Schnellstart: Verwenden von GitHub Actions zum Herstellen einer Verbindung mit Azure Database for PostgreSQL – Flexibler Server

GILT FÜR: Azure Database for PostgreSQL – Flexibler Server

Verwenden Sie als Einstieg in GitHub Actions einen Workflow zum Bereitstellen von Datenbankupdates für Azure Database for PostgreSQL – Flexibler Server.

Voraussetzungen

Erforderlich:

• Ein Azure-Konto mit einem aktiven Abonnement. Sie können kostenlos ein Konto erstellen.
• Ein GitHub-Repository mit Beispieldaten (data.sql). Wenn Sie kein GitHub-Konto besitzen, können Sie sich kostenlos registrieren.
• Eine Instanz von Azure Database for PostgreSQL – Flexibler Server.
• Erstellen Sie eine Instanz von Azure Database for PostgreSQL – Flexibler Server.

Übersicht über die Workflowdatei

Ein GitHub Actions-Workflow wird durch eine YAML-Datei (.yml) im Pfad /.github/workflows/ in Ihrem Repository definiert. Diese Definition enthält die verschiedenen Schritte und Parameter, die den Workflow bilden.

Die Datei besteht aus zwei Abschnitten:

`Section`	Aufgaben
Authentifizierung	1. Generieren von Anmeldeinformationen für die Bereitstellung.
Bereitstellen	1. Bereitstellen der Datenbank.

Generieren von Anmeldeinformationen für die Bereitstellung

Dienstprinzipal

Generieren Sie in der Azure CLI mit dem Befehl az ad sp create-for-rbac einen Dienstprinzipal. Führen Sie diesen Befehl mit Azure Cloud Shell im Azure-Portal oder durch Auswählen der Schaltfläche Ausprobieren aus.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

Der Parameter --json-auth ist in Azure CLI-Versionen >= 2.51.0 verfügbar. Frühere Versionen nutzen --sdk-auth mit einer Einstellungswarnung.

Ersetzen Sie im obigen Beispiel die Platzhalter durch Ihre Abonnement-ID, den Ressourcengruppennamen und den App-Namen. Die Ausgabe ist ein JSON-Objekt mit den Anmeldeinformationen für die Rollenzuweisung, die ähnlich wie unten Zugriff auf Ihre App Service-App gewähren. Kopieren Sie dieses JSON-Objekt zur späteren Verwendung.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Connect ist eine Authentifizierungsmethode, die kurzlebige Token verwendet. Das Einrichten von OpenID Connect mit GitHub Actions ist komplexer und bietet mehr Sicherheit.

1. Wenn Sie keine bestehende Anwendung besitzen, registrieren Sie eine neue Microsoft Entra-Anwendung und einen neuen Dienstprinzipal, die auf Ressourcen zugreifen können.

   az ad app create --display-name myApp
   

   Dieser Befehl gibt JSON mit einem appId aus, das Ihrem client-id entspricht. Dies objectId ist APPLICATION-OBJECT-ID und wird zum Erstellen von Verbundanmeldeinformationen mit Graph-API-Anrufen verwendet. Speichern Sie den Wert, der später als AZURE_CLIENT_IDGitHub-Geheimnis verwendet werden soll.

2. Erstellen eines Dienstprinzipals. Ersetzen Sie $appID durch die AppId aus Ihrer JSON-Ausgabe. Dieser Befehl generiert eine JSON-Ausgabe mit einem anderen objectId, was im nächsten Schritt verwendet wird. Der neue objectId ist der assignee-object-id.

   Dieser Befehl generiert eine JSON-Ausgabe mit einem anderen objectId und wird im nächsten Schritt verwendet. Der neue objectId ist der assignee-object-id.

   Kopieren Sie die appOwnerTenantId, um sie später als GitHub-Geheimnis für AZURE_TENANT_ID zu verwenden.

    az ad sp create --id $appId
   

3. Erstellen Sie eine neue Rollenzuweisung nach Abonnement und Objekt. Standardmäßig ist die Rollenzuweisung an Ihr Standardabonnement gebunden. Ersetzen Sie $subscriptionId durch Ihre Abonnement-ID, $resourceGroupName durch den Namen Ihrer Ressourcengruppe und $assigneeObjectId durch die generierte assignee-object-id (die neu erstellte Dienstprinzipalobjekt-ID).

