Szybki start: wdrażanie plików Bicep przy użyciu funkcji GitHub Actions

Funkcja GitHub Actions to zestaw funkcji w usłudze GitHub do automatyzowania przepływów pracy tworzenia oprogramowania. W tym przewodniku Szybki start użyjesz funkcji GitHub Actions dla wdrożenia usługi Azure Resource Manager, aby zautomatyzować wdrażanie pliku Bicep na platformie Azure.

Zawiera krótkie wprowadzenie do funkcji GitHub actions i plików Bicep. Jeśli chcesz uzyskać bardziej szczegółowe instrukcje dotyczące konfigurowania akcji i projektu usługi GitHub, zobacz Wdrażanie zasobów platformy Azure przy użyciu funkcji Bicep i GitHub Actions.

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Utwórz konto bezpłatnie.
• Konto usługi GitHub. Jeśli nie masz takiego konta, zarejestruj się bezpłatnie.
• Repozytorium GitHub do przechowywania plików Bicep i plików przepływu pracy. Aby go utworzyć, zobacz Tworzenie nowego repozytorium.

Utwórz grupę zasobów

Utwórz grupę zasobów. W dalszej części tego przewodnika Szybki start wdrożysz plik Bicep w tej grupie zasobów.

Interfejs wiersza polecenia

az group create -n exampleRG -l westus

Program PowerShell

New-AzResourceGroup -Name exampleRG -Location westus

Generowanie poświadczeń wdrożenia

Jednostka usługi

Funkcja GitHub Actions jest uruchamiana w ramach tożsamości. Użyj polecenia az ad sp create-for-rbac, aby utworzyć jednostkę usługi dla tożsamości. Udziel jednostce usługi roli współautora dla grupy zasobów utworzonej w poprzedniej sesji, aby akcja usługi GitHub z tożsamością mogła tworzyć zasoby w tej grupie zasobów. Zaleca się przyznanie minimalnego wymaganego dostępu.

az ad sp create-for-rbac --name {app-name} --role contributor --scopes /subscriptions/{subscription-id}/resourceGroups/exampleRG --json-auth

Zastąp symbol zastępczy {app-name} nazwą aplikacji. Zastąp {subscription-id} ciąg identyfikatorem subskrypcji.

Dane wyjściowe to obiekt JSON z poświadczeniami przypisania roli, które zapewniają dostęp do aplikacji usługi App Service podobne do poniższych danych wyjściowych.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    ...
  }

Skopiuj ten obiekt JSON do późniejszego użycia. Będziesz potrzebować tylko sekcji z wartościami clientId, clientSecret, subscriptionIdi tenantId . Upewnij się, tenantId że nie masz dodatkowego przecinka na końcu ostatniego wiersza, na przykład wiersza w poprzednim przykładzie lub w wyniku nieprawidłowego pliku JSON. Podczas wdrażania występuje błąd z komunikatem "Logowanie nie powiodło się z powodu błędu: zawartość nie jest prawidłowym obiektem JSON. Sprawdź dokładnie, czy typ uwierzytelniania jest poprawny".

Otwórz program ID Connect

Open ID Connect to metoda uwierzytelniania, która używa tokenów krótkotrwałych. Konfigurowanie programu OpenID Connect za pomocą funkcji GitHub Actions jest bardziej złożonym procesem, który oferuje zabezpieczenia ze wzmocnionymi zabezpieczeniami.

1. Jeśli nie masz istniejącej aplikacji, zarejestruj nową aplikację usługi Active Directory i jednostkę usługi, która może uzyskiwać dostęp do zasobów. Utwórz aplikację usługi Active Directory.

   az ad app create --display-name myApp
   

   To polecenie zwraca kod JSON z elementem appId , który jest twoim client-id. Zapisz wartość do użycia jako AZURE_CLIENT_ID wpis tajny usługi GitHub później.

   Wartość jest używana objectId podczas tworzenia poświadczeń federacyjnych za pomocą interfejsu API programu Graph i odwoływania się do niej jako .APPLICATION-OBJECT-ID

2. Tworzenie jednostki usługi. Zastąp element $appID identyfikatorem appId z danych wyjściowych JSON.

   To polecenie generuje dane wyjściowe JSON z inną objectId wartością i będzie używane w następnym kroku. objectId Nowy element to assignee-object-id.

