Implantar um aplicativo Python em contêiner no Serviço de Aplicativo

Este artigo faz parte de um tutorial sobre como colocar em contêiner e implantar um aplicativo Web Python no Serviço de Aplicativo do Azure. O Serviço de Aplicativo permite que você execute aplicativos Web em contêineres e implante por meio de recursos de integração contínua/implantação contínua (CI/CD) com o Docker Hub, o Registro de Contêiner do Azure e o Visual Studio Team Services.

Nesta parte do tutorial, você aprenderá a implantar o aplicativo Web Python em contêineres no Serviço de Aplicativo usando o Aplicativo Web do Serviço de Aplicativo para Contêineres. O Aplicativo Web para Contêineres permite que você se concentre na composição de seus contêineres sem se preocupar em gerenciar e manter um orquestrador de contêiner subjacente.

Seguindo as etapas aqui, você acabará com um site do Serviço de Aplicativo usando uma imagem de contêiner do Docker. O Serviço de Aplicativo extrai a imagem inicial do Registro de Contêiner do Azure usando a identidade gerenciada para autenticação.

O diagrama de serviço mostrado abaixo destaca os componentes abordados neste artigo.

1. Crie o aplicativo Web

CLI do Azure

É possível executar os comandos da CLI do Azure no Azure Cloud Shell ou em uma estação de trabalho com a CLI do Azure instalada.

Etapa 1. Obtenha a ID do recurso do grupo que contém o Registro de Contêiner do Azure com o comando az group show .

# RESOURCE_GROUP_NAME='msdocs-web-app-rg'

RESOURCE_ID=$(az group show \
  --resource-group $RESOURCE_GROUP_NAME \
  --query id \
  --output tsv)
echo $RESOURCE_ID

No comando acima, RESOURCE_GROUP_NAME ainda deve ser definido em seu ambiente como o nome do grupo de recursos usado na parte 3. Criar contêiner no Azure deste tutorial. Se não estiver, remova o comentário da primeira linha e certifique-se de que ela esteja definida com o nome que você usou.

Etapa 2. Criar um plano do Serviço de Aplicativo com o comando az appservice plan create.

APP_SERVICE_PLAN_NAME='msdocs-web-app-plan'

az appservice plan create \
    --name $APP_SERVICE_PLAN_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --sku B1 \
    --is-linux

Etapa 3. Crie um aplicativo Web com o comando az webapp create .

O comando a seguir também habilita a identidade gerenciada atribuída pelo sistema para o aplicativo Web e atribui a ele a AcrPull função no recurso especificado - neste caso, o grupo de recursos que contém o Registro de Contêiner do Azure. Isso concede aos privilégios de pull de identidade gerenciada atribuídos pelo sistema em qualquer Registro de Contêiner do Azure no grupo de recursos.

APP_SERVICE_NAME='<website-name>'
# REGISTRY_NAME='<your Azure Container Registry name>'
CONTAINER_NAME=$REGISTRY_NAME'.azurecr.io/msdocspythoncontainerwebapp:latest'

az webapp create \
  --resource-group $RESOURCE_GROUP_NAME \
  --plan $APP_SERVICE_PLAN_NAME \
  --name $APP_SERVICE_NAME \
  --assign-identity '[system]' \
  --scope $RESOURCE_ID \
  --role acrpull \
  --deployment-container-image-name $CONTAINER_NAME 

No comando acima:

• APP_SERVICE_NAME deve ser globalmente exclusivo à medida que se torna o nome do site na URL https://<website-name>.azurewebsites.net.
• CONTAINER_NAME é da forma "yourregistryname.azurecr.io/repo_name:tag".
• REGISTRY_NAME ainda deve ser definido em seu ambiente para o nome do Registro que você usou na parte 3. Criar contêiner no Azure deste tutorial. Se não estiver, remova o comentário da linha onde está definida acima e certifique-se de que está definida com o nome que você usou.

Observação

Você pode ver um erro semelhante à seguinte ao executar o comando:

No credential was provided to access Azure Container Registry. Trying to look up...
Retrieving credentials failed with an exception:'No resource or more than one were found with name ...'

