你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 GitHub Actions 连接到 Azure SQL 数据库

适用于： Azure SQL 数据库

使用工作流将数据库更新部署到 Azure SQL 数据库以开始使用 GitHub Actions。

先决条件

需要：

• 具有活动订阅的 Azure 帐户。 免费创建帐户。
• 包含 dacpac 包 (Database.dacpac) 的 GitHub 存储库。 如果没有 GitHub 帐户，可以免费注册。
• Azure SQL 数据库。 快速入门：创建 Azure SQL 数据库单一数据库。
• 要导入数据库的 .dacpac 文件。

工作流文件概述

GitHub Actions 工作流是由存储库中 /.github/workflows/ 路径中的 YAML (.yml) 文件定义的。 此定义包含组成工作流的各种步骤和参数。

此文件包含两个部分：

部分	任务
身份验证	1.1. 生成部署凭据。
部署	1.部署数据库。

生成部署凭据

服务主体

在 Azure CLI 中使用 az ad sp create-for-rbac 命令创建服务主体。 请使用 Azure 门户中的 Azure Cloud Shell 或选择“试用”按钮运行此命令。

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

参数 --json-auth 在 Azure CLI 版本 >= 2.51.0 中可用。 此版本之前的版本使用 --sdk-auth，带有弃用警告。

在上面的示例中，请将占位符替换为你的订阅 ID、资源组名称和应用名称。 输出是一个 JSON 对象，包含的角色分配凭据可提供对应用服务应用的访问权限，如下所示。 复制此 JSON 对象供以后使用。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect

OpenID Connect 是一种使用短期令牌的身份验证方法。 使用 GitHub Actions 设置 OpenID Connect 的过程会更复杂，能提供更强的安全性。

1. 如果当前没有应用程序，请注册一个新的可访问资源的 Microsoft Entra 应用程序和服务主体。

   az ad app create --display-name myApp
   

   此命令将输出 JSON，其中 appId 为你的 client-id。 objectId 是 APPLICATION-OBJECT-ID，它将用于通过图形 API 调用创建联合凭据。 保存该值，稍后将其用作 AZURE_CLIENT_ID GitHub 机密。

2. 创建服务主体。 将 $appID 替换为 JSON 输出中的 appId。 此命令使用不同的 objectId 生成 JSON 输出，将在下一步中使用。 新的 objectId 是 assignee-object-id。

   此命令使用不同的 objectId 生成 JSON 输出，将在下一步中使用。 新的 objectId 是 assignee-object-id。

   复制 appOwnerTenantId 以在稍后用作 AZURE_TENANT_ID 的 GitHub 机密。

    az ad sp create --id $appId
   

3. 按订阅和对象创建新的角色分配。 默认情况下，角色分配将绑定到默认订阅。 将 $subscriptionId 替换为你的订阅 ID，将 $resourceGroupName 替换为你的资源组名称，将 $assigneeObjectId 替换为生成的 assignee-object-id（新创建的服务主体对象 ID）。

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
   

4. 运行以下命令，为 Microsoft Entra 应用程序创建新的联合标识凭据。

   • 将 APPLICATION-OBJECT-ID 替换为 Microsoft Entra 应用程序的 objectId（在创建应用时生成）。
   • 为 CREDENTIAL-NAME 设置一个值供以后引用。
   • 设置 subject。 此项的值由 GitHub 根据工作流定义：
     • GitHub Actions 环境中的作业：repo:< Organization/Repository >:environment:< Name >
     • 对于未绑定到环境的作业，请根据用于触发工作流的 ref 路径包括分支/标记的 ref 路径：repo:< Organization/Repository >:ref:< ref path>。 例如 repo:n-username/ node_express:ref:refs/heads/my-branch 或 repo:n-username/ node_express:ref:refs/tags/my-tag。
     • 对于由拉取请求事件触发的工作流：repo:< Organization/Repository >:pull_request。

   az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
   ("credential.json" contains the following content)
   {
       "name": "<CREDENTIAL-NAME>",
       "issuer": "https://token.actions.githubusercontent.com",
       "subject": "repo:octo-org/octo-repo:environment:Production",
       "description": "Testing",
       "audiences": [
           "api://AzureADTokenExchange"
       ]
   }
   

复制 SQL 连接字符串

在 Azure 门户中，转到 Azure SQL 数据库并打开“设置”>“连接字符串” 。 复制 ADO.NET 连接字符串。 将占位符值替换为 your_database 和 your_password。

你需要将该连接字符串设置为 GitHub 机密 AZURE_SQL_CONNECTION_STRING。

配置 GitHub 机密

服务主体

1. 在 GitHub 中，转到存储库。

2. 转到导航菜单中的“设置”。

3. 选择“安全性”>“机密和变量”>“操作”。

   

