Rövid útmutató: A GitHub Actions használata az Azure Database for PostgreSQL-hez való csatlakozáshoz – rugalmas kiszolgáló

Cikk
03/20/2024

A következőkre vonatkozik: Azure Database for PostgreSQL – Önálló azure database for PostgreSQL – rugalmas kiszolgáló

Fontos

Azure Database for PostgreSQL – Az önálló kiszolgáló a kivezetési útvonalon van. Határozottan javasoljuk, hogy frissítsen az Azure Database for PostgreSQL rugalmas kiszolgálóra. A rugalmas Azure Database for PostgreSQL-kiszolgálóra való migrálással kapcsolatos további információkért lásd: Mi történik az önálló Azure Database for PostgreSQL-kiszolgálóval?

Ismerkedjen meg a GitHub Actions szolgáltatással egy munkafolyamattal, amellyel adatbázis-frissítéseket helyezhet üzembe a rugalmas Azure Database for PostgreSQL-kiszolgálón.

Előfeltételek

A következők szükségesek:

Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
Egy GitHub-adattár mintaadatokkal (data.sql). Ha nincs GitHub-fiókja, regisztráljon ingyenesen.
Rugalmas Azure Database for PostgreSQL-kiszolgálópéldány.
- Rövid útmutató: Azure Database for PostgreSQL létrehozása – Rugalmas kiszolgálópéldány létrehozása az Azure Portalon

Munkafolyamat-fájl áttekintése

A GitHub Actions-munkafolyamatokat egy YAML-fájl (.yml) definiálja az /.github/workflows/ adattár elérési útján. Ez a definíció a munkafolyamatot alkotó különböző lépéseket és paramétereket tartalmazza.

A fájl két szakaszból áll:

Section	Tevékenységek
Hitelesítés	1. Üzembehelyezési hitelesítő adatok létrehozása.
Telepítés	1. Helyezze üzembe az adatbázist.

Üzembehelyezési hitelesítő adatok létrehozása

Egyszerű szolgáltatás
OpenID Connect

Hozzon létre egy egyszerű szolgáltatást az az ad sp create-for-rbac paranccsal az Azure CLI-ben. Futtassa ezt a parancsot az Azure Cloud Shell használatával az Azure Portalon, vagy a Kipróbálás gombra kattintva.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

A paraméter --json-auth az Azure CLI 2.51.0-s verzióiban >érhető el. A használat --sdk-auth előtti verziók elavultsági figyelmeztetéssel.

A fenti példában cserélje le a helyőrzőket az előfizetés azonosítójára, az erőforráscsoport nevére és az alkalmazás nevére. A kimenet egy JSON-objektum, amelynek szerepkör-hozzárendelési hitelesítő adatai az alábbiakhoz hasonló hozzáférést biztosítanak az App Service-alkalmazáshoz. Másolja ezt a JSON-objektumot későbbre.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Az OpenID Csatlakozás egy olyan hitelesítési módszer, amely rövid élettartamú jogkivonatokat használ. Az OpenID Csatlakozás beállítása a GitHub Actions használatával összetettebb folyamat, amely fokozott biztonságot nyújt.

Ha nem rendelkezik meglévő alkalmazással, regisztráljon egy új Microsoft Entra-alkalmazást és szolgáltatásnevet, amely hozzáfér az erőforrásokhoz.
```
az ad app create --display-name myApp
```
Ez a parancs jSON-t appId ad ki az Ön által.client-id Ez objectId az, APPLICATION-OBJECT-ID és az összevont hitelesítő adatok Graph API-hívásokhoz való létrehozásához lesz használva. Mentse később GitHub-titkos kódként AZURE_CLIENT_ID használni kívánt értéket.
Hozzon létre egy szolgáltatásnevet. Cserélje le az $appID appId-et a JSON-kimenetből. Ez a parancs egy másik objectId JSON-kimenetet hoz létre a következő lépésben. Az új objectId a assignee-object-id.

Ez a parancs egy másik objectId JSON-kimenetet hoz létre, és a következő lépésben fogja használni. Az új objectId a assignee-object-id.

Másolja ki a appOwnerTenantId gitHub-titkos kódként való használathoz későbbi használatra AZURE_TENANT_ID .
```
 az ad sp create --id $appId
```
Hozzon létre egy új szerepkör-hozzárendelést előfizetés és objektum szerint. A szerepkör-hozzárendelés alapértelmezés szerint az alapértelmezett előfizetéshez lesz kötve. Cserélje le $subscriptionId az előfizetés azonosítóját az $resourceGroupName erőforráscsoport nevére és $assigneeObjectId a generáltra assignee-object-id (az újonnan létrehozott szolgáltatásnév-objektumazonosítóra).
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
Futtassa az alábbi parancsot egy új összevont identitás hitelesítő adatainak létrehozásához a Microsoft Entra-alkalmazáshoz.
- Cserélje le APPLICATION-OBJECT-ID a Microsoft Entra-alkalmazás objektumazonosítóját (amely az alkalmazás létrehozásakor jön létre).
- Adjon meg egy értéket a CREDENTIAL-NAME későbbi hivatkozáshoz.
- Állítsa be a subject. Ennek értékét a GitHub határozza meg a munkafolyamattól függően:
  - Feladatok a GitHub Actions-környezetben: repo:< Organization/Repository >:environment:< Name >
  - A környezethez nem kapcsolódó feladatok esetében adja meg az ág/címke hiv elérési útját a munkafolyamat aktiválásához használt hiv elérési út alapján: repo:< Organization/Repository >:ref:< ref path>. Például, repo:n-username/ node_express:ref:refs/heads/my-branch vagy repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Lekéréses kérelem esemény által aktivált munkafolyamatok esetén: repo:< Organization/Repository >:pull_request.
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

