你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

快速入门：使用 GitHub Actions 连接到 Azure Database for PostgreSQL 灵活服务器

项目
08/15/2024

适用于： Azure Database for PostgreSQL 灵活服务器

使用工作流将数据库更新部署到 Azure Database for PostgreSQL 灵活服务器，以开始使用 GitHub Actions。

先决条件

需要：

具有活动订阅的 Azure 帐户。免费创建帐户。
包含示例数据的 GitHub 存储库 (data.sql)。如果没有 GitHub 帐户，可以免费注册。
Azure Database for PostgreSQL 灵活服务器实例。
- 快速入门：在 Azure 门户中创建 Azure Database for PostgreSQL 灵活服务器实例

工作流文件概述

GitHub Actions 工作流是由存储库中 /.github/workflows/ 路径中的 YAML (.yml) 文件定义的。此定义包含组成工作流的各种步骤和参数。

此文件包含两个部分：

部分	任务
身份验证	1. 生成部署凭据。
部署	1.部署数据库。

在 Azure CLI 中使用 az ad sp create-for-rbac 命令创建服务主体。请使用 Azure 门户中的 Azure Cloud Shell 或选择“试用”按钮运行此命令。

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

参数 --json-auth 在 Azure CLI 版本 >= 2.51.0 中可用。此版本之前的版本使用 --sdk-auth，带有弃用警告。

在上面的示例中，请将占位符替换为你的订阅 ID、资源组名称和应用名称。输出是一个 JSON 对象，包含的角色分配凭据可提供对应用服务应用的访问权限，如下所示。复制此 JSON 对象供以后使用。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect 是一种使用短期令牌的身份验证方法。使用 GitHub Actions 设置 OpenID Connect 的过程会更复杂，能提供更强的安全性。

如果当前没有应用程序，请注册一个新的可访问资源的 Microsoft Entra 应用程序和服务主体。
```
az ad app create --display-name myApp
```
此命令将输出 JSON，其中 appId 为你的 client-id。 objectId 是 APPLICATION-OBJECT-ID，它将用于通过图形 API 调用创建联合凭据。保存该值，稍后将其用作 AZURE_CLIENT_ID GitHub 机密。
创建服务主体。将 $appID 替换为 JSON 输出中的 appId。此命令使用不同的 objectId 生成 JSON 输出，将在下一步中使用。新的 objectId 是 assignee-object-id。

此命令使用不同的 objectId 生成 JSON 输出，将在下一步中使用。新的 objectId 是 assignee-object-id。

复制 appOwnerTenantId 以在稍后用作 AZURE_TENANT_ID 的 GitHub 机密。
```
 az ad sp create --id $appId
```
按订阅和对象创建新的角色分配。默认情况下，角色分配将绑定到默认订阅。将 $subscriptionId 替换为你的订阅 ID，将 $resourceGroupName 替换为你的资源组名称，将 $assigneeObjectId 替换为生成的 assignee-object-id（新创建的服务主体对象 ID）。
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
运行以下命令，为 Microsoft Entra 应用程序创建新的联合标识凭据。
- 将 APPLICATION-OBJECT-ID 替换为 Microsoft Entra 应用程序的 objectId（在创建应用时生成）。
- 为 CREDENTIAL-NAME 设置一个值供以后引用。
- 设置 subject。此项的值由 GitHub 根据工作流定义：
  - GitHub Actions 环境中的作业：repo:< Organization/Repository >:environment:< Name >
  - 对于未绑定到环境的作业，请根据用于触发工作流的 ref 路径包括分支/标记的 ref 路径：repo:< Organization/Repository >:ref:< ref path>。例如 repo:n-username/ node_express:ref:refs/heads/my-branch 或 repo:n-username/ node_express:ref:refs/tags/my-tag。
  - 对于由拉取请求事件触发的工作流：repo:< Organization/Repository >:pull_request。
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

复制 Azure Database for PostgreSQL 灵活服务器连接字符串

在 Azure 门户中，转到 Azure Database for PostgreSQL 灵活服务器实例，然后从资源菜单的“设置”下选择“连接”。在该页面中，使用“数据库名称”组合框选择要连接到的数据库的名称。展开“从应用连接”部分，复制 ADO.NET 连接字符串，并将占位符值 {your_password} 替换为你的实际密码。连接字符串与此类似。

Server={servername.postgres.database.azure.com};Database={your_database};Port=5432;User Id={adminusername};Password={your_password};Ssl Mode=Require;

使用连接字符串作为 GitHub 机密。

配置 GitHub 机密

服务主体
OpenID Connect

在 GitHub 中，转到存储库。
转到导航菜单中的“设置”。
选择“安全性”>“机密和变量”>“操作”。
选择“新建存储库机密”。
将 Azure CLI 命令的整个 JSON 输出粘贴到机密的值字段中。为机密指定名称 AZURE_CREDENTIALS。
选择“添加机密”。

需要向登录操作提供应用程序的“客户端 ID”、“租户 ID”和“订阅 ID”。这些值可直接在工作流中提供，或可存储在 GitHub 机密中并在工作流中引用。将这些值保存为 GitHub 机密是更安全的选择。

在 GitHub 中，转到存储库。
选择“安全性”>“机密和变量”>“操作”。
选择“新建存储库机密”。
为 AZURE_CLIENT_ID、AZURE_TENANT_ID 和 AZURE_SUBSCRIPTION_ID 创建机密。将 Microsoft Entra 应用程序中的这些值用于 GitHub 机密：

GitHub 机密 Microsoft Entra 应用程序

AZURE_CLIENT_ID 应用程序（客户端）ID

AZURE_TENANT_ID 目录（租户）ID

AZURE_SUBSCRIPTION_ID 订阅 ID
通过选择“添加机密”来保存每个机密。

GitHub 机密	Microsoft Entra 应用程序
AZURE_CLIENT_ID	应用程序（客户端）ID
AZURE_TENANT_ID	目录（租户）ID
AZURE_SUBSCRIPTION_ID	订阅 ID

添加工作流

转到 GitHub 存储库的“操作”。
选择“自己设置工作流”。
删除工作流文件 on: 部分后面的所有内容。例如，剩下的工作流可能如下所示。
```
name: CI

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]
```

将工作流重命名为 PostgreSQL for GitHub Actions，并添加签出和登录操作。这些操作会签出你的站点代码，并使用之前创建的 GitHub 机密向 Azure 进行身份验证。

服务主体
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

使用 Azure PostgreSQL 部署操作连接到 Azure Database for PostgreSQL 灵活服务器实例。将 POSTGRESQL_SERVER_NAME 替换为服务器的名称。在存储库的根级别，应该有一个名为 data.sql 的 Azure Database for PostgreSQL 灵活服务器数据文件。
```
 - uses: azure/postgresql@v1
   with:
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    server-name: POSTGRESQL_SERVER_NAME
    plsql-file: './data.sql'
```

通过添加注销 Azure 的操作来完成工作流。下面是已完成的工作流。文件会显示在存储库的 .github/workflows 文件夹中。

服务主体
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CREDENTIALS }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

查看部署

转到 GitHub 存储库的“操作”。
打开第一个结果，查看工作流运行的详细日志。

清理资源

如果不再需要 Azure Database for PostgreSQL 灵活服务器数据库和存储库，请删除资源组和 GitHub 存储库，来清理所部署的资源。

后续步骤

了解 Azure 和 GitHub 集成

了解如何连接到服务器

通过