Nasazení vlastního kontejneru do App Service pomocí funkce GitHub Actions

GitHub Actions poskytuje flexibilitu při vytváření automatizovaného pracovního postupu vývoje softwaru. Pomocí akce Nasazení webu Azure můžete automatizovat pracovní postup nasazení vlastních kontejnerů do App Service pomocí GitHub Actions.

Pracovní postup je definován souborem YAML (.yml) v cestě /.github/workflows/ ve vašem úložišti. Tato definice obsahuje různé kroky a parametry, které jsou v pracovním postupu.

Pro pracovní postup Azure App Service kontejneru má soubor tři oddíly:

Sekce	Úlohy
Authentication	1. Načtení instančního objektu nebo profilu publikování 2. Vytvořte tajný kód GitHubu.
Sestavení	1. Vytvořte prostředí. 2. Sestavte image kontejneru.
Nasazení	1. Nasaďte image kontejneru.

Požadavky

• Účet Azure s aktivním předplatným. Bezplatné vytvoření účtu
• Účet GitHub. Pokud ho nemáte, zaregistrujte se zdarma. K nasazení do Azure App Service potřebujete kód v úložišti GitHub.
• Funkční registr kontejneru a Azure App Service aplikace pro kontejnery. Tento příklad používá Azure Container Registry. Nezapomeňte dokončit úplné nasazení do Azure App Service pro kontejnery. Na rozdíl od běžných webových aplikací nemají webové aplikace pro kontejnery výchozí cílovou stránku. Publikujte kontejner, abyste měli funkční příklad.
  • Zjistěte, jak vytvořit kontejnerizovanou aplikaci Node.js pomocí Dockeru, odeslat image kontejneru do registru a pak nasadit image do Azure App Service

Vygenerování přihlašovacích údajů pro nasazení

Doporučeným způsobem ověřování pomocí služby Aplikace Azure Services pro GitHub Actions je profil publikování. Můžete se také ověřit pomocí instančního objektu nebo Open ID Connect, ale proces vyžaduje další kroky.

Uložte přihlašovací údaje profilu publikování nebo instanční objekt jako tajný klíč GitHubu pro ověření v Azure. K tajnému kódu budete přistupovat v rámci pracovního postupu.

Publikovat profil

Profil publikování je přihlašovací údaje na úrovni aplikace. Nastavte profil publikování jako tajný kód GitHubu.

1. Přejděte do služby App Service v Azure Portal.

2. Na stránce Přehled vyberte Získat profil publikování.

   Poznámka

   Od října 2020 budou webové aplikace pro Linux před stažením souboru potřebovat nastavení WEBSITE_WEBDEPLOY_USE_SCM aplikace nastavené na true hodnotu . Tento požadavek bude v budoucnu odebrán. Informace o konfiguraci běžných nastavení webové aplikace najdete v tématu Konfigurace App Service aplikace v Azure Portal.

3. Stažený soubor uložte. Obsah souboru použijete k vytvoření tajného kódu GitHubu.

Instanční objekt

Instanční objekt můžete vytvořit pomocí příkazu az ad sp create-for-rbac v Azure CLI. Spusťte tento příkaz pomocí Azure Cloud Shell v Azure Portal nebo výběrem tlačítka Vyzkoušet.

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

V příkladu nahraďte zástupné symboly ID vašeho předplatného, názvem skupiny prostředků a názvem aplikace. Výstupem je objekt JSON s přihlašovacími údaji přiřazení role, které poskytují přístup k App Service aplikaci. Zkopírujte tento objekt JSON na později.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Důležité

Vždy je vhodné udělit minimální přístup. Rozsah v předchozím příkladu je omezený na konkrétní aplikaci App Service, nikoli na celou skupinu prostředků.

OpenID Connect

OpenID Connect je metoda ověřování, která používá krátkodobé tokeny. Nastavení OpenID Connect s GitHub Actions je složitější proces, který nabízí posílené zabezpečení.

1. Pokud nemáte existující aplikaci, zaregistrujte novou aplikaci služby Active Directory a instanční objekt, který má přístup k prostředkům. Vytvořte aplikaci Active Directory.

   az ad app create --display-name myApp
   

   Tento příkaz zobrazí výstup JSON s objektem , který je vaším client-idobjektem appId . Uložte hodnotu, kterou chcete použít jako tajný kód GitHubu AZURE_CLIENT_ID později.

