Partilhar via


Implementar no Serviço de Aplicações através do GitHub Actions

Comece a usar as Ações do GitHub para automatizar seu fluxo de trabalho e implantar no Serviço de Aplicativo do Azure a partir do GitHub.

Pré-requisitos

Configurar a implantação do GitHub Actions ao criar o aplicativo

A implantação do GitHub Actions é integrada ao assistente de criação de aplicativos padrão. Você só precisa definir Implantação contínua como Habilitar na guia Implantação e configurar a organização, o repositório e a ramificação desejados.

Uma captura de tela mostrando como habilitar a implantação de Ações do GitHub no assistente de criação do Serviço de Aplicativo.

Quando você habilita a implantação contínua, o assistente de criação de aplicativos seleciona automaticamente o método de autenticação com base na seleção de autenticação básica e configura seu aplicativo e seu repositório GitHub de acordo:

Seleção de autenticação básica Método de autenticação
Desativar Identidade atribuída pelo usuário (OpenID Connect) (recomendado)
Ativar Autenticação básica

Nota

Se você receber um erro ao criar seu aplicativo dizendo que sua conta do Azure não tem determinadas permissões, ele pode não ter as permissões necessárias para criar e configurar a identidade atribuída pelo usuário. Para obter uma alternativa, consulte Configurar a implantação de ações do GitHub a partir do Centro de Implantação.

Configurar a implantação do GitHub Actions a partir do Centro de Implantação

Para um aplicativo existente, você pode começar rapidamente com as Ações do GitHub usando o Centro de Implantação do Serviço de Aplicativo. Esse método turn-key gera automaticamente um arquivo de fluxo de trabalho GitHub Actions com base em sua pilha de aplicativos e o confirma em seu repositório GitHub.

O Centro de Implementação também permite configurar facilmente a autenticação OpenID Connect mais segura com a opção de identidade atribuída pelo utilizador.

Se sua conta do Azure tiver as permissões necessárias, você poderá optar por criar uma identidade atribuída pelo usuário. Caso contrário, você pode selecionar uma identidade gerenciada atribuída ao usuário existente no menu suspenso Identidade . Você pode trabalhar com o administrador do Azure para criar uma identidade gerenciada atribuída pelo usuário com a função de Colaborador do Site.

Para obter mais informações, consulte Implantação contínua no Serviço de Aplicativo do Azure.

Configurar um fluxo de trabalho de Ações do GitHub manualmente

Você também pode implantar um fluxo de trabalho sem usar o Centro de Implantação. Nesse caso, você precisa executar 3 passos:

  1. Gerar credenciais de implantação
  2. Configurar o segredo do GitHub
  3. Adicione o arquivo de fluxo de trabalho ao repositório GitHub

1. Gerar credenciais de implantação

A maneira recomendada de autenticar com os Serviços de Aplicativo do Azure para Ações do GitHub é com o OpenID Connect. Este é um método de autenticação que usa tokens de curta duração. Configurar o OpenID Connect com o GitHub Actions é mais complexo, mas oferece segurança reforçada.

Como alternativa, você pode autenticar com uma Identidade Gerenciada atribuída pelo usuário, uma entidade de serviço ou um perfil de publicação.

A seguir você percorre as etapas para criar um aplicativo de diretório ativo, entidade de serviço e credenciais federadas usando instruções da CLI do Azure. Para saber como criar um aplicativo de diretório ativo, entidade de serviço e credenciais federadas no portal do Azure, consulte Conectar o GitHub e o Azure.

  1. Se você não tiver um aplicativo existente, registre um novo aplicativo e entidade de serviço do Ative Directory que possa acessar recursos. Crie o aplicativo Ative Directory.

    az ad app create --display-name myApp
    

    Este comando gera uma saída JSON com um appId que é o seu client-id. Salve o valor para usar como o segredo do AZURE_CLIENT_ID GitHub mais tarde.

    Você usará o valor ao criar credenciais federadas com a API do Graph e fará referência a objectId ele como o APPLICATION-OBJECT-ID.

  2. Crie uma entidade de serviço. Substitua o $appID pelo appId da sua saída JSON.

    Este comando gera saída JSON com um diferente objectId e será usado na próxima etapa. O novo objectId é o assignee-object-id.

