练习 - 设置环境
重要
需要自己的 Azure 订阅才能运行此练习,这可能会产生费用。 如果还没有 Azure 订阅,请在开始前创建一个免费帐户。
在开始处理玩具公司的网站工作流之前,需要配置环境。 在本单元中,确保已设置好 Azure 和 GitHub 环境,以完成本模块的剩余操作。
为了达成这些目标,你需要:
- 设置此模块的 GitHub 存储库。
- 将项目的存储库克隆到计算机。
- 在 Microsoft Entra ID 中创建两个工作负载标识。
- 在 Azure 中创建两个资源组。
- 在 GitHub 中创建机密和环境。
获取 GitHub 存储库
在这里,请确保已设置 GitHub 存储库以完成本模块的其余部分。 可根据模板存储库创建新的存储库来进行设置。 模板存储库包含开始学习此模块所需的文件。
本学习路径中的模块是循序渐进的。 出于学习目的,每个模块都有一个关联的 GitHub 模板存储库。
提示
即使你已完成学习路径中的上一个模块,也请按照这些说明创建新存储库,并确保为其提供一个新名称。
从模板存储库开始
运行用于设置 GitHub 存储库的模板。
在 GitHub 站点上,按照以下步骤从模板创建存储库:
选择“使用此模板”>“创建新存储库”。
从“所有者”下拉列表中选择 GitHub 用户名。
输入新项目的存储库名称,如“toy-website-end-to-end”。
选择“公共”选项。
创建自己的存储库时,可以将其设为专用。 在此模块中,你将使用 GitHub 的某些功能,这些功能仅适用于公用存储库和 GitHub Enterprise 帐户。
选择“创建存储库”。
重要
本模块的最后一个练习包含重要的清理步骤。 即使未完成此模块,也务必要按照清理步骤操作。
克隆存储库
现在,你在自己的帐户中有一个模板存储库的副本。 你现在将在本地克隆此存储库,以便可在其中开始操作。
选择“代码”,然后选择复制图标。
打开 Visual Studio Code。
选择“终端”>“新建终端”,打开 Visual Studio Code 终端窗口。 此窗口通常会在屏幕底部打开。
在终端中,导航到要在本地计算机上克隆 GitHub 存储库的目录。 例如,若要将存储库克隆到 toy-website-environments 文件夹,请运行以下命令:
cd toy-website-end-to-end
键入
git clone
,然后粘贴之前复制的 URL。 该命令应如下所示:git clone https://github.com/mygithubuser/toy-website-end-to-end.git
通过在 Visual Studio Code 终端运行以下命令,在存储库文件夹中重新打开 Visual Studio Code:
code -r toy-website-end-to-end
登录 Azure
若要使用 Azure 中的资源组,请从 Visual Studio Code 终端登录到 Azure 帐户。 请确保已安装 Azure CLI 工具。
在“终端”菜单中,选择“新终端”。 终端窗口通常在屏幕的下半部分打开。
默认 shell 通常是 pwsh,如终端窗口右侧所示。
选择“启动配置文件”下拉列表,然后选择“Azure Cloud Shell (Bash)”。
此时会打开新的 shell。
使用 Azure CLI 登录到 Azure
在 Visual Studio Code 终端中,运行以下命令以登录到 Azure:
az login
在打开的浏览器中,登录到 Azure 帐户。
若要使用 Azure 中的资源组,请从 Visual Studio Code 终端登录到 Azure 帐户。 确保已安装 Azure PowerShell。
在“终端”菜单中,选择“新终端”。 终端窗口通常在屏幕的下半部分打开。
默认 shell 通常是 pwsh,如终端窗口右侧所示。
选择“启动配置文件”下拉列表,然后选择“Azure Cloud Shell (PowerShell)”。
此时会打开新的 shell。
使用 Azure PowerShell 登录到 Azure
在 Visual Studio Code 终端中,运行以下命令以登录到 Azure:
Connect-AzAccount
在打开的浏览器中,登录到 Azure 帐户。
创建两个工作负载标识
接下来,在 Microsoft Entra ID 中创建两个工作负载标识:一个用于测试环境,另一个用于生产环境。
运行以下代码,为 GitHub 用户名和存储库名称定义变量。 确保将
mygithubuser
替换为你的 GitHub 用户名,在本练习前面指出了这一点。 另外,请确保指定正确的 GitHub 存储库名称。githubOrganizationName='mygithubuser' githubRepositoryName='toy-website-end-to-end'
创建用于部署到测试环境的工作负载标识。 工作负载标识需要两个联合凭据:一个凭据是在工作流运行验证作业时使用的,因为此作业未与 GitHub 环境关联。 当工作流运行针对测试 GitHub 环境运行的部署作业时,将使用第二个凭据。
testApplicationRegistrationDetails=$(az ad app create --display-name 'toy-website-end-to-end-test') testApplicationRegistrationObjectId=$(echo $testApplicationRegistrationDetails | jq -r '.id') testApplicationRegistrationAppId=$(echo $testApplicationRegistrationDetails | jq -r '.appId') az ad app federated-credential create \ --id $testApplicationRegistrationObjectId \ --parameters "{\"name\":\"toy-website-end-to-end-test\",\"issuer\":\"https://token.actions.githubusercontent.com\",\"subject\":\"repo:${githubOrganizationName}/${githubRepositoryName}:environment:Test\",\"audiences\":[\"api://AzureADTokenExchange\"]}" az ad app federated-credential create \ --id $testApplicationRegistrationObjectId \ --parameters "{\"name\":\"toy-website-end-to-end-test-branch\",\"issuer\":\"https://token.actions.githubusercontent.com\",\"subject\":\"repo:${githubOrganizationName}/${githubRepositoryName}:ref:refs/heads/main\",\"audiences\":[\"api://AzureADTokenExchange\"]}"
