找 App Services 。 （確定您檢視資源的方式 依資源類型分組。） 以滑鼠右鍵按兩下 App Service，然後選取 [瀏覽網站]。

Azure 入口網站

指示	Screenshot
在 App Service 頁面的 [ 概觀 資源] 頁面上，選取 [ 流覽]。

5.針對部署進行疑難解答

如果您沒有看到範例應用程式，請嘗試下列步驟。

• 使用容器部署和 App Service，請一律檢查 Azure 入口網站 中的 [部署中心 / 記錄] 頁面。 確認容器已提取並正在執行。 容器的初始提取和執行可能需要一些時間。
• 嘗試重新啟動App Service，並查看這是否解決了您的問題。
• 如果有程式設計錯誤，這些錯誤會顯示在應用程式記錄中。 在 App Service 的 [Azure 入口網站] 頁面上，選取 [診斷並解決問題/應用程式記錄]。
• 範例應用程式依賴 MongoDB 的連線。 確認 App Service 具有具有正確連線資訊的應用程式設定。
• 確認 App Service 已啟用受控識別，並用於部署中心。 在 App Service 的 [Azure 入口網站] 頁面上，移至 App Service 部署中心資源，並確認 [驗證] 設定為 [受控識別]。
• 檢查是否已在 Azure Container Registry 中定義 Webhook。 Webhook 可讓 App Service 提取容器映像。 特別是，檢查服務 URI 是否以 “/api/registry/webhook” 結尾。
• 不同的 Azure Container Registry SKU 有不同的功能，包括 Webhook 數目。 如果您要重複使用現有的登錄，您可能會看到下列訊息：「針對登錄 SKU 基本的資源類型 Webhook 超過配額。 深入瞭解不同的 SKU 配額和升級程式： https://aka.ms/acr/tiers"。 如果您看到此訊息，請使用新的登錄，或減少使用中的登錄 Webhook 數目。

後續步驟

清除資源