教學課程：使用 Azure Container Apps 和 PostgreSQL 建置和部署 Python Web 應用程式

本文是教學課程系列的一部分，說明如何將 Python Web 應用程式容器化和部署至 azure Container Apps。 Container Apps 可讓您部署容器化應用程式，而不需要管理複雜的基礎結構。

在本教學課程中，您會：

• 在雲端中建置容器映像，以容器化 Python 範例 Web 應用程式 （Django 或 Flask）。
• 將容器映像部署至 Azure Container Apps。
• 定義環境變數，讓容器應用程式能夠連線到 適用於PostgreSQL的 Azure 資料庫 - 彈性伺服器 實例，其中範例應用程式會儲存數據。

下圖醒目提示本教學課程中的工作：建置和部署容器映像。

先決條件

如果您沒有 Azure 訂用帳戶，請在開始之前建立 免費帳戶。

Azure CLI

您可以在 Azure Cloud Shell 或已安裝 azure CLI 的工作站上執行 Azure CLI 命令。

如果您在本機執行，請遵循下列步驟來登入並安裝本教學課程的必要模組：

1. 如有必要，請登入 Azure 並進行驗證：

   az login
   

2. 請確定您執行的是最新版的 Azure CLI：

   az upgrade
   

3. 使用 az extension add 命令，安裝或升級 containerapp 和 rdbms-connect 的 Azure CLI 擴充功能：

   az extension add --name containerapp --upgrade
   az extension add --name rdbms-connect --upgrade
   

   注意

   若要列出安裝在系統上的擴充功能，您可以使用 az extension list 命令。 例如：

   az extension list --query [].name --output tsv
   

VS Code

請確定 Visual Studio Code 中已安裝下列延伸模組 （VS Code）：

• Docker 擴充功能
• Azure Databases 擴充功能
• Azure Container Apps 擴充功能

Azure 入口網站

登入 Azure 入口網站。

取得範例應用程式

將範例程式碼派生並克隆至您的開發環境：

1. 移至範例應用程式的 GitHub 存放庫（Django 或 Flask），然後選取 [分支]。

   請按照以下步驟將儲存庫分叉到你的 GitHub 帳戶中。 您也可以不需要復刻或 GitHub 帳戶，直接將代碼庫下載到本地電腦。 但是，如果您使用下載方法，您將無法在本系列下一個教學課程中設定持續整合和持續傳遞（CI/CD）。

2. 使用 git clone 命令，將分支存放庫複製到 python-container 資料夾：

   # Django
   git clone https://github.com/$USERNAME/msdocs-python-django-azure-container-apps.git python-container
   
   # Flask
   # git clone https://github.com/$USERNAME/msdocs-python-flask-azure-container-apps.git python-container
   

3. 變更目錄：

   cd python-container
   

從 Web 應用程式程式代碼建置容器映像

遵循這些步驟之後，您將有一個 Azure Container Registry 實例，其中包含從範例程式代碼建置的 Docker 容器映射。

1. 使用 az group create 命令 建立資源群組：

   az group create \
       --name pythoncontainer-rg \
       --location <location>
   

   將 <> 的位置取代為命令 az account list-locations -o table輸出的 Azure 位置 Name 值之一。

2. 使用命令 az acr create 來建立容器註冊表。

   az acr create \
       --resource-group pythoncontainer-rg \
       --name <registry-name> \
       --sku Basic \
       --admin-enabled
   

   您用於 <登錄名稱> 的名稱在 Azure 中必須是唯一的，而且必須包含 5 到 50 個英數位元。

3. 使用 az acr login 命令登入至登錄處。

   az acr login --name <registry-name>
   

   命令會將 「azurecr.io」 新增至名稱，以建立完整登錄名稱。 如果登入成功，會出現「登入成功」訊息。 如果您要從不同於建立登錄的訂用帳戶來存取登錄，請使用 --suffix 開關。

   如果登入失敗，請確定 Docker 精靈正在您的系統上執行。

4. 使用 az acr build 命令建置映像：

   az acr build \
       --registry <registry-name> \
       --resource-group pythoncontainer-rg \
       --image pythoncontainer:latest .
   

   這些考慮適用於：

   • 命令結尾的點 （.） 表示要建置的原始碼位置。 如果您未在範例應用程式的根目錄中執行此命令，請指定程式代碼的路徑。

   • 如果您在 Azure Cloud Shell 中執行 命令，請使用 git clone 先將存放庫提取到 Cloud Shell 環境中。 然後將目錄切換到專案的根目錄，以便正確解釋點（.）。

   • 如果您省略 [ -t 相同 --image] 選項，命令會將本機內容組建排入佇列，而不會將它推送至登錄。 在沒有推送的情況下建置對於檢查映像是否建置很有用。

5. 使用 az acr repository list 命令確認容器映像已創建：

   az acr repository list --name <registry-name>
   

這些步驟需要適用於 VS Code 的 Docker 擴充功能 。

1. 建立 Azure Container Registry 實例。

   啟動 建立註冊表 工作：

   1. 選取 F1 鍵或 CtrlL+Shift+P 以開啟命令選擇區。
   2. 輸入 Azure Container Registry。
   3. 選取 [Azure Container Registry：建立登錄] 工作。

   

   請遵循提示來建立登錄和資源群組：

   • 如果出現提示，請選擇您要為此教學課程建立資源的訂用帳戶。
   • 登錄名稱：登錄名稱在 Azure 內必須是唯一的，且包含 5 到 50 個英數位元。
   • 選取 SKU：選取 [基本]。
   • 建立新的資源群組：選取此選項以建立資源群組。
   • 資源群組：建立名為 pythoncontainer-rg的新資源群組。
   • 位置：選擇位置並等候顯示已建立登錄的通知。

2. 建置映像。

   在 Azure 任務中啟動 建置映像：

   1. 選取 F1 鍵或 Ctrl+Shift+P 以開啟命令選擇區。
   2. 輸入 Azure Container Registry。
   3. 選取 Azure Container Registry：在 Azure 中建置映射的工作。

   

   或者，您也可以以滑鼠右鍵點擊 Dockerfile，然後選取 [在 Azure 建置映像] 來開始建置映像的工作。 如果 Azure 中的 建置映像 工作未出現，請確定您已登入 Azure。

