將容器化的 Python 應用程式部署至 App Service

本文是如何將 Python Web 應用程式容器化和部署至 Azure App Service 的教學課程的一部分。 App Service 可讓您執行容器化 Web 應用程式，並透過 Docker Hub、Azure Container Registry 和 Visual Studio Team Services 的持續整合/持續部署 （CI/CD） 功能進行部署。

在本教學課程的這個部分中，您將瞭解如何使用適用於容器的 App Service Web App ，將容器化 Python Web 應用程式部署至 App Service。 適用於容器的 Web 應用程式可讓您專注於撰寫容器，而不必擔心管理和維護基礎容器協調器。

完成本文中的步驟後，您將利用 Docker 容器映像檔製作一個 App Service 網站。 App Service 會使用受控識別從 Azure Container Registry 提取初始映射以進行驗證。

此服務圖表會醒目提示本文所涵蓋的元件。

建立 Web 應用程式

Azure CLI

Azure CLI 命令可以在 Azure Cloud Shell 或已安裝 Azure CLI 的工作站上執行。

1. 使用 az group show 命令，取得包含 Azure Container Registry 之群組的資源標識符。

   # RESOURCE_GROUP_NAME='msdocs-web-app-rg'
   
   RESOURCE_ID=$(az group show \
     --resource-group $RESOURCE_GROUP_NAME \
     --query id \
     --output tsv)
   echo $RESOURCE_ID
   

   您的環境中仍應將RESOURCE_GROUP_NAME設定為您在 第 3 部分使用的資源組名。在本教學課程的 Azure 中建置容器。 如果不是，請取消批注第一行，並將它設定為您使用的名稱。

2. 使用 az appservice plan create 命令 建立 App Service 方案。

   APP_SERVICE_PLAN_NAME='msdocs-web-app-plan'
   
   az appservice plan create \
       --name $APP_SERVICE_PLAN_NAME \
       --resource-group $RESOURCE_GROUP_NAME \
       --sku B1 \
       --is-linux
   

3. 使用 "az webapp create" 命令 建立網頁應用程式。

   下列命令也會為 Web 應用程式啟用 系統指派的受控識別，並在指定的資源上 指派 角色，在此案例中為包含 Azure Container Registry 的資源群組。 這會授與資源群組中任何 Azure Container Registry 的系統指派受控識別提取許可權。

   APP_SERVICE_NAME='<website-name>'
   # REGISTRY_NAME='<your Azure Container Registry name>'
   CONTAINER_NAME=$REGISTRY_NAME'.azurecr.io/msdocspythoncontainerwebapp:latest'
   
   az webapp create \
     --resource-group $RESOURCE_GROUP_NAME \
     --plan $APP_SERVICE_PLAN_NAME \
     --name $APP_SERVICE_NAME \
     --assign-identity '[system]' \
     --scope $RESOURCE_ID \
     --role acrpull \
     --deployment-container-image-name $CONTAINER_NAME 
   

   哪裡：

   • APP_SERVICE_NAME必須是全域唯一的，因為它會成為URL中的網站名稱，https://<website-name>.azurewebsites.net。
   • CONTAINER_NAME的格式為 「yourregistryname.azurecr.io/repo_name:tag」。
   • 您的環境中仍應將REGISTRY_NAME設定為您在第 3 部分 中使用的登錄名稱。在本教學課程的 Azure 中建置容器。 如果不是，請取消註解代碼中設定的那一行，並將它設定為您所使用的名稱。

   注意

   執行 命令時，您可能會看到類似下列的錯誤：

   No credential was provided to access Azure Container Registry. Trying to look up...
   Retrieving credentials failed with an exception:'No resource or more than one were found with name ...'
   

