Konfigurieren einer GitHub-Aktion zum Erstellen einer Containerinstanz

Bei GitHub Actions handelt es sich um eine Featuresammlung in GitHub, mit der sich Ihre Softwareentwicklungsworkflows am selben Ort automatisieren lassen, an dem Sie auch den Code speichern und gemeinsam an Pull Requests und Problemen arbeiten.

Mit der GitHub Actions-Aktion In Azure Container Instances bereitstellen können Sie die Bereitstellung eines einzelnen Containers in Azure Container Instances automatisieren. Die Aktion ermöglicht es Ihnen, Eigenschaften für eine Containerinstanz festzulegen, ähnlich wie der Befehl „az container create“.

In diesem Artikel erfahren Sie, wie Sie einen Workflow in einem GitHub-Repository einrichten, der die folgenden Aktionen ausführt:

• Erstellen eines Images auf der Grundlage eines Dockerfile
• Pushen des Images an eine Azure-Containerregistrierung
• Bereitstellen des Containerimages in einer Azure-Containerinstanz

In diesem Artikel werden zwei Möglichkeiten für die Einrichtung des Workflows vorgestellt:

• Konfigurieren des GitHub-Workflows: Erstellen Sie einen Workflow in einem GitHub-Repository mithilfe der Aktion zum Bereitstellen von Azure Container Instances und anderer Aktionen.
• Verwenden der Erweiterung „Bereitstellung in Azure“: Verwenden Sie den Befehl az container app up in der Erweiterung Bereitstellung in Azure in der Azure CLI. Dieser Befehl optimiert die Erstellung des GitHub-Workflows und der Bereitstellungsschritte.

Wichtig

GitHub Actions für Azure Container Instances befinden sich derzeit in der Vorschau. Vorschauversionen werden Ihnen zur Verfügung gestellt, wenn Sie die zusätzlichen Nutzungsbedingungen akzeptieren. Einige Aspekte dieses Features werden bis zur allgemeinen Verfügbarkeit unter Umständen noch geändert.

Voraussetzungen

• Ein GitHub-Konto: Falls Sie noch keins besitzen, erstellen Sie ein Konto unter https://github.com.
• Azure CLI: Sie können Azure Cloud Shell oder eine lokale Installation der Azure CLI für diese Azure CLI-Schritte verwenden. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.
• Azure-Containerregistrierung: Wenn Sie noch keine haben, erstellen Sie eine Azure-Containerregistrierung im Basic-Tarif mithilfe der Azure CLI, des Azure-Portals oder mithilfe einer anderen Methode. Notieren Sie sich die Ressourcengruppe, die für die Bereitstellung verwendet wurde, die für den GitHub-Workflow verwendet wird.

Einrichten des Repositorys

• Verwenden Sie GitHub für die Beispiele in diesem Artikel, um das folgende Repository zu forken: https://github.com/Azure-Samples/acr-build-helloworld-node.

  Dieses Repository enthält ein Dockerfile und Quelldateien, um ein Containerimage einer kleinen Web-App zu erstellen.

  

• Vergewissern Sie sich, dass GitHub Actions für Ihr Repository aktiviert ist. Navigieren Sie zum geforkten Repository, und klicken Sie auf Einstellungen>Aktionen. Stellen Sie unter Aktionsberechtigungen sicher, dass Alle Aktionen zulassen ausgewählt ist.

Konfigurieren des GitHub-Workflows

Erstellen von Anmeldeinformationen für die Azure-Authentifizierung

Dienstprinzipal

Im GitHub-Workflow müssen Sie die Azure-Anmeldeinformationen bereitstellen, um sich in der Azure CLI zu authentifizieren. Im folgenden Beispiel wird ein Dienstprinzipal erstellt, der für die Ressourcengruppe Ihrer Containerregistrierung die Rolle „Mitwirkender“ innehat.

