Implementación de una aplicación de Python en contenedor en App Service

Este artículo forma parte de un tutorial sobre cómo incluir e implementar una aplicación web de Python en Azure App Service. App Service le permite ejecutar aplicaciones web en contenedor e implementarlas mediante funcionalidades de integración continua e implementación continua (CI/CD) con Docker Hub, Azure Container Registry y Visual Studio Team Services.

En esta parte del tutorial, aprenderá a implementar la aplicación web de Python en contenedor en App Service mediante la App Service Web App for Containers. Web App for Containers le permite centrarse en configurar sus contenedores sin preocuparse por administrar y mantener un orquestador de contenedores subyacente.

Después de seguir los pasos de este artículo, terminas con un sitio web App Service usando una imagen de contenedor Docker. App Service extrae la imagen inicial de Azure Container Registry mediante la identidad administrada para la autenticación.

En este diagrama de servicio se resaltan los componentes descritos en este artículo.

Creación de la aplicación web

CLI de Azure

Se pueden ejecutar los comandos de la CLI de Azure en Azure Cloud Shell o en una estación de trabajo con la CLI de Azure instalada .

1. Obtenga el ID de recurso del grupo que contiene Azure Container Registry con el comando az group show.

   # RESOURCE_GROUP_NAME='msdocs-web-app-rg'
   
   RESOURCE_ID=$(az group show \
     --resource-group $RESOURCE_GROUP_NAME \
     --query id \
     --output tsv)
   echo $RESOURCE_ID
   

   RESOURCE_GROUP_NAME debe seguir estando configurado en su entorno con el nombre del grupo de recursos que usó en la parte 3. Construir un contenedor en Azure de este tutorial. Si no es así, retire el comentario de la primera línea y establezca el nombre que utilizó.

2. Cree un plan de App Service con el comando az appservice plan create.

   APP_SERVICE_PLAN_NAME='msdocs-web-app-plan'
   
   az appservice plan create \
       --name $APP_SERVICE_PLAN_NAME \
       --resource-group $RESOURCE_GROUP_NAME \
       --sku B1 \
       --is-linux
   

3. Cree una aplicación web usando el comando az webapp create.

   El siguiente comando también habilita la identidad administrada asignada por el sistema para la aplicación web y le asigna el rol AcrPull en el recurso especificado--en este caso, el grupo de recursos que contiene el Azure Container Registry. Esto concede a la identidad administrada asignada por el sistema privilegios de extracción en cualquier Azure Container Registry del grupo de recursos.

   APP_SERVICE_NAME='<website-name>'
   # REGISTRY_NAME='<your Azure Container Registry name>'
   CONTAINER_NAME=$REGISTRY_NAME'.azurecr.io/msdocspythoncontainerwebapp:latest'
   
   az webapp create \
     --resource-group $RESOURCE_GROUP_NAME \
     --plan $APP_SERVICE_PLAN_NAME \
     --name $APP_SERVICE_NAME \
     --assign-identity '[system]' \
     --scope $RESOURCE_ID \
     --role acrpull \
     --deployment-container-image-name $CONTAINER_NAME 
   

   Dónde:

   • APP_SERVICE_NAME debe ser único globalmente, ya que se convierte en el nombre del sitio web en la dirección URL https://<website-name>.azurewebsites.net.
   • CONTAINER_NAME tiene la forma "yourregistryname.azurecr.io/repo_name:tag".
   • REGISTRY_NAME aún debe establecerse en su entorno con el nombre de registro que utilizó en la parte 3. Compilar el contenedor en Azure de este tutorial. Si no es así, retire el comentario la línea donde se establece en el fragmento de código y establézcalo con el nombre que utilizó.

   Nota

   Es posible que vea un error similar al siguiente al ejecutar el comando:

   No credential was provided to access Azure Container Registry. Trying to look up...
   Retrieving credentials failed with an exception:'No resource or more than one were found with name ...'
   

