ARM-sablonok üzembe helyezése a GitHub Actions használatával

A GitHub Actions a GitHub szolgáltatáscsomagja, amely automatizálja a szoftverfejlesztési munkafolyamatokat ugyanazon a helyen, ahol a kódot tárolja, és együttműködik a lekéréses kérelmeken és problémákon.

Az Azure Resource Manager-sablon üzembe helyezése művelettel automatizálhatja egy Azure Resource Manager-sablon (ARM-sablon) Üzembe helyezését az Azure-ban.

Előfeltételek

• Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.

• Egy GitHub-fiók. Ha nincs fiókja, ingyenesen regisztrálhat egyet.

  • Egy GitHub-adattár a Resource Manager-sablonok és a munkafolyamat-fájlok tárolására. A létrehozásról az Új adattár létrehozása című témakörben olvashat.

Munkafolyamat-fájl áttekintése

A munkafolyamatokat egy YAML-fájl (.yml) határozza meg az /.github/workflows/ adattár elérési útján. Ez a definíció a munkafolyamatot alkotó különböző lépéseket és paramétereket tartalmazza.

A fájl két szakaszból áll:

Szakasz	Tevékenységek
Hitelesítés	1. Üzembehelyezési hitelesítő adatok létrehozása.
Telepítés	1. Telepítse a Resource Manager-sablont.

Üzembehelyezési hitelesítő adatok létrehozása

Egyszerű szolgáltatás

Hozzon létre egy egyszerű szolgáltatást az az ad sp create-for-rbac paranccsal az Azure CLI-ben. Futtassa ezt a parancsot az Azure Cloud Shell használatával az Azure Portalon, vagy a Kipróbálás gombra kattintva.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

A paraméter --json-auth az Azure CLI 2.51.0-s verzióiban >érhető el. A használat --sdk-auth előtti verziók elavultsági figyelmeztetéssel.

A fenti példában cserélje le a helyőrzőket az előfizetés azonosítójára, az erőforráscsoport nevére és az alkalmazás nevére. A kimenet egy JSON-objektum, amelynek szerepkör-hozzárendelési hitelesítő adatai az alábbiakhoz hasonló hozzáférést biztosítanak az App Service-alkalmazáshoz. Másolja ezt a JSON-objektumot későbbre.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

Az OpenID Csatlakozás egy olyan hitelesítési módszer, amely rövid élettartamú jogkivonatokat használ. Az OpenID Csatlakozás beállítása a GitHub Actions használatával összetettebb folyamat, amely fokozott biztonságot nyújt.

1. Ha nem rendelkezik meglévő alkalmazással, regisztráljon egy új Microsoft Entra-alkalmazást és szolgáltatásnevet, amely hozzáfér az erőforrásokhoz.

   az ad app create --display-name myApp
   

   Ez a parancs jSON-t appId ad ki az Ön által.client-id Ez objectId az, APPLICATION-OBJECT-ID és az összevont hitelesítő adatok Graph API-hívásokhoz való létrehozásához lesz használva. Mentse később GitHub-titkos kódként AZURE_CLIENT_ID használni kívánt értéket.

2. Hozzon létre egy szolgáltatásnevet. Cserélje le az $appID appId-et a JSON-kimenetből. Ez a parancs egy másik objectId JSON-kimenetet hoz létre a következő lépésben. Az új objectId a assignee-object-id.

   Ez a parancs egy másik objectId JSON-kimenetet hoz létre, és a következő lépésben fogja használni. Az új objectId a assignee-object-id.

   Másolja ki a appOwnerTenantId gitHub-titkos kódként való használathoz későbbi használatra AZURE_TENANT_ID .

    az ad sp create --id $appId
   

3. Hozzon létre egy új szerepkör-hozzárendelést előfizetés és objektum szerint. A szerepkör-hozzárendelés alapértelmezés szerint az alapértelmezett előfizetéshez lesz kötve. Cserélje le $subscriptionId az előfizetés azonosítóját az $resourceGroupName erőforráscsoport nevére és $assigneeObjectId a generáltra assignee-object-id (az újonnan létrehozott szolgáltatásnév-objektumazonosítóra).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Futtassa az alábbi parancsot egy új összevont identitás hitelesítő adatainak létrehozásához a Microsoft Entra-alkalmazáshoz.

   • Cserélje le APPLICATION-OBJECT-ID a Microsoft Entra-alkalmazás objektumazonosítóját (amely az alkalmazás létrehozásakor jön létre).
   • Adjon meg egy értéket a CREDENTIAL-NAME későbbi hivatkozáshoz.
   • Állítsa be a subject. Ennek értékét a GitHub határozza meg a munkafolyamattól függően:
     • Feladatok a GitHub Actions-környezetben: repo:< Organization/Repository >:environment:< Name >
     • A környezethez nem kapcsolódó feladatok esetében adja meg az ág/címke hiv elérési útját a munkafolyamat aktiválásához használt hiv elérési út alapján: repo:< Organization/Repository >:ref:< ref path>. Például, repo:n-username/ node_express:ref:refs/heads/my-branch vagy repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Lekéréses kérelem esemény által aktivált munkafolyamatok esetén: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

A GitHub titkos kulcsainak konfigurálása

Egyszerű szolgáltatás

1. A GitHubon nyissa meg az adattárat.

2. Nyissa meg a Gépház a navigációs menüben.

3. Válassza ki a Biztonsági > titkos kulcsok és változók > műveletek lehetőséget.

   

4. Válassza az Új tárház titkos kódját.

5. Illessze be az Azure CLI parancs teljes JSON-kimenetét a titkos kód értékmezőjébe. Adja meg a titkos nevet AZURE_CREDENTIALS.