Rufen Sie zunächst die Ressourcen-ID Ihrer Ressourcengruppe ab: Ersetzen Sie den Namen Ihrer Gruppe im folgenden az group show-Befehl:

groupId=$(az group show \
  --name <resource-group-name> \
  --query id --output tsv)

Verwenden Sie az ad sp create-for-rbac, um den Dienstprinzipal zu erstellen:

az ad sp create-for-rbac \
  --scope $groupId \
  --role Contributor \
  --json-auth

Die Ausgabe Die Ausgabe lautet in etwa wie folgt:

{
  "clientId": "xxxx6ddc-xxxx-xxxx-xxx-ef78a99dxxxx",
  "clientSecret": "xxxx79dc-xxxx-xxxx-xxxx-aaaaaec5xxxx",
  "subscriptionId": "xxxx251c-xxxx-xxxx-xxxx-bf99a306xxxx",
  "tenantId": "xxxx88bf-xxxx-xxxx-xxxx-2d7cd011xxxx",
  "activeDirectoryEndpointUrl": "https://login.microsoftonline.com",
  "resourceManagerEndpointUrl": "https://management.azure.com/",
  "activeDirectoryGraphResourceId": "https://graph.windows.net/",
  "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/",
  "galleryEndpointUrl": "https://gallery.azure.com/",
  "managementEndpointUrl": "https://management.core.windows.net/"
}

Speichern Sie die JSON-Ausgabe, da sie in einem späteren Schritt verwendet wird. Beachten Sie außerdem clientId. Sie benötigen diesen Wert, um den Dienstprinzipal im nächsten Abschnitt zu aktualisieren.

OpenID Connect

OpenID Connect ist eine Authentifizierungsmethode, die kurzlebige Token verwendet. Das Einrichten von OpenID Connect mit GitHub Actions ist komplexer und bietet mehr Sicherheit.

1. Wenn Sie keine bestehende Anwendung besitzen, registrieren Sie eine neue Active Directory-Anwendung und einen neuen Dienstprinzipal, die auf Ressourcen zugreifen können. Erstellen Sie die Active Directory-Anwendung.

   az ad app create --display-name myApp
   

   Dieser Befehl gibt JSON mit einem appId aus, das Ihrem client-id entspricht. Speichern Sie den Wert, der später als AZURE_CLIENT_IDGitHub-Geheimnis verwendet werden soll.

   Sie verwenden den objectId Wert beim Erstellen von Verbundanmeldeinformationen mit Graph-API und verweisen diese als APPLICATION-OBJECT-ID.

2. Erstellen eines Dienstprinzipals Ersetzen Sie $appID durch die AppId aus Ihrer JSON-Ausgabe.

   Dieser Befehl generiert eine JSON-Ausgabe mit einem anderen objectId und wird im nächsten Schritt verwendet. Der neue objectId ist der assignee-object-id.

   Kopieren Sie die appOwnerTenantId, um sie später als GitHub-Geheimnis für AZURE_TENANT_ID zu verwenden.

    az ad sp create --id $appId
   

3. Erstellen Sie eine neue Rollenzuweisung nach Abonnement und Objekt. Standardmäßig ist die Rollenzuweisung an Ihr Standardabonnement gebunden. Ersetzen Sie $subscriptionId durch Ihre Abonnement-ID, $resourceGroupName durch den Namen Ihrer Ressourcengruppe und $assigneeObjectId durch die generierte assignee-object-id. Erfahren Sie, wie Sie Azure-Abonnements mit der Azure CLI verwalten.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/ --assignee-principal-type ServicePrincipal
   

4. Führen Sie den folgenden Befehl aus, um neue Anmeldeinformationen für die Verbundidentität für Ihre Active Directory-Anwendung zu erstellen.