   Este error se produce porque la aplicación web usa de forma predeterminada las credenciales de administrador de Azure Container Registry para autenticarse con el registro y las credenciales de administrador no se han habilitado en el registro. Puede omitir este error de forma segura porque establecerá la aplicación web para que use la identidad administrada asignada por el sistema para la autenticación en el siguiente comando.

Código de VS

Estos pasos requieren la extensión Docker para VS Code.

1. Actualice Azure Container Registry en la extensión de Docker.

   Confirme que el contenedor que ha compilado aparece en la sección REGISTRIES de la extensión de Docker. Si no lo hace, haga clic con el botón derecho en el nombre del Registro y seleccione Actualizar.

   

2. Seleccione F1 o CTRL+MAYÚS+P para abrir la paleta de comandos, escriba "Registros de Docker" y seleccione la tarea Registros de Docker: Implementar imagen en Azure App Service....

3. Siga las indicaciones y escriba los siguientes valores para implementar la imagen:

   • Selección del proveedor del registro: "Azure"
   • Seleccione Registro: escriba el nombre del registro que creó anteriormente en este tutorial.
   • Seleccionar repositorio: escriba el nombre del repositorio "msdocspythoncontainerwebapp". Si no ve este repositorio, actualice la sección de extensión de Docker REGISTRIES.
   • Seleccionar etiqueta: "última"
   • Escriba un nombre único global para la aplicación web: escriba un nombre que sea globalmente único para Azure App Service. Por ejemplo, si usa "msdocs-python-container-web-app", la dirección URL de la aplicación web sería http://msdocs-python-container-web-app.azurewebsites.net.
   • Seleccione un grupo de recursos: use el grupo de recursos que contiene Azure Container Registry que creó anteriormente.
   • Seleccione una ubicación: use la misma ubicación que el grupo de recursos.
   • Seleccione un plan de App Service de Linux: use un existente o cree uno nuevo.

   

4. Vea la ventana SALIDA para obtener más información sobre la implementación. Una de las líneas de salida es "Conceder permiso para que App Service extraiga la imagen de ACR...", lo que permite al App Service acceder al registro mediante la identidad administrada.

   

   El sitio final https://<app-name>.azurewebsites.net aún no está listo porque necesita especificar información de MongoDB.

Azure Portal

Inicie sesión en el portal de Azure y siga estos pasos para crear la aplicación web.

1. Busque "App Services" y seleccione App Services en Servicios en los resultados de la búsqueda. A continuación, seleccione ++ Crear en la parte superior de la página para iniciar el proceso de creación.

2. En la configuración básica de App Service, especifique:

   • grupo de recursos: use el mismo grupo de recursos en el que se encuentra Azure Container Registry.
   • Nombre: utilice un nombre único que será http://<app-name>.azurewebsites.net.
   • Publicar: Use contenedor de Docker para que se use la imagen del registro que compile.
   • Sistema Operativo: Linux
   • Región: Use la misma región que el grupo de recursos y el Registro de Contenedores de Azure.
   • plan de Linux: seleccione un plan de Linux existente o use uno nuevo.
   • Sku y tamaño: Seleccione Básico B1. Seleccione el vínculo Cambiar tamaño para acceder a más opciones.
   • Redundancia de zona: Seleccione Desactivado si esta opción está disponible para el SKU seleccionado.

   Seleccione Siguiente: Docker para continuar.

   

3. Especifique la información de Docker de App Service, entre las que se incluyen:

   • Opciones: seleccione Contenedor único.
   • Fuente de la imagen: Seleccione Azure Container Registry.
   • Registro: El registro que creó para este tutorial.
   • Imagen: Una imagen en el registro.
   • Etiqueta:"latest"

   

   El registro cuenta de administrador se necesita cuando se usa Azure Portal para implementar una imagen de contenedor. Si la cuenta de administrador no está habilitada, verá un error al especificar el Image. Una vez creada la instancia de App Service, la identidad administrada se usa para extraer imágenes del registro y la cuenta de administrador se puede deshabilitar.