   Hodnotu použijete objectId při vytváření federovaných přihlašovacích údajů s Graph API a budete na ni odkazovat jako na APPLICATION-OBJECT-ID.

2. Vytvořte instanční objekt. $appID Nahraďte parametr appId z výstupu JSON.

   Tento příkaz vygeneruje výstup JSON s jiným objectId objektem a použije se v dalším kroku. Novinkou objectId je assignee-object-id.

   Zkopírujte ho appOwnerTenantId a použijte ho jako tajný kód GitHubu pro AZURE_TENANT_ID pozdější použití.

    az ad sp create --id $appId
   

3. Vytvořte nové přiřazení role podle předplatného a objektu. Ve výchozím nastavení bude přiřazení role svázáno s vaším výchozím předplatným. Nahraďte $subscriptionId ID předplatného, $resourceGroupName názvem vaší skupiny prostředků a $assigneeObjectId vygenerovaným assignee-object-idkódem . Zjistěte , jak spravovat předplatná Azure pomocí Azure CLI.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. Spuštěním následujícího příkazu vytvořte nové přihlašovací údaje federované identity pro aplikaci služby Active Directory.

   • Nahraďte APPLICATION-OBJECT-IDparametrem objectId (vygenerovaným při vytváření aplikace) pro vaši aplikaci Služby Active Directory.
   • Nastavte hodnotu pro CREDENTIAL-NAME , na kterou chcete později odkazovat.
   • Nastavte .subject Tuto hodnotu definuje GitHub v závislosti na vašem pracovním postupu:
     • Úlohy ve vašem GitHub Actions prostředí:repo:< Organization/Repository >:environment:< Name >
     • V případě úloh, které nejsou vázané na prostředí, zahrňte cestu odkazu pro větev nebo značku na základě cesty odkazu použité k aktivaci pracovního postupu: repo:< Organization/Repository >:ref:< ref path>. Příkladem je repo:n-username/ node_express:ref:refs/heads/my-branch nebo repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Pro pracovní postupy aktivované událostí žádosti o přijetí změn: repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

   Informace o vytvoření aplikace Active Directory, instančního objektu a federovaných přihlašovacích údajů v Azure Portal najdete v tématu Připojení GitHubu a Azure.

Konfigurace tajného klíče GitHubu pro ověřování

Publikovat profil

V GitHubu procházejte úložiště. Vyberte Nastavení > Tajné klíče zabezpečení > a proměnné > Akce > Nový tajný klíč úložiště.

Pokud chcete použít přihlašovací údaje na úrovni aplikace, vložte obsah staženého souboru profilu publikování do pole hodnoty tajného kódu. Pojmenujte tajný kód AZURE_WEBAPP_PUBLISH_PROFILE.

Při konfiguraci pracovního postupu GitHubu AZURE_WEBAPP_PUBLISH_PROFILE použijete akci nasazení webové aplikace Azure. Příklad:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

Instanční objekt

V GitHubu procházejte úložiště. Vyberte Nastavení > Tajné klíče zabezpečení > a proměnné > Akce > Nový tajný klíč úložiště.

Pokud chcete použít přihlašovací údaje na úrovni uživatele, vložte celý výstup JSON z příkazu Azure CLI do pole hodnoty tajného klíče. Pojmenujte tajný kód, například AZURE_CREDENTIALS.

Při pozdější konfiguraci souboru pracovního postupu použijete tajný kód pro vstup creds akce Přihlášení k Azure. Příklad:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

Pro akci přihlášení musíte zadat ID klienta, ID tenanta a ID předplatného vaší aplikace. Tyto hodnoty je možné zadat přímo v pracovním postupu nebo je můžete uložit v tajných kódech GitHubu a odkazovat na je v pracovním postupu. Uložení hodnot jako tajných kódů GitHubu je bezpečnější možnost.

1. Otevřete úložiště GitHub a přejděte na Nastavení > Tajné kódy > zabezpečení > a proměnné Akce > Nový tajný klíč úložiště.

