使用 GitHub Actions 和 Azure 生成自定义虚拟机映像

通过创建用于生成虚拟机映像的工作流来开始使用 GitHub Actions。

在 GitHub Actions 中，可以通过使用工作流中的项目创建自定义虚拟机映像，从而加快 CI/CD 进程。 可以生成映像并将其分发到共享映像库。

然后可以使用这些映像创建虚拟机和虚拟机规模集。

生成虚拟机映像将用到 Azure 映像生成器服务。

先决条件

• 具有活动订阅的 Azure 帐户。 免费创建帐户。
• 活动存储库的 GitHub 帐户。 如果没有该帐户，请注册免费版。
  • 此示例使用 Java Spring PetClinic 示例应用程序。
• 包含映像的 Azure 计算库。
  • 创建 Azure 计算库。
  • 创建映像。

工作流文件概述

工作流通过存储库的 /.github/workflows/ 路径中的 YAML (.yml) 文件定义。 此定义包含组成工作流的各种步骤和参数。

此文件包含三个部分：

部分	任务
身份验证	1. 添加用户管理的标识。 2.设置服务主体或打开 ID 连接。 3. 创建 GitHub 机密。
生成	1.设置环境。 2. 生成应用。
图像	1. 创建 VM 映像。 2. 创建虚拟机。

创建用户管理的标识

需要对 Azure 映像生成器 (AIB) 使用用户管理的标识来分发映像。 将在映像生成过程中使用 Azure 用户分配的托管标识来读取映像并将其写入共享映像库。

1. 使用 Azure CLI 或 Azure 门户创建用户管理的标识。 记下托管标识的名称。

2. 自定义此 JSON 代码。 请将 {subscriptionID} 和 {rgName} 的占位符替换为你的订阅 ID 和资源组名称。

   {
   "properties": {
       "roleName": "Image Creation Role",
       "IsCustom": true,
       "description": "Azure Image Builder access to create resources for the image build",
       "assignableScopes": [
         "/subscriptions/{subscriptionID}/resourceGroups/{rgName}"
       ],
       "permissions": [
           {
               "actions": [
                   "Microsoft.Compute/galleries/read",
                   "Microsoft.Compute/galleries/images/read",
                   "Microsoft.Compute/galleries/images/versions/read",
                   "Microsoft.Compute/galleries/images/versions/write",
                   "Microsoft.Compute/images/write",
                   "Microsoft.Compute/images/read",
                   "Microsoft.Compute/images/delete"
               ],
               "notActions": [],
               "dataActions": [],
               "notDataActions": []
           }
       ]
       } 
   } 
   

3. 使用此 JSON 代码通过 JSON 创建新的 自定义角色 。

4. 在Azure 门户中，打开 Azure 计算库并转到访问控制（IAM）。

5. 选择“ 添加角色分配 ”，并将映像创建角色分配给用户托管标识。

生成部署凭据

服务主体

在 Azure CLI 中使用 az ad sp create-for-rbac 命令创建服务主体。 请使用 Azure 门户中的 Azure Cloud Shell 或选择“试用”按钮运行此命令。

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

参数 --json-auth 在 Azure CLI 版本 >= 2.51.0 中可用。 此版本之前的版本使用 --sdk-auth，带有弃用警告。

在上面的示例中，请将占位符替换为你的订阅 ID、资源组名称和应用名称。 输出是一个 JSON 对象，包含的角色分配凭据可提供对应用服务应用的访问权限，如下所示。 复制此 JSON 对象供以后使用。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Open ID Connect

OpenID Connect 是一种使用短期令牌的身份验证方法。 使用 GitHub Actions 设置 OpenID Connect 的过程会更复杂，能提供更强的安全性。

1. 如果没有现有的应用程序，请注册一个可访问资源的新 Microsoft Entra 应用程序和服务主体。

   az ad app create --display-name myApp
   

   此命令将输出 JSON，其中 appId 为你的 client-id。 objectId 为 APPLICATION-OBJECT-ID，并且它将用于通过图形 API 调用来创建联合凭证。 保存该值，稍后将其用作 AZURE_CLIENT_ID GitHub 机密。

2. 创建服务主体。 将 $appID 替换为 JSON 输出中的 appId。 此命令会生成 JSON 输出，其中有一个不同的 objectId，这将在下一步中使用。 新的 objectId 是 assignee-object-id。

   此命令使用不同的 objectId 生成 JSON 输出，将在下一步中使用。 新的 objectId 是 assignee-object-id。

   复制 appOwnerTenantId 以在稍后用作 AZURE_TENANT_ID 的 GitHub 机密。

    az ad sp create --id $appId
   

3. 按订阅和对象创建新的角色分配。 默认情况下，角色分配将绑定到默认订阅。 请将 $subscriptionId 替换为你的订阅 ID，将 $resourceGroupName 替换为你的资源组名称，将 $assigneeObjectId 替换为生成的 assignee-object-id（新创建的服务主体对象 ID）。

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. 运行以下命令，为 Microsoft Entra 应用程序创建新的联合标识凭证。