4. Seleccione Revisar + crear. Cuando se complete la validación, seleccione Crear.

Configuración de la identidad administrada y el webhook

CLI de Azure

1. Configure la aplicación web para utilizar identidades administradas para extraerlas del Azure Container Registry con el comando az webapp config set.

   az webapp config set \
     --resource-group $RESOURCE_GROUP_NAME \
     --name $APP_SERVICE_NAME \
     --generic-configurations '{"acrUseManagedIdentityCreds": true}'
   

   Dado que ha habilitado la identidad administrada asignada por el sistema al crear la aplicación web, será la identidad administrada que se usa para extraer de Azure Container Registry.

2. Obtenga la credencial de ámbito de aplicación con el comando az webapp deployment list-publishing-credentials.

   CREDENTIAL=$(az webapp deployment list-publishing-credentials \
     --resource-group $RESOURCE_GROUP_NAME \
     --name $APP_SERVICE_NAME \
     --query publishingPassword \
     --output tsv)
   echo $CREDENTIAL 
   

3. Utilice la credencial de ámbito de aplicación para crear un webhook con el comando az acr webhook create.

   SERVICE_URI='https://$'$APP_SERVICE_NAME':'$CREDENTIAL'@'$APP_SERVICE_NAME'.scm.azurewebsites.net/api/registry/webhook'
   
   az acr webhook create \
     --name webhookforwebapp \
     --registry $REGISTRY_NAME \
     --scope msdocspythoncontainerwebapp:* \
     --uri $SERVICE_URI \
     --actions push 
   

   De forma predeterminada, este comando crea el webhook en el mismo grupo de recursos y ubicación que el registro de contenedor de Azure especificado. Si lo desea, puede usar los parámetros --resource-group y --location para invalidar este comportamiento.

Código de VS

1. Al implementar con Visual Studio Code, la identidad administrada ya está establecida para que App Service extraiga imágenes del registro. Puede confirmar que la identidad administrada está habilitada consultando los registros en la ventana SALIDA y buscando el mensaje "Concediendo permiso para que App Service extraiga la imagen de ACR...".

   

2. Durante la implementación con VS Code, se crea un webhook que permite que la aplicación web extraiga imágenes nuevas de Azure Container Registry.

   Importante

   Revise la configuración de webhooks en Azure Portal para confirmar que el URI del servicio termina con "/api/registry/webhook". Para revisar el URI del servicio, abra la extensión de Docker en VS Code y busque el registro que creó. Haga clic con el botón derecho en el registro y seleccione Abrir en el Portal. El registro se abre en Azure Portal. Seleccione Webhooks en el menú de servicios del registro.

   

Azure Portal

Ve al Portal Azure para seguir estos pasos.

1. Vaya a su servicio App. Por ejemplo, puede buscar el nombre de su servicio de aplicaciones y seleccionarlo en Recursos en los resultados.

2. Habilita la identidad administrada.

   1. En Configuración en el menú del servicio, seleccione Identidad.
   2. En la pestaña Sistema asignado, establezca Estado en Activado.
   3. Seleccione Guardar y, a continuación, seleccione Sí en la pregunta para continuar.

   

3. En la pestaña Sistema asignado de la página Identidad, seleccione Asignación de funciones de Azure.

   

4. Agregue el rol "AcrPull" para la identidad administrada asignada por el sistema. El rol AcrPull permite que App Service extraiga imágenes de Azure Container Registry.

   En "Asignación de funciones de Azure", seleccione + Añadir asignación de funciones y siga las instrucciones para añadir:

   • Ámbito: "Grupo de recursos"
   • Suscripción: Su suscripción.
   • Grupo de recursos: el grupo con el Azure Container Registry y el App Service.
   • Rol: "AcrPull"

   Seleccione Guardar para guardar la asignación de roles.

   

   Para más información, consulte Asignación de roles de Azure mediante Azure Portal.

5. Configure la implementación de App Service para utilizar la identidad administrada.

   1. En la opción Implementación del menú de servicio , seleccione el Centro de implementación .
   2. En la pestaña Configuración, establezca Autenticación en Identidad administrada.
   3. Seleccione Guardar para guardar los cambios.

