Een aangepaste container implementeren in App Service met behulp van GitHub Actions

Artikel
06/01/2023

GitHub Actions biedt u de flexibiliteit om een geautomatiseerde werkstroom voor softwareontwikkeling te bouwen. Met de actie Azure Web Deploy kunt u uw werkstroom automatiseren om aangepaste containers te implementeren in App Service met behulp van GitHub Actions.

Een werkstroom wordt gedefinieerd door een YAML-bestand (.yml) in het pad /.github/workflows/ in uw opslagplaats. Deze definitie bevat de verschillende stappen en parameters die zich in de werkstroom bevinden.

Voor een Azure App Service containerwerkstroom bestaat het bestand uit drie secties:

Sectie	Taken
Verificatie	1. Een service-principal of publicatieprofiel ophalen. 2. Maak een GitHub-opslagplaats.
Build	1. Maak de omgeving. 2. Bouw de containerinstallatiekopieën.
Implementeren	1. Implementeer de containerinstallatiekopieën.

Vereisten

Een Azure-account met een actief abonnement. Gratis een account maken
Een GitHub-account. Als u geen account hebt, kunt u zich registreren voor een gratis account. U moet code in een GitHub-opslagplaats hebben om te implementeren naar Azure App Service.
Een werkend containerregister en Azure App Service-app voor containers. In dit voorbeeld wordt Azure Container Registry gebruikt. Zorg ervoor dat u de volledige implementatie naar Azure App Service voor containers voltooit. In tegenstelling tot gewone web-apps hebben web-apps voor containers geen standaardlandingspagina. Publiceer de container met een werkend voorbeeld.
- Meer informatie over het maken van een in een container geplaatste Node.js-toepassing met behulp van Docker, het pushen van de containerinstallatiekopieën naar een register en vervolgens de installatiekopieën implementeren in Azure App Service

Genereer implementatiereferenties

De aanbevolen manier om te verifiëren bij Azure-app Services voor GitHub Actions is met een publicatieprofiel. U kunt zich ook verifiëren met een service-principal of Open ID Connect, maar het proces vereist meer stappen.

Sla uw referentie voor het publicatieprofiel of de service-principal op als een GitHub-geheim voor verificatie bij Azure. U opent het geheim in uw werkstroom.

Een publicatieprofiel is een referentie op app-niveau. Stel uw publicatieprofiel in als een GitHub-geheim.

Ga naar uw app-service in de Azure Portal.
Selecteer op de pagina Overzicht de optie Publicatieprofiel ophalen.

Notitie

Vanaf oktober 2020 moet voor Linux-web-apps de app-instelling WEBSITE_WEBDEPLOY_USE_SCM zijn ingesteld op truevoordat het bestand wordt gedownload. Deze vereiste wordt in de toekomst verwijderd. Zie Een App Service-app configureren in de Azure Portal voor meer informatie over het configureren van algemene instellingen voor web-apps.
Sla het gedownloade bestand op. U gebruikt de inhoud van het bestand om een GitHub-geheim te maken.

U kunt een service-principal maken met de opdracht az ad sp create-for-rbac in de Azure CLI. Voer deze opdracht uit met Azure Cloud Shell in de Azure Portal of door de knop Uitproberen te selecteren.

az ad sp create-for-rbac --name "myApp" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name>/providers/Microsoft.Web/sites/<app-name> \
                            --json-auth

Vervang in het voorbeeld de tijdelijke aanduidingen door uw abonnements-id, resourcegroepnaam en app-naam. De uitvoer is een JSON-object met de roltoewijzingsreferenties die toegang bieden tot uw App Service-app. Kopieer dit JSON-object voor later gebruik.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Belangrijk

Het is altijd een goed idee om minimale toegang te verlenen. Het bereik in het vorige voorbeeld is beperkt tot de specifieke App Service app en niet tot de hele resourcegroep.

OpenID Connect is een verificatiemethode die gebruikmaakt van tokens met een korte levensduur. Het instellen van OpenID Connect met GitHub Actions is een complexer proces dat beveiligde beveiliging biedt.

Als u geen bestaande toepassing hebt, registreert u een nieuwe Active Directory-toepassing en service-principal die toegang hebben tot resources. Maak de Active Directory-toepassing.
```
az ad app create --display-name myApp
```
Met deze opdracht wordt JSON uitgevoerd met een appId die uw client-idis. Sla de waarde op om later te gebruiken als het AZURE_CLIENT_ID GitHub-geheim.

U gebruikt de objectId waarde bij het maken van federatieve referenties met Graph API en verwijst ernaar als de APPLICATION-OBJECT-ID.
Een service-principal maken. Vervang de $appID door de appId uit uw JSON-uitvoer.

