Implantar um aplicativo Python em contêineres no Serviço de Aplicativo

Este artigo faz parte de um tutorial sobre como colocar e implantar um aplicativo Web Python no Serviço de Aplicativo do Azure. O Serviço de Aplicativo permite que você execute aplicativos Web em contêineres e implante por meio de recursos de CI/CD (integração contínua/implantação contínua) com o Hub do Docker, o Registro de Contêiner do Azure e o Visual Studio Team Services.

Nesta parte do tutorial, você aprenderá a implantar o aplicativo Web Python em contêineres no Serviço de Aplicativo usando o Aplicativo Web em Contêineres do Serviço de Aplicativo . O Aplicativo Web para Contêineres permite que você se concentre na composição de seus contêineres sem se preocupar em gerenciar e manter um orquestrador de contêiner subjacente.

Depois de seguir as etapas neste artigo, você terminará com um site do Serviço de Aplicativo usando uma imagem de contêiner do Docker. O Serviço de Aplicativo extrai a imagem inicial do Registro de Contêiner do Azure usando a identidade gerenciada para autenticação.

Este diagrama de serviço realça os componentes abordados neste artigo.

Criar o aplicativo Web

CLI do Azure

Os comandos da CLI do Azure podem ser executados no do Azure Cloud Shell ou em uma estação de trabalho com a CLI do Azure instalada.

1. Obtenha a ID de recurso do grupo que contém o Registro de Contêiner do Azure usando o comando az group show.

   # RESOURCE_GROUP_NAME='msdocs-web-app-rg'
   
   RESOURCE_ID=$(az group show \
     --resource-group $RESOURCE_GROUP_NAME \
     --query id \
     --output tsv)
   echo $RESOURCE_ID
   

   RESOURCE_GROUP_NAME ainda deve estar definido em seu ambiente para o nome do grupo de recursos utilizado por você na parte 3. Criar um contêiner no Azure deste tutorial. Se não estiver, remova a marca de comentário na primeira linha e defina-o conforme o nome utilizado por você.

2. Criar um plano do Serviço de Aplicativo com o comando az appservice plan create.

   APP_SERVICE_PLAN_NAME='msdocs-web-app-plan'
   
   az appservice plan create \
       --name $APP_SERVICE_PLAN_NAME \
       --resource-group $RESOURCE_GROUP_NAME \
       --sku B1 \
       --is-linux
   

3. Com o comando az webapp create, crie um aplicativo Web.

   O comando a seguir também habilita a identidade gerenciada atribuída ao sistema para o aplicativo da web e atribui a ele a função no recurso especificado – neste caso, o grupo de recursos que contém o Registro de Contêineres do Azure. Isso concede à identidade gerenciada atribuída pelo sistema privilégios de extração (pull) em qualquer Registro de Contêiner do Azure no grupo de recursos.

   APP_SERVICE_NAME='<website-name>'
   # REGISTRY_NAME='<your Azure Container Registry name>'
   CONTAINER_NAME=$REGISTRY_NAME'.azurecr.io/msdocspythoncontainerwebapp:latest'
   
   az webapp create \
     --resource-group $RESOURCE_GROUP_NAME \
     --plan $APP_SERVICE_PLAN_NAME \
     --name $APP_SERVICE_NAME \
     --assign-identity '[system]' \
     --scope $RESOURCE_ID \
     --role acrpull \
     --deployment-container-image-name $CONTAINER_NAME 
   

   Onde:

   • APP_SERVICE_NAME deve ser exclusivo globalmente porque se torna o nome do site na URL https://<website-name>.azurewebsites.net.
   • O CONTAINER_NAME está no formato de "yourregistryname.azurecr.io/repo_name:tag".
   • REGISTRY_NAME ainda deve estar definido em seu ambiente como o nome do registro utilizado por você na parte 3. Criar um contêiner no Azure deste tutorial. Se não estiver, remova a marca de comentário da linha em que está definido no snippet de código, e defina-o como o nome utilizado por você.

   Nota

   Você pode ver um erro semelhante ao seguinte ao executar o comando:

   No credential was provided to access Azure Container Registry. Trying to look up...
   Retrieving credentials failed with an exception:'No resource or more than one were found with name ...'
   