   • Ersetzen Sie APPLICATION-OBJECT-ID durch die ObjectId (die beim Erstellen der Anwendung generiert wurde) für Ihre Active Directory-Anwendung.
   • Legen Sie einen Wert für CREDENTIAL-NAME fest, um später auf ihn zu verweisen.
   • Legen Sie die subject fest. Dieser Wert wird von GitHub in Abhängigkeit von Ihrem Workflow festgelegt:
     • Aufträge in Ihrer GitHub Actions-Umgebung: repo:< Organization/Repository >:environment:< Name >
     • Bei Aufträgen, die nicht an eine Umgebung gebunden sind, fügen Sie den Referenzpfad für den Branch/Tag auf der Grundlage des für die Auslösung des Workflows verwendeten Referenzpfads ein: repo:< Organization/Repository >:ref:< ref path>. Zum Beispiel: repo:n-username/ node_express:ref:refs/heads/my-branch oder repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Für Workflows, die durch ein Pull Request-Ereignis ausgelöst werden: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com/",
       "subject": "repo:organization/repository:ref:refs/heads/main",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

Informationen zum Erstellen einer Active Directory-Anwendung, eines Dienstprinzipals und von Verbundanmeldeinformationen in Azure-Portal finden Sie unter Verbinden GitHub und Azure.

Aktualisieren für die Authentifizierung mit einer Registrierung

Dienstprinzipal

Aktualisieren Sie die Azure-Anmeldeinformationen für den Dienstprinzipal, um Push- und Pullzugriff für Ihre Containerregistrierung zu erlauben. Dieser Schritt ermöglicht dem GitHub-Workflow, den Dienstprinzipal zum Authentifizieren bei Ihrer Containerregistrierung zu verwenden und ein Docker-Image zu pushen und zu pullen.

Rufen Sie die Ressourcen-ID Ihrer Containerregistrierung ab. Fügen Sie im folgenden az acr show-Befehl den Namen Ihrer Registrierung ein:

registryId=$(az acr show \
  --name <registry-name> \
  --resource-group <resource-group-name> \
  --query id --output tsv)

Weisen Sie mit az role assignment create die Rolle „AcrPush“ zu, wodurch die Registrierung Push- und Pull-Zugriff erhält. Fügen Sie die Client-ID Ihres Dienstprinzipals ein:

az role assignment create \
  --assignee <ClientId> \
  --scope $registryId \
  --role AcrPush

OpenID Connect

Sie müssen Ihrer Anwendung die Berechtigung erteilen, auf die Azure Container Registry zuzugreifen und eine Azure-Containerinstanz zu erstellen.

1. Wechseln Sie im Azure-Portal zu App-Registrierungen.

2. Suchen Sie nach Ihrer OpenID Connect-App-Registrierung, und kopieren Sie die Anwendungs-ID (Client).

3. Erteilen Sie Ihrer Ressourcengruppe Berechtigungen für Ihre App. Sie müssen Berechtigungen auf Ressourcengruppenebene festlegen, damit Sie Azure-Containerinstanzen erstellen können.

   az role assignment create \
   --assignee <appID> \
   --role Contributor \
    --scope /subscriptions/<subscription-id>/resourceGroups/<resource-group>
   

Speichern der Anmeldeinformationen im GitHub-Repository

Dienstprinzipal

1. Navigieren Sie auf der GitHub-Benutzeroberfläche zu Ihrem geforkten Repository, und wählen Sie Sicherheit > Geheimnisse und Variablen > Aktionen aus.

