빠른 시작: GitHub Actions를 사용하여 Azure Database for MySQL - 유연한 서버에 연결

아티클
12/18/2024

워크플로를 사용하여 Azure Database for MySQL 유연한 서버에 데이터베이스 업데이트를 배포하여 GitHub Actions를 시작합니다.

필수 조건

필요한 사항:

활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
GitHub 계정. GitHub 계정이 없는 경우 평가판에 가입하세요.
샘플 데이터(data.sql)가 들어 있는 GitHub 리포지토리.

Important

이 빠른 시작에서는 필요한 경우 연결된 IP 주소를 방화벽 규칙에 추가할 수 있도록 컴퓨터에 GitHub 리포지토리를 복제했다고 가정합니다.
Azure Database for MySQL 유연한 서버 인스턴스
- 빠른 시작: Azure Portal에서 Azure Database for MySQL 유연한 서버 인스턴스 만들기

워크플로 파일 개요

GitHub Actions 워크플로는 리포지토리의 /.github/workflows/ 경로에 있는 YAML(.yml) 파일에서 정의됩니다. 이 정의는 워크플로를 구성하는 다양한 단계와 매개 변수를 포함합니다.

이 파일에는 다음 두 가지 섹션이 있습니다.

섹션	작업
인증	1. 배포 자격 증명을 생성합니다.
Deploy	1. 데이터베이스를 배포합니다.

Azure CLI에서 az ad sp create-for-rbac 명령을 사용하여 서비스 주체를 만듭니다. 이 명령은 Azure Portal에서 Azure Cloud Shell을 사용하거나 사용해 보세요 단추를 선택하여 실행합니다.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

--json-auth 매개 변수는 Azure CLI 버전 >= 2.51.0에서 사용할 수 있습니다. 이전 버전에서는 사용 중단 경고와 함께 --sdk-auth를 사용합니다.

위의 예시에서 자리 표시자를 구독 ID, 리소스 그룹 이름 및 앱 이름으로 바꿉니다. 출력은 아래와 비슷한 App Service 앱에 대한 액세스를 제공하는 역할 할당 자격 증명이 있는 JSON 개체입니다. 나중에 사용할 수 있도록 이 JSON 개체를 복사합니다.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect는 단기 토큰을 사용하는 인증 방법입니다. GitHub Actions로 OpenID Connect 설정은 보안 강화를 제공하는 더 복잡한 프로세스입니다.

기존 애플리케이션이 없는 경우 리소스에 액세스할 수 있는 새 Microsoft Entra 애플리케이션 및 서비스 주체를 등록합니다.
```
az ad app create --display-name myApp
```
이 명령은 appId(사용자의 client-id)가 포함된 JSON을 출력합니다. objectId는 APPLICATION-OBJECT-ID이며 Graph API 호출로 페더레이션된 자격 증명을 만드는 데 사용됩니다. 이 값을 저장하여, 나중에 AZURE_CLIENT_ID GitHub 비밀로 사용합니다.
서비스 주체를 생성합니다. $appID를 JSON 출력의 appId로 대체합니다. 이 명령은 다른 objectId로 JSON 출력을 생성하며 다음 단계에서 사용됩니다. 새 objectId는 assignee-object-id입니다.

이 명령은 다른 objectId로 JSON 출력을 생성하며 다음 단계에서 사용됩니다. 새 objectId는 assignee-object-id입니다.

appOwnerTenantId를 복사하여 나중에 AZURE_TENANT_ID에 대한 GitHub 비밀로 사용합니다.
```
 az ad sp create --id $appId
```
구독 및 개체별 새 역할 할당을 만듭니다. 기본적으로 역할 할당은 기본 구독에 연결됩니다. $subscriptionId를 구독 ID로 바꾸고, $resourceGroupName을 리소스 그룹 이름으로 바꾸고, $assigneeObjectId를 생성된 assignee-object-id(새로 만들어진 서비스 주체 개체 ID)로 바꿉니다.
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
다음 명령을 실행하여 Microsoft Entra 애플리케이션에 대한 새 페더레이션된 ID 자격 증명을 만듭니다.
- APPLICATION-OBJECT-ID를 Microsoft Entra 애플리케이션의 objectId(앱 만들기 중에 생성됨)로 바꿉니다.
- CREDENTIAL-NAME의 값을 나중에 참조하도록 설정합니다.
- subject를 설정합니다. 이 값은 워크플로에 따라 GitHub에 의해 정의됩니다.
  - GitHub Actions 환경의 작업: repo:< Organization/Repository >:environment:< Name >
  - 환경에 연결되지 않은 작업의 경우 워크플로를 트리거하는 데 사용되는 참조 경로를 기반으로 분기/태그에 대한 참조 경로(repo:< Organization/Repository >:ref:< ref path>)를 포함합니다. 예를 들어 repo:n-username/ node_express:ref:refs/heads/my-branch 또는 repo:n-username/ node_express:ref:refs/tags/my-tag입니다.
  - 끌어오기 요청 이벤트에 의해 트리거된 워크플로의 경우: repo:< Organization/Repository >:pull_request
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

MySQL 연결 문자열 복사

Azure Portal에서 Azure Database for MySQL 유연한 서버 인스턴스로 이동하여 설정>연결 문자열을 엽니다. ADO.NET 연결 문자열을 복사합니다. your_database 및 your_password의 자리 표시자 값을 바꿉니다.

Important

Azure Database for MySQL 단일 서버의 경우 Uid=adminusername@servername을 사용합니다. @servername이 필요합니다.
Azure Database for MySQL 유연한 서버의 경우 . @servername

연결 문자열을 GitHub 비밀로 사용합니다.