   請遵循提示來建置映射：

   • 將映像標記為：輸入 pythoncontainer：latest。
   • 登錄提供者：選取 [Azure]。
   • 如果系統提示您，請選取您的訂用帳戶。
   • 登錄：從清單中選取容器登錄。
   • 選取 OS：選取 Linux。

   監視 [輸出] 視窗中的進度，並確認映射已成功建置。 如果發生錯誤，請參閱疑難解答一節。

3. 確認註冊表已建立。

   選取 Docker 擴充功能，然後移至 [REGISTRIES] 區段。 展開 Azure 節點以尋找新的 Azure Container Registry 實例。

   

4. 使用 az acr update 命令來啟用登錄的系統管理員用戶帳戶。 您可以在 VS Code 終端機視窗中執行 命令，或 Azure Cloud Shell。

   az acr update --name <registry-name> \
       --resource-group pythoncontainer-rg \
       --admin-enabled true
   

   或者，您可以在 Docker 擴充功能中選取登錄，然後按鼠右鍵，然後選取 [在入口網站中開啟]。 然後，您可以依照本教學課程本節中 Azure 入口網站 索引卷標上的指示來啟用系統管理員用戶帳戶。

   您可以使用下列命令來檢視為系統管理員帳戶建立的認證：

   az acr credential show \
       --name  <registry-name> \
       --resource-group pythoncontainer-rg
   

1. 在 Azure 入口網站 中，搜尋 容器登錄。 在結果中的 [Marketplace] 下，選取 [Container Registry]。

2. 在 [[基本] 索引標籤上，輸入下列值：

   • 資源群組：選取 [建立新的，然後輸入 pythoncontainer-rg。
   • 登錄名稱：登錄名稱在 Azure 內必須是唯一的，且包含 5 到 50 個英數位元。
   • 位置：選取您附近的位置。
   • SKU：選取 [基本]。

   

   當您完成時，請選取 [檢視 + 建立]。 驗證完成後，請選取 [ 建立]。

3. 部署完成時，請選擇 [移至資源。 如果您錯過此通知，您可以搜尋 容器登錄，然後在結果中的 [資源] 下選取您的登錄。

4. 啟用系統管理員使用者帳戶：

   1. 在服務選單上的 [設定]下，選取 [存取金鑰]。
   2. 選取 [系統管理員使用者] 複選框。

5. 若要完成設定並建置映射，請選取頂端功能表欄上的 Azure Cloud Shell 圖示。

   

   您也可以直接 移至 Azure Cloud Shell。

6. 使用 az acr build 命令，從存放庫建置映射：

   az acr build --registry <registry-name> \
       --resource-group pythoncontainer-rg \ 
       --image pythoncontainer:latest <repo-path>
   

   指定 <為您建立的註冊表名稱>。 針對<存放庫路徑>，選擇 Django 或 Flask 存放庫路徑。

7. 命令完成之後，在 [Services] 底下，選取 [存放庫]，並確認映射出現。

注意

本節中的步驟會在基本服務層級中建立容器登錄。 此層是成本優化的，擁有為開發人員的使用情境而設計的功能集和吞吐量，並且符合本教學課程需求。 在生產場景中，您很可能會使用標準或進階服務層級。 這些層級提供增強的儲存和吞吐量。

若要深入瞭解，請參閱 Azure Container Registry 服務層級。 如需定價資訊，請參閱 Azure Container Registry 定價。

建立 PostgreSQL 彈性伺服器實例

範例應用程式 （Django 或 Flask） 會將餐廳檢閱資料儲存在 PostgreSQL 資料庫中。 在這些步驟中，您會建立將包含資料庫的伺服器。

1. 使用 az postgres flexible-server create 命令在 Azure 中建立 PostgreSQL 伺服器。 此命令在完成前執行幾分鐘並不罕見。

   az postgres flexible-server create \
      --resource-group pythoncontainer-rg \
      --name <postgres-server-name>  \
      --location <location> \
      --admin-user demoadmin \
      --admin-password <admin-password> \
      --active-directory-auth Enabled \
      --tier burstable \
      --sku-name standard_b1ms \
      --public-access 0.0.0.0 
   

   使用這些值：

   • pythoncontainer-rg：本教學課程使用的資源組名。 如果您使用不同的名稱，請變更此值。

   • <postgres-server-name>：PostgreSQL 資料庫伺服器名稱。 此名稱在所有 Azure 中都必須是唯一的。 伺服器的端點是 https://<postgres-server-name>.postgres.database.azure.com。 允許的字元是A至Z、0至9，以及連字號（-）。

   • <位置>：使用您用於 Web 應用程式的相同位置。 <位置> 是從命令 az account list-locations -o table的輸出中取得的 Azure 位置值 Name 之一。

   • <admin-username>：系統管理員帳戶的用戶名稱。 它不能 azure_superuser、admin、administrator、root、guest或 public。 請使用 demoadmin 進行此教學。

   • <系統管理員密碼>：系統管理員用戶的密碼。 其必須包含 8 到 128 個字元，且來自下列類別的其中三個類別：英文大寫字母、英文小寫字母、數字及非英數字元。

     重要

     當您建立使用者名稱或密碼時，不會 使用貨幣符號 （$） 字元。 稍後，當您使用這些值建立環境變數時，該字元在用來執行 Python 應用程式的 Linux 容器中具有特殊意義。

   • --active-directory-auth：這個值會指定是否在 PostgreSQL 伺服器上啟用Microsoft Entra 驗證。 將它設定為 Enabled。

   • --sku-name：定價層和計算組態的名稱;例如，Standard_B1ms。 如需詳細資訊，請參閱適用於 PostgreSQL 的 Azure 資料庫定價。 若要列出可用的層，請使用 az postgres flexible-server list-skus --location <location>。

   • --public-access：使用 0.0.0.0。 它允許從任何 Azure 服務公開存取伺服器，例如 Container Apps。

   注意

   如果您計劃從本機工作站使用工具來操作 PostgreSQL 伺服器，則需要使用 az postgres flexible-server firewall-rule create 命令，為本機工作站的 IP 位址新增防火牆規則。