Esse erro ocorre porque o aplicativo Web usa como padrão usar as credenciais de administrador do Registro de Contêiner do Azure para autenticar com o Registro e as credenciais de administrador não foram habilitadas no Registro. Você pode ignorar esse erro com segurança porque definirá o aplicativo Web para usar a identidade gerenciada atribuída pelo sistema para autenticação no próximo comando.

Código do VS

Essas etapas exigem a extensão do Docker para VS Code.

Instruções	Captura de tela
Atualize o Registro de Contêiner do Azure na extensão do Docker. Confirme se o contêiner criado aparece na seção REGISTROS da extensão do Docker. Se isso não acontecer, clique com o botão direito do mouse no nome do Registro e selecione Atualizar.
Selecione F1 ou CTRL+SHIFT+P para abrir a paleta de comandos e inicie a tarefa Registros do Docker: Implantar Imagem no Serviço de Aplicativo do Azure...
Siga as instruções para implantar a imagem: Selecione o provedor do Registro → "Azure" Selecione o → do Registro Digite o nome do registro que você criou anteriormente neste tutorial. Selecione repositório → Digite o nome do repositório "msdocspythoncontainerwebapp". Se você não vir esse repositório, atualize a seção REGISTROS da extensão do Docker. Selecione a tag → "mais recente" Insira um nome globalmente exclusivo para o aplicativo Web → Insira um nome que seja globalmente exclusivo do Serviço de Aplicativo do Azure. Por exemplo, se você usar "msdocs-python-container-web-app", a URL do aplicativo Web será http://msdocs-python-container-web-app.azurewebsites.net. Selecione um grupo de recursos → Use o grupo de recursos que contém o Registro de Contêiner do Azure criado anteriormente. Selecione um local → Usar o mesmo local que o grupo de recursos. Selecione um plano do Linux App Service → Usar um existente ou criar um novo.
Exiba a janela OUTPUT para obter detalhes da implantação. Uma das linhas de saída é "Concedendo permissão para o Serviço de Aplicativo extrair imagem do ACR...", que o Serviço de Aplicativo acessa o Registro usando a identidade gerenciada. O site https://<app-name>.azurewebsites.net final ainda não está pronto porque você precisa especificar as informações do MongoDB.

Portal do Azure

Entre no portal do Azure e siga estas etapas para criar o aplicativo Web.

Instruções	Captura de tela
Crie um novo Serviço de Aplicativo: Na pesquisa do portal do Azure, procure "Serviços de Aplicativo" e selecione Serviços de Aplicativo. Selecione + Criar para iniciar o processo de criação.
Nas configurações básicas do Serviço de Aplicativo, especifique: Grupo de Recursos → Use o mesmo grupo de recursos em que o Registro de Contêiner do Azure está. Nome → Use um nome exclusivo que será http://<app-name>.azurewebsites.net. Publicar → usar o contêiner do Docker para que a imagem do Registro criada seja usada. Sistema operacional → Linux Região → Use a mesma região que o grupo de recursos e o Registro de Contêiner do Azure. Plano Linux → Selecione um plano Linux existente ou use um novo. Sku e tamanho → Selecione Basic B1. Selecione o link Alterar tamanho para acessar mais opções. Redundância de zona → Selecione Desabilitado se essa opção estiver disponível para a SKU selecionada. Selecione Avançar: Docker para continuar.
Especifique as informações do Docker do Serviço de Aplicativo, incluindo: Opções → Selecionar contêiner único. Origem da imagem → Selecione Registro de Contêiner do Azure. Registro → O registro que você criou para este tutorial. Imagem → Uma imagem no registro. Tag → "mais recente" A conta de administrador do Registro é necessária quando você usa o portal do Azure para implantar uma imagem de contêiner. Se a conta de administrador não estiver habilitada, você verá um erro ao especificar a Imagem. Depois que o Serviço de Aplicativo é criado, a identidade gerenciada é usada para extrair imagens do Registro e a conta de administrador pode ser desabilitada.
Vá para Revisar + Criar página e selecione Criar.

