Quickstart: GitHub Actions gebruiken om verbinding te maken met Azure Database for PostgreSQL - Flexible Server

Artikel
03/20/2024

VAN TOEPASSING OP: Azure Database for PostgreSQL - Enkele server Azure Database for PostgreSQL - Flexibele server

Belangrijk

Azure Database for PostgreSQL - Enkele server bevindt zich op het buitengebruikstellingspad. We raden u ten zeerste aan om een upgrade uit te voeren naar Azure Database for PostgreSQL - Flexible Server. Zie Wat gebeurt er met Azure Database for PostgreSQL Enkele server voor meer informatie over migreren naar Azure Database for PostgreSQL - Flexible Server.

Ga aan de slag met GitHub Actions met behulp van een werkstroom voor het implementeren van database-updates op flexibele Azure Database for PostgreSQL-server.

Vereisten

U hebt het volgende nodig:

Een Azure-account met een actief abonnement. Gratis een account maken
Een GitHub-opslagplaats met voorbeeldgegevens (data.sql). Als u geen GitHub-account hebt, kunt u zich gratis registreren.
Een exemplaar van een flexibele Azure Database for PostgreSQL-server.
- Quickstart: Een Azure Database for PostgreSQL - Flexible Server-exemplaar maken in Azure Portal

Overzicht van werkstroom bestand

Een GitHub Actions-werkstroom wordt gedefinieerd door een YAML-bestand (.yml) in het pad /.github/workflows/ in uw opslagplaats. Deze definitie bevat de verschillende stappen en parameters die deel uitmaken van de werkstroom.

Het bestand heeft twee secties:

Sectie	Opdrachten
Verificatie	1. Implementatiereferenties genereren.
Implementatie	1. Implementeer de database.

Maak een service-principal met de opdracht az ad sp create-for-rbac in de Azure CLI. Voer deze opdracht uit met Azure Cloud Shell in de Azure Portal of door de knop Uitproberen te selecteren.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

De parameter --json-auth is beschikbaar in Azure CLI-versies >= 2.51.0. Versies vóór dit gebruik --sdk-auth met een afschaffingswaarschuwing.

Vervang in het bovenstaande voorbeeld de tijdelijke aanduidingen door uw abonnements-id, resourcegroepnaam en app-naam. De uitvoer is een JSON-object met de roltoewijzingsreferenties die toegang bieden tot uw App Service-app, vergelijkbaar met hieronder. Kopieer dit JSON-object voor later gebruik.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Verbinding maken is een verificatiemethode die gebruikmaakt van kortdurende tokens. Het instellen van OpenID Verbinding maken met GitHub Actions is een complexer proces dat beveiligde beveiliging biedt.

Als u geen bestaande toepassing hebt, registreert u een nieuwe Microsoft Entra-toepassing en service-principal die toegang heeft tot resources.
```
az ad app create --display-name myApp
```
Met deze opdracht wordt JSON uitgevoerd met een appId JSON die uw client-id. Dit objectId wordt APPLICATION-OBJECT-ID gebruikt voor het maken van federatieve referenties met Graph API-aanroepen. Sla de waarde op die u later wilt gebruiken als het AZURE_CLIENT_ID GitHub-geheim.
Een service-principal maken. Vervang de door de $appID appId uit uw JSON-uitvoer. Met deze opdracht wordt JSON-uitvoer gegenereerd met een andere objectId uitvoer die in de volgende stap wordt gebruikt. Het nieuwe objectId is de assignee-object-id.

Met deze opdracht wordt JSON-uitvoer gegenereerd met een andere objectId en wordt in de volgende stap gebruikt. Het nieuwe objectId is de assignee-object-id.

Kopieer het appOwnerTenantId te gebruiken als gitHub-geheim voor AZURE_TENANT_ID later gebruik.
```
 az ad sp create --id $appId
```
Maak een nieuwe roltoewijzing per abonnement en object. De roltoewijzing wordt standaard gekoppeld aan uw standaardabonnement. Vervang $subscriptionId door uw abonnements-id, $resourceGroupName door de naam van de resourcegroep en $assigneeObjectId door gegenereerd assignee-object-id (de zojuist gemaakte object-id van de service-principal).
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
Voer de volgende opdracht uit om een nieuwe federatieve identiteitsreferentie te maken voor uw Microsoft Entra-toepassing.
- Vervang door APPLICATION-OBJECT-ID de objectId (gegenereerd tijdens het maken van een app) voor uw Microsoft Entra-toepassing.
- Stel een waarde in om CREDENTIAL-NAME later te verwijzen.
- Stel de subject in. De waarde hiervan wordt gedefinieerd door GitHub, afhankelijk van uw werkstroom:
  - Taken in uw GitHub Actions-omgeving: repo:< Organization/Repository >:environment:< Name >
  - Voor taken die niet zijn gekoppeld aan een omgeving, moet u het referentiepad voor vertakkingen/tags opnemen op basis van het referentiepad dat wordt gebruikt voor het activeren van de werkstroom: repo:< Organization/Repository >:ref:< ref path>. Bijvoorbeeld repo:n-username/ node_express:ref:refs/heads/my-branch of repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Voor werkstromen die door een pull-aanvraaggebeurtenis zijn geactiveerd: repo:< Organization/Repository >:pull_request.
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

De flexibele Azure Database for PostgreSQL-server kopiëren verbindingsreeks

Ga in Azure Portal naar uw exemplaar van flexibele Azure Database for PostgreSQL-server en open Instellingen> Verbinding maken iontekenreeksen. Kopieer de verbindingsreeks voor ADO.NET. Vervang de plaatsaanduidingswaarden door your_database en your_password. De verbindingsreeks ziet er ongeveer als volgt uit.