Deze opdracht genereert JSON-uitvoer met een andere objectId en wordt gebruikt in de volgende stap. Het nieuwe objectId is de assignee-object-id.

Kopieer de appOwnerTenantId voor gebruik als GitHub-geheim voor AZURE_TENANT_ID later gebruik.
```
 az ad sp create --id $appId
```
Maak een nieuwe roltoewijzing op abonnement en object. De roltoewijzing wordt standaard gekoppeld aan uw standaardabonnement. Vervang door uw abonnements-id $subscriptionId , $resourceGroupName door de naam van uw resourcegroep en $assigneeObjectId door de gegenereerde assignee-object-id. Meer informatie over het beheren van Azure-abonnementen met de Azure CLI.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
```
Voer de volgende opdracht uit om een nieuwe federatieve identiteitsreferentie te maken voor uw Active Directory-toepassing.
- Vervang door APPLICATION-OBJECT-ID de objectId (gegenereerd tijdens het maken van de app) voor uw Active Directory-toepassing.
- Stel een waarde in voor CREDENTIAL-NAME om later naar te verwijzen.
- Stel de subject in. De waarde hiervan wordt gedefinieerd door GitHub, afhankelijk van uw werkstroom:
  - Taken in uw GitHub Actions-omgeving:repo:< Organization/Repository >:environment:< Name >
  - Voor taken die niet zijn gekoppeld aan een omgeving, moet u het referentiepad voor vertakkingen/tags opnemen op basis van het referentiepad dat wordt gebruikt voor het activeren van de werkstroom: repo:< Organization/Repository >:ref:< ref path>. Bijvoorbeeld repo:n-username/ node_express:ref:refs/heads/my-branch of repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Voor werkstromen die door een pull-aanvraaggebeurtenis zijn geactiveerd: repo:< Organization/Repository >:pull_request.
```
az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
```
Zie Verbinding maken met GitHub en Azure voor meer informatie over het maken van een Active Directory-toepassing, service-principal en federatieve referenties in Azure Portal.

Het GitHub-geheim configureren voor verificatie

In GitHub, bladert u in uw opslagplaats. Selecteer Instellingen > Beveiligingsgeheimen > en variabelen > Acties > Nieuw opslagplaatsgeheim.

Als u referenties op app-niveau wilt gebruiken, plakt u de inhoud van het gedownloade publicatieprofielbestand in het waardeveld van het geheim. Geef het geheim AZURE_WEBAPP_PUBLISH_PROFILEde naam .

Wanneer u uw GitHub-werkstroom configureert, gebruikt u de AZURE_WEBAPP_PUBLISH_PROFILE in de actie Azure-web-app implementeren. Bijvoorbeeld:

- uses: azure/webapps-deploy@v2
  with:
    publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}

In GitHub, bladert u in uw opslagplaats. Selecteer Instellingen > Beveiligingsgeheimen > en variabelen > Acties > Nieuw opslagplaatsgeheim.

Als u referenties op gebruikersniveau wilt gebruiken, plakt u de volledige JSON-uitvoer van de Azure CLI-opdracht in het waardeveld van het geheim. Geef het geheim een naam, zoals AZURE_CREDENTIALS.

Wanneer u het werkstroombestand later configureert, gebruikt u het geheim voor de invoer creds van de Azure-aanmeldingsactie. Bijvoorbeeld:

- uses: azure/login@v1
  with:
    creds: ${{ secrets.AZURE_CREDENTIALS }}

U moet de client-id, tenant-id en abonnements-id van uw toepassing opgeven voor de aanmeldingsactie. Deze waarden kunnen rechtstreeks in de werkstroom worden opgegeven of kunnen worden opgeslagen in GitHub-geheimen en waarnaar wordt verwezen in uw werkstroom. Het opslaan van de waarden als GitHub-geheimen is de veiligere optie.

Open uw GitHub-opslagplaats en ga naar Instellingen > Beveiligingsgeheimen > en variabelen > Acties > Nieuw opslagplaatsgeheim.
Maak geheimen voor AZURE_CLIENT_ID, AZURE_TENANT_IDen AZURE_SUBSCRIPTION_ID. Gebruik deze waarden uit uw Active Directory-toepassing voor uw GitHub-geheimen. U kunt deze waarden vinden in de Azure Portal door te zoeken naar uw Active Directory-toepassing.

GitHub-geheim Active Directory-toepassing

AZURE_CLIENT_ID (Client-)id van de app

AZURE_TENANT_ID (Tenant-)id van de map

AZURE_SUBSCRIPTION_ID Abonnements-id
Sla elk geheim op door Geheim toevoegen te selecteren.

GitHub-geheim	Active Directory-toepassing
AZURE_CLIENT_ID	(Client-)id van de app
AZURE_TENANT_ID	(Tenant-)id van de map
AZURE_SUBSCRIPTION_ID	Abonnements-id

GitHub-geheimen configureren voor uw register

Geheimen definiëren die moeten worden gebruikt met de actie Docker-aanmelding. In het voorbeeld in dit document wordt Azure Container Registry gebruikt voor het containerregister.

