ARM-sjablonen implementeren met behulp van GitHub Actions

GitHub Actions is een suite met functies in GitHub om uw werkstromen voor softwareontwikkeling te automatiseren op dezelfde plaats waar u code opslaat en samenwerkt aan pull-aanvragen en problemen.

Gebruik de actie Azure Resource Manager-sjabloon implementeren om het implementeren van een Azure Resource Manager-sjabloon (ARM-sjabloon) in Azure te automatiseren.

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken

• Een GitHub-account. Als u geen account hebt, kunt u zich registreren voor een gratis account.

  • Een GitHub-opslagplaats voor het opslaan van uw Resource Manager-sjablonen en uw werkstroombestanden. Zie Een nieuwe opslagplaats maken om er een te maken.

Overzicht van werkstroom bestand

Een werkstroom wordt gedefinieerd door een YAML-bestand (.yml) in het pad /.github/workflows/ in uw opslagplaats. Deze definitie bevat de verschillende stappen en parameters die deel uitmaken van de werkstroom.

Het bestand heeft twee secties:

Sectie	Opdrachten
Verificatie	1. Implementatiereferenties genereren.
Implementatie	1. Implementeer de Resource Manager-sjabloon.

Genereer implementatiereferenties

Service/principal

Maak een service-principal met de opdracht az ad sp create-for-rbac in de Azure CLI. Voer deze opdracht uit met Azure Cloud Shell in de Azure Portal of door de knop Uitproberen te selecteren.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

De parameter --json-auth is beschikbaar in Azure CLI-versies >= 2.51.0. Versies vóór dit gebruik --sdk-auth met een afschaffingswaarschuwing.

Vervang in het bovenstaande voorbeeld de tijdelijke aanduidingen door uw abonnements-id, resourcegroepnaam en app-naam. De uitvoer is een JSON-object met de roltoewijzingsreferenties die toegang bieden tot uw App Service-app, vergelijkbaar met hieronder. Kopieer dit JSON-object voor later gebruik.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Verbinding maken is een verificatiemethode die gebruikmaakt van kortdurende tokens. Het instellen van OpenID Verbinding maken met GitHub Actions is een complexer proces dat beveiligde beveiliging biedt.

1. Als u geen bestaande toepassing hebt, registreert u een nieuwe Microsoft Entra-toepassing en service-principal die toegang heeft tot resources.

   az ad app create --display-name myApp
   

   Met deze opdracht wordt JSON uitgevoerd met een appId JSON die uw client-id. Dit objectId wordt APPLICATION-OBJECT-ID gebruikt voor het maken van federatieve referenties met Graph API-aanroepen. Sla de waarde op die u later wilt gebruiken als het AZURE_CLIENT_ID GitHub-geheim.

2. Een service-principal maken. Vervang de door de $appID appId uit uw JSON-uitvoer. Met deze opdracht wordt JSON-uitvoer gegenereerd met een andere objectId uitvoer die in de volgende stap wordt gebruikt. Het nieuwe objectId is de assignee-object-id.

   Met deze opdracht wordt JSON-uitvoer gegenereerd met een andere objectId en wordt in de volgende stap gebruikt. Het nieuwe objectId is de assignee-object-id.

   Kopieer het appOwnerTenantId te gebruiken als gitHub-geheim voor AZURE_TENANT_ID later gebruik.

    az ad sp create --id $appId
   

3. Maak een nieuwe roltoewijzing per abonnement en object. De roltoewijzing wordt standaard gekoppeld aan uw standaardabonnement. Vervang $subscriptionId door uw abonnements-id, $resourceGroupName door de naam van de resourcegroep en $assigneeObjectId door gegenereerd assignee-object-id (de zojuist gemaakte object-id van de service-principal).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Voer de volgende opdracht uit om een nieuwe federatieve identiteitsreferentie te maken voor uw Microsoft Entra-toepassing.

   • Vervang door APPLICATION-OBJECT-ID de objectId (gegenereerd tijdens het maken van een app) voor uw Microsoft Entra-toepassing.
   • Stel een waarde in om CREDENTIAL-NAME later te verwijzen.
   • Stel de subject in. De waarde hiervan wordt gedefinieerd door GitHub, afhankelijk van uw werkstroom:
     • Taken in uw GitHub Actions-omgeving: repo:< Organization/Repository >:environment:< Name >
     • Voor taken die niet zijn gekoppeld aan een omgeving, moet u het referentiepad voor vertakkingen/tags opnemen op basis van het referentiepad dat wordt gebruikt voor het activeren van de werkstroom: repo:< Organization/Repository >:ref:< ref path>. Bijvoorbeeld repo:n-username/ node_express:ref:refs/heads/my-branch of repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Voor werkstromen die door een pull-aanvraaggebeurtenis zijn geactiveerd: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

De GitHub-geheimen configureren

Service/principal

1. Ga in GitHub naar uw opslagplaats.

2. Ga naar Instellingen in het navigatiemenu.

3. Selecteer Acties voor beveiligingsgeheimen > en variabelen>.

   

4. Selecteer Nieuw opslagplaatsgeheim.

5. Plak de volledige JSON-uitvoer van de Azure CLI-opdracht in het waardeveld van het geheim. Geef het geheim de naam AZURE_CREDENTIALS.