2. Klicken Sie auf New repository secret (Neues Repository-Geheimnis), um die folgenden Geheimnisse hinzuzufügen:

`Secret`	Wert
AZURE_CREDENTIALS	Die gesamte JSON-Ausgabe des Schritts zur Dienstprinzipalerstellung
REGISTRY_LOGIN_SERVER	Der Name des Anmeldeservers Ihrer Registrierung (nur Kleinbuchstaben), Beispiel: myregistry.azurecr.io
REGISTRY_USERNAME	Der Wert von clientId aus der JSON-Ausgabe der Dienstprinzipalerstellung
REGISTRY_PASSWORD	Der Wert von clientSecret aus der JSON-Ausgabe der Dienstprinzipalerstellung
RESOURCE_GROUP	Der Name der Ressourcengruppe, die Sie für die Festlegung der Berechtigungen des Dienstprinzipals verwendet haben

OpenID Connect

Sie müssen die Client-ID Ihrer Anwendung, die Mandanten-ID und die Abonnement-ID für die Anmeldeaktion bereitstellen. Diese Werte können entweder direkt im Workflow bereitgestellt werden oder in GitHub-Geheimnissen gespeichert und darauf in Ihrem Workflow verwiesen werden. Das Speichern der Werte als GitHub-Geheimnisse ist die sicherere Option.

1. Öffnen Sie Ihr GitHub-Repository, und wechseln Sie zu Einstellungen > Sicherheit > Geheimnisse und Variablen > Aktionen > Neues Repositorygeheimnis.

2. Erstellen Sie Geheimnisse für AZURE_CLIENT_ID, AZURE_TENANT_ID und AZURE_SUBSCRIPTION_ID. Verwenden Sie diese Werte aus Ihrer Active Directory-Anwendung für Ihre GitHub-Geheimnisse:

   GitHub-Geheimnis	Eine Active Directory-Anwendung
   AZURE_CLIENT_ID	Anwendungs-ID (Client)
   AZURE_TENANT_ID	Verzeichnis-ID (Mandant)
   AZURE_SUBSCRIPTION_ID	Abonnement-ID

3. Speichern Sie jedes Geheimnis, indem Sie Geheimnis hinzufügen auswählen.

Erstellen der Workflowdatei

1. Klicken Sie in der GitHub-Benutzeroberfläche auf Aktionen.
2. Klicken Sie auf set up a workflow yourself (Workflow selbst einrichten).
3. Fügen Sie unter Edit new file (Neue Datei bearbeiten) die folgenden YAML-Inhalte ein, um den Beispielcode zu überschreiben. Akzeptieren Sie den Standarddateinamen main.yml, oder geben Sie einen benutzerdefinierten Dateinamen an.
4. Klicken Sie auf Start commit (Commit starten), geben Sie optional kurze und erweiterte Beschreibungen Ihres Commits an, und klicken Sie auf Commit new file (Neue Datei committen).

Dienstprinzipal

on: [push]
name: Linux_Container_Workflow

jobs:
    build-and-deploy:
        runs-on: ubuntu-latest
        steps:
        # checkout the repo
        - name: 'Checkout GitHub Action'
          uses: actions/checkout@main

        - name: 'Login via Azure CLI'
          uses: azure/login@v1
          with:
            creds: ${{ secrets.AZURE_CREDENTIALS }}

        - name: 'Build and push image'
          uses: docker/login-action@v3
          with:
            registry: $({ secrets.REGISTRY_LOGIN_SERVER })
            username: ${{ secrets.AZURE_CLIENT_ID }}
            password: ${{ secrets.AZURE_CLIENT_SECRET }}
        - run: |
            docker build . -t ${{ secrets.REGISTRY_LOGIN_SERVER }}/sampleapp:${{ github.sha }}
            docker push ${{ secrets.REGISTRY_LOGIN_SERVER }}/sampleapp:${{ github.sha }}

        - name: 'Deploy to Azure Container Instances'
          uses: 'azure/aci-deploy@v1'
          with:
            resource-group: ${{ secrets.RESOURCE_GROUP }}
            dns-name-label: ${{ secrets.RESOURCE_GROUP }}${{ github.run_number }}
            image: ${{ secrets.REGISTRY_LOGIN_SERVER }}/sampleapp:${{ github.sha }}
            registry-login-server: ${{ secrets.REGISTRY_LOGIN_SERVER }}
            registry-username: ${{ secrets.REGISTRY_USERNAME }}
            registry-password: ${{ secrets.REGISTRY_PASSWORD }}
            name: aci-sampleapp
            location: 'west us'