运行以下代码,该代码为生产环境创建类似的工作负载标识和联合凭据:
productionApplicationRegistrationDetails=$(az ad app create --display-name 'toy-website-end-to-end-production') productionApplicationRegistrationObjectId=$(echo $productionApplicationRegistrationDetails | jq -r '.id') productionApplicationRegistrationAppId=$(echo $productionApplicationRegistrationDetails | jq -r '.appId') az ad app federated-credential create \ --id $productionApplicationRegistrationObjectId \ --parameters "{\"name\":\"toy-website-end-to-end-production\",\"issuer\":\"https://token.actions.githubusercontent.com\",\"subject\":\"repo:${githubOrganizationName}/${githubRepositoryName}:environment:Production\",\"audiences\":[\"api://AzureADTokenExchange\"]}" az ad app federated-credential create \ --id $productionApplicationRegistrationObjectId \ --parameters "{\"name\":\"toy-website-end-to-end-production-branch\",\"issuer\":\"https://token.actions.githubusercontent.com\",\"subject\":\"repo:${githubOrganizationName}/${githubRepositoryName}:ref:refs/heads/main\",\"audiences\":[\"api://AzureADTokenExchange\"]}"
运行以下代码,为 GitHub 用户名和存储库名称定义变量。 确保将
mygithubuser
替换为你的 GitHub 用户名,在本练习前面指出了这一点。 另外,请确保指定正确的 GitHub 存储库名称。$githubOrganizationName = 'mygithubuser' $githubRepositoryName = 'toy-website-end-to-end'
运行以下代码,该代码为测试环境创建工作负载标识,并将其与 GitHub 存储库关联:
$testApplicationRegistration = New-AzADApplication -DisplayName 'toy-website-end-to-end-test' New-AzADAppFederatedCredential ` -Name 'toy-website-end-to-end-test' ` -ApplicationObjectId $testApplicationRegistration.Id ` -Issuer 'https://token.actions.githubusercontent.com' ` -Audience 'api://AzureADTokenExchange' ` -Subject "repo:$($githubOrganizationName)/$($githubRepositoryName):environment:Test" New-AzADAppFederatedCredential ` -Name 'toy-website-end-to-end-test-branch' ` -ApplicationObjectId $testApplicationRegistration.Id ` -Issuer 'https://token.actions.githubusercontent.com' ` -Audience 'api://AzureADTokenExchange' ` -Subject "repo:$($githubOrganizationName)/$($githubRepositoryName):ref:refs/heads/main"
运行以下代码,该代码在生产环境中遵循类似的过程:
$productionApplicationRegistration = New-AzADApplication -DisplayName 'toy-website-end-to-end-production' New-AzADAppFederatedCredential ` -Name 'toy-website-end-to-end-production' ` -ApplicationObjectId $productionApplicationRegistration.Id ` -Issuer 'https://token.actions.githubusercontent.com' ` -Audience 'api://AzureADTokenExchange' ` -Subject "repo:$($githubOrganizationName)/$($githubRepositoryName):environment:Production" New-AzADAppFederatedCredential ` -Name 'toy-website-end-to-end-production-branch' ` -ApplicationObjectId $productionApplicationRegistration.Id ` -Issuer 'https://token.actions.githubusercontent.com' ` -Audience 'api://AzureADTokenExchange' ` -Subject "repo:$($githubOrganizationName)/$($githubRepositoryName):ref:refs/heads/main"
