次の方法で共有


チュートリアル: Service Connector を使用して、Azure App Service 上に Postgres を使用した Django アプリをビルドする

Note

このチュートリアルでは、サービス コネクタを使って Web アプリをデータベース サービスに接続します。 このチュートリアルは App Service チュートリアルの改訂版であるため、いくつかの類似点が見られる場合があります。 どのような場合にサービス コネクタが役に立ち、App Service のチュートリアルで説明されている接続プロセスが簡単になるのかについては、「Postgres データベースへのパスワードレス コネクタを作成する」セクションをご覧ください。

このチュートリアルでは、データ ドリブンの Python Django Web アプリを Azure App Service にデプロイし、それを Azure Database for PostgreSQL フレキシブル サーバー データベースに接続する方法について説明します。

このチュートリアルでは、Azure CLI を使用して以下のタスクを実了します。

  • Python と Azure CLI を使用して初期環境を設定する
  • Azure Database for PostgreSQL フレキシブル サーバー データベースを作成する
  • Azure App Service にコードをデプロイして PostgreSQL フレキシブル サーバーに接続する
  • コードを更新して再デプロイする
  • 診断ログを表示する
  • Azure portal で Web アプリを管理する

初期環境を設定する

Azure portal の Azure Cloud Shell から起動し、Azure CLI 用のサービス コネクタ パスワードレス拡張機能をインストールします。

az extension add --name serviceconnector-passwordless --upgrade

サンプル アプリをクローンまたはダウンロードする

サンプル リポジトリをクローンします。

git clone https://github.com/Azure-Samples/serviceconnector-webapp-postgresql-django-passwordless.git

次のフォルダーに移動します。

cd serviceconnector-webapp-postgresql-django-passwordless

このチュートリアルでは、 Django Web アプリを Azure App Service にデプロイします。 Web アプリは、Azure ロールベースのアクセス制御でシステム割り当てマネージド ID (パスワードレス接続) を使って、Azure StorageAzure Database for PostgreSQL - フレキシブル サーバー リソースにアクセスします。 このコードでは、 DefaultAzureCredential クラスの Python 用 Azure ID クライアント ライブラリ が使用されています。 この DefaultAzureCredential クラスは、App Service のマネージド ID が存在することを自動的に検出し、それを使用して他の Azure リソースにアクセスします。

  • 運用環境の設定は、azuresite/production.py ファイルにあります。 開発環境の設定は、azuresite/settings.py にあります。
  • WEBSITE_HOSTNAME 環境変数を設定すると、アプリで運用環境の設定が使用されます。 この変数は、Azure App Service によって Web アプリの URL (msdocs-django.azurewebsites.net など) に自動的に設定され ます。

運用環境の設定は、任意の運用環境で実行するために Django を構成する場合に固有であり、App Service に固有なものではありません。 詳細については、Django デプロイ チェックリストに関するページを参照してください。 一部の変更点の詳細については、Azure 上での Django の運用設定に関するセクションを参照してください。

問題がある場合は、 お知らせください

Azure で Postgres データベースを作成する

  1. チュートリアルに必要な環境変数を設定します。

    LOCATION="eastus"
    RAND_ID=$RANDOM
    RESOURCE_GROUP_NAME="msdocs-mi-web-app"
    APP_SERVICE_NAME="msdocs-mi-web-$RAND_ID"
    DB_SERVER_NAME="msdocs-mi-postgres-$RAND_ID"
    ADMIN_USER="demoadmin"
    ADMIN_PW="{your database password}"
    

    重要

    ADMIN_PW には、次のうちの 3 つのカテゴリの、8 から 128 文字が含まれている必要があります。英大文字、英小文字、数字、英数字以外の文字のうち、3 つのカテゴリの文字が含まれている必要があります。 ユーザー名またはパスワードを作成するとき、 $ 文字は 使用しない でください。 後で、これらの値を使って環境変数を作成しますが、Python アプリの実行に使われる Linux コンテナー内では、$ 文字に特定の意味があります。

  2. リソース グループを作成します (必要に応じて名前を変更できます)。 リソース グループ名はキャッシュされ、後続のコマンドに自動的に適用されます。

    az group create --name $RESOURCE_GROUP_NAME --location $LOCATION
    
  3. データベース サーバーを作成します。 現在のクライアント IP アドレスへのアクセスを有効にするように求められたら、"はい" を意味する y を入力します。 このプロセスには数分かかります。

    az postgres flexible-server create \
      --resource-group $RESOURCE_GROUP_NAME \
      --name $DB_SERVER_NAME \
      --location $LOCATION \
      --admin-user $ADMIN_USER \
      --admin-password $ADMIN_PW \
      --sku-name Standard_D2ds_v4
      --active-directory-auth Enabled
    