2. 使用 az ad signed-in-user show 命令來取得使用者帳戶的物件識別符。 您會在下一個命令中使用這個識別碼。

   az ad signed-in-user show --query id --output tsv
   

3. 使用 az postgres flexible-server ad-admin create 命令，將您的使用者帳戶新增為 PostgreSQL 伺服器上的 Microsoft Entra 系統管理員：

   az postgres flexible-server ad-admin create \
      --resource-group pythoncontainer-rg \
      --server-name <postgres-server-name>  \
      --display-name <your-email-address> \
      --object-id <your-account-object-id>
   

   針對您的帳戶物件標識碼，請使用您在上一個步驟中取得的值。

這些步驟需要適用於 VS Code 的 Azure 資料庫擴充功能 。

1. 啟動 PostgreSQL 建立伺服器 工作：

   1. 選取 F1 鍵或 Ctrl+Shift+P 以開啟命令選擇區。
   2. 輸入 的 Azure 資料庫。
   3. 選取 [Azure 資料庫：建立伺服器] 工作。

   

   或者，您可以選取 Azure 擴充功能，移至 RESOURCES，然後擴充您的訂閱方案。 （請確定您正在依資源類型群組檢視資源。）然後，以滑鼠右鍵點擊 PostgreSQL 伺服器，並選取 [建立伺服器]，以開始相同的工作。

2. 一系列提示會引導您完成創建伺服器的過程。 填寫資訊，如下所示：

   • 如果系統要求您選取訂用帳戶，請選取您在本教學課程中所使用的訂用帳戶。

   • 選取 Azure 資料庫伺服器：選取 PostgreSQL 彈性伺服器。

   • 伺服器名稱：指定資料庫伺服器的名稱。 名稱在所有 Azure 中都必須是唯一的。 資料庫伺服器的網址會 https://<server-name>.postgres.database.azure.com變成 。 允許的字元會 AZ、09和連字元 （-）。 例如：postgres-db-unique-id<>。

   • 選取 Postgres SKU 和選項：選取 B1ms 基本 層（1 個虛擬核心、2-GiB 記憶體、5 GB 儲存空間）。

   • 系統管理員使用者名稱：為資料庫伺服器上的系統管理員帳戶建立用戶名稱。 在本教學課程中使用 demoadmin。

   • 系統管理員密碼：為系統管理員建立密碼並加以確認。

   • 選取新資源的資源群組：選取要包含伺服器的資源群組。 使用您建立容器登錄的相同資源群組 pythoncontainer-rg。

   • 選取新資源的位置：選取與資源群組和容器登錄相同的位置。

   在 [Azure] 視窗中監視進度，並確認已成功建立伺服器。 如果發生錯誤，請參閱疑難解答一節。

   

3. 建立伺服器之後，請設定從本機環境連接至 Azure PostgreSQL 資料庫伺服器的存取：

   1. 請檢查 Azure：活動記錄 視窗，以確認伺服器已建立。

   2. 開啟命令選擇區（選取 F1 鍵或 Ctrl+Shift+P）。

   3. 搜尋並選取 [PostgreSQL：設定防火牆]。 如果出現提示，請選取訂閱方案。

   4. 選取 [PostgreSQL 伺服器 [彈性]，然後選取您在上一個步驟中建立的伺服器。 如果伺服器未出現在清單中，它可能仍在建立中。

   5. 選取對話框中 [是]，將您的IP位址新增至PostgreSQL伺服器的防火牆規則。

      

4. 下列步驟需要 Azure CLI。 如果您已在本機安裝 Azure CLI，您可以在終端機提示字元中執行它們。 否則，請在瀏覽器中開啟 Azure Cloud Shell。

5. 使用 az postgres flexible-server firewall-rule create 命令來新增規則，讓您的 Web 應用程式能夠存取 PostgreSQL 彈性伺服器。 在下列命令中，您會將伺服器的防火牆設定為接受來自所有 Azure 資源的連線：

   az postgres flexible-server firewall-rule create \
       --name <postgres-server_name> \
       --resource-group pythoncontainer-rg \
       --rule-name AllowAllAzureServices \
       --start-ip-address 0.0.0.0 \
       --end-ip-address 0.0.0.0
   

6. 使用 az postgres flexible-server update 命令，在伺服器上啟用 Microsoft Entra 驗證：

   az postgres flexible-server update \
       --resource-group pythoncontainer-rg \
       --name <postgres-server-name> 
       --active-directory-auth Enabled
   

7. 使用 az ad signed-in-user show 命令來取得使用者帳戶的物件識別符。 您會在下一個命令中使用這個識別碼。

   az ad signed-in-user show --query id --output tsv
   

8. 使用 az postgres flexible-server ad-admin create 指令，將您的使用者帳戶新增為 PostgreSQL 伺服器上的 Microsoft Entra 管理員。

   az postgres flexible-server ad-admin create \
      --resource-group pythoncontainer-rg \
      --server-name <postgres-server-name>  \
      --display-name <your-email-address> \
      --object-id <your-account-object-id>
   

   針對您的帳戶物件標識碼，請使用您在上一個步驟中取得的值。

1. 在 Azure 入口網站 中，搜尋 PostgreSQL 彈性。 在結果中的 [Marketplace] 下，選取 [適用於 PostgreSQL 的 Azure 資料庫彈性伺服器]。

2. 在 基本 標籤上，輸入下列值：

   • 資源群組：輸入本教學課程中使用的資源群組，pythoncontainer-rg。
   • 伺服器名稱：輸入跨 Azure 唯一資料庫伺服器的名稱。 資料庫伺服器的網址會 https://<server-name>.postgres.database.azure.com變成 。 允許的字元會 AZ、09和連字元 （-）。 例如：postgres-db-unique-id<>。
   • [區域]：選取您用於資源群組的相同區域。
   • 工作負載類型：選取 [開發]。
   • 驗證方法：選取 PostgreSQL 並Microsoft Entra 驗證。
   • 設定 Microsoft Entra admin：選取 [設定系統管理員]。在 [選取 [Microsoft Entra Admins] 窗格上，搜尋您的 Azure 使用者帳戶，在結果中選取它，然後單擊 [選取]。
   • 系統管理員使用者名稱：使用 demoadmin。
   • 密碼 並 確認密碼：輸入系統管理員帳戶的密碼。

