GitHub Actions를 사용하여 App Service에 사용자 지정 컨테이너 배포

GitHub Actions를 사용하면 자동화된 소프트웨어 개발 워크플로를 유연하게 빌드할 수 있습니다. Azure 웹 배포 작업을 사용하면 GitHub Actions를 통해 App Service에 사용자 지정 컨테이너를 배포하는 워크플로를 자동화할 수 있습니다.

워크플로는 리포지토리의 /.github/workflows/ 경로에 있는 YAML(.yml) 파일에서 정의됩니다. 이 정의는 워크플로의 다양한 단계와 매개 변수를 포함합니다.

Azure App Service 컨테이너 워크플로의 경우 파일에는 다음 세 개의 섹션이 있습니다.

섹션	작업
인증	1. 서비스 주체 또는 게시 프로필을 검색합니다. 2. GitHub 비밀을 만듭니다.
빌드	1. 환경을 만듭니다. 2. 컨테이너 이미지를 빌드합니다.
Deploy	1. 컨테이너 이미지를 배포합니다.

필수 조건

• 활성 구독이 있는 Azure 계정. 무료로 계정 만들기
• GitHub 계정. 없는 경우 평가판에 등록하세요. Azure App Service에 배포하려면 GitHub 리포지토리에 코드가 있어야 합니다.
• 작동하는 컨테이너 레지스트리 및 컨테이너용 Azure App Service 앱입니다. 이 예에서는 Azure Container Registry를 사용합니다. 컨테이너용 Azure App Service에 대한 전체 배포를 완료해야 합니다. 일반 웹앱과 달리 컨테이너용 웹앱에는 기본 방문 페이지가 없습니다. 작업 예를 포함하도록 컨테이너를 게시합니다.
  • Docker를 사용하여 컨테이너화된 Node.js 애플리케이션을 만들고 레지스트리에 컨테이너 이미지를 푸시한 다음, Azure App Service에 이미지를 배포하는 방법 알아보기

배포 자격 증명 생성

Azure App Services를 이용하여 GitHub Actions를 인증하는 권장 방법은 게시 프로필을 사용하는 것입니다. 서비스 주체 또는 오픈 ID 커넥트를 사용하여 인증할 수도 있지만 이 프로세스에는 추가 단계가 필요합니다.

Azure 인증을 할 수 있도록 게시 프로필 자격 증명이나 서비스 주체를 GitHub 비밀로 저장합니다. 워크플로 내의 비밀에 액세스합니다.

게시 프로필

게시 프로필은 앱 수준의 자격 증명입니다. 게시 프로필을 GitHub 비밀로 설정합니다.

1. Azure Portal에서 해당 앱 서비스로 이동합니다.

2. 개요 페이지에서 게시 프로필 가져오기를 선택합니다.

   참고 항목

   2020년 10월부터 Linux 웹앱에서는 앱 설정 WEBSITE_WEBDEPLOY_USE_SCM을 true로 설정해야 파일을 다운로드할 수 있습니다. 이 요구 사항은 나중에 제거됩니다. 일반적인 웹앱 설정을 구성하는 방법을 알아보려면 Azure Portal에서 App Service 앱 구성을 참조하세요.

3. 다운로드한 파일을 저장합니다. 파일의 내용을 사용하여 GitHub 비밀을 만들게 됩니다.

서비스 주체

Azure CLI에서 az ad sp create-for-rbac 명령을 사용하여 서비스 주체를 만들 수 있습니다. 이 명령은 Azure Portal에서 Azure Cloud Shell을 사용하거나 사용해 보세요 단추를 선택하여 실행합니다.

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

예에서 자리 표시자를 구독 ID, 리소스 그룹 이름 및 앱 이름으로 바꿉니다. 출력은 App Service 앱에 대한 액세스를 제공하는 역할 할당 자격 증명이 있는 JSON 개체입니다. 나중에 사용할 수 있도록 이 JSON 개체를 복사합니다.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Important

항상 최소한의 액세스 권한을 부여하는 것이 좋습니다. 이전 예의 범위는 전체 리소스 그룹이 아닌 특정 App Service 앱으로 제한되어 있습니다.

OpenID Connect

OpenID Connect는 단기 토큰을 사용하는 인증 방법입니다. GitHub Actions로 OpenID Connect 설정은 보안 강화를 제공하는 더 복잡한 프로세스입니다.