   Skopiuj element appOwnerTenantId , aby użyć go jako wpisu tajnego usługi GitHub do AZURE_TENANT_ID późniejszego użycia.

    az ad sp create --id $appId
   

3. Utwórz nowe przypisanie roli według subskrypcji i obiektu. Domyślnie przypisanie roli jest powiązane z domyślną subskrypcją. Zastąp $subscriptionId ciąg identyfikatorem subskrypcji nazwą $resourceGroupName grupy zasobów i $assigneeObjectId wygenerowaną assignee-object-idwartością . Dowiedz się , jak zarządzać subskrypcjami platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. Uruchom następujące polecenie, aby utworzyć nowe poświadczenia tożsamości federacyjnej dla aplikacji usługi Active Directory.

   • Zastąp APPLICATION-OBJECT-ID element objectId (wygenerowany podczas tworzenia aplikacji) dla aplikacji usługi Active Directory.
   • Ustaw wartość dla elementu , CREDENTIAL-NAME aby odwoływać się później.
   • Ustaw wartość subject. Wartość tej wartości jest definiowana przez usługę GitHub w zależności od przepływu pracy:
     • Zadania w środowisku funkcji GitHub Actions: repo:< Organization/Repository >:environment:< Name >
     • W przypadku zadań, które nie są powiązane ze środowiskiem, dołącz ścieżkę ref dla gałęzi/tagu na podstawie ścieżki ref używanej do wyzwalania przepływu pracy: repo:< Organization/Repository >:ref:< ref path>. Na przykład: repo:n-username/ node_express:ref:refs/heads/my-branch lub repo:n-username/ node_express:ref:refs/tags/my-tag.
     • W przypadku przepływów pracy wyzwalanych przez zdarzenie żądania ściągnięcia: repo:< Organization/Repository >:pull_request.

   az rest --method POST --uri 'https://graph.microsoft.com/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}'
   

   Aby dowiedzieć się, jak utworzyć aplikację usługi Active Directory, jednostkę usługi i poświadczenia federacyjne w witrynie Azure Portal, zobacz Connect GitHub and Azure (Łączenie z usługą GitHub i platformą Azure).

Konfigurowanie wpisów tajnych usługi GitHub

Jednostka usługi

Utwórz wpisy tajne dla poświadczeń platformy Azure, grupy zasobów i subskrypcji. Te wpisy tajne są używane w sekcji Tworzenie przepływu pracy .

1. W usłudze GitHub przejdź do repozytorium.

2. Wybierz pozycję Ustawienia > Wpisy tajne i zmienne > Akcje > Nowy wpis tajny repozytorium.

3. Wklej całe dane wyjściowe JSON z polecenia interfejsu wiersza polecenia platformy Azure do pola wartości wpisu tajnego. Nadaj kluczowi nazwę wpisu tajnego AZURE_CREDENTIALS.

4. Utwórz kolejny wpis tajny o nazwie AZURE_RG. Dodaj nazwę grupy zasobów do pola wartości wpisu tajnego (exampleRG).

5. Utwórz kolejny wpis tajny o nazwie AZURE_SUBSCRIPTION. Dodaj identyfikator subskrypcji do pola wartości wpisu tajnego (na przykład: aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e).

Otwórz program ID Connect

Musisz podać identyfikator klienta aplikacji, identyfikator dzierżawy i identyfikator subskrypcji do akcji logowania. Te wartości można podać bezpośrednio w przepływie pracy lub przechowywać w wpisach tajnych usługi GitHub i odwoływać się do nich w przepływie pracy. Zapisanie wartości jako wpisów tajnych usługi GitHub jest bezpieczniejszą opcją.

1. Otwórz repozytorium GitHub i przejdź do pozycji Ustawienia.

2. Wybierz pozycję Ustawienia Wpisy tajne > Nowy wpis tajny>.

3. Utwórz wpisy tajne dla , AZURE_CLIENT_IDAZURE_TENANT_IDi AZURE_SUBSCRIPTION_ID. Użyj tych wartości z aplikacji usługi Active Directory dla wpisów tajnych usługi GitHub:

   Wpis tajny usługi GitHub	Aplikacja usługi Active Directory
   AZURE_CLIENT_ID	Identyfikator aplikacji (klient)
   AZURE_TENANT_ID	Identyfikator katalogu (dzierżawcy)
   AZURE_SUBSCRIPTION_ID	Identyfikator subskrypcji

4. Zapisz każdy wpis tajny, wybierając pozycję Dodaj wpis tajny.

Dodawanie pliku Bicep

Dodaj plik Bicep do repozytorium GitHub. Następujący plik Bicep tworzy konto magazynu:

@minLength(3)
@maxLength(11)
param storagePrefix string

@allowed([
  'Standard_LRS'
  'Standard_GRS'
  'Standard_RAGRS'
  'Standard_ZRS'
  'Premium_LRS'
  'Premium_ZRS'
  'Standard_GZRS'
  'Standard_RAGZRS'
])
param storageSKU string = 'Standard_LRS'

param location string = resourceGroup().location

var uniqueStorageName = '${storagePrefix}${uniqueString(resourceGroup().id)}'

resource stg 'Microsoft.Storage/storageAccounts@2023-04-01' = {
  name: uniqueStorageName
  location: location
  sku: {
    name: storageSKU
  }
  kind: 'StorageV2'
  properties: {
    supportsHttpsTrafficOnly: true
  }
}

output storageEndpoint object = stg.properties.primaryEndpoints

Plik Bicep wymaga jednego parametru o nazwie storagePrefix z 3 do 11 znaków.

