Quickstart: Bicep-bestanden implementeren met behulp van GitHub Actions

GitHub Actions is een suite met functies in GitHub om uw werkstromen voor softwareontwikkeling te automatiseren. In deze quickstart gebruikt u de GitHub Actions voor Azure Resource Manager-implementatie om het implementeren van een Bicep-bestand in Azure te automatiseren.

Het biedt een korte inleiding tot GitHub Actions en Bicep-bestanden. Als u meer gedetailleerde stappen wilt uitvoeren voor het instellen van de GitHub-acties en het project, raadpleegt u Azure-resources implementeren met Bicep en GitHub Actions.

Vereisten

• Een Azure-account met een actief abonnement. Gratis een account maken
• Een GitHub-account. Als u geen account hebt, kunt u zich registreren voor een gratis account.
• Een GitHub-opslagplaats voor het opslaan van uw Bicep-bestanden en uw werkstroombestanden. Zie Een nieuwe opslagplaats maken om er een te maken.

Resourcegroep maken

Maak een resourcegroep. Verderop in deze quickstart implementeert u uw Bicep-bestand in deze resourcegroep.

CLI

az group create -n exampleRG -l westus

Powershell

New-AzResourceGroup -Name exampleRG -Location westus

Genereer implementatiereferenties

OpenID Connect

Als u azure-aanmeldingsactie wilt gebruiken met OIDC, moet u een federatieve identiteitsreferentie configureren in een Microsoft Entra-toepassing of een door de gebruiker toegewezen beheerde identiteit.

Optie 1: Microsoft Entra-toepassing

• Maak een Microsoft Entra-toepassing met een service-principal via Azure Portal, Azure CLI of Azure PowerShell.
• Kopieer de waarden voor client-id, abonnements-id en map-id (tenant) voor later gebruik in uw GitHub Actions-werkstroom.
• Wijs een geschikte rol toe aan uw service-principal via Azure Portal, Azure CLI of Azure PowerShell.
• Configureer een federatieve identiteitsreferentie in een Microsoft Entra-toepassing om tokens te vertrouwen die door GitHub Actions zijn uitgegeven aan uw GitHub-opslagplaats.

Optie 2: Door de gebruiker toegewezen beheerde identiteit

• Een door een gebruiker toegewezen beheerde identiteit maken.
• Kopieer de waarden voor client-id, abonnements-id en map-id (tenant) voor later gebruik in uw GitHub Actions-werkstroom.
• Wijs een geschikte rol toe aan uw door de gebruiker toegewezen beheerde identiteit.
• Configureer een federatieve identiteitsreferentie op een door de gebruiker toegewezen beheerde identiteit om tokens te vertrouwen die zijn uitgegeven door GitHub Actions aan uw GitHub-opslagplaats.

Service/principal

• Maak een Microsoft Entra-toepassing met een service-principal via Azure Portal, Azure CLI of Azure PowerShell.
• Maak een clientgeheim voor uw service-principal via Azure Portal, Azure CLI of Azure PowerShell.
• Kopieer de waarden voor client-id, clientgeheim, abonnements-id en map-id (tenant) voor later gebruik in uw GitHub Actions-werkstroom.
• Wijs een geschikte rol toe aan uw service-principal via Azure Portal, Azure CLI of Azure PowerShell.

De GitHub-geheimen configureren

OpenID Connect

U moet de client-id, map-id en abonnements-id van uw toepassing opgeven voor de aanmeldingsactie. Deze waarden kunnen rechtstreeks in de werkstroom worden opgegeven of kunnen worden opgeslagen in GitHub-geheimen en waarnaar wordt verwezen in uw werkstroom. Het opslaan van de waarden als GitHub-geheimen is de veiligere optie.

1. Ga in GitHub naar uw opslagplaats.

2. Selecteer Acties voor beveiligingsgeheimen > en variabelen>.

   

3. Selecteer Nieuw opslagplaatsgeheim.

   Notitie

   Als u de werkstroombeveiliging in openbare opslagplaatsen wilt verbeteren, gebruikt u omgevingsgeheimen in plaats van opslagplaatsgeheimen. Als voor de omgeving goedkeuring is vereist, heeft een taak geen toegang tot omgevingsgeheimen totdat een van de vereiste revisoren deze goedkeurt.

4. Geheimen maken voor AZURE_CLIENT_ID, AZURE_TENANT_IDen AZURE_SUBSCRIPTION_ID. Kopieer deze waarden uit uw Microsoft Entra-toepassing of door de gebruiker toegewezen beheerde identiteit voor uw GitHub-geheimen:

   GitHub-geheim	Microsoft Entra-toepassing of door de gebruiker toegewezen beheerde identiteit
   AZURE_CLIENT_ID	Client ID
   AZURE_SUBSCRIPTION_ID	Abonnements-id
   AZURE_TENANT_ID	Id van directory (tenant)

   Notitie

   Om veiligheidsredenen raden we u aan GitHub Secrets te gebruiken in plaats van waarden rechtstreeks door te geven aan de werkstroom.

