Implementación de un contenedor personalizado en App Service con Acciones de GitHub

Artículo
06/01/2023

Acciones de GitHub le ofrece la flexibilidad de compilar un flujo de trabajo de desarrollo de software automatizado. Gracias a la acción de Azure Web Deploy, puede automatizar el flujo de trabajo para implementar contenedores personalizados en App Service con Acciones de GitHub.

Un archivo YAML (.yml) define un flujo de trabajo en la ruta de acceso /.github/workflows/ de su repositorio. En esta definición se incluyen los diversos pasos y parámetros que se incluyen en el flujo de trabajo.

Para un flujo de trabajo de contenedor de Azure App Service, el archivo tiene tres secciones:

Sección	Tareas
Autenticación	1. Recupere una entidad de servicio o un perfil de publicación. 2. Cree un secreto de GitHub.
Compilar	1. Cree el entorno. 2. Compile la imagen de contenedor.
Implementación	1. Implemente la imagen de contenedor.

Requisitos previos

Una cuenta de Azure con una suscripción activa. Cree su cuenta de forma gratuita.
Una cuenta de GitHub. Si no tiene ninguna, regístrese gratis. Debe tener código en un repositorio de GitHub para implementar en Azure App Service.
Un registro de contenedor en funcionamiento y la aplicación de Azure App Service para contenedores. En este ejemplo, se utiliza Azure Container Registry. Asegúrese de completar toda la implementación en Azure App Service para contenedores. A diferencia de las aplicaciones web normales, las aplicaciones web para contenedores no tienen una página de aterrizaje predeterminada. Publique el contenedor para tener un ejemplo práctico.
- Aprenda a crear una aplicación de Node.js en contenedor con Docker, insertar la imagen de contenedor en un registro y, a continuación, implementar la imagen en Azure App Service.

Genere las credenciales de implementación.

La manera recomendada de autenticarse con Azure App Services para las Acciones de GitHub es con un perfil de publicación. También puede autenticarse con Open ID Connect o una entidad de servicio, pero el proceso requiere más pasos.

Guarde la credencial de perfil de publicación o la entidad de servicio como secreto de GitHub para autenticarse con Azure. Tendrá acceso al secreto en el flujo de trabajo.

Un perfil de publicación es una credencial de nivel de aplicación. Configure el perfil de publicación como secreto de GitHub.

En Azure Portal, vaya a la aplicación de App Service.
En la página de Información general, seleccione Obtener perfil de publicación.

Nota

A partir de octubre de 2020, las aplicaciones web de Linux deberán tener la opción de configuración de la aplicación WEBSITE_WEBDEPLOY_USE_SCM establecida en trueantes de descargar el archivo. Este paso dejará de ser un requisito en el futuro. Consulte Configurar una aplicación de App Service en Azure Portal para aprender a configurar las opciones de aplicaciones web comunes.
Guarde el archivo descargado. Usará el contenido del archivo para crear un secreto de GitHub.

Puede crear una entidad de servicio mediante el comando az ad sp create-for-rbac de la CLI de Azure. Puede ejecutar este comando mediante Azure Cloud Shell en Azure Portal o haciendo clic en el botón Probar.

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

En este ejemplo, reemplace los marcadores de posición por su identificador de suscripción, el nombre del grupo de recursos y el nombre de la aplicación. La salida es un objeto JSON con las credenciales de asignación de roles que proporcionan acceso a la aplicación de App Service. Copie este objeto JSON para más adelante.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Importante

Siempre es recomendable conceder acceso mínimo. El ámbito del ejemplo anterior se limita a la aplicación específica de App Service y no a todo el grupo de recursos.

Open ID Connect es un método de autenticación que usa tokens de corta duración. La configuración de OpenID Connect con Acciones de GitHub es un proceso más complejo que ofrece seguridad reforzada.