2. Configurar identidade gerenciada e webhook

CLI do Azure

Etapa 1. Configure o aplicativo Web para usar identidades gerenciadas para extrair do Registro de Contêiner do Azure com o comando az webapp config set .

az webapp config set \
  --resource-group $RESOURCE_GROUP_NAME \
  --name $APP_SERVICE_NAME \
  --generic-configurations '{"acrUseManagedIdentityCreds": true}'

Como você habilitou a identidade gerenciada atribuída pelo sistema quando criou o aplicativo Web, ela será a identidade gerenciada usada para extrair do Registro de Contêiner do Azure.

Etapa 2. Obtenha a credencial de escopo do aplicativo com o comando az webapp deployment list-publishing-credentials .

CREDENTIAL=$(az webapp deployment list-publishing-credentials \
  --resource-group $RESOURCE_GROUP_NAME \
  --name $APP_SERVICE_NAME \
  --query publishingPassword \
  --output tsv)
echo $CREDENTIAL 

Etapa 3. Use a credencial de escopo do aplicativo para criar um webhook com o comando az acr webhook create .

SERVICE_URI='https://$'$APP_SERVICE_NAME':'$CREDENTIAL'@'$APP_SERVICE_NAME'.scm.azurewebsites.net/api/registry/webhook'

az acr webhook create \
  --name webhookforwebapp \
  --registry $REGISTRY_NAME \
  --scope msdocspythoncontainerwebapp:* \
  --uri $SERVICE_URI \
  --actions push 

Por padrão, esse comando cria o webhook no mesmo grupo de recursos e local que o registro de Contêiner do Azure especificado. Se desejar, você pode usar os --resource-group parâmetros e --location para substituir esse comportamento.

Código do VS

Instruções	Captura de tela
Quando você implanta com o Visual Studio Code, a identidade gerenciada já está definida para o Serviço de Aplicativo extrair imagens do Registro. Você pode confirmar se a identidade gerenciada está habilitada exibindo logs na janela SAÍDA e procurando a mensagem "Concedendo permissão para o Serviço de Aplicativo extrair imagem do ACR...".
Durante a implantação com o VS Code, é criado um webhook que permite que o aplicativo Web extraia novas imagens do Registro de Contêiner do Azure. Importante Revise a configuração de webhooks no Portal do Azure para confirmar se o URI do Serviço termina com "/api/registry/webhook". Para revisar o URI do serviço, abra a extensão do Docker no VS Code e localize o registro que você criou. Clique com o botão direito do mouse no registro e selecione Abrir no Portal. No portal do Azure, vá para o recurso Webhooks do registro.

Portal do Azure

Vá para o portal do Azure para seguir estas etapas.

Instruções	Captura de tela
Identidade gerenciada habilitada. Vá para o recurso Identidade do Serviço de Aplicativo . Selecione o status Ativado em Sistema atribuído. Selecione Salvar. Selecione Sim no prompt para continuar.
No recurso Identidade do Serviço de Aplicativo e onde você acabou de habilitar a identidade gerenciada, selecione Atribuições de função do Azure.
Adicione a função "AcrPull" para a identidade gerenciada atribuída ao sistema. A função AcrPull permite que o Serviço de Aplicativo extraia imagens do Contêiner do Azure Registry.In "Atribuições de função do Azure", selecione + Adicionar atribuição de função e siga os prompts para adicionar: Escopo → "Grupo de recursos" Assinatura → Sua assinatura. Grupo de recursos → O grupo com o Registro de Contêiner do Azure e o Serviço de Aplicativo. Papel → "AcrPull" Selecione Salvar para salvar a função. Para obter mais informações, confira Atribuir funções do Azure usando o portal do Azure.
Configure a implantação do Serviço de Aplicativo para usar a identidade gerenciada. Vá para o recurso Centro de Implantação do Serviço de Aplicativo. Na guia Configurações, defina Autenticação como Identidade Gerenciada. Selecione Salvar para salvar as alterações.
Crie um webhook que acione atualizações para o Serviço de Aplicativo quando novas imagens são enviadas por push para o Registro de Contêiner do Azure. Primeiro, obtenha a credencial de escopo do aplicativo: Vá para o recurso Centro de Implantação do Serviço de Aplicativo. Na guia Credenciais FTPS, obtenha o valor Senha em Escopo do Aplicativo. Em seguida, crie o webhook usando o valor da credencial e o nome do Serviço de Aplicativo: Vá para o Registro de Contêiner do Azure que tem a imagem de repositório e contêiner e selecione a página de recurso Webhooks . Na página webhooks, selecione + Adicionar. Especifique os parâmetros da seguinte forma: Nome do webhook → Digite "webhookforwebapp". Local → Use o local do registro. URI de Serviço → Uma cadeia de caracteres que é uma combinação de nome e credencial do Serviço de Aplicativo. Veja abaixo. Ações → Selecionar push. Status → Selecionar Ativado. Escopo → Digite "msdocspythoncontainerwebapp:*". O URI do serviço é formatado como "https://$" + APP_SERVICE_NAME + ":" + CREDENTIAL + "@" + APP_SERVICE_NAME + ".scm.azurewebsites.net/api/registry/webhook". Por exemplo: "https://$msdocs-python-container-web-app:credential@msdocs-python-container-web-app.scm.azurewebsites.net/api/registry/webhook".