   • 请将 APPLICATION-OBJECT-ID 替换为 Microsoft Entra 应用程序的 objectId（在创建应用时生成）。
   • 为 CREDENTIAL-NAME 设置一个值供以后引用。
   • 设置 subject。 此项的值由 GitHub 根据工作流定义：
     • GitHub Actions 环境中的作业：repo:< Organization/Repository >:environment:< Name >
     • 对于未绑定到环境的作业，请根据用于触发工作流的 ref 路径包括分支/标记的 ref 路径：repo:< Organization/Repository >:ref:< ref path>。 例如 repo:n-username/ node_express:ref:refs/heads/my-branch 或 repo:n-username/ node_express:ref:refs/tags/my-tag。
     • 对于由拉取请求事件触发的工作流：repo:< Organization/Repository >:pull_request。

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

创建 GitHub 机密

服务主体

1. 在 GitHub 中，转到存储库。

2. 转到导航菜单中的“设置”。

3. 选择“安全性”>“机密和变量”>“操作”。

   

4. 选择“新建存储库机密”。

5. 将 Azure CLI 命令的整个 JSON 输出粘贴到机密的值字段中。 为机密指定名称 AZURE_CREDENTIALS。

6. 选择“添加机密”。

Open ID Connect

需要向登录操作提供应用程序的“客户端 ID”、“租户 ID”和“订阅 ID”。 这些值可直接在工作流中提供，或可存储在 GitHub 机密中并在工作流中引用。 将这些值保存为 GitHub 机密是更安全的选择。

1. 在 GitHub 中，转到存储库。

2. 选择“安全性”>“机密和变量”>“操作”。

   

3. 选择“新建存储库机密”。

4. 为 AZURE_CLIENT_ID、AZURE_TENANT_ID 和 AZURE_SUBSCRIPTION_ID 创建机密。 将 Microsoft Entra 应用程序中的这些值用于 GitHub 机密：

   GitHub 机密	Microsoft Entra 应用程序
   AZURE_CLIENT_ID	应用程序（客户端）ID
   AZURE_TENANT_ID	目录（租户）ID
   AZURE_SUBSCRIPTION_ID	订阅 ID

5. 通过选择“添加机密”来保存每个机密。

使用 Azure 登录操作

通过 Azure 登录操作使用 GitHub 机密向 Azure 进行身份验证。

服务主体

在此工作流中，将结合使用 Azure 登录操作和存储在 secrets.AZURE_CREDENTIALS 中的服务主体详细信息进行身份验证。 然后，运行 Azure CLI 操作。 有关如何在工作流文件中引用 GitHub 机密的详细信息，请参阅 GitHub 文档中的在工作流中使用加密的机密。

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'

Open ID Connect

对于“打开 ID”连接将使用与 Active Directory 应用关联的联合凭据。

有关如何在工作流文件中引用 GitHub 机密的详细信息，请参阅 GitHub 文档中的在工作流中使用加密的机密。

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

配置 Java

通过 Java 设置 SDK 操作来设置 Java 环境。 在此示例中，你将设置环境，使用 Maven 进行生成，然后输出项目。

GitHub 项目提供一种方法以在作业之间共享工作流中的文件。 将创建项目来保存 JAR 文件，然后将其添加到虚拟机映像。

服务主体

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    strategy:
      matrix:
        java: [ '17' ]

    steps:
    - name: Checkout
      uses: actions/checkout@v3    

    - name: Login via Az module
      uses: azure/login@v1
      with:
        creds: ${{secrets.AZURE_CREDENTIALS}}

    - name: Set up JDK ${{matrix.java}}
      uses: actions/setup-java@v2
      with:
        java-version: ${{matrix.java}}
        distribution: 'adopt'
        cache: maven
    - name: Build with Maven Wrapper
      run: ./mvnw -B package
        
    - name: Build Java
      run: mvn --batch-mode --update-snapshots verify

    - run: mkdir staging && cp target/*.jar staging
    - uses: actions/upload-artifact@v2
      with:
        name: Package
        path: staging

Open ID Connect

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    strategy:
      matrix:
        java: [ '17' ]

    steps:
    - name: Checkout
      uses: actions/checkout@v3    

    - name: Login via Az module
      uses: azure/login@v1
      with:
        creds: ${{secrets.AZURE_CREDENTIALS}}

    - name: Set up JDK ${{matrix.java}}
      uses: actions/setup-java@v2
      with:
        java-version: ${{matrix.java}}
        distribution: 'adopt'
        cache: maven
    - name: Build with Maven Wrapper
      run: ./mvnw -B package
        
    - name: Build Java
      run: mvn --batch-mode --update-snapshots verify

    - run: mkdir staging && cp target/*.jar staging
    - uses: actions/upload-artifact@v2
      with:
        name: Package
        path: staging

生成映像

使用生成 Azure 虚拟机映像操作来创建自定义虚拟机映像。

将 {subscriptionID}{rgName} 和 {Identity} 的占位符替换为订阅 ID、资源组名称和托管标识名称。 将 {galleryName} 和 {imageName} 的值替换为映像库名称和映像名称。