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. Führen Sie den folgenden Befehl aus, um neue Anmeldeinformationen für die Verbundidentität für Ihre Microsoft Entra-Anwendung zu erstellen.

   • Ersetzen Sie APPLICATION-OBJECT-ID durch die ObjectId (die beim Erstellen der Anwendung generiert wurde) für Ihre Microsoft Entra-Anwendung.
   • Legen Sie einen Wert für CREDENTIAL-NAME fest, um später auf ihn zu verweisen.
   • Legen Sie die subject fest. Dieser Wert wird von GitHub in Abhängigkeit von Ihrem Workflow festgelegt:
     • Aufträge in Ihrer GitHub Actions-Umgebung: repo:< Organization/Repository >:environment:< Name >
     • Bei Aufträgen, die nicht an eine Umgebung gebunden sind, fügen Sie den Referenzpfad für den Branch/Tag auf der Grundlage des für die Auslösung des Workflows verwendeten Referenzpfads ein: repo:< Organization/Repository >:ref:< ref path>. Zum Beispiel: repo:n-username/ node_express:ref:refs/heads/my-branch oder repo:n-username/ node_express:ref:refs/tags/my-tag.
     • Für Workflows, die durch ein Pull Request-Ereignis ausgelöst werden: repo:< Organization/Repository >:pull_request.

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

Kopieren der Verbindungszeichenfolge von Azure Database for PostgreSQL – Flexibler Server

Wechseln Sie im Azure-Portal zu Ihrer Azure-Datenbank für flexible Serverinstanz von PostgreSQL und wählen Sie im Ressourcenmenü unter Einstellungen Verbinden aus. Verwenden Sie auf dieser Seite den Datenbanknamen Kombinationsfeld, um den Namen der Datenbank auszuwählen, mit der Sie eine Verbindung herstellen möchten. Erweitern Sie die Connect aus Ihrem App-Abschnitt, kopieren Sie die ADO.NET Verbindungszeichenfolge, und ersetzen Sie den Platzhalterwert {your_password} durch Ihr tatsächliches Kennwort. Die Verbindungszeichenfolge sieht ähnlich aus wie dies.

Server={servername.postgres.database.azure.com};Database={your_database};Port=5432;User Id={adminusername};Password={your_password};Ssl Mode=Require;

Sie verwenden die Verbindungszeichenfolge als GitHub-Geheimnis.

Konfigurieren der GitHub-Geheimnisse

Dienstprinzipal

1. Wechseln Sie in GitHub zu Ihrem Repository.

2. Gehen Sie im Navigationsmenü auf Einstellungen.

3. Wählen Sie Security > Secrets and variables > Actions (Sicherheit > Geheimnisse und Variablen > Aktionen) aus.

   

4. Wählen Sie New repository secret (Neues Repositorygeheimnis) aus.

5. Fügen Sie die gesamte JSON-Ausgabe aus dem Azure CLI-Befehl in das Wertfeld des Geheimnisses ein. Geben Sie dem Geheimnis den Namen AZURE_CREDENTIALS.

6. Klicken Sie auf Add secret (Geheimnis hinzufügen).

OpenID Connect

Sie müssen die Client-ID Ihrer Anwendung, die Mandanten-ID und die Abonnement-ID für die Anmeldeaktion bereitstellen. Diese Werte können entweder direkt im Workflow bereitgestellt werden oder in GitHub-Geheimnissen gespeichert und darauf in Ihrem Workflow verwiesen werden. Das Speichern der Werte als GitHub-Geheimnisse ist die sicherere Option.