   因為 Web 應用程式預設使用 Azure Container Registry 的系統管理員認證向登錄進行驗證，而且登錄上尚未啟用管理員認證，因此會發生此錯誤。 您可以放心地忽略此錯誤，因為您會在下一個命令中將 Web 應用程式設定為使用系統指派的受控識別進行驗證。

VS Code

這些步驟需要 VS Code 的 Docker 擴充套件。

1. 在 Docker 擴充功能中重新整理 Azure Container Registry。

   確認您建置的容器會出現在 Docker 擴充功能的 REGISTRIES 區段底下。 如果未出現，請以滑鼠右鍵按下登錄名稱，然後選取 [重新整理] 。

   

2. 選取 F1 或 CTRL+SHIFT+P 開啟命令選擇區，輸入 “Docker 登錄表”，然後選取 “Docker 登錄表：將映像部署至 Azure App Service...”的工作。

3. 遵循提示並輸入下列值來部署映射：

   • 選取登錄提供者：“Azure”
   • 選取登錄：輸入您稍早在本教學課程中建立的登錄名稱。
   • 選取存放庫：輸入存放庫名稱 「msdocspythoncontainerwebapp」。。 如果您沒有看到此存放庫，請重新整理 Docker 擴充套件 REGISTRIES 一節。
   • 選取標籤：「latest」
   • 輸入 Web 應用程式的全域唯一名稱：輸入 Azure App Service 全域唯一的名稱。 例如，如果您使用 「msdocs-python-container-web-app」，Web 應用程式 URL 會 http://msdocs-python-container-web-app.azurewebsites.net。
   • 選取資源群組：使用包含您稍早建立之 Azure Container Registry 的資源群組。
   • 選取位置：使用與資源群組相同的位置。
   • 選取 Linux App Service 方案：使用現有方案或建立新的方案。

   

4. 如需部署的詳細數據，請檢視 [OUTPUT] 視窗。 其中一個輸出行是「授與 App Service 從 ACR 拉取影像的許可權...」，App Service 會使用受控的身分識別來存取登錄。

   

   最後一個網站 https://<app-name>.azurewebsites.net 尚未就緒，因為您需要指定 MongoDB 資訊。

Azure 入口網站

登入 Azure 入口網站，並遵循下列步驟來建立 Web 應用程式。

1. 搜尋 「應用程式服務」，然後在搜尋結果中選取 [Services] 底下的 [App Services]。 然後選取頁面頂端的 [++ 建立] 以開始建立流程。

2. 在 App Service 的基本設定上，指定：

   • 資源群組：使用 Azure Container Registry 所在的相同資源群組。
   • 名稱：請使用一個將會 http://<app-name>.azurewebsites.net的唯一名稱。
   • 發佈：使用 Docker 容器，以便使用您所建置的登錄映像。
   • 操作系統：Linux
   • Region：使用與資源群組和 Azure Container Registry 相同的區域。
   • Linux 方案：選取現有的 Linux 方案或使用新的方案。
   • 產品編碼和尺寸：選擇 [基本 B1]。 選取 變更大小 連結以存取更多選項。
   • 區域備援：若所選取的 SKU 具有此選項，請選擇[停用]。

   選擇 下一步：Docker 繼續。

   

3. 說明 App Service 的 Docker 資訊，包括：

   • 選項：選取 [單一容器]。
   • 映像來源：選取 Azure Container Registry。
   • Registry：您為此教學課程建立的登錄。
   • 影像：註冊表中的影像。
   • 標籤：“最新的”

   

   當您使用 Azure 入口網站部署容器映射時，需要登錄 系統管理員帳戶。 如果未啟用系統管理員帳戶，當您指定 Image時，會看到錯誤。 建立 App Service 之後，系統會使用受控識別從登錄提取映射，而且可以停用系統管理員帳戶。

4. 選擇 檢閱 + 建立。 驗證完成時，請選取 建立。

設定受管理的身份識別和 Webhook

Azure CLI

1. 將 Web 應用程式設定為使用受控身分從 Azure Container Registry 拉取，並使用 az webapp config set 命令。

   az webapp config set \
     --resource-group $RESOURCE_GROUP_NAME \
     --name $APP_SERVICE_NAME \
     --generic-configurations '{"acrUseManagedIdentityCreds": true}'
   