   Esse erro ocorre porque o aplicativo Web usa o padrão de usar as credenciais de administrador do Registro de Contêiner do Azure para autenticar com o registro e as credenciais de administrador não foram habilitadas no registro. Você pode ignorar esse erro com segurança porque definirá o aplicativo Web para usar a identidade gerenciada atribuída pelo sistema para autenticação no próximo comando.

VS Code

Essas etapas exigem a extensão do Docker para o VS Code.

1. Atualize o Registro de Contêiner do Azure na extensão do Docker.

   Confirme se o contêiner criado aparece na seção REGISTRIES da extensão do Docker. Caso não estiver, clique com o botão direito do mouse no nome do registro e selecione Atualizar.

   

2. Selecione F1 ou CTRL+SHIFT+P para abrir a paleta de comandos, digite "Registros do Docker" e selecione a tarefa Registros do Docker: Implantar Imagem no Serviço de Aplicativo do Azure....

3. Siga os prompts e insira os seguintes valores para implantar a imagem:

   • Selecione o provedor de registro: "Azure"
   • Selecione o registro: insira o nome do registro que você criou anteriormente neste tutorial.
   • Selecione o repositório: insira o nome do repositório "msdocspythoncontainerwebapp". Se você não vir esse repositório, atualize a seção de extensão do Docker REGISTRIES.
   • Selecione a marca: "mais recente"
   • Insira um nome global exclusivo para o aplicativo Web: insira um nome globalmente exclusivo para o Serviço de Aplicativo do Azure. Por exemplo, se você usar "msdocs-python-container-web-app", a URL do aplicativo Web será http://msdocs-python-container-web-app.azurewebsites.net.
   • Selecione um grupo de recursos: use o grupo de recursos que contém o Registro de Contêiner do Azure criado anteriormente.
   • Selecione um local: use o mesmo local que o grupo de recursos.
   • Selecione um plano do Serviço de Aplicativo linux: use um existente ou crie um novo.

   

4. Exiba a janela OUTPUT para obter detalhes da implantação. Uma das linhas de saída é "Concedendo permissão para o Serviço de Aplicativo efetuar pull de imagem do ACR...", no qual o Serviço de Aplicativo acessa o registro utilizando identidade gerenciada.

   

   O site final https://<app-name>.azurewebsites.net ainda não está pronto porque você precisa especificar informações do MongoDB.

Portal do Azure

Entre no portal do Azure e siga estas etapas para criar o aplicativo web.

1. Procure "Serviços de Aplicativo" e selecione Serviços de Aplicativo em Serviços nos resultados da pesquisa. Em seguida, selecione ++ Criar na parte superior da página para iniciar o processo de criação.

2. Nas configurações básicas do Serviço de Aplicativo, especifique:

   • grupo de recursos: use o mesmo grupo de recursos no qual o Registro de Contêiner do Azure está.
   • Nome: use um nome exclusivo que será http://<app-name>.azurewebsites.net.
   • Publicar: utilize o contêiner Docker, de forma que a imagem de registro que você criar seja utilizada.
   • Sistema Operacional: Linux
   • Região: use a mesma região que o grupo de recursos e o Registro de Contêiner do Azure.
   • Plano do Linux: selecione um plano existente do Linux ou use um novo.
   • SKU e tamanho: selecione Básico B1. Selecione o link Alterar tamanho para acessar mais opções.
   • Redundância de Zona: se essa opção estiver disponível para o SKU selecionado, selecione desativado.

   Selecione Avançar: Docker para continuar.

   

3. Especifique informações do Docker do Serviço de Aplicativo, incluindo:

   • Opções: selecione Contêiner Único.
   • Origem da imagem: selecione Registro de Contêiner do Azure.
   • Registro: o registro que você criou para este tutorial.
   • Imagem: uma imagem no registro.
   • Marca: "mais recente"

   

   O registro conta de administrador é necessário quando você usa o portal do Azure para implantar uma imagem de contêiner. Se a conta de administrador não estiver habilitada, você verá um erro ao especificar a imagem . Depois que o Serviço de Aplicativo é criado, a identidade gerenciada é usada para extrair imagens do registro e a conta de administrador pode ser desabilitada.