   

   針對所有其他設定，保留預設值。 當您完成時，請選擇 下一步：網路。

3. 在 [網络] 索引標籤上，輸入下列值：

   • 連線方法：請確定已選取 [公用存取權（允許的IP 位址）和私人端點。
   • 允許透過因特網存取此資源的公用IP位址：請確定已選取複選框。
   • 允許從 Azure 內的任何 Azure 服務公開存取此伺服器：選取複選框。
   • 新增目前的用戶端 IP 位址：如果您打算從本機伺服器存取資料庫，請選取 [新增]。

   

   針對所有其他設定，保留預設值。 選取 [檢閱 + 建立] 以繼續執行。

4. 檢查設定。 滿意時，請選取 [建立]。

注意

本節中的步驟會在高載定價層中建立具有單一虛擬核心和有限記憶體的 PostgreSQL 伺服器。 彈性階層是一個較低成本的選擇，適用於不需要持續使用全部 CPU 的工作負載，並適合本教學課程的需求。 針對生產工作負載，您可以升級至一般用途或記憶體優化定價層。 這些層級可提供更高的效能，但會增加成本。

若要深入瞭解，請參閱適用於 PostgreSQL 的 Azure 資料庫中 計算選項 - 彈性伺服器。 如需定價的相關信息，請參閱 Azure PostgreSQL 資料庫的定價。

在伺服器上建立資料庫

此時，您有 PostgreSQL 伺服器。 在本節中，您會在伺服器上建立資料庫。

使用 az postgres flexible-server db create 命令來建立名為 restaurants_reviews的資料庫：

az postgres flexible-server db create \
   --resource-group pythoncontainer-rg \
   --server-name <postgres-server-name> \
   --database-name restaurants_reviews

使用這些值：

• pythoncontainer-rg：本教學課程使用的資源組名。 如果您使用不同的名稱，請變更此值。
• <postgres-server-name>：PostgreSQL 伺服器的名稱。

您也可以使用 az postgres flexible-server connect 命令來連線到資料庫，然後使用 psql 命令。 當您使用 psql 時，通常使用 Azure Cloud Shell 會更容易，因為這個 Shell 已經包含了所有所需的相依套件。

這些步驟需要適用於 VS Code 的 Azure 資料庫擴充功能 。

1. 在 Azure Databases 擴充功能中，尋找您建立的 PostgreSQL 伺服器，以滑鼠右鍵按下它，然後選取 [建立資料庫。

2. 在提示字元中，輸入 restaurants_reviews 作為 資料庫名稱 值。

如果您在建立資料庫時遇到問題，伺服器可能仍會處理上一個步驟中的防火牆規則。 請稍候一下，然後再試一次。 如果系統提示您輸入認證來存取資料庫，請使用 demoadmin 用戶名稱和您在建立資料庫時輸入的密碼。

1. 在 Azure 入口網站中，前往您的 PostgreSQL 伺服器。 例如，您可以在搜尋列中輸入 PostgreSQL 伺服器的名稱，然後在結果中的 [資源] 下選取它。

2. 在服務選單上的 [設定]下，選取 [[資料庫]。

3. 在 [資料庫] 窗格的頂端功能表上，選取 [新增]。

4. 在 [建立資料庫] 窗格的 []，輸入 [名稱]的 [restaurants_reviews]，然後選取 [儲存]。

5. 作業完成時，您會返回 [資料庫] 窗格。 確認 restaurants_reviews 出現在資料庫清單中。 您可能需要重新整理窗格以讓它出現。

您也可以連線到適用於 PostgreSQL 的 Azure 資料庫彈性伺服器，並使用 psql 或支援 PostgreSQL 的 IDE 來建立資料庫，例如 Azure Data Studio。 如需使用 psql 的步驟，請參閱本文稍後的 在 PostgreSQL 資料庫上設定受控識別。

建立使用者指派的受控識別

建立使用者指派的受控識別，以在 Azure 中執行時作為容器應用程式的身分識別。

注意

若要建立使用者指派的受控識別，您的帳戶需要 受控識別提供者 角色指派。

使用 az identity create 命令來建立使用者指派的受控識別 (即受管理的身分識別)：

az identity create --name my-ua-managed-id --resource-group pythoncontainer-rg

目前沒有支援建立使用者指派受控識別的 VS Code 擴充功能。 請遵循 Azure CLI 或 Azure 入口網站的步驟。

1. 在 azure 入口網站的 中，搜尋 受控識別。 在結果中的 [Marketplace] 下，選取 [使用者指派的受控識別]。

2. 在 基本頁籤 上，輸入下列值：

   • 訂用帳戶：選取您在本教學課程中用於資源的訂用帳戶。
   • 資源群組：輸入本教學課程的資源群組，pythoncontainer-rg。
   • 區域：選擇在本教學課程中用於資源的區域。
   • 名稱：輸入使用者指派的受控識別名稱。 在本教學課程中，請使用 my-ua-managed-id。您可以使用不同的名稱，但本教學課程中的命令假設 my-ua-managed-id。如果您使用不同的名稱，則必須在其他命令中變更它。

   

3. 選擇 檢視 + 建立 以檢視變更。

4. 選取 建立。

在 PostgreSQL 資料庫上設定受控識別

將受控識別設定為 PostgreSQL 伺服器上的角色，然後將 restaurants_reviews 資料庫的必要許可權授與它。 無論您是使用 Azure CLI 或 psql，您都必須使用已被設定為伺服器實例上 Microsoft Entra 系統管理員的使用者連線到 Azure PostgreSQL 伺服器。 只有配置為 PostgreSQL 系統管理員的 Microsoft Entra 帳戶，才能在您的伺服器上設定受控的身份和其他 Microsoft 系統管理員角色。