1. 기존 애플리케이션이 없는 경우 리소스에 액세스할 수 있는 새 Active Directory 애플리케이션 및 서비스 주체를 등록합니다. Active Directory 애플리케이션을 만듭니다.

   az ad app create --display-name myApp
   

   이 명령은 appId(사용자의 client-id)가 포함된 JSON을 출력합니다. 이 값을 저장하여, 나중에 AZURE_CLIENT_ID GitHub 비밀로 사용합니다.

   Graph API로 페더레이션 자격 증명을 생성할 때 objectId 값을 사용하고 이를 APPLICATION-OBJECT-ID로 참조합니다.

2. 서비스 주체를 생성합니다. $appID를 JSON 출력의 appId로 대체합니다.

   이 명령은 다른 objectId로 JSON 출력을 생성하며 다음 단계에서 사용됩니다. 새 objectId는 assignee-object-id입니다.

   appOwnerTenantId를 복사하여 나중에 AZURE_TENANT_ID에 대한 GitHub 비밀로 사용합니다.

    az ad sp create --id $appId
   

3. 구독 및 개체별 새 역할 할당을 만듭니다. 기본적으로 역할 할당은 기본 구독에 연결됩니다. $subscriptionId를 구독 ID로, $resourceGroupName을 리소스 그룹 이름으로, $assigneeObjectId를 생성된 assignee-object-id로 바꿉니다. Azure CLI를 사용하여 Azure 구독을 관리하는 방법을 알아보세요.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. 다음 명령을 실행하여 Active Directory 애플리케이션에 대한 새 페더레이션 ID 자격 증명을 만듭니다.

   • APPLICATION-OBJECT-ID를 Active Directory 애플리케이션의 objectId(앱을 생성하는 동안 생성됨)로 대체합니다.
   • CREDENTIAL-NAME의 값을 나중에 참조하도록 설정합니다.
   • subject를 설정합니다. 이 값은 워크플로에 따라 GitHub에 의해 정의됩니다.
     • GitHub Actions 환경의 작업: repo:< Organization/Repository >:environment:< Name >
     • 환경에 연결되지 않은 작업의 경우 워크플로를 트리거하는 데 사용되는 참조 경로를 기반으로 분기/태그에 대한 참조 경로(repo:< Organization/Repository >:ref:< ref path>)를 포함합니다. 예를 들어 repo:n-username/ node_express:ref:refs/heads/my-branch 또는 repo:n-username/ node_express:ref:refs/tags/my-tag입니다.
     • 끌어오기 요청 이벤트에 의해 트리거된 워크플로의 경우: repo:< Organization/Repository >:pull_request

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

   Azure Portal에서 Active Directory 애플리케이션, 서비스 주체 및 페더레이션 자격 증명을 만드는 방법을 알아보려면 GitHub 및 Azure 연결을 참조하세요.

인증을 위한 GitHub 비밀 구성

게시 프로필

GitHub에서 리포지토리를 찾습니다. 설정 > 보안 > 비밀 및 변수 > 작업 > 새 리포지토리 비밀을 선택합니다.

앱 수준 자격 증명을 사용하려면 다운로드한 게시 프로필 파일의 내용을 비밀의 값 필드에 붙여넣습니다. 비밀 AZURE_WEBAPP_PUBLISH_PROFILE의 이름을 지정합니다.

GitHub 워크플로를 구성하는 경우에는 Azure 웹앱 배포 작업에서 AZURE_WEBAPP_PUBLISH_PROFILE을 사용합니다. 예시:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

서비스 주체

GitHub에서 리포지토리를 찾습니다. 설정 > 보안 > 비밀 및 변수 > 작업 > 새 리포지토리 비밀을 선택합니다.

사용자 수준 자격 증명을 사용하려면 Azure CLI 명령의 전체 JSON 출력을 비밀의 값 필드에 붙여넣습니다. 비밀 이름을 지정합니다(예: AZURE_CREDENTIALS).

나중에 워크플로 파일을 구성할 때 이 비밀을 Azure 로그인 작업의 creds 입력에 사용합니다. 예시:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

OpenID Connect

로그인 작업에 애플리케이션의 클라이언트 ID, 테넌트 ID 및 구독 ID를 제공해야 합니다. 이러한 값은 워크플로에서 직접 제공하거나 GitHub 비밀에 저장하고 워크플로에서 참조할 수 있습니다. 값을 GitHub 비밀로 저장하는 것이 더 안전한 옵션입니다.