注意

如果“创建应用烘焙映像”操作失败并出现权限错误，请验证是否已将映像创建角色分配给用户托管标识。

    - name: Create App Baked Image
      id: imageBuilder
      uses: azure/build-vm-image@v0
      with:
        location: 'eastus2'
        resource-group-name: '{rgName}'
        managed-identity: '{Identity}' # Managed identity
        source-os-type: 'windows'
        source-image-type: 'platformImage'
        source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
        dist-type: 'SharedImageGallery'
        dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
        dist-location: 'eastus2'

虚拟机操作参数

输入	必须	说明
resource-group-name	是	用于在生成过程中存储和保存项目的资源组。
image-builder-template-name	否	使用的映像生成器模板资源的名称。
location	是	Azure 映像生成器将运行的位置。 请参阅支持的位置。
build-timeout-in-minutes	否	在此之后取消生成的时间。 默认为 240。
vm-size	可选	默认情况下，将使用 Standard_D1_v2。 请参阅虚拟机大小。
managed-identity	是	之前创建的用户管理的标识。 如果标识位于不同的资源组，请使用完整的标识符。 如果它位于相同的资源组，请使用该名称。
source-os	是	基础映像的 OS 类型（Linux 或 Windows）
source-image-type	是	将用于创建自定义映像的基础映像类型。
source-image	是	基础映像的资源标识符。 源映像应出现在 location 输入值中所设置的同一 Azure 区域中。
customizer-source	否	可以在其中保留所有需要添加到基础映像以进行自定义的项目的目录。 默认情况下该值为 ${{ GITHUB.WORKSPACE }}/workflow-artifacts.
customizer-destination	否	这是自定义映像中项目所复制到的目录。
customizer-windows-update	否	仅限 Windows。 布尔值。 如果为 true，则映像生成器在自定义结束时将运行 Windows 更新。
dist-location	否	对于 SharedImageGallery，这是 dist-type。
dist-image-tags	否	这些是用户定义的标记，它们将添加到创建的自定义映像（示例：version:beta）。

创建虚拟机

最后一步是从映像创建虚拟机。

1. 将 {rgName} 的占位符替换为资源组名称。

2. 使用虚拟机密码 (VM_PWD) 添加 GitHub 机密。 请确保记下该密码，因为将无法再次查看它。 用户名为 myuser。

    - name: CREATE VM
      uses: azure/CLI@v1
      with:
        azcliversion: 2.0.72
        inlineScript: |
        az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
            --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"              

完成 YAML

服务主体

  on: [push]

  name: Create Custom VM Image

  jobs:
    build-image:
      runs-on: ubuntu-latest    
      steps:
      - name: Checkout
        uses: actions/checkout@v2    

      - name: Login via Az module
        uses: azure/login@v1
        with:
          creds: ${{secrets.AZURE_CREDENTIALS}}

      - name: Setup Java 1.8.x
        uses: actions/setup-java@v1
        with:
          java-version: '1.8.x'
          
      - name: Build Java
        run: mvn --batch-mode --update-snapshots verify

      - run: mkdir staging && cp target/*.jar staging
      - uses: actions/upload-artifact@v2
        with:
          name: Package
          path: staging

      - name: Create App Baked Image
        id: imageBuilder
        uses: azure/build-vm-image@v0
        with:
          location: 'eastus2'
          resource-group-name: '{rgName}'
          managed-identity: '{Identity}' # Managed identity
          source-os-type: 'windows'
          source-image-type: 'platformImage'
          source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
          dist-type: 'SharedImageGallery'
          dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
          dist-location: 'eastus2'

      - name: CREATE VM
        uses: azure/CLI@v1
        with:
          azcliversion: 2.0.72
          inlineScript: |
          az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
              --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"              

Open ID Connect

  on: [push]

  name: Create Custom VM Image

  jobs:
    build-image:
      runs-on: ubuntu-latest    
      steps:
      - name: Checkout
        uses: actions/checkout@v2    

      - name: Login via Az module
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      - name: Setup Java 1.8.x
        uses: actions/setup-java@v1
        with:
          java-version: '1.8.x'
          
      - name: Build Java
        run: mvn --batch-mode --update-snapshots verify

      - run: mkdir staging && cp target/*.jar staging
      - uses: actions/upload-artifact@v2
        with:
          name: Package
          path: staging

      - name: Create App Baked Image
        id: imageBuilder
        uses: azure/build-vm-image@v0
        with:
          location: 'eastus2'
          resource-group-name: '{rgName}'
          managed-identity: '{Identity}' # Managed identity
          source-os-type: 'windows'
          source-image-type: 'platformImage'
          source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
          dist-type: 'SharedImageGallery'
          dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
          dist-location: 'eastus2'

      - name: CREATE VM
        uses: azure/CLI@v1
        with:
          azcliversion: 2.0.72
          inlineScript: |
          az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
              --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"              

后续步骤

• 了解如何部署到 Azure。