1. 使用 az account get-access-token 命令來取得 Azure 帳戶的存取令牌。 您在後續步驟中使用存取令牌。

   az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken
   

   傳回的令牌很長。 在環境變數中設定其值，以在下一個步驟的命令中使用：

   MY_ACCESS_TOKEN=<your-access-token>
   

2. 使用 az postgres flexible-server execute 命令，將使用者指派的受控識別新增為您的 PostgreSQL 伺服器上的資料庫角色：

   az postgres flexible-server execute \
       --name <postgres-server-name> \
       --database-name postgres \
       --querytext "select * from pgaadauth_create_principal('"my-ua-managed-id"', false, false);select * from pgaadauth_list_principals(false);" \
       --admin-user <your-Azure-account-email> \
       --admin-password $MY_ACCESS_TOKEN
   

   使用這些值：

   • 如果您針對受控識別使用不同的名稱，請將 pgaadauth_create_principal 命令中的 my-ua-managed-id 取代為受控識別的名稱。

   • 針對 --admin-user 值，請使用與您 Azure 帳戶相關的電子郵件地址。

   • 請使用先前命令輸出的存取令牌作為 --admin-password 值，不需加上引號。

   • 請確定資料庫名稱 postgres。

   注意

   如果您要在本機工作站上執行 az postgres flexible-server execute 命令，請確定您已為工作站的 IP 位址新增防火牆規則。 您可以使用 az postgres flexible-server firewall-rule create 命令來新增規則。 下一步中的命令也有相同的需求。

3. 使用下列 az postgres flexible-server execute 命令，將 restaurants_reviews 資料庫的必要許可權授與使用者指派的受控識別：

   az postgres flexible-server execute \
       --name <postgres-server-name> \
       --database-name restaurants_reviews \
       --querytext "GRANT CONNECT ON DATABASE restaurants_reviews TO \"my-ua-managed-id\";GRANT USAGE ON SCHEMA public TO \"my-ua-managed-id\";GRANT CREATE ON SCHEMA public TO \"my-ua-managed-id\";GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO \"my-ua-managed-id\";ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO \"my-ua-managed-id\";" \
       --admin-user <your-Azure-account-email> \
       --admin-password $MY_ACCESS_TOKEN
   

   使用這些值：

   • 如果您針對受控識別使用不同的名稱，請將 命令中的所有 my-ua-managed-id 實例取代為受控識別的名稱。 查詢字串中有五個實例。

   • 針對 --admin-user 值，請使用 Azure 帳戶的電子郵件位址。

   • 針對 --admin-password 值，請使用先前輸出結果中的存取權杖，並且不要加上引號。

   • 請確定資料庫名稱 restaurants_reviews。

   此 Azure CLI 命令會連線到伺服器上的 restaurants_reviews 資料庫，併發出下列 SQL 命令：

   GRANT CONNECT ON DATABASE restaurants_reviews TO "my-ua-managed-id";
   GRANT USAGE ON SCHEMA public TO "my-ua-managed-id";
   GRANT CREATE ON SCHEMA public TO "my-ua-managed-id";
   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "my-ua-managed-id";
   ALTER DEFAULT PRIVILEGES IN SCHEMA public
   GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO "my-ua-managed-id";
   

您可以在本機環境中或 azure Cloud Shell中使用 PostgreSQL 互動式終端機 psql，也可以在 Azure 入口網站中存取。 當您使用 psql 時，使用 Cloud Shell 通常比較容易，因為它已包含所有必要的相依套件。

1. 使用您先前在伺服器上設定為 Microsoft Entra 系統管理員的 Azure 帳戶，使用 psql 連線到資料庫：

   psql --host=<postgres-server-name>.postgres.database.azure.com \
        --port=5432 \
        --username=<your-azure-email-address> \
        --dbname=postgres \
        --set sslmode=require
   

   在命令中，postgres-server-name 是 PostgreSQL 伺服器的名稱，而 your-azure-email-address 是 Azure 帳戶的電子郵件地址 。 命令會提示您輸入 Azure 帳戶密碼。

   如果您正在 Azure Cloud Shell 中工作，或已在本機系統上安裝 Azure CLI，您可以使用 az account get-access-token 命令來取得您可以複製並輸入作為密碼的存取令牌：

   az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken
   

   或者，您可以結合 psql 和 Azure CLI 命令：

   psql "host=<postgres-server-name>.postgres.database.azure.com port=5432 dbname=postgres user=<your-azure-email-address> password='$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken)' sslmode=require"
   

   在執行命令之前，請務必取代 <、postgres-server-name>、<、your-azure-email-address> 這些占位符。

   如果您無法連線，請重新啟動資料庫，然後再試一次。 如果您要從本機環境連線，您的IP位址必須新增至資料庫服務的防火牆規則清單。

2. 將使用者指派的受控識別新增為PostgreSQL伺服器上的資料庫角色。

   在 postgres=> 提示字元中，輸入：

   SELECT * FROM pgaadauth_create_principal('my-ua-managed-id', false, false);SELECT * FROM pgaadauth_list_principals(false);
   

   每個命令結尾的分號 （;） 是必要的。 若要確認資料庫已成功建立，請使用 命令 \c restaurants_reviews。 輸入 \? 以顯示幫助或 \q 以退出。

3. 使用 \c （connect） 命令連線到 restaurants_reviews 資料庫：

   \c restaurants_reviews
   

   注意

   如果您尚未建立 restaurants_reviews 資料庫，您可以使用下列命令來執行此動作：

   CREATE DATABASE resaurants_reviews
   

4. 將使用者指派的受控識別授予 restaurants_reviews 資料庫必要的權限。

   在 restaurants_reviews_=> 提示符中，輸入下列命令：

   GRANT CONNECT ON DATABASE restaurants_reviews TO "my-ua-managed-id";
   GRANT USAGE ON SCHEMA public TO "my-ua-managed-id";
   GRANT CREATE ON SCHEMA public TO "my-ua-managed-id";
   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "my-ua-managed-id";
   ALTER DEFAULT PRIVILEGES IN SCHEMA public
   GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO "my-ua-managed-id";
   

5. 若要退出 psql，請使用 \q 命令。

   \q
   

將 Web 應用程式部署至容器應用程式

容器應用程式會部署至 Azure Container Apps 環境，其可作為安全界限。 在下列步驟中，您會先建立環境，然後在該環境中建立一個容器。 接著，您可以設定容器，讓網站在外部可見。

