Avvio rapido: usare GitHub Actions per connettersi a Database di Azure per MySQL - Server flessibile

Articolo
12/18/2024

Usare un flusso di lavoro GitHub Actions per distribuire aggiornamenti di database al server flessibile di Database di Azure per MySQL.

Prerequisiti

Saranno necessari gli elementi seguenti:

Un account Azure con una sottoscrizione attiva. Creare un account gratuitamente.
Un account GitHub. Se non si ha un account GitHub, è possibile iscriversi gratuitamente.
Un repository GitHub con i dati di esempio (data.sql).

Importante

Questa guida introduttiva presuppone che sia stato clonato un repository GitHub nel computer, in modo da poter aggiungere l'indirizzo IP associato a una regola del firewall, se necessario.
Un’istanza del server flessibile di Database di Azure per MySQL.
- Avvio rapido: creare un server flessibile di Database di Azure per MySQL nel portale di Azure

Panoramica dei file del flusso di lavoro

Un flusso di lavoro GitHub Actions viene definito da un file YAML (con estensione yml) nel percorso /.github/workflows/ del repository. Questa definizione contiene i vari passaggi e i parametri che costituiscono il flusso di lavoro.

Il file è costituito da due sezioni:

Sezione	Attività
Autenticazione	1. Generare le credenziali per la distribuzione.
Distribuzione	1. Distribuire il database.

Generare le credenziali per la distribuzione

Entità servizio
OpenID Connect

Creare un'entità servizio con il comando az ad sp create-for-rbac dell'interfaccia della riga di comando di Azure. Eseguire questo comando con Azure Cloud Shell nel portale di Azure oppure selezionando il pulsante Prova.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

Il parametro --json-auth è disponibile nelle versioni >dell'interfaccia della riga di comando di Azure = 2.51.0. Versioni precedenti a questo utilizzo --sdk-auth con un avviso di deprecazione.

Nell'esempio precedente sostituire i segnaposto con l'ID sottoscrizione e il nome del gruppo di risorse. L'output è un oggetto JSON con le credenziali di assegnazione di ruolo che forniscono l'accesso all'app del servizio app simile a questo esempio. Copiare l'oggetto JSON per un uso successivo.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect è un metodo di autenticazione che utilizza token di breve durata. Configurare OpenID Connect con GitHub Actions è un processo più complesso che offre una maggiore sicurezza.

Se non si dispone di un'applicazione esistente, registrare una nuova applicazione Microsoft Entra e un'entità servizio in grado di accedere alle risorse.
```
az ad app create --display-name myApp
```
Questo comando genererà un oggetto JSON con un appId che corrisponde a client-id. Il objectId è APPLICATION-OBJECT-ID e verrà usato per la creazione di credenziali federate con chiamate API Graph. Salvare il valore da usare come AZURE_CLIENT_ID segreto GitHub in un secondo momento.
Creare un'entità servizio. Sostituire il $appID con il valore appId dall'output JSON. Questo comando genera l'output JSON con una diversa objectId che verrà usata nel passaggio successivo. Il nuovo objectId è assignee-object-id.

Questo comando genera un output JSON con una diversa objectId e verrà usato nel passaggio successivo. Il nuovo objectId è assignee-object-id.

Copiare appOwnerTenantId da usare come segreto GitHub per AZURE_TENANT_ID in un secondo momento.
```
 az ad sp create --id $appId
```
Creare una nuova assegnazione di ruolo per sottoscrizione e oggetto. Per impostazione predefinita, l'assegnazione di ruolo verrà associata alla sottoscrizione predefinita. Sostituire $subscriptionId con l'ID sottoscrizione, $resourceGroupName con il nome del gruppo di risorse e $assigneeObjectId con il assignee-object-id generato (l'ID oggetto dell'entità servizio appena creato).
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
Eseguire il comando seguente per creare una nuova credenziale di identità federata per l'applicazione Microsoft Entra.
- Sostituire APPLICATION-OBJECT-ID con il objectId (generato durante la creazione dell'app) per l'applicazione Microsoft Entra.
- Impostare un valore per CREDENTIAL-NAME a cui fare riferimento in seguito.
- Impostare subject. Il valore di questo valore è definito da GitHub a seconda del flusso di lavoro:
  - Processi nell'ambiente GitHub Actions: repo:< Organization/Repository >:environment:< Name >
  - Per i processi non associati a un ambiente, includere il percorso di riferimento per branch/tag in base al percorso di riferimento usato per attivare il flusso di lavoro: repo:< Organization/Repository >:ref:< ref path>. Ad esempio, repo:n-username/ node_express:ref:refs/heads/my-branch o repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Per i flussi di lavoro attivati da un evento di richiesta pull: repo:< Organization/Repository >:pull_request.
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

Copiare la stringa di connessione MySQL

Nel portale di Azure passare all’istanza del server flessibile di Database di Azure per MySQL e aprire Impostazioni>Stringhe di connessione. Copiare la stringa di connessione per ADO.NET. Sostituire i valori segnaposto your_database e your_password.

Importante

Per il server singolo di Database di Azure per MySQL, usare Uid=adminusername@servername. Si noti che il @servername è obbligatorio.
Per Database di Azure per MySQL server flessibile, usare Uid=adminusername senza .@servername

La stringa di connessione verrà usata come segreto GitHub.