OpenID Connect

on: [push]
name: Linux_Container_Workflow_OIDC

permissions:
  id-token: write
  contents: read

on:
  push:
    branches:
    - main
    - release/*

jobs:
    build-and-deploy:
        runs-on: ubuntu-latest
        steps:
        - name: 'Checkout GitHub Action'
          uses: actions/checkout@main

        - name: 'Login via Azure CLI'
          uses: azure/login@v1
          with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

        - name: Build and push image
          id: build-image
          run: |
           az acr build --image ${{ secrets.REGISTRY_LOGIN_SERVER }}/sampleapp:${{ github.sha }} --registry ${{ secrets.REGISTRY_LOGIN_SERVER }} --file "Dockerfile" .

        - name: 'Deploy to Azure Container Instances'
          uses: 'azure/aci-deploy@v1'
          with:
           resource-group: ${{ secrets.RESOURCE_GROUP }}
           dns-name-label: ${{ secrets.RESOURCE_GROUP }}${{ github.run_number }}
           image: ${{ secrets.REGISTRY_LOGIN_SERVER }}/sampleapp:${{ github.sha }}
           registry-login-server: ${{ secrets.REGISTRY_LOGIN_SERVER }}
           registry-username: ${{ secrets.REGISTRY_USERNAME }}
           registry-password: ${{ secrets.REGISTRY_PASSWORD }}
           name: aci-sampleapp
           location: 'west us'

Überprüfen des Workflows

Nachdem Sie die Workflowdatei committet haben, wird der Workflow ausgelöst. Wenn Sie sich den Fortschritt des Workflows ansehen möchten, navigieren Sie zu Aktionen>Workflows.

Weitere Informationen zum Anzeigen des Status und der Ergebnisse der einzelnen Workflowschritte finden Sie unter Viewing workflow run history (Anzeigen eines Workflowausführungsverlaufs). Wenn der Workflow nicht abgeschlossen wird, lesen Sie Viewing logs to diagnose failures (Anzeigen von Protokollen zur Diagnose von Fehlern).

Nach erfolgreicher Beendigung des Workflows müssen Sie die Informationen zur Containerinstanz namens aci-sampleapp abrufen, indem Sie den Befehl az container show ausführen. Ersetzen Sie den Namen Ihrer Ressourcengruppe:

az container show \
  --resource-group <resource-group-name> \
  --name aci-sampleapp \
  --query "{FQDN:ipAddress.fqdn,ProvisioningState:provisioningState}" \
  --output table

Die Ausgabe Die Ausgabe lautet in etwa wie folgt:

FQDN                                   ProvisioningState
---------------------------------      -------------------
aci-action01.westus.azurecontainer.io  Succeeded

Nachdem die Instanz bereitgestellt wurde, navigieren Sie in Ihrem Browser zum FQDN des Containers, um sich die laufende Web-App anzeigen zu lassen.

Verwenden der Erweiterung „Bereitstellung in Azure“

Alternativ können Sie den Workflow mit der Erweiterung „Bereitstellung in Azure“ in der Azure CLI konfigurieren. Der Befehl az container app up in der Erweiterung nimmt zwei Parameter, um einen Workflow einzurichten, der in Azure Container Instances bereitgestellt werden soll.

Der von der Azure CLI erstellte Workflow ähnelt dem Workflow, den Sie manuell mithilfe von GitHub erstellen können.

Zusätzliche Anforderung

Zusätzlich zu den Voraussetzungen und der Einrichtung des Repositorys für dieses Szenario müssen Sie für die Erweiterung „Bereitstellung in Azure“ in der Azure-Befehlszeilenschnittstelle installieren.

