Szybki start: wdrażanie plików Bicep przy użyciu funkcji GitHub Actions

Funkcja GitHub Actions to zestaw funkcji w usłudze GitHub do automatyzowania przepływów pracy tworzenia oprogramowania. W tym przewodniku Szybki start użyjesz funkcji GitHub Actions dla wdrożenia usługi Azure Resource Manager, aby zautomatyzować wdrażanie pliku Bicep na platformie Azure.

Zawiera krótkie wprowadzenie do funkcji GitHub actions i plików Bicep. Jeśli chcesz uzyskać bardziej szczegółowe instrukcje dotyczące konfigurowania akcji i projektu usługi GitHub, zobacz Wdrażanie zasobów platformy Azure przy użyciu funkcji Bicep i GitHub Actions.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
• Konto usługi GitHub. Jeśli nie masz takiego konta, zarejestruj się bezpłatnie.
• Repozytorium GitHub do przechowywania plików Bicep i plików przepływu pracy. Aby go utworzyć, zobacz Tworzenie nowego repozytorium.

Utwórz grupę zasobów

Utwórz grupę zasobów. W dalszej części tego przewodnika Szybki start wdrożysz plik Bicep w tej grupie zasobów.

Interfejs wiersza polecenia

az group create -n exampleRG -l westus

Program PowerShell

New-AzResourceGroup -Name exampleRG -Location westus

Generowanie poświadczeń wdrożenia

OpenID Connect

Aby użyć akcji logowania platformy Azure z funkcją OIDC, należy skonfigurować poświadczenie tożsamości federacyjnej w aplikacji Microsoft Entra lub tożsamości zarządzanej przypisanej przez użytkownika.

Opcja 1. Aplikacja Firmy Microsoft Entra

• Utwórz aplikację Firmy Microsoft Entra przy użyciu jednostki usługi według witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.
• Skopiuj wartości identyfikatora klienta, identyfikatora subskrypcji i identyfikatora katalogu (dzierżawy), aby użyć ich później w przepływie pracy funkcji GitHub Actions.
• Przypisz odpowiednią rolę do jednostki usługi za pomocą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.
• Skonfiguruj poświadczenie tożsamości federacyjnej w aplikacji Microsoft Entra w celu zaufania tokenów wystawionych przez funkcję GitHub Actions do repozytorium GitHub.

Opcja 2. Tożsamość zarządzana przypisana przez użytkownika

• Utwórz tożsamość zarządzaną przypisaną przez użytkownika.
• Skopiuj wartości identyfikatora klienta, identyfikatora subskrypcji i identyfikatora katalogu (dzierżawy), aby użyć ich później w przepływie pracy funkcji GitHub Actions.
• Przypisz odpowiednią rolę do tożsamości zarządzanej przypisanej przez użytkownika.
• Skonfiguruj poświadczenia tożsamości federacyjnej w tożsamości zarządzanej przypisanej przez użytkownika do tokenów zaufania wystawionych przez funkcję GitHub Actions w repozytorium GitHub.

Jednostka usługi

• Utwórz aplikację Firmy Microsoft Entra przy użyciu jednostki usługi według witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.
• Utwórz wpis tajny klienta dla jednostki usługi za pomocą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.
• Skopiuj wartości identyfikatora klienta, wpisu tajnego klienta, identyfikatora subskrypcji i identyfikatora katalogu (dzierżawy), aby użyć ich później w przepływie pracy funkcji GitHub Actions.
• Przypisz odpowiednią rolę do jednostki usługi za pomocą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.

Konfigurowanie wpisów tajnych usługi GitHub

OpenID Connect

Musisz podać identyfikator klienta aplikacji, identyfikator katalogu (dzierżawy) i identyfikator subskrypcji do akcji logowania. Te wartości można podać bezpośrednio w przepływie pracy lub przechowywać w wpisach tajnych usługi GitHub i odwoływać się do nich w przepływie pracy. Zapisanie wartości jako wpisów tajnych usługi GitHub jest bezpieczniejszą opcją.

1. W usłudze GitHub przejdź do repozytorium.

2. Wybierz pozycję Wpisy tajne zabezpieczeń > i zmienne > Akcje.

   

3. Wybierz pozycję Nowy wpis tajny repozytorium.

   Uwaga

   Aby zwiększyć bezpieczeństwo przepływu pracy w repozytoriach publicznych, użyj wpisów tajnych środowiska zamiast wpisów tajnych repozytorium. Jeśli środowisko wymaga zatwierdzenia, zadanie nie może uzyskać dostępu do wpisów tajnych środowiska, dopóki jeden z wymaganych recenzentów go nie zatwierdzi.

4. Utwórz wpisy tajne dla , AZURE_CLIENT_IDAZURE_TENANT_IDi AZURE_SUBSCRIPTION_ID. Skopiuj te wartości z aplikacji Microsoft Entra lub tożsamości zarządzanej przypisanej przez użytkownika dla wpisów tajnych usługi GitHub:

   Wpis tajny usługi GitHub	Aplikacja Microsoft Entra lub tożsamość zarządzana przypisana przez użytkownika
   AZURE_CLIENT_ID	Client ID
   AZURE_SUBSCRIPTION_ID	Identyfikator subskrypcji
   AZURE_TENANT_ID	Identyfikator katalogu (dzierżawcy)

   Uwaga

   Ze względów bezpieczeństwa zalecamy używanie wpisów tajnych usługi GitHub zamiast przekazywania wartości bezpośrednio do przepływu pracy.