6. Selecteer Geheim toevoegen.

OpenID Connect

U moet de client-id, tenant-id en abonnements-id van uw toepassing opgeven voor de aanmeldingsactie. Deze waarden kunnen rechtstreeks in de werkstroom worden opgegeven of kunnen worden opgeslagen in GitHub-geheimen en waarnaar wordt verwezen in uw werkstroom. Het opslaan van de waarden als GitHub-geheimen is de veiligere optie.

1. Ga in GitHub naar uw opslagplaats.

2. Selecteer Acties voor beveiligingsgeheimen > en variabelen>.

   

3. Selecteer Nieuw opslagplaatsgeheim.

4. Geheimen maken voor AZURE_CLIENT_ID, AZURE_TENANT_IDen AZURE_SUBSCRIPTION_ID. Gebruik deze waarden uit uw Microsoft Entra-toepassing voor uw GitHub-geheimen:

   GitHub-geheim	Microsoft Entra-toepassing
   AZURE_CLIENT_ID	Client-id van toepassing
   AZURE_TENANT_ID	Id van directory (tenant)
   AZURE_SUBSCRIPTION_ID	Abonnements-id

5. Sla elk geheim op door Geheim toevoegen te selecteren.

Resource Manager-sjabloon toevoegen

Voeg een Resource Manager-sjabloon toe aan uw GitHub-opslagplaats. Met deze sjabloon maakt u een opslagaccount.

https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json

U kunt het bestand overal in de opslagplaats plaatsen. In het voorbeeld van de werkstroom in de volgende sectie wordt ervan uitgegaan dat het sjabloonbestand de naam azuredeploy.json heeft en wordt opgeslagen in de hoofdmap van uw opslagplaats.

Werkstroom maken

Het werkstroombestand moet worden opgeslagen in de map .github/workflows in de hoofdmap van uw opslagplaats. De bestandsextensie van de werkstroom kan .yml of .yaml zijn.

1. Selecteer in uw GitHub-opslagplaats Acties in het bovenste menu.
2. Selecteer Nieuwe werkstroom.
3. Selecteer zelf een werkstroom instellen.
4. Wijzig de naam van het werkstroombestand als u de voorkeur geeft aan een andere naam dan main.yml. Bijvoorbeeld: deployStorageAccount.yml.
5. Vervang de inhoud van het yml-bestand door het volgende:

Service/principal

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Notitie

U kunt in plaats daarvan een parameterbestand voor de JSON-indeling opgeven in de ARM-implementatieactie (bijvoorbeeld: .azuredeploy.parameters.json).

De eerste sectie van het werkstroombestand bevat:

• name: De naam van de werkstroom.
• on: De naam van de GitHub-gebeurtenissen die de werkstroom activeren. De werkstroom wordt geactiveerd wanneer er een pushgebeurtenis op de hoofdbranch is, waarmee ten minste één van de twee opgegeven bestanden wordt gewijzigd. De twee bestanden zijn het werkstroombestand en het sjabloonbestand.

OpenID Connect

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

Notitie

U kunt in plaats daarvan een parameterbestand voor de JSON-indeling opgeven in de ARM-implementatieactie (bijvoorbeeld: .azuredeploy.parameters.json).

De eerste sectie van het werkstroombestand bevat:

• name: De naam van de werkstroom.
• on: De naam van de GitHub-gebeurtenissen die de werkstroom activeren. De werkstroom wordt geactiveerd wanneer er een pushgebeurtenis op de hoofdbranch is, waarmee ten minste één van de twee opgegeven bestanden wordt gewijzigd. De twee bestanden zijn het werkstroombestand en het sjabloonbestand.

1. Selecteer Doorvoeren starten.
2. Selecteer Doorvoeren rechtstreeks naar de hoofdbranch.
3. Selecteer Nieuw bestand doorvoeren (of Wijzigingen doorvoeren).

Omdat de werkstroom is geconfigureerd om te worden geactiveerd door het werkstroombestand of het sjabloonbestand dat wordt bijgewerkt, start de werkstroom direct nadat u de wijzigingen hebt doorgevoerd.

Werkstroomstatus controleren

1. Selecteer het tabblad Acties . Er wordt een werkstroom maken deployStorageAccount.yml weergegeven. Het duurt 1-2 minuten om de werkstroom uit te voeren.
2. Selecteer de werkstroom om deze te openen.
3. Selecteer ARM-implementatie uitvoeren in het menu om de implementatie te controleren.

Resources opschonen

Wanneer uw resourcegroep en opslagplaats niet meer nodig zijn, schoont u de resources op die u hebt geïmplementeerd door de resourcegroep en uw GitHub-opslagplaats te verwijderen.

Volgende stappen

Uw eerste ARM-sjabloon maken

Learn-module: De implementatie van ARM-sjablonen automatiseren met behulp van GitHub Actions