6. Válassza az Add secret (Titkos kód hozzáadása) lehetőséget.

OpenID Connect

Meg kell adnia az alkalmazás ügyfél-azonosítóját, bérlőazonosítóját és előfizetés-azonosítóját a bejelentkezési művelethez. Ezek az értékek közvetlenül a munkafolyamatban is megadhatóak, vagy a GitHub titkos kulcsaiban tárolhatók, és a munkafolyamatban hivatkozhatnak gombra. Az értékek GitHub-titkos kulcsként való mentése a biztonságosabb megoldás.

1. A GitHubon nyissa meg az adattárat.

2. Válassza ki a Biztonsági > titkos kulcsok és változók > műveletek lehetőséget.

   

3. Válassza az Új tárház titkos kódját.

4. Titkos kulcsok létrehozása a következőhöz AZURE_CLIENT_ID: , AZURE_TENANT_IDés AZURE_SUBSCRIPTION_ID. Használja ezeket az értékeket a Microsoft Entra-alkalmazásból a GitHub-titkos kulcsokhoz:

   GitHub-titkos kód	Microsoft Entra-alkalmazás
   AZURE_CLIENT_ID	Alkalmazás (ügyfél) azonosítója
   AZURE_TENANT_ID	Címtár (bérlő) azonosítója
   AZURE_SUBSCRIPTION_ID	Előfizetés azonosítója

5. Mentse az egyes titkos kulcsokat a Titkos kód hozzáadása gombra kattintva.

Resource Manager-sablon hozzáadása

Adjon hozzá Resource Manager-sablont a GitHub-adattárhoz. Ez a sablon létrehoz egy tárfiókot.

https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json

A fájlt bárhol elhelyezheti az adattárban. A következő szakaszban található munkafolyamat-minta feltételezi, hogy a sablonfájl neve azuredeploy.json, és az adattár gyökerében lesz tárolva.

Munkafolyamat létrehozása

A munkafolyamat-fájlt az adattár gyökerében található .github/workflows mappában kell tárolni. A munkafolyamat fájlkiterjesztése lehet .yml vagy .yaml.

1. A GitHub-adattárban válassza a Műveletek lehetőséget a felső menüben.
2. Válassza az Új munkafolyamat lehetőséget.
3. Válassza ki , hogy saját maga állítson be egy munkafolyamatot.
4. Nevezze át a munkafolyamat-fájlt, ha más nevet szeretne, mint main.yml. Például: deployStorageAccount.yml.
5. Az .yml-fájl tartalmát írja felül a következővel:

Egyszerű szolgáltatás

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Feljegyzés

Az ARM Deploy műveletben (például: .azuredeploy.parameters.json) megadhat egy JSON formátumparaméterfájlt.

A munkafolyamat-fájl első szakasza a következőket tartalmazza:

• név: A munkafolyamat neve.
• on: A munkafolyamatot aktiváló GitHub-események neve. A munkafolyamat akkor aktiválódik, ha leküldéses esemény van a fő ágon, amely módosítja a két megadott fájl legalább egyikét. A két fájl a munkafolyamat-fájl és a sablonfájl.

OpenID Connect

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Feljegyzés

Az ARM Deploy műveletben (például: .azuredeploy.parameters.json) megadhat egy JSON formátumparaméterfájlt.

A munkafolyamat-fájl első szakasza a következőket tartalmazza:

• név: A munkafolyamat neve.
• on: A munkafolyamatot aktiváló GitHub-események neve. A munkafolyamat akkor aktiválódik, ha leküldéses esemény van a fő ágon, amely módosítja a két megadott fájl legalább egyikét. A két fájl a munkafolyamat-fájl és a sablonfájl.

1. Válassza a Start commit (Véglegesítés indítása) lehetőséget.
2. Válassza a Véglegesítés lehetőséget közvetlenül a főágra.
3. Válassza az Új fájl véglegesítése (vagy Módosítások véglegesítése) lehetőséget.

Mivel a munkafolyamatot úgy konfigurálta, hogy a munkafolyamat-fájl vagy a frissített sablonfájl aktiválja, a munkafolyamat közvetlenül a módosítások véglegesítése után indul el.

Munkafolyamat állapotának ellenőrzése

1. Válassza a Műveletek lapot. Megjelenik egy létrehozási deployStorageAccount.yml munkafolyamat a listában. A munkafolyamat futtatása 1–2 percet vesz igénybe.
2. Válassza ki a munkafolyamatot a megnyitásához.
3. Válassza az ARM-telepítés futtatása lehetőséget a menüben az üzembe helyezés ellenőrzéséhez.

Az erőforrások eltávolítása

Ha már nincs szükség az erőforráscsoportra és az adattárra, törölje az üzembe helyezett erőforrásokat az erőforráscsoport és a GitHub-adattár törlésével.

Következő lépések

Az első ARM-sablon létrehozása

Learn modul: ARM-sablonok üzembe helyezésének automatizálása a GitHub Actions használatával