3. Configurar conexão com o MongoDB

Nesta etapa, você especifica as variáveis de ambiente necessárias para se conectar ao MongoDB.

Se você precisar criar um Azure Cosmos DB para MongoDB, recomendamos seguir as etapas para configurar o Cosmos DB para MangoDB na parte 2. Crie e teste o contêiner localmente deste tutorial. Quando terminar, você deverá ter uma cadeia de conexão do Azure Cosmos DB para MongoDB do formulário mongodb://<server-name>:<password>@<server-name>.mongo.cosmos.azure.com:10255/?ssl=true&<other-parameters>.

Você precisará das informações da cadeia de conexão do MongoDB para seguir as etapas abaixo.

CLI do Azure

Para definir variáveis de ambiente no Serviço de Aplicativo, crie configurações do aplicativo usando o comando az webapp config appsettings set a seguir.

MONGO_CONNECTION_STRING='your Mongo DB connection string in single quotes'
MONGO_DB_NAME=restaurants_reviews
MONGO_COLLECTION_NAME=restaurants_reviews

az webapp config appsettings set \
   --resource-group $RESOURCE_GROUP_NAME \
   --name $APP_SERVICE_NAME \
   --settings CONNECTION_STRING=$MONGO_CONNECTION_STRING \
              DB_NAME=$MONGO_DB_NAME  \
              COLLECTION_NAME=$MONGO_COLLECTION_NAME 

• CONNECTION_STRING: Uma cadeia de conexão que começa com "mongodb://".
• DB_NAME: Use "restaurants_reviews".
• COLLECTION_NAME: Use "restaurants_reviews".

Código do VS

Para configurar variáveis de ambiente para o aplicativo Web do VS Code, você deve ter o pacote de extensão de Ferramentas do Azure instalado e conectado ao Azure por meio do VS Code.

Instruções	Captura de tela
Na extensão Ferramentas do Azure para Visual Studio Code: Expanda RECURSOS e localize Serviços de Aplicativo em sua assinatura. (Certifique-se de exibir recursos por Agrupar por tipo de recurso.) Expanda Serviços de Aplicativo e encontre o aplicativo Web que você acabou de criar. Expanda seu aplicativo Web e clique com o botão direito do mouse em Configurações do aplicativo. Selecione Adicionar nova configuração....
Cada vez que você adiciona uma nova configuração, uma caixa de diálogo aparece na parte superior da janela VS Code onde você pode adicionar cada nome de configuração seguido de seu valor. Adicione as seguintes configurações: CONNECTION_STRING → Uma cadeia de conexão que começa com "mongodb://". DB_NAME → Use "restaurants_reviews". COLLECTION_NAME → Use "restaurants_reviews". WEBSITES_PORT → Use "8000" para Django e "5000" para Flask. Essa variável de ambiente especifica a porta na qual o contêiner está escutando.