這些步驟需要 Azure Container Apps 擴充功能，containerapp。

1. 使用 az containerapp env create 命令建立 Container Apps 環境：

   az containerapp env create \
   --name python-container-env \
   --resource-group pythoncontainer-rg \
   --location <location>
   

   <位置> 是命令輸出 az account list-locations -o table的其中一個 Azure 位置 Name 值。

2. 使用 az acr credential show 命令，取得 Azure Container Registry 實例的登入認證：

   az acr credential show -n <registry-name>
   

   當您在步驟 5 中建立容器應用程式時，您會使用命令輸出中傳回的使用者名稱和其中一個密碼。

3. 使用 az identity show 命令來獲取用戶指派的受控識別的客戶端識別碼和資源識別碼：

   az identity show --name my-ua-managed-id --resource-group pythoncontainer-rg --query "[clientId, id]" --output tsv
   

   當您在步驟 5 中建立容器應用程式時，您會使用命令輸出中的用戶端識別元 （GUID） 值和資源識別碼。 資源識別碼的格式如下：/subscriptions/<subscription-id>/resourcegroups/pythoncontainer-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-ua-managed-id。

4. 執行下列命令來產生秘密金鑰值：

   python -c 'import secrets; print(secrets.token_hex())'
   

   當您在步驟 5 中建立容器應用程式時，您可以使用秘密金鑰值來設定環境變數。

   注意

   此步驟顯示的命令適用於 Bash Shell。 視您的環境而定，您可能需要使用 python3叫用 Python。 在 Windows 上，您必須以雙引弧括住 -c 參數中的命令，而不是單引號。 視您的環境而定，您可能也需要使用 py 或 py -3叫用 Python。

5. 在環境中使用 az containerapp create 命令建立容器應用程式。

   az containerapp create \
   --name python-container-app \
   --resource-group pythoncontainer-rg \
   --image <registry-name>.azurecr.io/pythoncontainer:latest \
   --environment python-container-env \
   --ingress external \
   --target-port <5000 for Flask or 8000 for Django> \
   --registry-server <registry-name>.azurecr.io \
   --registry-username <registry-username> \
   --registry-password <registry-password> \
   --user-assigned <managed-identity-resource-id> \
   --query properties.configuration.ingress.fqdn \
   --env-vars DBHOST="<postgres-server-name>" \
   DBNAME="restaurants_reviews" \
   DBUSER="my-ua-managed-id" \
   RUNNING_IN_PRODUCTION="1" \
   AZURE_CLIENT_ID="<managed-identity-client-id>" \
   AZURE_SECRET_KEY="<your-secret-key>"
   

   請務必將角括號中的所有值替換為您在本教程中使用的值。 請注意，容器應用程式的名稱在整個 Azure 中必須是唯一的。

   --env-vars 參數的值是由 key=“value” 格式中的空格分隔值所組成的字串，具有下列值：

   • DBHOST="\<postgres-server-name>"
   • DBNAME="restaurants_reviews"
   • DBUSER="my-ua-managed-id"
   • RUNNING_IN_PRODUCTION="1"
   • AZURE_CLIENT_ID="\<managed-identity-client-id>"
   • AZURE_SECRET_KEY="\<your-secret-key>"

   DBUSER 的值是您使用者指派的受控識別名稱。

   AZURE_CLIENT_ID 的值是使用者指派受控識別的用戶端標識碼。 您在上一個步驟中取得此值。

   AZURE_SECRET_KEY 的值是您在上一個步驟中產生的秘密密鑰值。

6. 僅限 Django，請移轉並建立資料庫架構。 （在 Flask 範例應用程式中，它會自動完成，您可以略過此步驟。

   使用 az containerapp exec 命令連線：

       az containerapp exec \
           --name python-container-app \
           --resource-group pythoncontainer-rg
   

   然後，在shell指令提示字元中，輸入python manage.py migrate。

   您不需要移轉容器的修訂。

7. 測試網站。

   您先前輸入的 az containerapp create 命令將輸出一個應用程式網址，您可以用來訪問該應用程式。 URL 結尾為 azurecontainerapps.io。 在瀏覽器中打開該 URL。 或者，您可以使用 az containerapp browse 命令。

這些步驟需要適用於 VS Code 的 Azure Container Apps 擴充功能 。

1. 取得環境變數所需的值：

   1. 在 VS Code 中開啟終端機，以取得下列 Azure CLI 命令。 您也可以從 Azure Cloud Shell 輸入命令。

   2. 使用 az identity show 命令，取得受控識別的用戶端識別碼：

      az identity show --name my-ua-managed-id --resource-group pythoncontainer-rg --query clientId -o tsv
      

      用戶端識別碼是 GUID。 您可以使用它來在下一個步驟中設定環境變數。

   3. 產生秘密金鑰值：

      python -c 'import secrets; print(secrets.token_hex())'
      

      您可以使用秘密金鑰值，在下一個步驟中設定環境變數。

      注意

      此處顯示的命令用於 Bash shell。 視您的環境而定，您可能需要使用 python3叫用 Python。 在 Windows 上，您必須以雙引弧括住 -c 參數中的命令，而不是單引號。 您可能也需要使用 py 或 py -3叫用 Python。

2. 建立 您將在建立容器應用程式期間參考的 .env 檔案。

   範例存放庫包含了一個名為 .env.example 的檔案，您可以從此檔案開始使用。 使用下列值建立 .env 檔案：

   DBHOST="<postgres-server-name>"
   DBNAME="restaurants_reviews"
   DBUSER="my-ua-managed-id"
   RUNNING_IN_PRODUCTION="1"
   AZURE_CLIENT_ID="<managed-identity-client-id>"
   AZURE_SECRET_KEY="<your-secret-key>"
   

   DBUSER 值是您使用者指派的受控識別名稱。

   AZURE_CLIENT_ID 值是您使用者指派受控識別的用戶端標識碼。 您在上一個步驟中得到了它。

   AZURE_SECRET_KEY 值是您在上一個步驟中產生的秘密密鑰值。

3. 建立容器應用程式環境。

   啟動 建立容器應用程式環境 工作：

   1. 選取 F1 鍵或 Ctrl+Shift+P 以開啟命令選擇區。
   2. 請輸入 容器應用程式。
   3. 選取工作 Azure Container Apps：建立容器應用程式環境。