4. 选择“新建存储库机密”。

5. 将 Azure CLI 命令的整个 JSON 输出粘贴到机密的值字段中。 为机密指定名称 AZURE_CREDENTIALS。

6. 选择“添加机密”。

OpenID Connect

需要向登录操作提供应用程序的“客户端 ID”、“租户 ID”和“订阅 ID”。 这些值可直接在工作流中提供，或可存储在 GitHub 机密中并在工作流中引用。 将这些值保存为 GitHub 机密是更安全的选择。

1. 在 GitHub 中，转到存储库。

2. 选择“安全性”>“机密和变量”>“操作”。

   

3. 选择“新建存储库机密”。

4. 为 AZURE_CLIENT_ID、AZURE_TENANT_ID 和 AZURE_SUBSCRIPTION_ID 创建机密。 将 Microsoft Entra 应用程序中的这些值用于 GitHub 机密：

   GitHub 机密	Microsoft Entra 应用程序
   AZURE_CLIENT_ID	应用程序（客户端）ID
   AZURE_TENANT_ID	目录（租户）ID
   AZURE_SUBSCRIPTION_ID	订阅 ID

5. 通过选择“添加机密”来保存每个机密。

添加 SQL 连接字符串机密

1. 在 GitHub 中，转到存储库。

2. 转到导航菜单中的“设置”。

3. 选择“安全性”>“机密和变量”>“操作”。

4. 选择“新建存储库机密”。

5. 粘贴 SQL 连接字符串。 为机密指定名称 AZURE_SQL_CONNECTION_STRING。

6. 选择“添加机密”。

添加工作流

1. 转到 GitHub 存储库的“操作”。

2. 选择“自己设置工作流”。

3. 删除工作流文件 on: 部分后面的所有内容。 例如，剩下的工作流可能如下所示。

   name: SQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   

4. 将工作流重命名为 SQL for GitHub Actions，并添加签出和登录操作。 这些操作会签出你的站点代码，并使用之前创建的 AZURE_CREDENTIALS GitHub 机密向 Azure 进行身份验证。

   服务主体

   name: SQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   
   jobs:
       build:
           runs-on: windows-latest
           steps:
            - uses: actions/checkout@v1
            - uses: azure/login@v1
              with:
               creds: ${{ secrets.AZURE_CREDENTIALS }}
   

   OpenID Connect

       name: SQL for GitHub Actions
   
       on:
           push:
               branches: [ main ]
           pull_request:
               branches: [ main ]
   
       jobs:
           build:
               runs-on: windows-latest
               steps:
                - uses: actions/checkout@v1
                - uses: azure/login@v1
                  with:
                   client-id: ${{ secrets.AZURE_CLIENT_ID }}
                   tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                   subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   

---

5. 使用 Azure SQL 部署操作连接到 SQL 实例。 在存储库的根级别应该有一个 dacpac 包 (Database.dacpac)。 使用之前创建的 AZURE_SQL_CONNECTION_STRING GitHub 机密。

   - uses: azure/sql-action@v2
     with:
       connection-string: ${{ secrets.AZURE_SQL_CONNECTION_STRING }}
       path: './Database.dacpac'
       action: 'Publish'
   

6. 通过添加注销 Azure 的操作来完成工作流。 下面是已完成的工作流。 文件会显示在存储库的 .github/workflows 文件夹中。

   服务主体

   name: SQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   
   jobs:
       build:
           runs-on: windows-latest
           steps:
            - uses: actions/checkout@v1
            - uses: azure/login@v1
              with:
               creds: ${{ secrets.AZURE_CREDENTIALS }}
            - uses: azure/sql-action@v2
              with:
               connection-string: ${{ secrets.AZURE_SQL_CONNECTION_STRING }}
               path: './Database.dacpac'
               action: 'Publish'
   
               # Azure logout 
            - name: logout
              run: |
                 az logout
   

   OpenID Connect

       name: SQL for GitHub Actions
   
       on:
           push:
               branches: [ main ]
           pull_request:
               branches: [ main ]
   
       jobs:
           build:
               runs-on: windows-latest
               steps:
                - uses: actions/checkout@v1
                - uses: azure/login@v1
                  with:
                   client-id: ${{ secrets.AZURE_CLIENT_ID }}
                   tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                   subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
               # Azure logout 
                - name: logout
                  run: |
                    az logout
   

查看部署

1. 转到 GitHub 存储库的“操作”。

2. 打开第一个结果，查看工作流运行的详细日志。

   

清理资源

如果不再需要 Azure SQL 数据库和存储库，请删除资源组和 GitHub 存储库，以清理部署的资源。

后续步骤

了解 Azure 和 GitHub 集成