Portal do Azure

Instruções	Captura de tela
Vá para a página do Serviço de Aplicativo do aplicativo Web. Selecione Configuração em Configurações no menu de recursos à esquerda. Selecione Configurações do aplicativo na parte superior da página.
Crie configurações do aplicativo: Selecione + Nova configuração do aplicativo para criar configurações para cada um dos seguintes valores: CONNECTION_STRING → Uma cadeia de conexão que começa com "mongodb://". DB_NAME → Use "restaurants_reviews". COLLECTION_NAME → Use "restaurants_reviews". Confirme se você tem três configurações com os valores corretos. Selecione Salvar para aplicar a configuração.

4. Navegue pelo site

Para verificar se o site está em execução, vá para https://<website-name>.azurewebsites.net, onde o nome do site é o nome do serviço do aplicativo. Se for bem-sucedido, você verá o aplicativo de exemplo de avaliação de restaurante. Pode levar alguns instantes para que o site comece pela primeira vez. Quando o site for exibido, adicione um restaurante e uma avaliação para esse restaurante para confirmar se o aplicativo de exemplo está funcionando.

CLI do Azure

Se você estiver executando a CLI do Azure localmente, poderá usar o comando az webapp browse para navegar até o site. Se você estiver usando o Cloud Shell, abra uma janela do navegador e navegue até a URL do site.

az webapp browse  --name $APP_SERVICE_NAME --resource-group $RESOURCE_GROUP_NAME 

Observação

O az webapp browse comando não é suportado no Cloud Shell. Abra uma janela do navegador e navegue até a URL do site.

Código do VS

Instruções	Captura de tela
Na extensão Ferramentas do Azure para Visual Studio Code: Expanda RECURSOS e localize Serviços de Aplicativo em sua assinatura. (Certifique-se de exibir recursos por Agrupar por tipo de recurso.) Clique com o botão direito do mouse no Serviço de Aplicativo e selecione Procurar Site.

Portal do Azure

Instruções	Captura de tela
Na página Recursos de visão geral da página Serviço de Aplicativo, selecione Procurar.

5. Solucionar problemas de implantação

Se você não vir o aplicativo de exemplo, tente as etapas a seguir.

• Com a implantação de contêiner e o Serviço de Aplicativo, sempre verifique a página Logs do Centro / de Implantação no portal do Azure. Confirme se o contêiner foi puxado e está em execução. A tração inicial e o funcionamento do contêiner podem levar alguns instantes.
• Tente reiniciar o Serviço de Aplicativo e veja se isso resolve o problema.
• Se houver erros de programação, esses erros aparecerão nos logs do aplicativo. Na página do portal do Azure para o Serviço de Aplicativo, selecione Diagnosticar e resolver problemas/Logs de aplicativo.
• O aplicativo de exemplo depende de uma conexão com o MongoDB. Confirme se o Serviço de Aplicativo tem configurações de aplicativo com as informações de conexão corretas.
• Confirme se a identidade gerenciada está habilitada para o Serviço de Aplicativo e é usada no Centro de Implantação. Na página do portal do Azure para o Serviço de Aplicativo, vá para o recurso Centro de Implantação do Serviço de Aplicativo e confirme se a Autenticação está definida como Identidade Gerenciada.
• Verifique se o webhook está definido no Registro de Contêiner do Azure. O webhook permite que o Serviço de Aplicativo extraia a imagem do contêiner. Em particular, verifique se o URI do serviço termina com "/api/registry/webhook".
• Diferentes skus do Registro de Contêiner do Azure têm recursos diferentes, incluindo o número de webhooks. Se você estiver reutilizando um registro existente, poderá ver a mensagem: "Cota excedida para webhooks de tipo de recurso para o SKU Basic do Registro. Saiba mais sobre diferentes cotas de SKU e processo de atualização: https://aka.ms/acr/tiers". Se você vir essa mensagem, use um novo registro ou reduza o número de webhooks do Registro em uso.

Próxima etapa

Limpar recursos