   或者，您可以開啟 Azure 延伸模組，然後選取 [資源] 區段中的加號 （+） 圖示。

   請遵循提示來建立 Container Apps 環境：

   • 如果系統提示您，請選取您的訂用帳戶。
   • 輸入容器應用程式環境名稱：輸入 python-container-env。
   • 選取新資源的位置：選擇與您先前建立的資源群組相同的位置。

   建立環境需要幾分鐘的時間。 通知會顯示作業的進度。 在您移至下一個步驟之前，請先尋找「已成功建立的新 Container Apps 環境」。 環境會在同名的資源群組中建立，python-container-env。

   

4. 在新的環境中建立容器應用程式，方法是尋找 Azure Container Apps：在命令選擇區中建立容器應用程式 工作。

   啟動 建立容器應用程式 工作：

   1. 選取 F1 鍵或 Ctrl+Shift+P 以開啟命令選擇區。
   2. 輸入 容器應用程式。
   3. 選取 Azure Container Apps 工作：建立容器應用程式。

   或者，您可以開啟 Azure 擴充功能，並移至 Container Apps 一節。 選取環境，按兩下滑鼠右鍵，然後選取 [建立容器應用程式] 以啟動工作。

   請遵循提示來建立容器應用程式：

   • 選取訂用帳戶：選取您在本教學課程中所使用的訂用帳戶。
   • 選取容器應用程式環境：選取您在上一個步驟中建立的環境。
   • 輸入容器應用程式名稱：輸入 python-container-app。
   • 選取容器應用程式的映射來源：選取 [Container Registry]。
   • 選取容器登錄：選取 Azure Container Registry 。
   • 選取 Azure 容器登錄：選取您先前建立的容器登錄名稱。
   • 選取存放庫：選取 pythoncontainer。
   • 選取標籤：選取 最新的。
   • 選取 .env 檔案來設定容器實例的環境變數：選取您在步驟 2 中建立的 .env 檔案。
   • 啟用需要 HTTP 端點的應用程式的流量入口：選取 [啟用]。
   • 選擇端點將會接受的 HTTP 流量：選取 外部。
   • 容器正在監聽的埠：設定為 Django 使用 8000，或 Flask 使用 5000。

   

   通知會顯示作業的進度。 在您移至下一步之前，請確認「已成功建立的新容器應用程式環境」。 容器應用程式會建立在與 Container Apps 環境相同的資源群組中，python-container-env。

5. 在新建立的容器應用程式上設定使用者指派的受控識別：

   1. 在 VS Code 中開啟終端機，以取得下列 Azure CLI 命令。 您也可以從 Azure Cloud Shell 輸入命令。

   2. 取得管理身份的資源識別碼：

      az identity show --name my-ua-managed-id --resource-group pythoncontainer-rg --query id -o tsv
      

      資源識別碼的格式如下：/subscriptions/<訂用帳戶識別碼>/resourcegroups/pythoncontainer-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-ua-managed-id。

   3. 使用 az containerapp identity assign 命令，將受控識別指派給容器應用程式。

      az containerapp identity assign  \
          --name python-container-app \
          --resource-group container-app-environment  \
          --user-assigned <managed-identity-resource-id>      
      

      將 <managed-identity-resource-id> 佔位符替換為上一命令輸出的資源 ID。

      此命令中的資源群組與您建立 Container Apps 環境和容器應用程式的資源群組相同，python-container-app。

6. 僅限 Django，請移轉並建立資料庫架構。 （在 Flask 範例應用程式中，它會自動完成，您可以略過此步驟。

   1. 移至 [Azure] 擴充功能，然後展開 [Container Apps] 區段。 尋找並展開您的容器環境，然後以滑鼠右鍵按下您建立的容器應用程式，接著選取 [在入口網站中開啟主控台]。
   2. 選擇啟動命令，然後選取 [ 連線]。
   3. 在 shell 提示符中，輸入 python manage.py migrate。

   您不需要移轉容器的修訂。

   

7. 測試網站。

   建立容器應用程式 工作完成之後，會出現 流覽 按鈕來前往網站的通知。

   

   如果您錯過通知，請移至 Azure 擴充功能，然後展開 Container Apps 區段。 尋找並展開您的容器環境，然後以滑鼠右鍵按下容器應用程式，接著選取 瀏覽。 您也可以在命令面板中輸入 Azure Container Apps：瀏覽 任務，並遵循提示。

1. 取得使用者指派受控識別的用戶端標識碼。 您會在稍後的步驟中使用它。

   1. 在 Azure 入口網站 中，搜尋 my-ua-managed-id 然後在結果中於 [資源] 下選擇它。
   2. 在服務功能表上，選取 [概觀]，然後記下 用戶端 ID 值。

2. 開啟 Azure Cloud Shell，然後輸入下列命令以取得秘密金鑰值：

   python -c 'import secrets; print(secrets.token_hex())'
   

   您可以使用秘密金鑰值，在稍後的步驟中設定環境變數。

3. 在入口網站中，搜尋 容器應用程式。 在結果中的 [Marketplace] 下，選取 [容器應用程式] 。

4. 在 [[基本] 索引標籤上，輸入下列值：

   • 資源群組：使用先前建立的群組，其中包含 Azure Container Registry 實例。
   • 容器應用程式名稱：輸入 python-container-app。
   • 部署來源：請確定已選取 容器映像。
   • 區域：使用與資源群組相同的區域/位置。
   • Container Apps Environment：選取 建立新的 以建立一個新環境，名稱是 python-container-env。

   

   選取 ，然後選擇下一步：容器，以繼續設定。

5. 在 [容器] 索引標籤上，繼續設定容器應用程式：

   • 使用快速入門映射：請確定已清除複選框。
   • 圖像來源：確定已選取 Azure Container Registry。
   • 登錄：選取您稍早建立的登錄名稱。
   • 映像：選取 pythoncontainer（您所建置的映像名稱）。
   • 影像標籤：選擇 最新。