   

6. Obtenga la credencial de ámbito de aplicación. Use esta credencial en el paso siguiente.

   1. En Implementación en el menú de servicio, seleccione Centro de implementación.
   2. En la pestaña Credenciales FTPS, obtenga el valor Contraseña en Ámbito de aplicación.

7. Cree un webhook que desencadene actualizaciones en App Service cuando se inserten nuevas imágenes en Azure Container Registry.

   1. Vaya al Azure Container Registry que estás usando en este tutorial. En el menú del servicio , seleccione Webhooks.

   2. En la página Webhooks, seleccione + Añadir.

   3. En la página Crear webhook, especifique los campos como se indica a continuación:

      • Nombre del webhook: Introduzca "webhookforwebapp".

      • Ubicación: use la ubicación del registro.

      • URI de servicio: una cadena que es una combinación del nombre de App Service y la credencial copiada en el paso anterior.

        El URI del servicio tiene el formato "https://$" + APP_SERVICE_NAME + ":" + CREDENTIAL + "@" + APP_SERVICE_NAME + ".scm.azurewebsites.net/api/registry/webhook". Por ejemplo: "https://$msdocs-python-container-web-app:credential@msdocs-python-container-web-app.scm.azurewebsites.net/api/registry/webhook".

      • Acciones: seleccione empujar.

      • Estado: Seleccione Activado.

      • Ámbito: Introduzca "msdocspythoncontainerwebapp:*".

      

Configuración de la conexión a MongoDB

En este paso, especificará las variables de entorno necesarias para conectarse a MongoDB.

Si necesita crear una instancia de Azure Cosmos DB for MongoDB, se recomienda seguir los pasos para configurar Cosmos DB for MangoDB en la parte 2. Compile y pruebe el contenedor localmente de este tutorial. Cuando haya terminado, debe tener una cadena de conexión de Azure Cosmos DB for MongoDB de la forma mongodb://<server-name>:<password>@<server-name>.mongo.cosmos.azure.com:10255/?ssl=true&<other-parameters>.

Necesita la cadena de conexión de MongoDB para seguir los pasos que se indican a continuación.

CLI de Azure

Para establecer variables de entorno en App Service, cree valores de aplicación mediante el comando az webapp config appsettings set siguiente.

MONGO_CONNECTION_STRING='your Mongo DB connection string in single quotes'
MONGO_DB_NAME=restaurants_reviews
MONGO_COLLECTION_NAME=restaurants_reviews

az webapp config appsettings set \
   --resource-group $RESOURCE_GROUP_NAME \
   --name $APP_SERVICE_NAME \
   --settings CONNECTION_STRING=$MONGO_CONNECTION_STRING \
              DB_NAME=$MONGO_DB_NAME  \
              COLLECTION_NAME=$MONGO_COLLECTION_NAME 

• CONNECTION_STRING: una cadena de conexión que comienza por "mongodb://".
• DB_NAME: Use "restaurants_reviews".
• COLLECTION_NAME: Use "restaurants_reviews".

Código de VS

Para configurar variables de entorno para la aplicación web desde VS Code, debe tener instalado paquete de extensiones de Azure Tools e iniciar sesión en Azure desde VS Code.

1. En la extensión de Azure Tools para Visual Studio Code:

   1. Expanda RESOURCES y busque App Services dentro de su suscripción. (Asegúrese de ver los recursos por Grupo por tipo de recurso).

   2. Expanda app Services y busque la aplicación web que acaba de crear.

   3. Expanda la aplicación web y haga clic con el botón derecho en Configuración de la aplicación.

   4. Seleccione Agregar nueva configuración....

   

2. Cada vez que agregue una nueva configuración, aparecerá un cuadro de diálogo en la parte superior de la ventana de VS Code, donde puede agregar el nombre de configuración seguido de su valor. Agregue la siguiente configuración:

   • CONNECTION_STRING: una cadena de conexión que comienza por "mongodb://".
   • DB_NAME: Use "restaurants_reviews".
   • COLLECTION_NAME: Use "restaurants_reviews".
   • WEBSITES_PORT: use "8000" para Django y "5000" para Flask. Esta variable de entorno especifica el puerto en el que escucha el contenedor.