Führen Sie den Befehl az extension add aus, um die Erweiterung zu installieren.

az extension add \
  --name deploy-to-azure

Weitere Informationen dazu, wie Sie Erweiterungen finden, installieren und verwalten, finden Sie unter Verwenden von Erweiterungen mit der Azure CLI.

Ausführen von az container app up

Für die Ausführung des Befehls az container app up müssen mindestens folgende Daten angeben:

• Den Namen Ihrer Azure-Containerregistrierung, z. B. myregistry
• Die URL zu Ihrem GitHub-Repository, z. B. https://github.com/<your-GitHub-Id>/acr-build-helloworld-node

Beispiel für einen Befehl:

az container app up \
  --acr myregistry \
  --repository https://github.com/myID/acr-build-helloworld-node

Befehlsausführung

• Stellen Sie bei Aufforderung Ihre GitHub-Anmeldeinformationen oder ein persönliches GitHub-Zugriffstoken bereit, das über den Rollenumfang Repository und Benutzer verfügt, um sich bei Ihrem GitHub-Konto zu authentifizieren. Wenn Sie GitHub-Anmeldeinformationen angeben, erstellt der Befehl ein persönliches Zugriffstoken für Sie. Befolgen Sie weitere Aufforderungen, um den Workflow zu konfigurieren.

• Der Befehl erstellt Repositorygeheimnisse für den Workflow:

  • Anmeldeinformationen des Dienstprinzipals für die Azure CLI
  • Anmeldeinformationen für den Zugriff auf die Azure-Containerregistrierung

• Nach dem der Befehl die Workflowdatei für Ihr Repository committet hat, wird der Workflow ausgelöst.

Die Ausgabe Die Ausgabe lautet in etwa wie folgt:

[...]
Checking in file github/workflows/main.yml in the GitHub repository myid/acr-build-helloworld-node
Creating workflow...
GitHub Action Workflow has been created - https://github.com/myid/acr-build-helloworld-node/runs/515192398
GitHub workflow completed.
Workflow succeeded
Your app is deployed at:  http://acr-build-helloworld-node.eastus.azurecontainer.io:8080/

Wie Sie den Workflowstatus und die Ergebnissen der einzelnen Schritte in der GitHub-Benutzeroberfläche aufrufen, erfahren Sie unter Viewing workflow run history (Anzeigen eines Workflowausführungsverlaufs).

Überprüfen des Workflows

Der Workflow stellt eine Azure-Containerinstanz mit dem Basisnamen Ihres GitHub-Repositorys bereit. In diesem Beispiel handelt es sich dabei um acr-build-helloworld-node. Nach erfolgreicher Beendigung des Workflows müssen Sie die Informationen zur Containerinstanz namens acr-build-helloworld-node abrufen, indem Sie den Befehl az container show ausführen. Ersetzen Sie den Namen Ihrer Ressourcengruppe:

az container show \
  --resource-group <resource-group-name> \
  --name acr-build-helloworld-node \
  --query "{FQDN:ipAddress.fqdn,ProvisioningState:provisioningState}" \
  --output table

Die Ausgabe Die Ausgabe lautet in etwa wie folgt:

FQDN                                                   ProvisioningState
---------------------------------                      -------------------
acr-build-helloworld-node.westus.azurecontainer.io     Succeeded

Nachdem die Instanz bereitgestellt wurde, navigieren Sie in Ihrem Browser zum FQDN des Containers, um sich die laufende Web-App anzeigen zu lassen.

Bereinigen von Ressourcen

Beenden Sie die Containerinstanz mithilfe des Befehls az container delete:

az container delete \
  --name <instance-name>
  --resource-group <resource-group-name>

Zum Löschen der Ressourcengruppe und aller enthaltenen Clusterressourcen führen Sie den Befehl az group delete aus.

az group delete \
  --name <resource-group-name>

Nächste Schritte

Navigieren Sie zum GitHub Marketplace. Dort finden Sie weitere Aktionen zum Automatisieren Ihres Bereitstellungsworkflows.