Si no tiene una aplicación existente, registre una nueva aplicación de Active Directory y una entidad de servicio que puedan acceder a los recursos. Cree la aplicación de Active Directory.
```
az ad app create --display-name myApp
```
Este comando genera un JSON de salida con un appId que es su client-id. Guarde el valor que se usará como secreto de GitHub de AZURE_CLIENT_ID más adelante.

Usará el valor de objectId al crear credenciales federadas con Graph API y hará referencia a dicho valor como APPLICATION-OBJECT-ID.
Crear una entidad de servicio. Reemplace $appID por el valor de appId de la salida de JSON.

Este comando genera una salida de JSON con un objectId diferente y se usará en el siguiente paso. El nuevo objectId es assignee-object-id.

Copie el appOwnerTenantId para usarlo como secreto de GitHub para AZURE_TENANT_ID más adelante.
```
 az ad sp create --id $appId
```
Cree una asignación de roles por suscripción y objeto. De forma predeterminada, la asignación de roles se vinculará a la suscripción predeterminada. Reemplace $subscriptionId por el identificador de suscripción, $resourceGroupName por el nombre del grupo de recursos y $assigneeObjectId por el valor de assignee-object-id generado. Obtenga información sobre cómo administrar suscripciones de Azure con la CLI de Azure.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
```
Ejecute el siguiente comando para crear una credencial de identidad federada para la aplicación de Active Directory.
- Reemplace APPLICATION-OBJECT-ID por el objectId (generado al crear la aplicación) de la aplicación de Active Directory.
- Establezca un valor para CREDENTIAL-NAME al que haga referencia más adelante.
- Establezca subject. Este valor lo define GitHub en función del flujo de trabajo:
  - Trabajos en el entorno de Acciones de GitHub: repo:< Organization/Repository >:environment:< Name >
  - En el caso de los trabajos no vinculados a un entorno, incluya la ruta de acceso de referencia para una rama o etiqueta en función de la ruta de acceso de referencia usada para desencadenar el flujo de trabajo: repo:< Organization/Repository >:ref:< ref path>. Por ejemplo, repo:n-username/ node_express:ref:refs/heads/my-branch o repo:n-username/ node_express:ref:refs/tags/my-tag.
  - En el caso de los flujos de trabajo desencadenados por un evento de solicitud de incorporación de cambios: repo:< Organization/Repository >:pull_request.
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
```
Para obtener información sobre cómo crear una aplicación, una entidad de servicio y credenciales federadas de Active Directory en Azure Portal, consulte Conexión de GitHub y Azure.

Configuración del secreto de GitHub para la autenticación

En GitHub, examine el repositorio. Seleccione Configuración > Seguridad > Secretos y variables > Acciones > Nuevo secreto del repositorio.

Para usar las credenciales de nivel de aplicación, pegue el contenido del archivo del perfil de publicación descargado en el campo de valor del secreto. Asigne al secreto el siguiente nombre: AZURE_WEBAPP_PUBLISH_PROFILE.

Al configurar el flujo de trabajo de GitHub, use AZURE_WEBAPP_PUBLISH_PROFILE en la acción de implementación de aplicación web de Azure. Por ejemplo:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

En GitHub, examine el repositorio. Seleccione Configuración > Seguridad > Secretos y variables > Acciones > Nuevo secreto del repositorio.

Para utilizar las credenciales de nivel de usuario, pegue toda la salida JSON del comando CLI de Azure en el campo de valor del secreto. Asigne un nombre al secreto, como AZURE_CREDENTIALS.

Cuando configure el archivo de flujo de trabajo más adelante, usará el secreto para la entrada creds de la acción de inicio de sesión de Azure. Por ejemplo:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

Debe especificar el identificador de cliente, el identificador de inquilino y el identificador de suscripción en la acción de inicio de sesión. Estos valores se pueden proporcionar directamente en el flujo de trabajo o se pueden almacenar en secretos de GitHub y se puede hacer referencia a ellos en el flujo de trabajo. Guardar los valores como secretos de GitHub es la opción más segura.