Azure Portal

1. En el App Service en el portal Azure, seleccione Configuración en Ajustes en el menú del servicio. A continuación, seleccione Configuración de la aplicación en el menú superior.

   

2. Cree la configuración de la aplicación.

   1. Seleccione + Nueva configuración de aplicación para crear la configuración para cada uno de los valores siguientes:

      • CONNECTION_STRING: una cadena de conexión que comienza por "mongodb://".
      • DB_NAME: Use "restaurants_reviews".
      • COLLECTION_NAME: Use "restaurants_reviews".

   2. Confirme que tiene tres configuraciones con los valores correctos.

      

   3. Seleccione Guardar para aplicar la configuración.

Navegar por el sitio

Para verificar que el sitio se está ejecutando, vaya a https://<website-name>.azurewebsites.net; donde nombre del sitio web es el nombre de su servicio de aplicación. Si se ha ejecutado correctamente, debería ver la aplicación de ejemplo de reseñas de restaurantes. El sitio puede tardar unos instantes en iniciarse por primera vez. Cuando aparezca el sitio, agregue un restaurante y una revisión para ese restaurante para confirmar que la aplicación de ejemplo funciona.

CLI de Azure

Si está ejecutando Azure CLI localmente, puede utilizar el comando az webapp browse para navegar al sitio web. Si usa Cloud Shell, abra una ventana del explorador y vaya a la dirección URL del sitio web.

az webapp browse --name $APP_SERVICE_NAME --resource-group $RESOURCE_GROUP_NAME 

Nota

El comando az webapp browse no se admite en Cloud Shell. Abra una ventana del explorador y vaya a la dirección URL del sitio web en su lugar.

Código de VS

En la extensión de Azure Tools para Visual Studio Code:

1. Expanda RESOURCES y busque App Services dentro de su suscripción. (Asegúrese de ver los recursos por Grupo por tipo de recurso).

2. Haga clic con el botón derecho en el servicio de aplicación y seleccione Examinar sitio web.

   

Azure Portal

En el servicio App del portal, seleccione Información general en el menú del servicio. A continuación, seleccione Examinar.

Solución de problemas de implementación

Si no ve la aplicación de ejemplo, pruebe los pasos siguientes.

• Con la implementación de contenedores y App Service, compruebe siempre la página Centro de implementación / Registros en el portal Azure. Confirme que el contenedor se ha extraído y se está ejecutando. La extracción inicial y la ejecución del contenedor pueden tardar unos instantes.
• Intente reiniciar App Service y compruebe si se resuelve el problema.
• Si hay errores de programación, esos errores se muestran en los registros de la aplicación. En la página del portal de Azure para App Service, seleccione Diagnosticar y resolver problemas/Registros de aplicaciones.
• La aplicación de ejemplo se basa en una conexión a MongoDB. Confirme que App Service tiene la configuración de la aplicación con la información de conexión correcta.
• Confirme que la identidad administrada está habilitada para App Service y se usa en el Centro de implementación. En la página del portal Azure para el App Service, vaya al recurso App Service Centro de implementación y confirme que la Autenticación está establecida en Identidad administrada.
• Compruebe que el webhook está definido en Azure Container Registry. El webhook permite que App Service extraiga la imagen del contenedor. En concreto, compruebe que el URI del servicio termina con "/api/registry/webhook".
• Los diferentes SKU de Azure Container Registry tienen diferentes características, incluyendo el número de webhooks. Si está reutilizando un registro existente, podría ver el mensaje "Cuota superada para webhooks de tipo de recurso para la SKU del registro Básico. Obtenga más información sobre las diferentes cuotas de SKU y el proceso de actualización: https://aka.ms/acr/tiers". Si ve este mensaje, utilice un nuevo registro o reduzca el número de webhooks de registro en uso.

Paso siguiente

Limpieza de recursos