   因為您在建立 Web 應用程式時已啟用系統指派的受控識別，所以它會是用來從 Azure Container Registry 提取的受控識別。

2. 使用 az webapp deployment list-publishing-credentials 命令，取得應用程式範圍認證。

   CREDENTIAL=$(az webapp deployment list-publishing-credentials \
     --resource-group $RESOURCE_GROUP_NAME \
     --name $APP_SERVICE_NAME \
     --query publishingPassword \
     --output tsv)
   echo $CREDENTIAL 
   

3. 使用應用程式範圍認證，使用 az acr webhook create 命令 建立 Webhook。

   SERVICE_URI='https://$'$APP_SERVICE_NAME':'$CREDENTIAL'@'$APP_SERVICE_NAME'.scm.azurewebsites.net/api/registry/webhook'
   
   az acr webhook create \
     --name webhookforwebapp \
     --registry $REGISTRY_NAME \
     --scope msdocspythoncontainerwebapp:* \
     --uri $SERVICE_URI \
     --actions push 
   

   根據預設，此命令會在與指定的 Azure Container Registry 相同的資源群組和位置中建立 Webhook。 如有需要，您可以使用 --resource-group 和 --location 參數來覆寫此行為。

VS Code

1. 當您使用 Visual Studio Code 進行部署時，App Service 已設定受控識別，以從登錄提取映像。 您可以在 [OUTPUT] 視窗中檢視記錄，並尋找「授與 App Service 從 ACR 提取映像的許可權...」訊息，以確認受控識別已啟用。

   

2. 使用 VS Code 部署期間，會建立 Webhook，讓 Web 應用程式從 Azure Container Registry 提取新的映像。

   重要

   檢閱 Azure 入口網站中的 Webhook 組態，以確認 服務 URI 以 “/api/registry/webhook” 結尾。 若要檢閱服務 URI，請在 VS Code 中開啟 Docker 擴充功能，並尋找您所建立的登錄。 在登錄上按下滑鼠右鍵，然後選取 在入口網站中開啟。 登錄會在 Azure 入口網站中開啟。 在登錄中的 [服務選單] 上，選取 [Webhooks]。

   

Azure 入口網站

移至 azure 入口網站 ，以遵循下列步驟。

1. 移至您的 App Service。 例如，您可以搜尋應用程式服務的名稱，然後在結果中的 [資源] 下選取它。

2. 啟用受控識別。

   1. 在 [設定]服務功能表上的 [] 下，選取 [[身分識別]。
   2. 在 [系統指派] 索引標籤上，將 [狀態] 設定為 [開]。
   3. 選取 [儲存]，然後在提示中選取 [是] 以繼續。

   

3. 在 [身分識別] 頁面上的 [系統指派] 索引標籤上，選取 [Azure 角色指派]。

   

4. 為系統指派的受控識別新增 「AcrPull」 角色。 AcrPull 角色可讓 App Service 從 Azure Container Registry 提取映射。

   在 [Azure 角色指派] 中，選取 + 新增角色指派，並遵循提示以新增：

   • 範圍：“資源群組”
   • 訂用帳戶：您的訂用帳戶。
   • 資源群組：具有 Azure Container Registry 和 App Service 的群組。
   • 角色：“AcrPull”

   選取 [儲存]，以儲存角色指派。

   

   如需詳細資訊，請參閱 使用 Azure 入口網站指派 Azure 角色。

5. 設定 App Service 部署以使用受控識別。

   1. 在 [服務] 功能表的 [部署] 下，選取 [部署中心]。
   2. 在 [設定] 索引標籤上，將 [驗證] 設定為 [受控識別]。
   3. 請選擇 儲存 以儲存變更。