Belangrijk

Gebruik user=adminusername@servername voor Azure Database for PostgreSQL enkele server. Let op: @servername is vereist.
Gebruik voor flexibele Azure Database for PostgreSQL-server user= adminusername zonder de @servername.

psql host={servername.postgres.database.azure.com} port=5432 dbname={your_database} user={adminusername} password={your_database_password} sslmode=require

U gebruikt de verbindingsreeks als gitHub-geheim.

De GitHub-geheimen configureren

Service/principal
OpenID Connect

Ga in GitHub naar uw opslagplaats.
Ga naar Instellingen in het navigatiemenu.
Selecteer Acties voor beveiligingsgeheimen > en variabelen>.
Selecteer Nieuw opslagplaatsgeheim.
Plak de volledige JSON-uitvoer van de Azure CLI-opdracht in het waardeveld van het geheim. Geef het geheim de naam AZURE_CREDENTIALS.
Selecteer Geheim toevoegen.

U moet de client-id, tenant-id en abonnements-id van uw toepassing opgeven voor de aanmeldingsactie. Deze waarden kunnen rechtstreeks in de werkstroom worden opgegeven of kunnen worden opgeslagen in GitHub-geheimen en waarnaar wordt verwezen in uw werkstroom. Het opslaan van de waarden als GitHub-geheimen is de veiligere optie.

Ga in GitHub naar uw opslagplaats.
Selecteer Acties voor beveiligingsgeheimen > en variabelen>.
Selecteer Nieuw opslagplaatsgeheim.
Geheimen maken voor AZURE_CLIENT_ID, AZURE_TENANT_IDen AZURE_SUBSCRIPTION_ID. Gebruik deze waarden uit uw Microsoft Entra-toepassing voor uw GitHub-geheimen:

GitHub-geheim Microsoft Entra-toepassing

AZURE_CLIENT_ID Client-id van toepassing

AZURE_TENANT_ID Id van directory (tenant)

AZURE_SUBSCRIPTION_ID Abonnements-id
Sla elk geheim op door Geheim toevoegen te selecteren.

GitHub-geheim	Microsoft Entra-toepassing
AZURE_CLIENT_ID	Client-id van toepassing
AZURE_TENANT_ID	Id van directory (tenant)
AZURE_SUBSCRIPTION_ID	Abonnements-id

Voeg uw werkstroom toe

Ga naar Acties voor uw GitHub-opslagplaats.
Selecteer Uw werkstroom zelf instellen.
Verwijder alles na de sectie on: van uw werkstroombestand. Uw resterende werkstroom kan er bijvoorbeeld als volgt uitzien.
```
name: CI

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]
```

Wijzig de naam van uw werkstroom PostgreSQL for GitHub Actions en voeg de acties voor uitchecken en aanmelden toe. Met deze acties controleert u uw sitecode en verifieert u met Azure met behulp van de GitHub-geheimen die u eerder hebt gemaakt.

Service/principal
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Gebruik de azure PostgreSQL-implementatieactie om verbinding te maken met uw flexibele Azure Database for PostgreSQL-serverexemplaren. Vervang POSTGRESQL_SERVER_NAME door de naam van uw server. U moet beschikken over een azure Database for PostgreSQL Flexible Server-gegevensbestand met de naam data.sql op het hoofdniveau van uw opslagplaats.
```
 - uses: azure/postgresql@v1
   with:
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    server-name: POSTGRESQL_SERVER_NAME
    plsql-file: './data.sql'
```

Voltooi uw werkstroom door een actie toe te voegen om u af te melden bij Azure. Dit is de voltooide werkstroom. Het bestand wordt weergegeven in de .github/workflows map van uw opslagplaats.

Service/principal
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CREDENTIALS }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

Beoordeel uw implementatie

Ga naar Acties voor uw GitHub-opslagplaats.
Open het eerste resultaat om gedetailleerde logboeken van de uitvoering van de werkstroom weer te geven.

Resources opschonen

Wanneer uw flexibele Server-database en -opslagplaats van Azure Database for PostgreSQL niet meer nodig zijn, moet u de resources opschonen die u hebt geïmplementeerd door de resourcegroep en uw GitHub-opslagplaats te verwijderen.

Volgende stappen

Meer informatie over Azure en GitHub-integratie

Meer informatie over verbinding maken met de server