2. Vytvořte tajné kódy pro AZURE_CLIENT_ID, AZURE_TENANT_IDa AZURE_SUBSCRIPTION_ID. Pro tajné kódy GitHubu použijte tyto hodnoty z aplikace Active Directory. Tyto hodnoty najdete v Azure Portal vyhledáním aplikace Active Directory.

   Tajný kód GitHubu	Aplikace služby Active Directory
   AZURE_CLIENT_ID	ID aplikace (klienta)
   AZURE_TENANT_ID	ID adresáře (tenanta)
   AZURE_SUBSCRIPTION_ID	ID předplatného

3. Jednotlivé tajné kódy uložte tak, že vyberete Přidat tajný kód.

Konfigurace tajných kódů GitHubu pro registr

Definujte tajné kódy, které se mají použít s akcí Přihlášení k Dockeru. Příklad v tomto dokumentu používá Azure Container Registry pro registr kontejneru.

1. Přejděte do kontejneru v Azure Portal nebo Dockeru a zkopírujte uživatelské jméno a heslo. Uživatelské jméno a heslo Azure Container Registry najdete v Azure Portal v části Nastavení>Přístupové klíče pro váš registr.

2. Definujte nový tajný klíč pro uživatelské jméno registru s názvem REGISTRY_USERNAME.

3. Definujte nový tajný klíč pro heslo registru s názvem REGISTRY_PASSWORD.

Sestavení image kontejneru

Následující příklad ukazuje část pracovního postupu, který sestaví Node.JS image Dockeru. Přihlaste se k privátnímu registru kontejneru pomocí Přihlášení Dockeru . Tento příklad používá Azure Container Registry ale stejná akce funguje i pro ostatní registry.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Přihlášení do Dockeru můžete použít také k přihlášení k více registrům kontejnerů najednou. Tento příklad obsahuje dva nové tajné kódy GitHubu pro ověřování pomocí docker.io. V příkladu se předpokládá, že na kořenové úrovni registru existuje soubor Dockerfile.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Nasazení do kontejneru App Service

Pokud chcete nasadit image do vlastního kontejneru v App Service, použijte azure/webapps-deploy@v2 akci . Tato akce má sedm parametrů:

Parametr	Vysvětlení
název aplikace	(Povinné) Název aplikace App Service
publikování profilu	(Volitelné) Platí pro Web Apps (Windows a Linux) a Web App Containers(linux). Scénář s více kontejnery se nepodporuje. Publikování obsahu souboru profilu (*.publishsettings) s tajnými kódy nasazení webu
název slotu	(Volitelné) Zadejte existující slot kromě produkčního slotu.
Balíček	(Volitelné) Platí jenom pro webovou aplikaci: Cesta k balíčku nebo složce. *.zip, *.war, *.jar nebo složku pro nasazení
Obrázky	(Povinné) Platí jenom pro službu Web App Containers: Zadejte plně kvalifikované názvy imagí kontejneru. Například "myregistry.azurecr.io/nginx:latest" nebo "python:3.7.2-alpine/". U vícekontejnerových aplikací je možné zadat více názvů imagí kontejneru (oddělené více řádky).
konfigurační soubor	(Volitelné) Platí pouze pro službu Web App Containers: Cesta k souboru Docker-Compose. Měla by jít o plně kvalifikovanou cestu nebo relativní k výchozímu pracovnímu adresáři. Vyžaduje se pro vícekontejnerové aplikace.
příkaz startup-command	(Volitelné) Zadejte spouštěcí příkaz. Například dotnet run nebo dotnet filename.dll

Publikovat profil

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

Instanční objekt

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Další kroky

Naši sadu akcí seskupených do různých úložišť najdete na GitHubu. Každá z nich obsahuje dokumentaci a příklady, které vám pomůžou používat GitHub pro CI/CD a nasazovat aplikace do Azure.

• Pracovní postupy akcí pro nasazení do Azure

• Přihlášení k Azure

• Webová aplikace Azure

• Přihlášení/odhlášení Dockeru

• Události, které aktivují pracovní postupy

• Nasazení K8s

• Počáteční pracovní postupy