Ga naar uw container in de Azure Portal of Docker en kopieer de gebruikersnaam en het wachtwoord. U vindt de Azure Container Registry gebruikersnaam en wachtwoord in de Azure Portal onder Instellingen>Toegangssleutels voor uw register.
Definieer een nieuw geheim voor de registergebruikersnaam met de naam REGISTRY_USERNAME.
Definieer een nieuw geheim voor het registerwachtwoord met de naam REGISTRY_PASSWORD.

De containerinstallatiekopieën bouwen

In het volgende voorbeeld ziet u een deel van de werkstroom waarmee een Node.JS Docker-installatiekopieën worden gemaakt. Gebruik Docker-aanmelding om u aan te melden bij een privécontainerregister. In dit voorbeeld wordt Azure Container Registry gebruikt, maar dezelfde actie werkt voor andere registers.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

U kunt docker-aanmelding ook gebruiken om u aan te melden bij meerdere containerregisters tegelijk. Dit voorbeeld bevat twee nieuwe GitHub-geheimen voor verificatie met docker.io. In het voorbeeld wordt ervan uitgegaan dat er een Dockerfile is op het hoofdniveau van het register.

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - uses: azure/docker-login@v1
      with:
        login-server: index.docker.io
        username: ${{ secrets.DOCKERIO_USERNAME }}
        password: ${{ secrets.DOCKERIO_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}

Implementeren in een App Service-container

Gebruik de actie om uw azure/webapps-deploy@v2 installatiekopieën te implementeren in een aangepaste container in App Service. Deze actie heeft zeven parameters:

Parameter	Uitleg
app-naam	(Vereist) Naam van de App Service-app
publish-profile	(Optioneel) Van toepassing op Web Apps (Windows en Linux) en Web App Containers (Linux). Scenario met meerdere containers wordt niet ondersteund. Inhoud van profielbestand (*.publishsettings) publiceren met Web Deploy-geheimen
sitenaam	(Optioneel) Voer een andere bestaande site dan de productiesite in
package	(Optioneel) Alleen van toepassing op web-app: pad naar pakket of map. .zip, .war, *.jar of een map om te implementeren
Afbeeldingen	(Vereist) Alleen van toepassing op web-app-containers: geef de naam van de volledig gekwalificeerde containerinstallatiekopieën op. Bijvoorbeeld 'myregistry.azurecr.io/nginx:latest' of 'python:3.7.2-alpine/'. Voor een app met meerdere containers kunnen namen van containerinstallatiekopieën worden opgegeven (gescheiden door meerdere regels)
configuratiebestand	(Optioneel) Alleen van toepassing op web-app-containers: pad van het Docker-Compose-bestand. Moet een volledig gekwalificeerd pad zijn of ten opzichte van de standaardwerkmap. Vereist voor apps met meerdere containers.
startup-command	(Optioneel) Voer de opstartopdracht in. Voor bijvoorbeeld dotnet run of dotnet filename.dll

name: Linux Container Node Workflow

on: [push]

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
    - uses: actions/checkout@v2

    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}

    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     

    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'

on: [push]

name: Linux_Container_Node_Workflow

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

on: [push]
name: Linux_Container_Node_Workflow

permissions:
      id-token: write
      contents: read

jobs:
  build-and-deploy:
    runs-on: ubuntu-latest
    steps:
    # checkout the repo
    - name: 'Checkout GitHub Action' 
      uses: actions/checkout@main
    
    - name: 'Sign in via Azure CLI'
      uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    
    - uses: azure/docker-login@v1
      with:
        login-server: mycontainer.azurecr.io
        username: ${{ secrets.REGISTRY_USERNAME }}
        password: ${{ secrets.REGISTRY_PASSWORD }}
    - run: |
        docker build . -t mycontainer.azurecr.io/myapp:${{ github.sha }}
        docker push mycontainer.azurecr.io/myapp:${{ github.sha }}     
      
    - uses: azure/webapps-deploy@v2
      with:
        app-name: 'myapp'
        images: 'mycontainer.azurecr.io/myapp:${{ github.sha }}'
    
    - name: Azure logout
      run: |
        az logout

Volgende stappen

U vindt onze set acties gegroepeerd in verschillende opslagplaatsen op GitHub, elk met documentatie en voorbeelden om u te helpen Bij het gebruik van GitHub voor CI/CD en het implementeren van uw apps in Azure.