在 Azure 中创建两个资源组并授予工作负载标识访问权限
接下来,为每个环境创建一个资源组。 此过程还会向相应的工作负载标识授予资源组的“参与者”角色,从而使工作流可部署到资源组。
若要创建测试环境的资源组并向其授予工作负载标识访问权限,请在 Visual Studio Code 终端中运行以下 Azure CLI 命令:
testResourceGroupResourceId=$(az group create --name ToyWebsiteTest --location westus3 --query id --output tsv) az ad sp create --id $testApplicationRegistrationObjectId az role assignment create \ --assignee $testApplicationRegistrationAppId \ --role Contributor \ --scope $testResourceGroupResourceId
运行类似的过程以创建生产环境的资源组:
productionResourceGroupResourceId=$(az group create --name ToyWebsiteProduction --location westus3 --query id --output tsv) az ad sp create --id $productionApplicationRegistrationObjectId az role assignment create \ --assignee $productionApplicationRegistrationAppId \ --role Contributor \ --scope $productionResourceGroupResourceId
若要创建测试环境的资源组并向其授予工作负载标识访问,请在 Visual Studio Code 终端中运行以下 Azure PowerShell 命令:
$testResourceGroup = New-AzResourceGroup -Name ToyWebsiteTest -Location westus3 New-AzADServicePrincipal -AppId $($testApplicationRegistration.AppId) New-AzRoleAssignment ` -ApplicationId $($testApplicationRegistration.AppId) ` -RoleDefinitionName Contributor ` -Scope $($testResourceGroup.ResourceId)
运行类似的过程以创建生产环境的资源组:
$productionResourceGroup = New-AzResourceGroup -Name ToyWebsiteProduction -Location westus3 New-AzADServicePrincipal -AppId $($productionApplicationRegistration.AppId) New-AzRoleAssignment ` -ApplicationId $($productionApplicationRegistration.AppId) ` -RoleDefinitionName Contributor ` -Scope $($productionResourceGroup.ResourceId)
准备 GitHub 机密
运行以下代码以输出创建为 GitHub 机密所需的值:
echo "AZURE_CLIENT_ID_TEST: $testApplicationRegistrationAppId"
echo "AZURE_CLIENT_ID_PRODUCTION: $productionApplicationRegistrationAppId"
echo "AZURE_TENANT_ID: $(az account show --query tenantId --output tsv)"
echo "AZURE_SUBSCRIPTION_ID: $(az account show --query id --output tsv)"
$azureContext = Get-AzContext
Write-Host "AZURE_CLIENT_ID_TEST: $($testApplicationRegistration.AppId)"
Write-Host "AZURE_CLIENT_ID_PRODUCTION: $($productionApplicationRegistration.AppId)"
Write-Host "AZURE_TENANT_ID: $($azureContext.Tenant.Id)"
Write-Host "AZURE_SUBSCRIPTION_ID: $($azureContext.Subscription.Id)"
创建 GitHub 机密
你已创建两个工作负载标识,以及可部署到的资源组。 接下来,在 GitHub Actions 中创建机密。
在浏览器中,导航到 GitHub 存储库。
选择“设置”>“机密和变量”>“操作”。
选择“新建存储库机密”。
将机密命名为 AZURE_CLIENT_ID_TEST。
在“值”字段中,粘贴终端输出第一行中的 GUID。 不要在值中包含
AZURE_CLIENT_ID_TEST
、冒号或任何空格。选择“添加机密”。
重复此过程,为 AZURE_CLIENT_ID_PRODUCTION、AZURE_TENANT_ID 和 AZURE_SUBSCRIPTION_ID 创建机密,从终端输出中的相应字段复制值。
验证机密列表现在是否显示所有四个机密。
在 GitHub 中创建环境
在浏览器中,转到“设置”>“环境”。
选择“新建环境”。
输入“测试”作为环境名称。
选择“配置环境”。
选择“环境”以返回到环境列表。
重复该过程以创建另一个名为“生产”的环境。
注意
在此学习路径前面的模块中,你向生产环境添加了保护规则。 在此模块中,为简单起见,将跳过保护规则。 但是,如果需要,可以自行添加保护规则。