你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 GitHub Actions 连接到 Azure SQL 数据库

适用于：Azure SQL 数据库

使用工作流将数据库更新部署到 Azure SQL 数据库以开始使用 GitHub Actions。

先决条件

需要：

• 具有活动订阅的 Azure 帐户。 免费创建帐户。
• 包含 dacpac 包 (Database.dacpac) 的 GitHub 存储库。 如果没有 GitHub 帐户，可以免费注册。
• Azure SQL 数据库。 快速入门：创建 Azure SQL 数据库单一数据库。
• 要导入数据库的 .dacpac 文件。

工作流文件概述

GitHub Actions 工作流是由存储库中 /.github/workflows/ 路径中的 YAML (.yml) 文件定义的。 此定义包含组成工作流的各种步骤和参数。

此文件包含两个部分：

部分	任务
身份验证	1.1. 生成部署凭据。
部署	1.部署数据库。

生成部署凭据

OpenID Connect

若要对 OIDC 使用 Azure 登录操作，需要在 Microsoft Entra 应用或用户分配的托管身份上配置联合身份凭证。

选项 1：Microsoft Entra 应用程序

• 在 Azure 门户、Azure CLI或 Azure PowerShell中创建具有服务主体的 Microsoft Entra 应用程序。
• 复制 客户端 ID、订阅 ID和 Directory（租户）ID 的值，以便在 GitHub Actions 工作流中稍后使用。
• 在 Azure 门户、Azure CLI或 Azure PowerShell中，为服务主体分配适当的角色。
• 在 Microsoft Entra 应用程序上配置联合标识凭据 以信任 GitHub Actions 颁发的令牌到 GitHub 存储库。

选项 2：用户分配的托管标识

• 创建用户分配的托管标识。
• 复制 客户端 ID、订阅 ID和 Directory（租户）ID 的值，以便在 GitHub Actions 工作流中稍后使用。
• 为用户指定的托管标识分配适当的角色。
• 在用户分配的托管标识上配置联合标识凭据， 信任 GitHub Actions 颁发给 GitHub 存储库的令牌。

服务主体

• 创建具有服务主体的 Microsoft Entra 应用程序可以通过 Azure 门户、Azure CLI或 Azure PowerShell实现。
• 通过 Azure 门户、Azure CLI或 Azure PowerShell为您的服务主体创建客户端机密。
• 复制 客户端 ID、客户端机密、订阅 ID和 Directory（租户）ID 的值，以便在 GitHub Actions 工作流中稍后使用。
• 在 Azure 门户、Azure CLI或 Azure PowerShell中，为服务主体分配适当的角色。

复制 SQL 连接字符串

在 Azure 门户中，转到 Azure SQL 数据库并打开“设置”“连接字符串” 。 复制 ADO.NET 连接字符串。 将占位符值替换为 your_database 和 your_password。

你需要将该连接字符串设置为 GitHub 机密 AZURE_SQL_CONNECTION_STRING。

配置 GitHub 机密

OpenID Connect

需要在登录操作中提供应用程序的 客户端 ID、目录（租户）ID和 订阅 ID。 这些值可直接在工作流中提供，或可存储在 GitHub 机密中并在工作流中引用。 将这些值保存为 GitHub 机密是更安全的选择。

1. 在 GitHub 中，转到存储库。

2. 选择“安全性”>“机密和变量”>“操作”。

   

3. 选择“新建存储库机密”。

   注意

   若要增强公共存储库中的工作流安全性，请使用 环境机密 而不是存储库机密。 如果环境需要审批，则在其中一位必需审阅者批准之前，任务无法访问环境机密。

4. 为 AZURE_CLIENT_ID、AZURE_TENANT_ID 和 AZURE_SUBSCRIPTION_ID 创建机密。 请从 Microsoft Entra 应用程序或用户分配的托管标识中复制这些值，以用于您的 GitHub 机密。

   GitHub 机密	Microsoft Entra 应用程序或用户分配的托管标识
   AZURE_CLIENT_ID	客户端 ID
   AZURE_SUBSCRIPTION_ID	订阅 ID
   AZURE_TENANT_ID	目录（租户）ID