Abra el repositorio de GitHub y vaya a Configuración > Seguridad > Secretos y variables > Acciones > Nuevo secreto de repositorio.
Cree secretos para AZURE_CLIENT_ID, AZURE_TENANT_ID y AZURE_SUBSCRIPTION_ID. Use estos valores de la aplicación de Active Directory para los secretos de GitHub. Puede encontrar estos valores en Azure Portal buscando la aplicación de Active Directory.

Secreto de GitHub Aplicación de Active Directory

AZURE_CLIENT_ID Id. de aplicación (cliente)

AZURE_TENANT_ID Id. de directorio (inquilino)

AZURE_SUBSCRIPTION_ID Id. de suscripción
Guarde todos los secretos, para lo que debe seleccionar Add secret (Agregar secreto).

Secreto de GitHub	Aplicación de Active Directory
AZURE_CLIENT_ID	Id. de aplicación (cliente)
AZURE_TENANT_ID	Id. de directorio (inquilino)
AZURE_SUBSCRIPTION_ID	Id. de suscripción

Configuración de secretos de GitHub para el registro

Defina los secretos que se usarán con la acción de inicio de sesión de Docker. En el ejemplo de este documento se utiliza Azure Container Registry para el registro del contenedor.

Vaya al contenedor en Azure Portal o Docker y copie el nombre de usuario y la contraseña. Puede encontrar el nombre de usuario y la contraseña de Azure Container Registry en Azure Portal en Configuración>Claves de acceso para el registro.
Defina un nuevo secreto para el nombre de usuario del registro llamado REGISTRY_USERNAME.
Defina un nuevo secreto para la contraseña del registro llamada REGISTRY_PASSWORD.

Compilación de la imagen de contenedor

En el ejemplo siguiente se muestra parte del flujo de trabajo que compila una imagen de Docker de Node.js. Use el inicio de sesión de Docker en un registro de contenedor privado. En este ejemplo se usa Azure Container Registry, pero la misma acción funciona para otros registros.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

También puede usar el inicio de sesión de Docker para iniciar sesión en varios registros de contenedor al mismo tiempo. Este ejemplo incluye dos nuevos secretos de GitHub para la autenticación con docker.io. En el ejemplo se da por supuesto que hay un Dockerfile en el nivel raíz del registro.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

Implementación en un contenedor de App Service

Para implementar la imagen en un contenedor personalizado en App Service, use la acción azure/webapps-deploy@v2. Esta acción tiene siete parámetros:

Parámetro	Explicación
app-name	(Obligatorio) Especifique el nombre de la aplicación de App Service.
publish-profile	(Opcional) Se aplica a Web Apps (Windows y Linux) y a los contenedores de aplicaciones web (Linux). No se admite el escenario de varios contenedores. Publique el contenido del archivo de perfil (*.publishsettings) con secretos de Web Deploy.
slot-name	(Opcional) Especifique un espacio existente que no sea el de producción.
package	(Opcional) Solo se aplica a la aplicación web: ruta de acceso al paquete o la carpeta. .zip, .war, *.jar o una carpeta para implementar
images	(Necesario) Solo se aplica a contenedores de aplicaciones web: especifique el nombre completo de las imágenes de contenedor. Por ejemplo, 'myregistry.azurecr.io/nginx:latest' o 'python:3.7.2-alpine/'. En el caso de una aplicación de varios contenedores, se pueden especificar varios nombres de imagen de contenedor (separados por varias líneas).
configuration-file	(Opcional) Solo se aplica a contenedores de aplicaciones web: ruta de acceso del archivo Docker Compose. Debe ser una ruta de acceso completa o relativa al directorio de trabajo predeterminado. Se requiere para las aplicaciones de varios contenedores.
startup-command	(Opcional) Escriba el comando de inicio. Por ejemplo, dotnet run o dotnet filename.dll

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Pasos siguientes

Puede encontrar nuestro conjunto de acciones agrupadas en distintos repositorios de GitHub, cada uno con documentación y ejemplos que le ayudarán a usar GitHub con CI/CD y a implementar sus aplicaciones en Azure.