Plik można umieścić w dowolnym miejscu w repozytorium. Przykładowy przepływ pracy w następnej sekcji zakłada, że plik Bicep nosi nazwę main.bicep i jest przechowywany w katalogu głównym repozytorium.

Tworzenie przepływu pracy

Przepływ pracy definiuje kroki do wykonania po wyzwoleniu. Jest to plik YAML (.yml) w ścieżce .github/workflows/ repozytorium. Rozszerzenie pliku przepływu pracy może być .yml lub yaml.

Aby utworzyć przepływ pracy, wykonaj następujące kroki:

1. W repozytorium GitHub wybierz pozycję Akcje z górnego menu.

2. Wybierz pozycję Nowy przepływ pracy.

3. Wybierz opcję Skonfiguruj przepływ pracy samodzielnie.

4. Zmień nazwę pliku przepływu pracy, jeśli wolisz inną nazwę niż main.yml. Na przykład: deployBicepFile.yml.

5. Zastąp zawartość pliku yml następującym kodem:

   Jednostka usługi

   name: Deploy Bicep file
   on: [push]
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
       - name: Checkout code
         uses: actions/checkout@main
   
       - name: Log into Azure
         uses: azure/login@v1
         with:
           creds: ${{ secrets.AZURE_CREDENTIALS }}
   
       - name: Deploy Bicep file
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

   Zastąp mystore ciąg własnym prefiksem nazwy konta magazynu.

   Uwaga

   Możesz określić plik parametrów formatu JSON zamiast tego w akcji Wdrażanie usługi ARM (na przykład: .azuredeploy.parameters.json).

   Pierwsza sekcja pliku przepływu pracy obejmuje:

   • name: nazwa przepływu pracy.
   • on: nazwa zdarzeń usługi GitHub, które wyzwala przepływ pracy. Przepływ pracy jest wyzwalany po wystąpieniu zdarzenia wypychania w gałęzi głównej.

   OpenID Connect

   on: [push]
   name: Azure ARM
   permissions:
     id-token: write
     contents: read
   jobs:
     build-and-deploy:
       runs-on: ubuntu-latest
       steps:
   
         # Checkout code
       - uses: actions/checkout@main
   
         # Log into Azure
       - uses: azure/login@v1
         with:
           client-id: ${{ secrets.AZURE_CLIENT_ID }}
           tenant-id: ${{ secrets.AZURE_TENANT_ID }}
           subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   
         # Deploy Bicep file
       - name: deploy
         uses: azure/arm-deploy@v1
         with:
           subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
           resourceGroupName: ${{ secrets.AZURE_RG }}
           template: ./main.bicep
           parameters: 'storagePrefix=mystore storageSKU=Standard_LRS'
           failOnStdErr: false
   

6. Wybierz pozycję Zatwierdź zmiany.

7. Wybierz pozycję Zatwierdź bezpośrednio w gałęzi głównej.

8. Wybierz pozycję Zatwierdź nowy plik (lub Zatwierdź zmiany).

Aktualizowanie pliku przepływu pracy lub pliku Bicep wyzwala przepływ pracy. Przepływ pracy rozpoczyna się bezpośrednio po zatwierdzeniu zmian.

Sprawdzanie stanu przepływu pracy

1. Wybierz kartę Akcje . Zostanie wyświetlony przepływ pracy Tworzenie deployBicepFile.yml . Uruchomienie przepływu pracy trwa od 1 do 2 minut.
2. Wybierz przepływ pracy, aby go otworzyć, a następnie sprawdź, czy element Status to Success.

Czyszczenie zasobów

Gdy grupa zasobów i repozytorium nie są już potrzebne, wyczyść wdrożone zasoby, usuwając grupę zasobów i repozytorium GitHub.

Interfejs wiersza polecenia

az group delete --name exampleRG

Program PowerShell

Remove-AzResourceGroup -Name exampleRG

Następne kroki

Struktura i składnia pliku Bicep