4. Selecione Examinar + criar. Quando a validação for concluída, selecione Criar.

Configurar identidade gerenciada e webhook

CLI do Azure

1. Configure o aplicativo Web para utilizar identidades gerenciadas para efetuar o pull do Registro de Contêiner do Azure com o comando az webapp config set.

   az webapp config set \
     --resource-group $RESOURCE_GROUP_NAME \
     --name $APP_SERVICE_NAME \
     --generic-configurations '{"acrUseManagedIdentityCreds": true}'
   

   Como você habilitou a identidade gerenciada atribuída pelo sistema ao criar o aplicativo Web, ela será a identidade gerenciada usada para efetuar pull do Registro de Contêiner do Azure.

2. Obtenha a credencial de escopo do aplicativo com o comando az webapp deployment list-publishing-credentials.

   CREDENTIAL=$(az webapp deployment list-publishing-credentials \
     --resource-group $RESOURCE_GROUP_NAME \
     --name $APP_SERVICE_NAME \
     --query publishingPassword \
     --output tsv)
   echo $CREDENTIAL 
   

3. Utilize a credencial de escopo do aplicativo para criar um webhook com o comando az acr webhook create.

   SERVICE_URI='https://$'$APP_SERVICE_NAME':'$CREDENTIAL'@'$APP_SERVICE_NAME'.scm.azurewebsites.net/api/registry/webhook'
   
   az acr webhook create \
     --name webhookforwebapp \
     --registry $REGISTRY_NAME \
     --scope msdocspythoncontainerwebapp:* \
     --uri $SERVICE_URI \
     --actions push 
   

   Por padrão, esse comando cria o webhook no mesmo grupo de recursos e local que o registro de contêiner do Azure especificado. Se desejar, você pode usar os parâmetros --resource-group e --location para substituir esse comportamento.

VS Code

1. Quando você implanta com o Visual Studio Code, a identidade gerenciada já está configurada para o Serviço de Aplicativo extrair imagens do repositório. Você pode confirmar que a identidade gerenciada está habilitada exibindo logs na janela OUTPUT e procurando a mensagem "Concedendo permissão para o Serviço de Aplicativo efetuar pull de imagem do ACR...".

   

2. Durante a implantação com o VS Code, é criado um webhook que permite ao aplicativo Web obter novas imagens do Registro de Contêiner do Azure.

   Importante

   Revise a configuração dos webhooks no Portal do Azure para confirmar se o URI do Serviço termina com "/api/registry/webhook". Para examinar o URI do serviço, abra a extensão do Docker no VS Code e localize o registro que você criou. Clique com o botão direito do mouse no registro e selecione Abrir no Portal. O registro é aberto no portal do Azure. Selecione Webhooks no menu de serviço do registro.

   

Portal do Azure

Acesse o Portal do Azure para seguir essas etapas.

1. Acesse o serviço de Aplicativo. Por exemplo, você pode pesquisar o nome do seu serviço de aplicativo e selecioná-lo em Recursos nos resultados.

2. Habilite a identidade gerenciada.

   1. Em Configurações no menu de serviço, selecione Identidade.
   2. Na guia Sistema atribuído, defina o Status para Ativado.
   3. Selecione Salvar e, em seguida, selecione Sim no prompt, para continuar.

   

3. Na guia Atribuída pelo sistema na página de Identidade, selecione Atribuições de função do Azure.

   

4. Adicione a função "AcrPull" à identidade gerenciada atribuída pelo sistema. A função AcrPull permite que o Serviço de Aplicativo extraia imagens do Registro de Contêiner do Azure.

   Em "Atribuições de função do Azure", selecione + Adicionar atribuição de função e siga as instruções para adicionar:

   • Escopo: "Grupo de recursos"
   • Assinatura: sua assinatura.
   • Grupo de recursos: o grupo com o Registro de Contêiner do Azure e o Serviço de Aplicativo.
   • Função: "AcrPull"

   Selecione Salvar para salvar a atribuição de função.

   

   Para mais informações, veja Atribuir funções do Azure usando o portal do Azure.

5. Configure a implantação do App Service para usar a identidade gerenciada.

   1. Em Implantação no menu do serviço, selecione Centro de Implantação.
   2. Na guia de Configurações, defina a Autenticação como Identidade Gerenciada.
   3. Selecione Salvar para salvar as alterações.