GitHub 비밀 구성

서비스 주체
OpenID Connect

GitHub에서 리포지토리로 이동합니다.
탐색 메뉴에서 설정으로 이동합니다.
보안 > 비밀 및 변수 > 작업을 선택합니다.
새 리포지토리 비밀을 선택합니다.
Azure CLI 명령의 전체 JSON 출력을 비밀의 값 필드에 붙여넣습니다. 비밀 이름을 AZURE_CREDENTIALS으로 지정합니다.
비밀 추가를 선택합니다.

로그인 작업에 애플리케이션의 클라이언트 ID, 테넌트 ID 및 구독 ID를 제공해야 합니다. 이러한 값은 워크플로에서 직접 제공하거나 GitHub 비밀에 저장하고 워크플로에서 참조할 수 있습니다. 값을 GitHub 비밀로 저장하는 것이 더 안전한 옵션입니다.

GitHub에서 리포지토리로 이동합니다.
보안 > 비밀 및 변수 > 작업을 선택합니다.
새 리포지토리 비밀을 선택합니다.
AZURE_CLIENT_ID, AZURE_TENANT_ID 및 AZURE_SUBSCRIPTION_ID에 대한 비밀을 만듭니다. GitHub 비밀에 대해 Microsoft Entra 애플리케이션의 다음 값을 사용합니다.

GitHub 비밀 Microsoft Entra 애플리케이션

AZURE_CLIENT_ID 애플리케이션(클라이언트) ID

AZURE_TENANT_ID 디렉터리(테넌트) ID

AZURE_SUBSCRIPTION_ID 구독 ID
비밀 추가를 선택하여 각 비밀을 저장합니다.

GitHub 비밀	Microsoft Entra 애플리케이션
AZURE_CLIENT_ID	애플리케이션(클라이언트) ID
AZURE_TENANT_ID	디렉터리(테넌트) ID
AZURE_SUBSCRIPTION_ID	구독 ID

워크플로 추가

GitHub 리포지토리에 대한 작업으로 이동합니다.
워크플로 직접 설정을 선택합니다.
워크플로 파일의 on: 섹션 뒤에 있는 모든 항목을 삭제합니다. 예를 들어 나머지 워크플로는 다음과 같이 표시될 수 있습니다.
```
name: CI

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]
```

워크플로 이름을 MySQL for GitHub Actions로 바꾸고, 체크 아웃 및 로그인 작업을 추가합니다. 이러한 작업은 사이트 코드를 체크 아웃하고 이전에 만든 AZURE_CREDENTIALS GitHub 비밀을 사용하여 Azure에서 인증합니다.

서비스 주체
OpenID Connect

name: MySQL for GitHub Actions

on:
    push:
        branches: [ main ]
    pull_request:
        branches: [ main ]

jobs:
    build:
        runs-on: windows-latest
        steps:
        - uses: actions/checkout@v1
        - uses: azure/login@v1
            with:
                creds: ${{ secrets.AZURE_CREDENTIALS }}

name: MySQL for GitHub Actions

on:
    push:
        branches: [ main ]
    pull_request:
        branches: [ main ]

jobs:
    build:
        runs-on: windows-latest
        steps:
        - uses: actions/checkout@v1
        - uses: azure/login@v1
            with:
              client-id: ${{ secrets.AZURE_CLIENT_ID }}
              tenant-id: ${{ secrets.AZURE_TENANT_ID }}
              subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Azure MySQL 배포 작업을 사용하여 MySQL 인스턴스에 연결합니다. MYSQL_SERVER_NAME을 사용자의 서버 이름으로 바꿉니다. 리포지토리의 루트 수준에 data.sql이라는 MySQL 데이터가 있을 것입니다.
```
- uses: azure/mysql@v1
  with:
    server-name: MYSQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
    sql-file: './data.sql'
```

Azure에서 로그아웃하는 작업을 추가하여 워크플로를 완성합니다. 완성된 워크플로는 다음과 같습니다. 파일이 리포지토리의 .github/workflows 폴더에 표시됩니다.

서비스 주체
OpenID Connect

name: MySQL for GitHub Actions

on:
  push:
      branches: [ main ]
  pull_request:
      branches: [ main ]
jobs:
    build:
        runs-on: windows-latest
        steps:
          - uses: actions/checkout@v1
          - uses: azure/login@v1
            with:
              creds: ${{ secrets.AZURE_CREDENTIALS }}

          - uses: azure/mysql@v1
            with:
              server-name: MYSQL_SERVER_NAME
              connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
              sql-file: './data.sql'

            # Azure logout
          - name: logout
            run: |
              az logout

name: MySQL for GitHub Actions

on:
  push:
      branches: [ main ]
  pull_request:
      branches: [ main ]
jobs:
    build:
        runs-on: windows-latest
        steps:
          - uses: actions/checkout@v1
          - uses: azure/login@v1
            with:
              client-id: ${{ secrets.AZURE_CLIENT_ID }}
              tenant-id: ${{ secrets.AZURE_TENANT_ID }}
              subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
          - uses: azure/mysql@v1
            with:
              server-name: MYSQL_SERVER_NAME
              connection-string: ${{ secrets.AZURE_MYSQL_CONNECTION_STRING }}
              sql-file: './data.sql'

            # Azure logout
          - name: logout
            run: |
              az logout

배포 검토

GitHub 리포지토리에 대한 작업으로 이동합니다.
첫 번째 결과를 열어 워크플로 실행에 대한 자세한 로그를 확인합니다.

리소스 정리

Azure Database for MySQL 유연한 서버 데이터베이스 및 리포지토리가 더 이상 필요하지 않으면 리소스 그룹 및 GitHub 리포지토리를 삭제하여 배포한 리소스를 정리합니다.

다음 단계

Azure 및 GitHub 통합에 대해 알아보기

다음을 통해 공유