    Copie o appOwnerTenantId para usar como um segredo do GitHub para AZURE_TENANT_ID mais tarde.

     az ad sp create --id $appId
    
  3. Crie uma nova atribuição de função por assinatura e objeto. Por padrão, a atribuição de função está vinculada à sua assinatura padrão. Substitua $subscriptionId pelo ID da assinatura, $resourceGroupName pelo nome do grupo de recursos, $webappName pelo nome do aplicativo Web e $assigneeObjectId pelo arquivo id. Saiba como gerenciar assinaturas do Azure com a CLI do Azure.

    az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/$webappName --assignee-principal-type ServicePrincipal
    
  4. Execute o seguinte comando para criar uma nova credencial de identidade federada para seu aplicativo Ative Directory.

    • Substitua APPLICATION-OBJECT-ID pelo appId (gerado durante a criação do aplicativo) para seu aplicativo do Ative Directory.
    • Defina um valor para CREDENTIAL-NAME referenciar mais tarde.
    • Defina o subjectarquivo . Seu valor é definido pelo GitHub dependendo do seu fluxo de trabalho:
      • Trabalhos em seu ambiente de ações do GitHub: repo:< Organization/Repository >:environment:< Name >
      • Para Trabalhos não vinculados a um ambiente, inclua o caminho ref para ramificação/tag com base no caminho ref usado para acionar o fluxo de trabalho: repo:< Organization/Repository >:ref:< ref path>. Por exemplo, repo:n-username/ node_express:ref:refs/heads/my-branch ou repo:n-username/ node_express:ref:refs/tags/my-tag.
      • Para fluxos de trabalho acionados por um evento pull request: repo:< Organization/Repository >:pull_request.
    az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
    ("credential.json" contains the following content)
    {
        "name": "<CREDENTIAL-NAME>",
        "issuer": "https://token.actions.githubusercontent.com",
        "subject": "repo:organization/repository:ref:refs/heads/main",
        "description": "Testing",
        "audiences": [
            "api://AzureADTokenExchange"
        ]
    }     
    

2. Configure o segredo do GitHub

Você precisa fornecer a ID do Cliente, a ID do Locatário e a ID da Assinatura do seu aplicativo para a ação Azure/login. Esses valores podem ser fornecidos diretamente no fluxo de trabalho ou podem ser armazenados em segredos do GitHub e referenciados em seu fluxo de trabalho. Salvar os valores como segredos do GitHub é a opção mais segura.

  1. Abra seu repositório GitHub e vá para Configurações > Segredos de segurança > e variáveis > Ações > Novo segredo do repositório.

  2. Crie segredos para AZURE_CLIENT_ID, AZURE_TENANT_IDe AZURE_SUBSCRIPTION_ID. Use estes valores do seu aplicativo Ative Directory para seus segredos do GitHub:

    Segredo do GitHub Aplicativo Ative Directory
    AZURE_CLIENT_ID ID da aplicação (cliente)
    AZURE_TENANT_ID ID do Diretório (inquilino)
    AZURE_SUBSCRIPTION_ID ID de Subscrição
  3. Salve cada segredo selecionando Adicionar segredo.

3. Adicione o arquivo de fluxo de trabalho ao repositório do GitHub

Um fluxo de trabalho é definido por um arquivo YAML (.yml) no /.github/workflows/ caminho no repositório do GitHub. Esta definição contém as várias etapas e parâmetros que compõem o fluxo de trabalho.

No mínimo, o arquivo de fluxo de trabalho teria as seguintes etapas distintas:

  1. Autentique-se com o Serviço de Aplicativo usando o segredo do GitHub que você criou.
  2. Crie o aplicativo Web.
  3. Implante o aplicativo Web.

Para implantar seu código em um aplicativo do Serviço de Aplicativo, use a ação azure/webapps-deploy@v3 . A ação requer o nome do seu aplicativo Web e app-name , dependendo da sua pilha de idiomas, o caminho de um *.zip, *.war, *.jar ou pasta para implantar no package. Para obter uma lista completa de possíveis entradas para a azure/webapps-deploy@v3 ação, consulte a definição de action.yml .

Os exemplos a seguir mostram a parte do fluxo de trabalho que cria o aplicativo Web, em diferentes idiomas suportados.