   在 [環境變數下，輸入下列變數的值：

   • DBHOST=<postgres-server-name>
   • DBNAME=餐廳評論
   • DBUSER=my-ua-managed-id
   • RUNNING_IN_PRODUCTION=1
   • AZURE_CLIENT_ID=<managed-identity-client-id>
   • AZURE_SECRET_KEY=<您的秘密金鑰>

   針對 AZURE_CLIENT_ID，請使用您為使用者分配的受控識別所複製的用戶端識別碼。

   針對 AZURE_SECRET_KEY，請使用您在上一個步驟中生成的密鑰值。

   

   選取 下一步：進入 繼續。

6. 在 [Ingress] 索引標籤中，繼續配置容器應用程式：

   • 輸入：選取 已啟用 複選框。 更多選項出現。
   • 傳入流量：選取 [接受來自任何位置的流量]。
   • 目標埠：設定為 Django 8000，或針對 Flask 設定為 5000。

   

   選取 審核 + 建立。

7. 檢閱設定，然後選取 建立 以開始部署。

8. 部署結束之後，選取 [移至資源]。

9. 將使用者指派的受控識別新增至容器應用程式：

   1. 在服務功能表上，於 [設定]下，選取 [身分識別]。
   2. 在 [使用者指派] 索引標籤上，選取 [新增]。
   3. 在 [新增使用者指派的受控身分] 窗格中，選取 [my-ua受控身分識別]，然後選取 [新增]。
   4. 作業完成時，您會返回 [使用者指派] 標籤。確認 my-ua-managed-id 出現在身分識別清單中。

   提示

   您可以使用 服務連接器，而不是新增受控識別並定義環境變數。 服務連接器可藉由設定連線資訊，以及為您產生及儲存環境變數，協助您將 Azure 計算服務連線至其他支援服務。

   如果您使用服務連接器，請務必將範例代碼中的環境變數同步到您用服務連接器建立的環境變數。

10. 僅限 Django，請移轉並建立資料庫架構。 （在 Flask 範例應用程式中，它會自動完成，您可以略過此步驟。

    1. 在服務功能表上，在 [監視] 下，選取 [控制台]。
    2. 選擇啟動命令，然後選取 [ 連線]。
    3. 在殼層提示字元中，輸入 python manage.py migrate。

    您不需要移轉容器的修訂。

    

11. 測試網站。

    1. 在服務功能表上，選取 概觀。
    2. 在 [基本資訊] 底下，選取 [應用程式 URL] 以在瀏覽器中開啟網站。

    

新增餐廳和兩個評論後，這是範例網站的一個示例。

針對部署進行疑難排解

您忘記應用程式 URL 來存取網站

在 Azure 入口網站中：

• 移至容器應用程式的 [概觀] 頁面，並尋找 應用程式 URL。

在 VS Code 中：

1. 移至 Azure 檢視 （Ctrl+Shift+A），然後展開您正在使用的訂用帳戶。
2. 展開 [Container Apps] 節點，展開受控環境，以滑鼠右鍵點擊 python-container-app，然後選取 [瀏覽]。 VS Code 會使用應用程式 URL 開啟瀏覽器。

在 Azure CLI 中：

• 使用命令 az containerapp show -g pythoncontainer-rg -n python-container-app --query properties.configuration.ingress.fqdn。

在 VS Code 中，Azure 任務執行建置映像檔時會傳回錯誤

如果您看到「錯誤：無法下載內容」訊息。 請檢查 VS Code 輸出 視窗中的 URL 是否不正確，然後於 Docker 擴充功能中更新登錄。 若要重新整理，請選取 Docker 擴充功能，移至 登錄 區段，找到註冊表，然後選取它。

如果您在 Azure 工作中再次執行 建置映射，請檢查先前執行中的登錄是否存在。 如果是，請使用它。

在 Azure 入口網站中，建立容器應用程式期間會出現存取錯誤

在停用 Azure Container Registry 實例上的系統管理員認證時，會發生包含「無法存取 ACR '<名稱>.azurecr.io』」 的存取錯誤。

若要在入口網站中檢查系統管理員狀態，請移至您的 Azure Container Registry 實例，選取 存取密鑰 資源，並確定已啟用 系統管理員使用者。

您的容器映像不會出現在 Azure Container Registry 實例中

• 檢查 Azure CLI 命令或 VS Code 的輸出，並尋找訊息以確認成功。
• 使用 Azure CLI 或 VS Code 工作提示，檢查您的組建命令中已正確指定登錄的名稱。
• 請確定您的認證未過期。 例如，在 VS Code 中，在 Docker 擴充功能中尋找目標登錄並重新整理。 在 Azure CLI 中，執行 az login。

網站顯示「錯誤請求（400）」

如果您收到「不正確的要求（400）」錯誤，請檢查傳入容器的PostgreSQL環境變數。 400 錯誤通常表示 Python 程式代碼無法連線到 PostgreSQL 實例。

本教學課程中使用的範例程式代碼會檢查容器環境變數是否存在 RUNNING_IN_PRODUCTION，它可以設定為任何值（例如 1）。

網站傳回「找不到」（404）」

• 檢查容器 概觀 頁面上 應用程式 URL 值。 如果應用程式 URL 包含「internal」這個字，則入口設定不正確。
• 檢查容器的輸入。 例如，在 Azure 入口網站中，前往容器的 入口 資源。 請確定已啟用 HTTP 入口，並選擇 [接受來自任何位置的流量]。

網站未啟動，您會收到「串流超時」提示，或沒有任何回應。

• 檢查記錄：
  • 在 Azure 入口網站中，移至容器應用程式的修訂管理資源，並檢查容器 布建狀態：
    • 如果狀態 配置中，請等候配置完成。
    • 如果狀態為 失敗，請選取修訂並檢視主控台日誌。 選擇顯示 產生時間、Stream_s和 Log_s的欄位順序。 依最新記錄排序，並尋找 Stream_s 數據行中的 Python stderr 和 stdout 訊息。 Python print 輸出 stdout 訊息。
  • 在 Azure CLI 中，使用 az containerapp logs show 命令。
• 如果您使用 Django 架構，請檢查資料庫中是否有 restaurants_reviews 數據表。 如果沒有，請使用主控台來存取容器並執行 python manage.py migrate。

後續步驟

在 Azure Container Apps 中設定 Python Web 應用程式的持續部署