Jednostka usługi

1. W usłudze GitHub przejdź do repozytorium.

2. Przejdź do pozycji Ustawienia w menu nawigacji.

3. Wybierz pozycję Wpisy tajne zabezpieczeń > i zmienne > Akcje.

   

4. Wybierz pozycję Nowy wpis tajny repozytorium.

5. Wklej całe dane wyjściowe JSON z polecenia interfejsu wiersza polecenia platformy Azure do pola wartości wpisu tajnego. Nadaj wpisowi tajnym nazwę AZURE_CREDENTIALS.

6. Wybierz przycisk Add secret (Dodaj wpis tajny).

Dodawanie pliku Bicep

Dodaj plik Bicep do repozytorium GitHub. Następujący plik Bicep tworzy konto magazynu:

@minLength(3)
@maxLength(11)
param storagePrefix string

@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_RAGRS'
  'Standard_ZRS'
  'Premium_LRS'
  'Premium_ZRS'
  'Standard_GZRS'
  'Standard_RAGZRS'
])
param storageSKU string = 'Standard_LRS'

param location string = resourceGroup().location

var uniqueStorageName = '${storagePrefix}${uniqueString(resourceGroup().id)}'

resource stg 'Microsoft.Storage/storageAccounts@2023-04-01' = {
  name: uniqueStorageName
  location: location
  sku: {
    name: storageSKU
  }
  kind: 'StorageV2'
  properties: {
    supportsHttpsTrafficOnly: true
  }
}

output storageEndpoint object = stg.properties.primaryEndpoints

Plik Bicep wymaga jednego parametru o nazwie storagePrefix z 3 do 11 znaków.

Plik można umieścić w dowolnym miejscu w repozytorium. Przykładowy przepływ pracy w następnej sekcji zakłada, że plik Bicep nosi nazwę main.bicep i jest przechowywany w katalogu głównym repozytorium.

Tworzenie przepływu pracy

Przepływ pracy definiuje kroki do wykonania po wyzwoleniu. Jest to plik YAML (.yml) w ścieżce .github/workflows/ repozytorium. Rozszerzenie pliku przepływu pracy może być .yml lub yaml.

Aby utworzyć przepływ pracy, wykonaj następujące kroki:

1. W repozytorium GitHub wybierz pozycję Akcje z górnego menu.

2. Wybierz pozycję Nowy przepływ pracy.

3. Wybierz opcję Skonfiguruj przepływ pracy samodzielnie.

4. Zmień nazwę pliku przepływu pracy, jeśli wolisz inną nazwę niż main.yml. Na przykład: deployBicepFile.yml.

5. Zastąp zawartość pliku yml następującym kodem:

   OpenID Connect

   on: [push]
   name: Azure ARM
   permissions:
     id-token: write
     contents: read
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
         # Checkout code
       - uses: actions/checkout@main
   
         # Log into Azure
       - uses: azure/login@v2
         with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
         # Deploy Bicep file
       - name: deploy
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

   Jednostka usługi

   name: Deploy Bicep file
   on: [push]
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
       - name: Checkout code
         uses: actions/checkout@main
   
       - name: Log into Azure
         uses: azure/login@v2
         with:
           creds: ${{ secrets.AZURE_CREDENTIALS }}
   
       - name: Deploy Bicep file
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

   Zastąp mystore ciąg własnym prefiksem nazwy konta magazynu.

   Uwaga

   Możesz określić plik parametrów formatu JSON zamiast tego w akcji Wdrażanie usługi ARM (na przykład: .azuredeploy.parameters.json).

   Pierwsza sekcja pliku przepływu pracy obejmuje:

   • name: nazwa przepływu pracy.
   • on: nazwa zdarzeń usługi GitHub, które wyzwala przepływ pracy. Przepływ pracy jest wyzwalany po wystąpieniu zdarzenia wypychania w gałęzi głównej.

6. Wybierz pozycję Zatwierdź zmiany.

7. Wybierz pozycję Zatwierdź bezpośrednio w gałęzi głównej.

8. Wybierz pozycję Zatwierdź nowy plik (lub Zatwierdź zmiany).

Aktualizowanie pliku przepływu pracy lub pliku Bicep wyzwala przepływ pracy. Przepływ pracy rozpoczyna się bezpośrednio po zatwierdzeniu zmian.

Sprawdzanie stanu przepływu pracy

1. Wybierz kartę Akcje . Zostanie wyświetlony przepływ pracy Tworzenie deployBicepFile.yml . Uruchomienie przepływu pracy trwa od 1 do 2 minut.
2. Wybierz przepływ pracy, aby go otworzyć, a następnie sprawdź, czy element Status to Success.

Czyszczenie zasobów

Gdy grupa zasobów i repozytorium nie są już potrzebne, wyczyść wdrożone zasoby, usuwając grupę zasobów i repozytorium GitHub.

Interfejs wiersza polecenia

az group delete --name exampleRG

Program PowerShell

Remove-AzResourceGroup -Name exampleRG

Następne kroki

Struktura i składnia pliku Bicep