Másolja a rugalmas Azure Database for PostgreSQL-kiszolgálót kapcsolati sztring

Az Azure Portalon nyissa meg rugalmas Azure Database for PostgreSQL-kiszolgálópéldányát, és nyissa meg Gépház> Csatlakozás ion-sztringeket. Másolja az ADO.NET kapcsolati sztringet. Cserélje le a helyőrző értékeket a következőre your_database : és your_password. A kapcsolati sztring ehhez hasonlóan néz ki.

Fontos

Az önálló Azure Database for PostgreSQL-kiszolgálóhoz használja a következőt user=adminusername@servername : . Vegye figyelembe, hogy a @servername szükséges.
Rugalmas Azure Database for PostgreSQL-kiszolgáló esetén használja user= adminusername a @servername.

psql host={servername.postgres.database.azure.com} port=5432 dbname={your_database} user={adminusername} password={your_database_password} sslmode=require

A kapcsolati sztring GitHub-titkos kódként használja.

A GitHubon nyissa meg az adattárat.
Nyissa meg a Gépház a navigációs menüben.
Válassza ki a Biztonsági > titkos kulcsok és változók > műveletek lehetőséget.
Válassza az Új tárház titkos kódját.
Illessze be az Azure CLI parancs teljes JSON-kimenetét a titkos kód értékmezőjébe. Adja meg a titkos nevet AZURE_CREDENTIALS.
Válassza az Add secret (Titkos kód hozzáadása) lehetőséget.

Meg kell adnia az alkalmazás ügyfél-azonosítóját, bérlőazonosítóját és előfizetés-azonosítóját a bejelentkezési művelethez. Ezek az értékek közvetlenül a munkafolyamatban is megadhatóak, vagy a GitHub titkos kulcsaiban tárolhatók, és a munkafolyamatban hivatkozhatnak gombra. Az értékek GitHub-titkos kulcsként való mentése a biztonságosabb megoldás.

A GitHubon nyissa meg az adattárat.
Válassza ki a Biztonsági > titkos kulcsok és változók > műveletek lehetőséget.
Válassza az Új tárház titkos kódját.

Titkos kulcsok létrehozása a következőhöz AZURE_CLIENT_ID: , AZURE_TENANT_IDés AZURE_SUBSCRIPTION_ID. Használja ezeket az értékeket a Microsoft Entra-alkalmazásból a GitHub-titkos kulcsokhoz:

GitHub-titkos kód	Microsoft Entra-alkalmazás
AZURE_CLIENT_ID	Alkalmazás (ügyfél) azonosítója
AZURE_TENANT_ID	Címtár (bérlő) azonosítója
AZURE_SUBSCRIPTION_ID	Előfizetés azonosítója

Mentse az egyes titkos kulcsokat a Titkos kód hozzáadása gombra kattintva.

Munkafolyamat hozzáadása

Nyissa meg a GitHub-adattár műveletek elemét.
Válassza a Munkafolyamat beállítása lehetőséget.
Töröljön mindent a on: munkafolyamat-fájl szakasza után. A fennmaradó munkafolyamat például így nézhet ki.
```
name: CI

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]
```

Nevezze át a munkafolyamatot PostgreSQL for GitHub Actions , és adja hozzá a kivételt és a bejelentkezési műveleteket. Ezek a műveletek ellenőrzik a webhely kódját, és hitelesítik az Azure-ban a korábban létrehozott GitHub-titkos kód(ok) használatával.

Egyszerű szolgáltatás
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Az Azure PostgreSQL Deploy művelet használatával csatlakozzon rugalmas Azure Database for PostgreSQL-kiszolgálópéldányához. Cserélje le POSTGRESQL_SERVER_NAME a kiszolgáló nevére. Rendelkeznie kell egy rugalmas Azure Database for PostgreSQL-kiszolgálóadatfájllal, amely az adattár gyökérszintjén van elnevezve data.sql .
```
 - uses: azure/postgresql@v1
   with:
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    server-name: POSTGRESQL_SERVER_NAME
    plsql-file: './data.sql'
```

Végezze el a munkafolyamatot úgy, hogy hozzáad egy műveletet az Azure-ból való kijelentkezéshez. Itt található a befejezett munkafolyamat. A fájl megjelenik az .github/workflows adattár mappájában.

Egyszerű szolgáltatás
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CREDENTIALS }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

Az üzembe helyezés áttekintése

Nyissa meg a GitHub-adattár műveletek elemét.
Nyissa meg az első eredményt a munkafolyamat futtatásának részletes naplóinak megtekintéséhez.

Az erőforrások eltávolítása

Ha már nincs szükség rugalmas Azure Database for PostgreSQL-kiszolgálóadatbázisra és -adattárra, törölje az üzembe helyezett erőforrásokat az erőforráscsoport és a GitHub-adattár törlésével.

Következő lépések

Az Azure és a GitHub integrációjának ismertetése

Útmutató a kiszolgálóhoz való csatlakozáshoz