   

6. 取得應用程式範圍認證。 在下一個步驟中，您會使用此認證。

   1. 在 [服務] 功能表的 [部署] 下，選取 [部署中心]。
   2. 在 [FTPS 認證] 索引標籤中，取得 [應用程式範圍]底下的 [密碼] 值。

7. 建立 webhook，以在將新影像推送至 Azure 容器註冊中心時觸發 App Service 更新。

   1. 移至您在本教學課程中所使用的 Azure Container Registry。 在 [服務] 功能表上，選取 [Webhooks]。

   2. 在 [Webhook] 頁面上，選取 [+ 新增]。

   3. 在 [建立 webhook 頁面上，指定字段，如下所示：

      • Webhook 名稱：輸入 “webhookforwebapp”。

      • 位置：使用登錄的位置。

      • 服務 URI：此字串為 App Service 名稱與在上一個步驟中複製的憑證的組合。

        服務 URI 的格式為 “https://$” + APP_SERVICE_NAME + “：” + CREDENTIAL + “@” + APP_SERVICE_NAME + “.scm.azurewebsites.net/api/registry/webhook”。 例如: "https://$msdocs-python-container-web-app:credential@msdocs-python-container-web-app.scm.azurewebsites.net/api/registry/webhook".

      • 動作: 選取 推送。

      • 狀態：在上選取 。

      • 範圍：輸入 「msdocspythoncontainerwebapp：*」。。

      

設定與 MongoDB 的連線

在此步驟中，您會指定連線到 MongoDB 所需的環境變數。

如果您需要為 MongoDB 建立 Azure Cosmos DB，我們建議您遵循本教學課程的第 2 部分「本機建置及測試容器」中的步驟，設定適用於 MongoDB 的 Cosmos DB。 當您完成後，您應該會擁有一個用於 MongoDB 的 Azure Cosmos DB 連接字串，其格式為 mongodb://<server-name>:<password>@<server-name>.mongo.cosmos.azure.com:10255/?ssl=true&<other-parameters>。

您需要 MongoDB 連接字串，才能遵循下列步驟。

Azure CLI（Azure 命令列介面）

若要在 App Service 中設定環境變數，請使用下列 az webapp config appsettings set 命令建立 應用程式設定。

MONGO_CONNECTION_STRING='your Mongo DB connection string in single quotes'
MONGO_DB_NAME=restaurants_reviews
MONGO_COLLECTION_NAME=restaurants_reviews

az webapp config appsettings set \
   --resource-group $RESOURCE_GROUP_NAME \
   --name $APP_SERVICE_NAME \
   --settings CONNECTION_STRING=$MONGO_CONNECTION_STRING \
              DB_NAME=$MONGO_DB_NAME  \
              COLLECTION_NAME=$MONGO_COLLECTION_NAME 

• CONNECTION_STRING：開頭為 “mongodb://”的連接字串。
• DB_NAME：使用「restaurants_reviews」。
• COLLECTION_NAME：使用「restaurants_reviews」。

VS Code

若要從 VS Code 設定 Web 應用程式的環境變數，您必須安裝 Azure Tools 擴充功能套件，並從 VS Code 登入 Azure。

1. 在適用於 Visual Studio Code 的 Azure Tools 擴充功能中：

   1. 展開 RESOURCES，然後在您的訂用帳戶下尋找 App Services。 （請務必依資源類型檢視 群組的資源。

   2. 展開 App Services，並尋找您剛才建立的 Web 應用程式。

   3. 展開您的 Web 應用程式，並以滑鼠右鍵按下 [應用程式設定]。

   4. 請選擇“新增設定…”。

   