1. GitHub 리포지토리를 열고 설정 > 보안 > 비밀 및 변수 > 작업 > 새 리포지토리 비밀로 이동합니다.

2. AZURE_CLIENT_ID, AZURE_TENANT_ID 및 AZURE_SUBSCRIPTION_ID에 대한 비밀을 만듭니다. GitHub 비밀에 Active Directory 애플리케이션의 다음 값을 사용합니다. Active Directory 애플리케이션을 검색하여 Azure Portal에서 이러한 값을 찾을 수 있습니다.

   GitHub 비밀	Active Directory 애플리케이션
   AZURE_CLIENT_ID	애플리케이션(클라이언트) ID
   AZURE_TENANT_ID	디렉터리(테넌트) ID
   AZURE_SUBSCRIPTION_ID	구독 ID

3. 비밀 추가를 선택하여 각 비밀을 저장합니다.

레지스트리에 대한 GitHub 비밀 구성

Docker 로그인 작업에 사용할 비밀을 정의합니다. 이 문서의 예는 컨테이너 레지스트리로 Azure Container Registry를 사용합니다.

1. Azure Portal 또는 Docker의 컨테이너로 이동하여 사용자 이름 및 비밀을 복사합니다. 레지스트리에 대한 설정>액세스 키 아래의 Azure Portal에서 Azure Container Registry의 사용자 이름 및 암호를 찾을 수 있습니다.

2. REGISTRY_USERNAME이라는 레지스트리 사용자 이름에 대해 새 비밀을 정의합니다.

3. REGISTRY_PASSWORD이라는 레지스트리 암호에 대해 새 비밀을 정의합니다.

컨테이너 이미지 빌드

다음 예에서는 Node.JS Docker 이미지를 작성하는 워크플로의 일부를 보여 줍니다. Docker 로그인을 사용하여 프라이빗 컨테이너 레지스트리에 로그인합니다. 이 예에서는 Azure Container Registry를 사용하지만 다른 레지스트리를 사용해도 됩니다.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Docker 로그인을 사용하여 동시에 여러 컨테이너 레지스트리에 로그인할 수도 있습니다. 이 예에는 docker.io 인증을 위한 두 가지 새로운 GitHub 비밀이 포함되어 있습니다. 이 예에서는 레지스트리의 루트 수준에 Dockerfile이 있다고 가정합니다.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

Azure App Service 컨테이너에 배포

App Service의 사용자 지정 컨테이너에 이미지를 배포하려면 azure/webapps-deploy@v2 작업을 사용합니다. 이 작업에는 다음 7개의 매개 변수가 있습니다.

매개 변수	설명
app-name	(필수) App Service 앱의 이름
publish-profile	(선택 사항) 웹앱(Windows 및 Linux) 및 웹앱 컨테이너(Linux)에 적용됩니다. 다중 컨테이너 시나리오는 지원되지 않습니다. 웹 배포 비밀을 포함하는 프로필(*.publishsettings) 파일 콘텐츠 게시
slot-name	(선택 사항) 프로덕션 슬롯이 아닌 기존 슬롯 입력
패키지	(선택 사항) 웹앱에만 적용: 패키지 또는 폴더에 대한 경로입니다. *.zip, *.war, *.jar 또는 배포할 폴더
images	(필수) 웹앱 컨테이너에만 적용: 정규화된 컨테이너 이미지 이름을 지정합니다. 예: 'myregistry.azurecr.io/nginx:latest' or 'python:3.7.2-alpine/'. 다중 컨테이너 앱의 경우 여러 개의 컨테이너 이미지 이름이 제공될 수 있습니다(여러 줄로 구분).
configuration-file	(선택 사항) 필드 웹앱 컨테이너에만 적용: Docker-Compose 파일 경로입니다. 이는 정규화된 경로이거나 기본 작업 디렉터리에 대한 상대적인 경로여야 합니다. 다중 컨테이너 앱에 필요합니다.
startup-command	(선택 사항) 필드 시작 명령을 입력합니다. 예: dotnet run 또는 dotnet filename.dll

게시 프로필

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

서비스 주체

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

OpenID Connect

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

다음 단계

GitHub에서 다양한 리포지토리로 그룹화된 일련의 작업을 찾을 수 있습니다. 각 리포지토리에는 CI/CD에 GitHub를 사용하고 Azure에 앱을 배포하는 데 도움이 되는 문서 및 예제가 포함됩니다.

• Azure에 배포할 작업 워크플로

• Azure 로그인

• Azure WebApp

• Docker 로그인/아웃

• 워크플로를 트리거하는 이벤트

• K8s 배포

• 시작 워크플로