   

6. Obtenha a credencial de escopo do aplicativo. Use essa credencial na próxima etapa.

   1. Em Implantação no menu do serviço, selecione Centro de Implantação.
   2. Na guia Credenciais de FTPS, obtenha o valor da Senha em Escopo do aplicativo.

7. Crie um webhook que dispare atualizações para o Serviço do Aplicativo quando novas imagens forem enviadas por push para o Registro de Contêiner do Azure.

   1. Acesse o Registro de Contêiner do Azure que você está usando neste tutorial. No menu de serviço , selecione Webhooks.

   2. Na página Webhooks, selecione + Adicionar.

   3. Na página Criar webhook, especifique os campos da seguinte maneira:

      • Nome do Webhook: Insira "webhookforwebapp".

      • Localização: utilize a localização do registro.

      • URI do Serviço: uma cadeia de caracteres que é uma combinação do nome do Serviço de Aplicativo e da credencial copiada na etapa anterior.

        A URI do serviço é formatada como "https://$" + APP_SERVICE_NAME + ":" + CREDENCIAL + "@" + APP_SERVICE_NAME + ".scm.azurewebsites.net/api/registry/webhook". Por exemplo: "https://$msdocs-python-container-web-app:credential@msdocs-python-container-web-app.scm.azurewebsites.net/api/registry/webhook".

      • Ações: selecione push.

      • Status: selecione Ativado.

      • Escopo: insira "msdocspythoncontainerwebapp:*".

      

Configurar a conexão com o MongoDB

Nesta etapa, você especifica as variáveis de ambiente necessárias para se conectar ao MongoDB.

Se você precisar criar um Azure Cosmos DB para MongoDB, recomendamos seguir as etapas para configurar o Cosmos DB para MangoDB em parte 2. Compile e teste o contêiner localmente deste tutorial. Quando terminar, você deverá ter uma cadeia de conexão do Azure Cosmos DB para MongoDB no formato mongodb://<server-name>:<password>@<server-name>.mongo.cosmos.azure.com:10255/?ssl=true&<other-parameters>.

Você precisa da cadeia de conexão do MongoDB para seguir as etapas abaixo.

CLI do Azure

Para definir variáveis de ambiente no Serviço de Aplicativo, crie configurações do aplicativo usando o comando az webapp config appsettings set a seguir.

MONGO_CONNECTION_STRING='your Mongo DB connection string in single quotes'
MONGO_DB_NAME=restaurants_reviews
MONGO_COLLECTION_NAME=restaurants_reviews

az webapp config appsettings set \
   --resource-group $RESOURCE_GROUP_NAME \
   --name $APP_SERVICE_NAME \
   --settings CONNECTION_STRING=$MONGO_CONNECTION_STRING \
              DB_NAME=$MONGO_DB_NAME  \
              COLLECTION_NAME=$MONGO_COLLECTION_NAME 

• CONNECTION_STRING: uma cadeia de conexão que começa com "mongodb://".
• DB_NAME: utilize "restaurants_reviews".
• COLLECTION_NAME: utilize "restaurants_reviews".

VS Code

Para configurar variáveis de ambiente para o aplicativo Web do VS Code, você deve ter o pacote de extensão ferramentas do Azure instalado e ser conectado ao Azure por meio do VS Code.

1. Na extensão ferramentas do Azure para Visual Studio Code:

   1. Expanda RECURSOS e localize Serviços de Aplicativos na sua assinatura. (Certifique-se de visualizar os recursos por Agrupar por tipo de recurso.)

   2. Expanda Serviços de Aplicativos e localize o aplicativo Web que você acabou de criar.

   3. Expanda seu aplicativo Web e clique com o botão direito do mouse em Configurações do aplicativo.

   4. Selecione Adicionar nova configuração....

   

2. Cada vez que você adiciona uma nova configuração, uma caixa de diálogo é exibida na parte superior da janela do VS Code, na qual você pode adicionar o nome da configuração seguido pelo seu valor. Adicione as seguintes configurações:

   • CONNECTION_STRING: uma cadeia de conexão que começa com "mongodb://".
   • DB_NAME: utilize "restaurants_reviews".
   • COLLECTION_NAME: utilize "restaurants_reviews".
   • WEBSITES_PORT: use "8000" para Django e "5000" para Flask. Essa variável de ambiente especifica a porta na qual o contêiner está escutando.