Para implantar com o OpenID Connect usando a identidade gerenciada que você configurou, use a azure/login@v1 ação com as client-idchaves , tenant-ide subscription-id e faça referência aos segredos do GitHub criados anteriormente.

name: .NET Core

on: [push]

permissions:
      id-token: write
      contents: read

env:
  AZURE_WEBAPP_NAME: my-app    # set this to your application's name
  AZURE_WEBAPP_PACKAGE_PATH: '.'      # set this to the path to your web app project, defaults to the repository root
  DOTNET_VERSION: '6.0.x'           # set this to the dot net version to use

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
      # Checkout the repo
      - uses: actions/checkout@main
      - uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      
      # Setup .NET Core SDK
      - name: Setup .NET Core
        uses: actions/setup-dotnet@v3
        with:
          dotnet-version: ${{ env.DOTNET_VERSION }} 
      
      # Run dotnet build and publish
      - name: dotnet build and publish
        run: |
          dotnet restore
          dotnet build --configuration Release
          dotnet publish -c Release --property:PublishDir='${{ env.AZURE_WEBAPP_PACKAGE_PATH }}/myapp' 
          
      # Deploy to Azure Web apps
      - name: 'Run Azure webapp deploy action using publish profile credentials'
        uses: azure/webapps-deploy@v3
        with: 
          app-name: ${{ env.AZURE_WEBAPP_NAME }} # Replace with your app name
          package: '${{ env.AZURE_WEBAPP_PACKAGE_PATH }}/myapp'
      
      - name: logout
        run: |
          az logout

Perguntas Mais Frequentes

Como faço para implantar um arquivo WAR através do plug-in Maven?

Caso você tenha configurado seu projeto Java Tomcat com o plug-in Maven, também poderá implantar no Serviço de Aplicativo do Azure por meio desse plug-in. Se você usar a ação GitHub da CLI do Azure, ela usará suas credenciais de logon do Azure.

    - name: Azure CLI script file
      uses: azure/cli@v2
      with:
        inlineScript: |
          mvn package azure-webapp:deploy

Mais informações sobre o plug-in Maven e como usá-lo e configurá-lo podem ser encontradas no wiki do plug-in Maven para o Serviço de Aplicativo do Azure.

Como faço para implantar um arquivo WAR através da Az CLI?

Se você preferir a CLI do Azure para implantar no Serviço de Aplicativo, poderá usar a Ação do GitHub para CLI do Azure.

- name: Azure CLI script
  uses: azure/cli@v2
  with:
    inlineScript: |
      az webapp deploy --src-path '${{ github.workspace }}/target/yourpackage.war' --name ${{ env.AZURE_WEBAPP_NAME }} --resource-group ${{ env.RESOURCE_GROUP }}  --async true --type war

Mais informações sobre a Ação do GitHub para CLI e como usá-la e configurá-la podem ser encontradas na ação GitHub da CLI do Azure. Mais informações sobre o comando az webapp deploy, como usar e os detalhes do parâmetro podem ser encontradas na documentação az webapp deploy.

Como implantar um arquivo de inicialização?

Use a ação do GitHub para CLI. Por exemplo:

- name: Deploy startup script
  uses: azure/cli@v2
  with:
    inlineScript: |
      az webapp deploy --src-path ${{ github.workspace }}/src/main/azure/createPasswordlessDataSource.sh --name ${{ env.AZURE_WEBAPP_NAME }} --resource-group ${{ env.RESOURCE_GROUP }} --type startup --track-status false

Como faço para implantar em um contêiner?

Com a ação Implantação da Web do Azure, você pode automatizar seu fluxo de trabalho para implantar contêineres personalizados no Serviço de Aplicativo usando as Ações do GitHub. Informações detalhadas sobre as etapas de implantação usando as Ações do GitHub podem ser encontradas em Implantar em um contêiner.

Como atualizo a configuração do Tomcat após a implantação?

Caso deseje atualizar qualquer uma das configurações de seus aplicativos Web após a implantação, você pode usar a ação Configurações do Serviço de Aplicativo.

    - uses: azure/appservice-settings@v1
      with:
        app-name: 'my-app'
        slot-name: 'staging'  # Optional and needed only if the settings have to be configured on the specific deployment slot
        app-settings-json: '[{ "name": "CATALINA_OPTS", "value": "-Dfoo=bar" }]' 
        connection-strings-json: '${{ secrets.CONNECTION_STRINGS }}'
        general-settings-json: '{"alwaysOn": "false", "webSocketsEnabled": "true"}' #'General configuration settings as Key Value pairs'
      id: settings

Mais informações sobre essa ação e como usá-la e configurá-la podem ser encontradas no repositório de Configurações do Serviço de Aplicativo.

Próximos passos

Confira as referências sobre Ações e fluxos de trabalho do GitHub do Azure: