Distribuire modelli di ARM usando GitHub Actions

GitHub Actions è una suite di funzionalità in GitHub che serve ad automatizzare i flussi di lavoro dello sviluppo di software nella stessa posizione in cui si archivia il codice, ed a collaborare ai problemi e alle richieste pull.

Usare l'azione Deploy Azure Resource Manager Template Action (Distribuisci modello di Azure Resource Manager) per automatizzare la distribuzione di un modello di Azure Resource Manager (modello di ARM) in Azure.

Prerequisiti

• Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.

• Un account GitHub. Se non è disponibile, iscriversi per riceverne uno gratuito.

  • Un repository GitHub per archiviare i modelli di Resource Manager e i file del flusso di lavoro. Per crearne uno, vedere Creazione di un nuovo repository.

Panoramica dei file del flusso di lavoro

Un flusso di lavoro viene definito da un file YAML (con estensione yml) nel percorso /.github/workflows/ del repository. Questa definizione contiene i vari passaggi e i parametri che costituiscono il flusso di lavoro.

Il file è costituito da due sezioni:

Sezione	Attività
Autenticazione	1. Generare le credenziali per la distribuzione.
Distribuzione	1. Distribuire il modello di Resource Manager.

Generare le credenziali per la distribuzione

Entità servizio

Creare un'entità servizio con il comando az ad sp create-for-rbacdell’interfaccia della riga di comando di Azure. Eseguire questo comando con Azure Cloud Shell nel portale di Azure oppure selezionando il pulsante Prova.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

Il parametro --json-auth è disponibile nelle versioni >dell'interfaccia della riga di comando di Azure = 2.51.0. Versioni precedenti a questo utilizzo --sdk-auth con un avviso di deprecazione.

Nell'esempio precedente sostituire i segnaposto con l'ID sottoscrizione e il nome del gruppo di risorse. L'output è un oggetto JSON con le credenziali di assegnazione di ruolo che forniscono l'accesso all'app del servizio app simile a questo esempio. Copiare l'oggetto JSON per un uso successivo.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Connect è un metodo di autenticazione che utilizza token di breve durata. Configurare OpenID Connect con GitHub Actions è un processo più complesso che offre una maggiore sicurezza.

1. Se non si dispone di un'applicazione esistente, registrare una nuova applicazione Microsoft Entra e un'entità servizio in grado di accedere alle risorse.

   az ad app create --display-name myApp
   

   Questo comando genererà un oggetto JSON con un appId che corrisponde a client-id. Il objectId è APPLICATION-OBJECT-ID e verrà usato per la creazione di credenziali federate con chiamate API Graph. Salvare il valore da usare come AZURE_CLIENT_ID segreto GitHub in un secondo momento.

2. Creare un'entità servizio. Sostituire il $appID con il valore appId dall’output JSON. Questo comando genera l'output JSON con una diversa objectId che verrà usata nel passaggio successivo. Il nuovo objectId è assignee-object-id.

   Questo comando genera un output JSON con una diversa objectId e verrà usato nel passaggio successivo. Il nuovo objectId è assignee-object-id.

   Copiare appOwnerTenantId da usare come segreto GitHub per AZURE_TENANT_ID in un secondo momento.

    az ad sp create --id $appId
   

3. Creare una nuova assegnazione di ruolo per sottoscrizione e oggetto. Per impostazione predefinita, l'assegnazione di ruolo verrà associata alla sottoscrizione predefinita. Sostituire $subscriptionId con l'ID sottoscrizione, $resourceGroupName con il nome del gruppo di risorse e $assigneeObjectId con il assignee-object-id generato (l'ID oggetto dell'entità servizio appena creato).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Eseguire il comando seguente per creare una nuova credenziale di identità federata per l'applicazione Microsoft Entra.

   • Sostituire APPLICATION-OBJECT-ID con il objectId (generato durante la creazione dell'app) per l'applicazione Microsoft Entra.
   • Impostare un valore per CREDENTIAL-NAME a cui fare riferimento in seguito.
   • Impostare subject. Il valore di questo valore è definito da GitHub a seconda del flusso di lavoro:
     • Processi nell'ambiente GitHub Actions: repo:< Organization/Repository >:environment:< Name >
     • Per i processi non associati a un ambiente, includere il percorso di riferimento per branch/tag in base al percorso di riferimento usato per attivare il flusso di lavoro: repo:< Organization/Repository >:ref:< ref path>. Ad esempio, repo:n-username/ node_express:ref:refs/heads/my-branch o repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Per i flussi di lavoro attivati da un evento di richiesta pull: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

Configurare i segreti GitHub

Entità servizio

1. In GitHub, andare al proprio repository.

2. Passare a Impostazioni nel menu di spostamento.

3. Selezionare Segreti di sicurezza > e variabili > Azioni.

   

4. Selezionare Nuovo segreto repository.

5. Incollare l'intero output JSON del comando dell'interfaccia della riga di comando di Azure nel campo del valore del segreto. Assegnare al segreto il nome AZURE_CREDENTIALS.