Portal do Azure

1. No Serviço de Aplicativo no portal do Azure, selecione Configuração em Configurações no menu de serviço. Em seguida, selecione Configurações do Aplicativo no menu superior.

   

2. Criar configurações de aplicativo.

   1. Selecione + Nova configuração de aplicativo para criar configurações para cada um dos seguintes valores:

      • CONNECTION_STRING: uma cadeia de conexão que começa com "mongodb://".
      • DB_NAME: utilize "restaurants_reviews".
      • COLLECTION_NAME: utilize "restaurants_reviews".

   2. Confirme se você tem três configurações com os valores corretos.

      

   3. Selecione Salvar para aplicar as configurações.

Navegue pelo site

Para verificar se o site está funcionando, vá para https://<website-name>.azurewebsites.net; em que o nome do site é o nome do serviço do aplicativo. Se tiver êxito, você deve ver o aplicativo de exemplo de avaliação de restaurante. Pode levar alguns instantes para que o site inicie a primeira vez. Quando o site for exibido, adicione um restaurante e uma revisão para esse restaurante para confirmar se o aplicativo de exemplo está funcionando.

CLI do Azure

Se você estiver executando a CLI do Azure localmente, poderá usar o az webapp browse comando para navegar até o site. Se você estiver usando o Cloud Shell, abra uma janela do navegador e navegue até a URL do site.

az webapp browse --name $APP_SERVICE_NAME --resource-group $RESOURCE_GROUP_NAME 

Nota

O comando az webapp browse não tem suporte no Cloud Shell. Abra uma janela do navegador e navegue até a URL do site.

VS Code

Na extensão ferramentas do Azure para Visual Studio Code:

1. Expanda RECURSOS e localize Serviços de Aplicativos na sua assinatura. (Certifique-se de visualizar os recursos por Agrupar por tipo de recurso.)

2. Clique com o botão direito do mouse no Serviço de Aplicativo e selecione Procurar no site.

   

Portal do Azure

No Serviço de Aplicativo no portal, selecione Visão geral no menu de serviço. Em seguida, selecione Procurar.

Solucionar problemas de implantação

Se você não vir o aplicativo de exemplo, experimente as etapas a seguir.

• Com a implantação de contêineres e o Serviço de Aplicativos, confira sempre a página Implantação / Logs no portal do Azure. Confirme se o contêiner foi extraído e está em execução. A extração e execução iniciais do contêiner podem demorar alguns instantes.
• Tente reiniciar o Serviço de Aplicativo e ver se isso resolve o problema.
• Se houver erros de programação, esses erros aparecerão nos logs do aplicativo. Na página do portal do Azure para o Serviço de Aplicativo, selecione Diagnosticar e resolver problemas/Logs de aplicativo.
• O aplicativo de exemplo depende de uma conexão com o MongoDB. Confirme se o Serviço de Aplicativo tem configurações de aplicativo com as informações de conexão corretas.
• Confirme se a identidade gerenciada está habilitada para o Serviço de Aplicativo e é usada no Centro de Implantação. Na página do portal do Azure para o Serviço de Aplicativo, acesse o recurso Centro de Implantação do Serviço de Aplicativo e confirme se a Autenticação está definida como Identidade Gerenciada .
• Verifique se o webhook está definido no Registro de Contêiner do Azure. O webhook permite que o Serviço de Aplicações busque a imagem do contêiner. Em particular, verifique se o URI do Serviço termina com "/api/registry/webhook".
• SKUs diferentes do Registro de Contêiner do Azure possuem recursos distintos, incluindo o número de webhooks. Se você estiver reutilizando um registro existente, poderá ver a mensagem: "Cota excedida para webhooks de tipo de recurso para o SKU de registro Basic." Saiba mais sobre diferentes cotas de SKU e processo de atualização: https://aka.ms/acr/tiers". Se você vir essa mensagem, use um novo registro ou reduza o número de webhooks de registro que estão sendo utilizados.

Próxima etapa

Limpar recursos