2. 每次新增設定時，VS Code 視窗頂端會出現一個對話框，您可以在其中新增設定名稱，後面接著其值。 新增下列設定：

   • CONNECTION_STRING：開頭為 “mongodb://”的連接字串。
   • DB_NAME：使用「restaurants_reviews」。
   • COLLECTION_NAME：使用「restaurants_reviews」。
   • WEBSITES_PORT：針對 Django 使用 “8000”，並針對 Flask 使用 “5000”。 此環境變數會指定容器正在接聽的埠。

Azure 入口網站

1. 在 Azure 入口網站的 App Service 上，選取 [服務] 選單上的 [設定] 底下的 [組態]。 然後在頂端選單中選取 [應用程式設定]。

   

2. 建立應用程式設定。

   1. 選取 [+ 新增應用程式設定，為每個下列值建立設定：

      • CONNECTION_STRING：開頭為 “mongodb://”的連接字串。
      • DB_NAME：使用「restaurants_reviews」。
      • COLLECTION_NAME：使用「restaurants_reviews」。

   2. 請確認您的三項設定的數值正確。

      

   3. 選擇 儲存 以套用設定。

瀏覽網站

若要確認網站正在執行中，請移至 https://<website-name>.azurewebsites.net;其中網站名稱是您的應用程式服務名稱。 如果成功，您應該會看到餐廳檢閱範例應用程式。 網站可能需要一些時間才能第一次啟動。 當網站出現時，請新增餐廳，並檢閱該餐廳，以確認範例應用程式正常運作。

Azure CLI

如果您在本機執行 Azure CLI，您可以使用 az webapp browse 命令來瀏覽至網站。 如果您使用 Cloud Shell，請開啟瀏覽器視窗並瀏覽至網站 URL。

az webapp browse --name $APP_SERVICE_NAME --resource-group $RESOURCE_GROUP_NAME 

注意

Cloud Shell 不支援 az webapp browse 命令。 開啟瀏覽器視窗，然後瀏覽至該網站的網址。

VS Code

在適用於 Visual Studio Code 的 Azure Tools 擴充功能中：

1. 展開 RESOURCES，然後在您的訂用帳戶下尋找 App Services。 （請務必依資源類型檢視 群組的資源。

2. 以滑鼠右鍵按下 App Service，然後選取 [瀏覽網站] 。

   

Azure 入口網站

在入口網站的 [App Service] 上，選取 [服務] 功能表上的 [概觀]。 然後選擇 瀏覽。

部署疑難排解

如果您沒有看到範例應用程式，請嘗試下列步驟。

• 使用容器部署和 App Service，請始終在 Azure 入口網站中查看 部署中心 / 記錄 頁面。 確認容器已拉取並正在運行中。 容器的初始拉取和執行可能需要一些時間。
• 嘗試重新啟動App Service，並查看這是否解決了您的問題。
• 如果有程式設計錯誤，這些錯誤會顯示在應用程式記錄中。 在 App Service 的 Azure 入口網站頁面上，選取 [診斷並解決問題/應用程式記錄]。
• 範例應用程式依賴 MongoDB 的連線。 確認 App Service 具有具有正確連線資訊的應用程式設定。
• 確認 App Service 已啟用受控識別，並用於部署中心。 在 App Service 的 Azure 入口網站頁面上，移至 App Service 部署中心 資源，並確認 驗證 已設定為 受控識別。
• 檢查是否已在 Azure Container Registry 中定義 Webhook。 Webhook 可讓 App Service 提取容器映像。 特別是，檢查服務 URI 是否以 “/api/registry/webhook” 結尾。
• 不同的 Azure 容器註冊表 SKU 具有不同的功能，包括 Webhook 數目。 如果您要重複使用現有的登錄表冊，您可能會看到下列訊息：「針對登錄 SKU 基本的網路掛鉤資源類型超過配額。」 深入瞭解不同的 SKU 配額和升級程式：https://aka.ms/acr/tiers"。 如果您看到此訊息，請使用新的註冊表，或減少目前使用中的 註冊表 Webhook 數目。

下一步

清除資源