    az コマンドが認識されない場合は、「az」の説明に従って Azure CLI がインストールされていることを確認してください。

    az postgres flexible-server create コマンドでは、次のアクションが実行されます (数分かかります)。

    • キャッシュされた名前がまだ存在していない場合は、既定のリソース グループを作成します。
    • PostgreSQL フレキシブル サーバーを作成します:
      • --name パラメーターで指定されたサーバー名。 Azure 全体で重複しない、一意の名前にしてください。
      • --sku-name パラメーターで指定された SKU。
    • --admin-user--admin-password パラメーターで指定されたユーザー名とパスワードを使って、管理者アカウントを作成します。
    • --database-name パラメーターで指定された名前のデータベースを作成します。
  4. az postgres flexible-server firewall-rule create コマンドを使用して、サーバーでファイアウォール規則を構成します。 この規則は、ローカル環境からサーバーへのアクセスを許可します。 (前のステップでクライアント IP アドレスからのアクセスを有効にするように求められた場合は、このステップをスキップできます)。

    IP_ADDRESS=<your IP>
    az postgres flexible-server firewall-rule create \
       --resource-group $RESOURCE_GROUP_NAME \
       --name $DB_SERVER_NAME \
       --rule-name AllowMyIP \
       --start-ip-address $IP_ADDRESS \
       --end-ip-address $IP_ADDRESS
    

    IP アドレスを表示するツールや Web サイトを使って、コマンドの <your IP> を置き換えます。 たとえば、 IP アドレスを教えて Web サイトを使用できます。

  5. az postgres flexible-server execute コマンドを使用して、 restaurant という名前のデータベースを作成します。

    az postgres flexible-server execute \
      --name $DB_SERVER_NAME \
      --admin-user $ADMIN_USER \
      --admin-password $ADMIN_PW \
      --database-name postgres \
      --querytext 'create database restaurant;'
    

Azure App Service にコードをデプロイする

このセクションでは App Service アプリでアプリ ホストを作成し、このアプリを Postgres データベースに接続して、そのホストにコードをデプロイします。

App Service アプリを作成する

  1. ターミナルで、現在の場所がアプリ コードを含む serviceconnector-webapp-postgresql-django-passwordless リポジトリ フォルダーであることを確認します。

  2. 次の az webapp up コマンドを実行して、アプリの App Service ホストを作成します。

    az webapp up \
      --resource-group $RESOURCE_GROUP_NAME \
      --location $LOCATION \
      --name $APP_SERVICE_NAME \
      --runtime PYTHON:3.9 \
      --sku B1
    

    sku は App Service プランのサイズ (CPU、メモリ) とコストを定義します。 B1 (基本) サービス プランでは、Azure サブスクリプションに少額のコストが発生します。 App Service プラン一覧は、 [App Serviceの価格] のページをご覧ください。

    このコマンドでは、前の az group create コマンドからキャッシュされたリソース グループと場所を使用して (この例では $RESOURCE_GROUP_NAME リージョン内のグループ eastus)、次のアクションが実行されます。これには数分かかる場合があります。

    • Basic 価格レベル (B1) で App Service プランを作成します。 --sku を省略すると、既定値を使用できます。
    • App Service アプリを作成します。
    • アプリの既定のログを有効にします。
    • ビルド オートメーションを有効にし、ZIP デプロイを使用してリポジトリをアップロードします。
  3. az webapp config set コマンドを使用して、リポジトリで start.sh を使用するようにアプリ サービスを構成します。

    az webapp config set \
      --resource-group $RESOURCE_GROUP_NAME \
      --name $APP_SERVICE_NAME \
      --startup-file "start.sh"
    

Postgres データベースへのパスワードレス コネクタを作成する

コードを App Service にデプロイしたので、次の手順として、アプリを Azure の Postgres データベースに接続します。 アプリ コードでは、PostgresSQL フレキシブル サーバーについては AZURE_POSTGRESQL_CONNECTIONSTRING という名前の環境変数、Azure Storage アカウントについては AZURE_STORAGEBLOB_RESOURCEENDPOINT という名前の環境変数で、データベース情報を検索することが想定されています。

Service Connector コマンドは、マネージド ID と Azure ロールベースのアクセス制御を使用するように Azure Storage と Azure Database for PostgreSQL リソースを構成します。 このコマンドは、Web アプリをこれらのリソースに接続するアプリ設定を App Service で作成します。 コマンドからの出力には、パスワードレス機能を有効にするために実行されたサービス コネクタのアクションが一覧表示されます。

  1. az webapp connection create postgres-flexible コマンドを使用して PostgreSQL サービス コネクタを追加します。 この場合、システム割り当てマネージド ID は、ターゲット リソース PostgreSQL に対して Web アプリを認証するために使用されます。
    az webapp connection create postgres-flexible \
      --resource-group $RESOURCE_GROUP_NAME \
      --name $APP_SERVICE_NAME \
      --target-resource-group $RESOURCE_GROUP_NAME \
      --server $DB_SERVER_NAME \
      --database restaurant \
      --client-type python \
      --system-identity
    