   备注

   出于安全原因，我们建议使用 GitHub 机密，而不是将值直接传递到工作流。

服务主体

1. 在 GitHub 中，转到存储库。

2. 转到导航菜单中的“设置”。

3. 选择“安全性”>“机密和变量”>“操作”。

   

4. 选择“新建存储库机密”。

5. 将 Azure CLI 命令的整个 JSON 输出粘贴到机密的值字段中。 为机密指定名称 AZURE_CREDENTIALS。

6. 选择“添加机密”。

添加 SQL 连接字符串机密

1. 在 GitHub 中，转到存储库。

2. 转到导航菜单中的“设置”。

3. 选择“安全性”>“机密和变量”>“操作”。

4. 选择“新建存储库机密”。

5. 粘贴 SQL 连接字符串。 为机密指定名称 AZURE_SQL_CONNECTION_STRING。

6. 选择“添加机密”。

添加工作流

1. 转到 GitHub 存储库的“操作”。

2. 选择“自己设置工作流”。

3. 删除工作流文件 on: 部分后面的所有内容。 例如，剩下的工作流可能如下所示。

   name: SQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   

4. 将工作流重命名为 SQL for GitHub Actions，并添加签出和登录操作。 这些操作会签出你的站点代码，并使用之前创建的 AZURE_CREDENTIALS GitHub 机密向 Azure 进行身份验证。

   服务主体

   name: SQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   
   jobs:
       build:
           runs-on: windows-latest
           steps:
            - uses: actions/checkout@v1
            - uses: azure/login@v1
              with:
               creds: ${{ secrets.AZURE_CREDENTIALS }}
   

   OpenID Connect

       name: SQL for GitHub Actions
   
       on:
           push:
               branches: [ main ]
           pull_request:
               branches: [ main ]
   
       jobs:
           build:
               runs-on: windows-latest
               steps:
                - uses: actions/checkout@v1
                - uses: azure/login@v1
                  with:
                   client-id: ${{ secrets.AZURE_CLIENT_ID }}
                   tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                   subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
   

---

5. 使用 Azure SQL 部署操作连接到 SQL 实例。 在存储库的根级别应该有一个 dacpac 包 (Database.dacpac)。 使用之前创建的 AZURE_SQL_CONNECTION_STRING GitHub 机密。

   - uses: azure/sql-action@v2
     with:
       connection-string: ${{ secrets.AZURE_SQL_CONNECTION_STRING }}
       path: './Database.dacpac'
       action: 'Publish'
   

6. 通过添加注销 Azure 的操作来完成工作流。 下面是已完成的工作流。 文件会显示在存储库的 .github/workflows 文件夹中。

   服务主体

   name: SQL for GitHub Actions
   
   on:
       push:
           branches: [ main ]
       pull_request:
           branches: [ main ]
   
   jobs:
       build:
           runs-on: windows-latest
           steps:
            - uses: actions/checkout@v1
            - uses: azure/login@v1
              with:
               creds: ${{ secrets.AZURE_CREDENTIALS }}
            - uses: azure/sql-action@v2
              with:
               connection-string: ${{ secrets.AZURE_SQL_CONNECTION_STRING }}
               path: './Database.dacpac'
               action: 'Publish'
   
               # Azure logout 
            - name: logout
              run: |
                 az logout
   

   OpenID Connect

       name: SQL for GitHub Actions
   
       on:
           push:
               branches: [ main ]
           pull_request:
               branches: [ main ]
   
       jobs:
           build:
               runs-on: windows-latest
               steps:
                - uses: actions/checkout@v1
                - uses: azure/login@v1
                  with:
                   client-id: ${{ secrets.AZURE_CLIENT_ID }}
                   tenant-id: ${{ secrets.AZURE_TENANT_ID }}
                   subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
               # Azure logout 
                - name: logout
                  run: |
                    az logout
   

查看部署

1. 转到 GitHub 存储库的“操作”。

2. 打开第一个结果，查看工作流运行的详细日志。

   

清理资源

如果不再需要 Azure SQL 数据库和存储库，请删除资源组和 GitHub 存储库，以清理部署的资源。

后续步骤

了解 Azure 和 GitHub 集成