In GitHub, andare al proprio repository.
Passare a Impostazioni nel menu di spostamento.
Selezionare Sicurezza > Segreti e variabili > Azioni.
Selezionare Nuovo segreto repository.
Incollare l'intero output JSON del comando dell'interfaccia della riga di comando di Azure nel campo del valore del segreto. Assegnare al segreto il nome AZURE_CREDENTIALS.
Selezionare Aggiungi segreto.

È necessario specificare l'ID client, l'ID tenant el'ID sottoscrizione dell'applicazione all'azione di accesso. Questi valori possono essere forniti direttamente nel flusso di lavoro oppure possono essere archiviati nei segreti gitHub e riportati nel flusso di lavoro. Salvare i valori come segreti GitHub è l'opzione più sicura.

In GitHub, andare al proprio repository.
Selezionare Sicurezza > Segreti e variabili > Azioni.
Selezionare Nuovo segreto repository.
Creare segreti per AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_SUBSCRIPTION_ID. Usare questi valori dell'applicazione Microsoft Entra per i segreti di GitHub:

Segreto GitHub Applicazione Microsoft Entra

AZURE_CLIENT_ID ID applicazione (client)

AZURE_TENANT_ID ID della directory (tenant)

AZURE_SUBSCRIPTION_ID ID sottoscrizione
Salvare ogni segreto selezionando Aggiungi segreto.

Segreto GitHub	Applicazione Microsoft Entra
AZURE_CLIENT_ID	ID applicazione (client)
AZURE_TENANT_ID	ID della directory (tenant)
AZURE_SUBSCRIPTION_ID	ID sottoscrizione

Aggiungere il flusso di lavoro

Passare ad Actions per il repository GitHub.
Selezionare Set up your workflow yourself (Configurare manualmente il flusso di lavoro).
Eliminare tutti quello che segue la sezione on: del file del flusso di lavoro. Ad esempio, il flusso di lavoro rimanente potrebbe essere simile al seguente.
```
name: CI

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]
```

Rinominare il flusso di lavoro MySQL for GitHub Actions e aggiungere le azioni checkout e login. Queste azioni eseguiranno il checkout del codice del sito e l'autenticazione con Azure usando il segreto GitHub AZURE_CREDENTIALS creato in precedenza.

Entità servizio
OpenID Connect

name: MySQL for GitHub Actions

on:
    push:
        branches: [ main ]
    pull_request:
        branches: [ main ]

jobs:
    build:
        runs-on: windows-latest
        steps:
        - uses: actions/checkout@v1
        - uses: azure/login@v1
            with:
                creds: ${{ secrets.AZURE_CREDENTIALS }}

name: MySQL for GitHub Actions

on:
    push:
        branches: [ main ]
    pull_request:
        branches: [ main ]

jobs:
    build:
        runs-on: windows-latest
        steps:
        - uses: actions/checkout@v1
        - uses: azure/login@v1
            with:
              client-id: ${{ secrets.AZURE_CLIENT_ID }}
              tenant-id: ${{ secrets.AZURE_TENANT_ID }}
              subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Usare l'azione di distribuzione di Azure MySQL per connettersi all'istanza di MySQL. Sostituire MYSQL_SERVER_NAME con il nome del server. È necessario avere un file di dati MySQL denominato data.sql al livello radice del repository.
```
- uses: azure/mysql@v1
  with:
    server-name: MYSQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
    sql-file: './data.sql'
```

Completare il flusso di lavoro aggiungendo un'azione di disconnessione da Azure. Ecco il flusso di lavoro completato. Il file verrà visualizzato nella cartella .github/workflows del repository.

Entità servizio
OpenID Connect

name: MySQL for GitHub Actions

on:
  push:
      branches: [ main ]
  pull_request:
      branches: [ main ]
jobs:
    build:
        runs-on: windows-latest
        steps:
          - uses: actions/checkout@v1
          - uses: azure/login@v1
            with:
              creds: ${{ secrets.AZURE_CREDENTIALS }}

          - uses: azure/mysql@v1
            with:
              server-name: MYSQL_SERVER_NAME
              connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
              sql-file: './data.sql'

            # Azure logout
          - name: logout
            run: |
              az logout

name: MySQL for GitHub Actions

on:
  push:
      branches: [ main ]
  pull_request:
      branches: [ main ]
jobs:
    build:
        runs-on: windows-latest
        steps:
          - uses: actions/checkout@v1
          - uses: azure/login@v1
            with:
              client-id: ${{ secrets.AZURE_CLIENT_ID }}
              tenant-id: ${{ secrets.AZURE_TENANT_ID }}
              subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
          - uses: azure/mysql@v1
            with:
              server-name: MYSQL_SERVER_NAME
              connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
              sql-file: './data.sql'

            # Azure logout
          - name: logout
            run: |
              az logout

Esaminare la distribuzione

Passare ad Actions per il repository GitHub.
Aprire il primo risultato per visualizzare i log dettagliati dell'esecuzione del flusso di lavoro.

Pulire le risorse

Quando il database del server flessibile di Database di Azure per MySQL e il repository non sono più necessari, pulire le risorse distribuite eliminando il gruppo di risorse e il repository GitHub.

Passaggio successivo

Informazioni sull'integrazione di Azure e GitHub

Condividi tramite