Note

"The subscription is not registered to use Microsoft.ServiceLinker (サブスクリプションが Microsoft.ServiceLinker を使用するように登録されていません)" というエラー メッセージが表示される場合は、az provider register -n Microsoft.ServiceLinker を実行して Service Connector リソース プロバイダーを登録し、接続コマンドを再度実行してください。

Python コードでは、os.environ.get('AZURE_POSTGRESQL_HOST') のようなステートメントを使用して、環境変数としてこれらの設定にアクセスします。 詳細については、「環境変数へのアクセス」を参照してください。

問題がある場合は、 まず、トラブルシューティング ガイドを参照し、それでも解決しない場合はお知らせください

ストレージ アカウントを作成して接続する

  1. az webapp connection create storage-blob コマンドを使ってストレージ アカウントを作成し、次の構成を行うサービス コネクタを作成します。
  • Web アプリでシステム割り当てマネージド ID を有効にします

  • 新しく作成されたストレージ アカウントに、"ストレージ BLOB データ共同作成者" ロールを持つ Web アプリを追加します。

  • Web アプリからのアクセスを受け入れるように、ストレージ アカウントのネットワークを構成します。

    STORAGE_ACCOUNT_URL=$(az webapp connection create storage-blob \
      --new true \
      --resource-group $RESOURCE_GROUP_NAME \
      --name $APP_SERVICE_NAME \
      --target-resource-group $RESOURCE_GROUP_NAME \
      --client-type python \
      --system-identity \
      --query configurations[].value \
      --output tsv)
    STORAGE_ACCOUNT_NAME=$(cut -d . -f1 <<< $(cut -d / -f3 <<< $STORAGE_ACCOUNT_URL))
    
  1. ストレージ アカウントを更新して、"レストラン アプリ" のユーザーが画像にアクセスするための BLOB パブリック アクセスを許可します。

     az storage account update  \
       --name $STORAGE_ACCOUNT_NAME \
       --allow-blob-public-access 
    
  2. az storage container create コマンドを使って、ストレージ アカウントに photos という名前のコンテナーを作成します。 新しく作成されたコンテナー内の BLOB への匿名読み取り (パブリック) アクセスを許可します。

    # Set the BLOB_ENDPOINT variable
    BLOB_ENDPOINT=$(az storage account show --name $STORAGE_ACCOUNT_NAME --query "primaryEndpoints.blob" | sed 's/"//g')
    echo $BLOB_ENDPOINT
    
    # Create the storage container using the BLOB_ENDPOINT variable
    az storage container create \
      --account-name $STORAGE_ACCOUNT_NAME \
      --name photos \
      --public-access blob \
      --auth-mode login \
      --blob-endpoint $BLOB_ENDPOINT
    

Azure で Python Web アプリをテストする

サンプル Python アプリでは、 azure.identity パッケージとその DefaultAzureCredential クラスを使用します。 Azure でアプリが実行されると、 DefaultAzureCredential は App Services のマネージド ID が存在することを自動的に検出し、それを使用して他の Azure リソース (この場合はストレージと PostgreSQL) にアクセスします。 これらのリソースにアクセスするために、ストレージ キー、証明書、または資格情報を App Service に提供する必要はありません。

  1. デプロイされたアプリケーションの URL (http://$APP_SERVICE_NAME.azurewebsites.net) を参照します。

    アプリが開始されるまでに 1 から 2 分かかる場合があります。 既定のサンプル アプリ ページではない既定のアプリ ページが表示される場合は、少し待ってからブラウザーを最新の情報に更新します。

  2. サンプル アプリの機能をテストするには、レストランと、レストランの写真付きのレビューをいくつか追加します。 レストランとレビューの情報は Azure Database for PostgreSQL に保存され、写真は Azure Storage に保存されます。 スクリーンショットの例を次に示します。

    Azure App Service、Azure PostgreSQL データベース、Azure Storage を使用したレストラン レビュー機能を示すサンプル アプリのスクリーンショット。

リソースをクリーンアップする

アプリを残しておく場合、または別のチュートリアルに進む場合は、「次のステップ」に進んでください。 それ以外の場合は、継続して料金が発生しないように、このチュートリアルで作成したリソース グループを削除します。

az group delete --name $RESOURCE_GROUP_NAME --no-wait

リソース グループを削除することによって、その中に含まれるすべてのリソースの割り当て解除と削除も行われます。 このコマンドを使用する前に、グループ内のリソースが不要になったことを確認してください。

すべてのリソースが削除されるまでには多少時間がかかります。 --no-wait 引数を指定すると、コマンドからすぐに制御が戻されます。

問題がある場合は、 お知らせください

次のステップ