Service/principal

1. Ga in GitHub naar uw opslagplaats.

2. Ga naar Instellingen in het navigatiemenu.

3. Selecteer Acties voor beveiligingsgeheimen > en variabelen>.

   

4. Selecteer Nieuw opslagplaatsgeheim.

5. Plak de volledige JSON-uitvoer van de Azure CLI-opdracht in het waardeveld van het geheim. Geef het geheim de naam AZURE_CREDENTIALS.

6. Selecteer Geheim toevoegen.

Een Bicep-bestand toevoegen

Voeg een Bicep-bestand toe aan uw GitHub-opslagplaats. Met het volgende Bicep-bestand wordt een opslagaccount gemaakt:

@minLength(3)
@maxLength(11)
param storagePrefix string

@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_RAGRS'
  'Standard_ZRS'
  'Premium_LRS'
  'Premium_ZRS'
  'Standard_GZRS'
  'Standard_RAGZRS'
])
param storageSKU string = 'Standard_LRS'

param location string = resourceGroup().location

var uniqueStorageName = '${storagePrefix}${uniqueString(resourceGroup().id)}'

resource stg 'Microsoft.Storage/storageAccounts@2023-04-01' = {
  name: uniqueStorageName
  location: location
  sku: {
    name: storageSKU
  }
  kind: 'StorageV2'
  properties: {
    supportsHttpsTrafficOnly: true
  }
}

output storageEndpoint object = stg.properties.primaryEndpoints

Voor het Bicep-bestand is één parameter met de naam storagePrefix met 3 tot 11 tekens vereist.

U kunt het bestand overal in de opslagplaats plaatsen. In het voorbeeld van de werkstroom in de volgende sectie wordt ervan uitgegaan dat het Bicep-bestand main.bicep heet en wordt opgeslagen in de hoofdmap van uw opslagplaats.

Werkstroom maken

Een werkstroom definieert de stappen die moeten worden uitgevoerd wanneer deze worden geactiveerd. Het is een YAML-bestand (.yml) in het .github/workflows/ pad van uw opslagplaats. De bestandsextensie van de werkstroom kan .yml of .yaml zijn.

Voer de volgende stappen uit om een werkstroom te maken:

1. Selecteer in uw GitHub-opslagplaats Acties in het bovenste menu.

2. Selecteer Nieuwe werkstroom.

3. Selecteer zelf een werkstroom instellen.

4. Wijzig de naam van het werkstroombestand als u de voorkeur geeft aan een andere naam dan main.yml. Bijvoorbeeld: deployBicepFile.yml.

5. Vervang de inhoud van het yml-bestand door de volgende code:

   OpenID Connect

   on: [push]
   name: Azure ARM
   permissions:
     id-token: write
     contents: read
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
         # Checkout code
       - uses: actions/checkout@main
   
         # Log into Azure
       - uses: azure/login@v2
         with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
         # Deploy Bicep file
       - name: deploy
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

   Service/principal

   name: Deploy Bicep file
   on: [push]
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
       - name: Checkout code
         uses: actions/checkout@main
   
       - name: Log into Azure
         uses: azure/login@v2
         with:
           creds: ${{ secrets.AZURE_CREDENTIALS }}
   
       - name: Deploy Bicep file
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

   Vervang door mystore het voorvoegsel van uw eigen opslagaccountnaam.

   Notitie

   U kunt in plaats daarvan een parameterbestand voor de JSON-indeling opgeven in de ARM-implementatieactie (bijvoorbeeld: .azuredeploy.parameters.json).

   De eerste sectie van het werkstroombestand bevat:

   • name: De naam van de werkstroom.
   • on: De naam van de GitHub-gebeurtenissen die de werkstroom activeren. De werkstroom wordt geactiveerd wanneer er een pushgebeurtenis op de hoofdbranch staat.

6. Selecteer Wijzigingen doorvoeren.

7. Selecteer Doorvoeren rechtstreeks naar de hoofdbranch.

8. Selecteer Nieuw bestand doorvoeren (of Wijzigingen doorvoeren).

Als u het werkstroombestand of Bicep-bestand bijwerkt, wordt de werkstroom geactiveerd. De werkstroom begint direct nadat u de wijzigingen hebt doorgevoerd.

Werkstroomstatus controleren

1. Selecteer het tabblad Acties . Er wordt een werkstroom maken deployBicepFile.yml weergegeven. Het duurt 1-2 minuten om de werkstroom uit te voeren.
2. Selecteer de werkstroom om deze te openen en controleer of het Status is Success.

Resources opschonen

Wanneer uw resourcegroep en opslagplaats niet meer nodig zijn, schoont u de resources op die u hebt geïmplementeerd door de resourcegroep en uw GitHub-opslagplaats te verwijderen.

CLI

az group delete --name exampleRG

Powershell

Remove-AzResourceGroup -Name exampleRG

Volgende stappen

Bicep-bestandsstructuur en syntaxis