1. Wechseln Sie in GitHub zu Ihrem Repository.

2. Wählen Sie Security > Secrets and variables > Actions (Sicherheit > Geheimnisse und Variablen > Aktionen) aus.

   

3. Wählen Sie New repository secret (Neues Repositorygeheimnis) aus.

4. Erstellen Sie Geheimnisse für AZURE_CLIENT_ID, AZURE_TENANT_ID und AZURE_SUBSCRIPTION_ID. Verwenden Sie diese Werte aus Ihrer Microsoft Entra-Anwendung für Ihre GitHub-Geheimnisse:

   GitHub-Geheimnis	Microsoft Entra-Anwendung
   AZURE_CLIENT_ID	Anwendungs-ID (Client)
   AZURE_TENANT_ID	Verzeichnis-ID (Mandant)
   AZURE_SUBSCRIPTION_ID	Abonnement-ID

5. Speichern Sie jedes Geheimnis, indem Sie Geheimnis hinzufügen auswählen.

Hinzufügen des Workflows

1. Navigieren Sie für Ihr GitHub-Repository zu Actions (Aktionen).

2. Wählen Sie Set up your workflow yourself (Workflow selbst einrichten) aus.

3. Löschen Sie alles nach dem Abschnitt on: Ihrer Workflowdatei. Der verbleibende Workflow könnte beispielsweise wie folgt aussehen:

   name: CI
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   

4. Benennen Sie den Workflow in PostgreSQL for GitHub Actions um, und fügen Sie die Aktionen zum Auschecken und Anmelden hinzu. Diese Aktionen checken Ihren Websitecode aus und authentifizieren mit Azure mithilfe des/der von Ihnen zuvor erstellten GitHub-Geheimnisse(s).

   Dienstprinzipal

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           creds: ${{ secrets.AZURE_CREDENTIALS }}
   

   OpenID Connect

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   

5. Verwenden Sie die Aktion „Azure PostgreSQL Deploy“, um eine Verbindung mit Ihrer Instanz von Azure Database for PostgreSQL – Flexibler Server herzustellen. Ersetzen Sie POSTGRESQL_SERVER_NAME durch den Namen Ihres Servers. Sie sollten über eine Datendatei für Azure Database for PostgreSQL – Flexibler Server namens data.sql auf der Stammebene Ihres Repositorys verfügen.

    - uses: azure/postgresql@v1
      with:
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       server-name: POSTGRESQL_SERVER_NAME
       plsql-file: './data.sql'
   

6. Vervollständigen Sie Ihren Workflow, indem Sie eine Aktion zum Abmelden von Azure hinzufügen. Hier sehen Sie den vollständigen Workflow. Die Datei erscheint im Ordner .github/workflows Ihres Repositorys.

   Dienstprinzipal

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CREDENTIALS }}
   
   - uses: azure/postgresql@v1
     with:
       server-name: POSTGRESQL_SERVER_NAME
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       plsql-file: './data.sql'
   
       # Azure logout
   - name: logout
     run: |
        az logout
   

   OpenID Connect

   name: PostgreSQL for GitHub Actions
   
   on:
   push:
       branches: [ main ]
   pull_request:
       branches: [ main ]
   
   
   jobs:
   build:
       runs-on: ubuntu-latest
       steps:
       - uses: actions/checkout@v1
       - uses: azure/login@v1
       with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
   - uses: azure/postgresql@v1
     with:
       server-name: POSTGRESQL_SERVER_NAME
       connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
       plsql-file: './data.sql'
   
       # Azure logout
   - name: logout
     run: |
        az logout
   

Überprüfen der Bereitstellung

1. Navigieren Sie für Ihr GitHub-Repository zu Actions (Aktionen).

2. Öffnen Sie das erste Ergebnis, um ausführliche Protokolle zur Ausführung des Workflows anzuzeigen.

   

Bereinigen von Ressourcen

Wenn Sie die Datenbank und das Repository von Azure Database for PostgreSQL – Flexibler Server nicht mehr benötigen, bereinigen Sie die bereitgestellten Ressourcen, indem Sie die Ressourcengruppe und Ihr GitHub-Repository löschen.

Zugehöriger Inhalt

• Azure- und GitHub-Integration.
• Herstellen einer Verbindung mit dem Server.