6. Selezionare Aggiungi segreto.

OpenID Connect

È necessario specificare l'ID client, l'ID tenant el'ID sottoscrizione dell'applicazione all'azione di accesso. Questi valori possono essere forniti direttamente nel flusso di lavoro oppure possono essere archiviati nei segreti gitHub e riportati nel flusso di lavoro. Salvare i valori come segreti GitHub è l'opzione più sicura.

1. In GitHub, andare al proprio repository.

2. Selezionare Segreti di sicurezza > e variabili > Azioni.

   

3. Selezionare Nuovo segreto repository.

4. Creare segreti per AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_SUBSCRIPTION_ID. Usare questi valori dell'applicazione Microsoft Entra per i segreti di GitHub:

   Segreto GitHub	Applicazione Microsoft Entra
   AZURE_CLIENT_ID	ID applicazione (client)
   AZURE_TENANT_ID	ID della directory (tenant)
   AZURE_SUBSCRIPTION_ID	ID sottoscrizione

5. Salvare ogni segreto selezionando Aggiungi segreto.

Aggiungere un modello di Resource Manager

Aggiungere un modello di Resource Manager al repository GitHub. Questo modello crea un account di archiviazione.

https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json

È possibile inserire il file in un punto qualsiasi del repository. L'esempio di flusso di lavoro illustrato nella sezione successiva presuppone che il file di modello sia denominato azuredeploy.json e sia archiviato alla radice del repository.

Creare un flusso di lavoro

Il file del flusso di lavoro deve essere archiviato nella cartella .github/workflow alla radice del repository. Il file del flusso di lavoro può avere estensione .yml o .yaml.

1. Dal repository GitHub, selezionare Actions dal menu in alto.
2. Selezionare Nuovo flusso di lavoro.
3. Selezionare Set up a workflow yourself (Configurare manualmente un flusso di lavoro).
4. Se si preferisce un nome diverso da main.yml, rinominare il file del flusso di lavoro. Ad esempio: deployStorageAccount.yml.
5. Sostituire il contenuto del file .yml con quanto segue:

Entità servizio

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Nota

È possibile invece specificare un file di parametri in formato JSON nell'azione Distribuire ARM (ad esempio: .azuredeploy.parameters.json).

La prima sezione del file del flusso di lavoro include:

• name: il nome del flusso di lavoro.
• on: il nome degli eventi GitHub che attivano il flusso di lavoro. Il flusso di lavoro viene attivato quando si verifica un evento push nel ramo principale che modifica almeno uno dei due file specificati. I due file sono il file del flusso di lavoro e il file di modello.

OpenID Connect

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Nota

È possibile invece specificare un file di parametri in formato JSON nell'azione Distribuire ARM (ad esempio: .azuredeploy.parameters.json).

La prima sezione del file del flusso di lavoro include:

• name: il nome del flusso di lavoro.
• on: il nome degli eventi GitHub che attivano il flusso di lavoro. Il flusso di lavoro viene attivato quando si verifica un evento push nel ramo principale che modifica almeno uno dei due file specificati. I due file sono il file del flusso di lavoro e il file di modello.

1. Selezionare Start commit (Avvia commit).
2. Selezionare Commit directly to the main branch (Esegui il commit direttamente nel ramo principale).
3. Selezionare Commit new file (Commit nuovo file) (o Commit modifiche).

Dato che il flusso di lavoro è configurato per essere attivato dal file del flusso di lavoro o dal file di modello da aggiornare, il flusso di lavoro viene avviato subito dopo il commit delle modifiche.

Controllare lo stato del flusso di lavoro

1. Selezionare la scheda Actions. Verrà visualizzato un flusso di lavoro Crea deployStorageAccount.yml elencato. L'esecuzione del flusso di lavoro richiede 1-2 minuti.
2. Selezionare il flusso di lavoro per aprirlo.
3. Seleziona Esegui distribuzione ARM dal menu per verificare la distribuzione.

Pulire le risorse

Quando il gruppo di risorse e il repository non sono più necessari, pulire le risorse distribuite eliminando il gruppo di risorse e il repository GitHub.

Passaggi successivi

Crea il tuo primo modello di ARM

Modulo Learn: Automatizzare la distribuzione dei modelli di ARM usando GitHub Actions