クイックスタート: GitHub Actions を使用して Azure PostgreSQL Database - フレキシブルサーバーに接続する

[アーティクル]
03/20/2024

適用対象: Azure Database for PostgreSQL - シングルサーバー Azure Database for PostgreSQL - フレキシブルサーバー

重要

Azure Database for PostgreSQL - シングルサーバーは廃止パスにあります。 Azure Database for PostgreSQL - フレキシブルサーバーにアップグレードすることを強くお勧めします。 Azure Database for PostgreSQL - フレキシブルサーバーへの移行の詳細については、Azure Database for PostgreSQL 単一サーバーの現状に関するページを参照してください。

Azure Database for PostgreSQL フレキシブルサーバーにデータベースの更新をデプロイするワークフローを使用することによって、GitHub Actions の使用を開始します。

前提条件

必要なもの:

アクティブなサブスクリプションが含まれる Azure アカウント。無料でアカウントを作成できます。
サンプルデータ (data.sql) が格納された GitHub リポジトリ。 GitHub アカウントをお持ちでない場合は、無料でサインアップできます。
Azure Database for PostgreSQL フレキシブルサーバーインスタンス。
- クイックスタート: Azure portal で Azure Database for PostgreSQL - フレキシブルサーバーインスタンスを作成する

ワークフローファイルの概要

GitHub Actions ワークフローは、お使いのリポジトリの /.github/workflows/ パスの YAML (.yml) ファイルに定義されます。この定義には、ワークフローを構成するさまざまな手順とパラメーターが含まれます。

このファイルには 2 つのセクションがあります。

Section	タスク
認証	1.デプロイ資格情報を生成します。
デプロイする	1. データベースをデプロイします。

Azure CLI で az ad sp create-for-rbac コマンドを使用して、サービスプリンシパルを作成します。このコマンドは、Azure portal で Azure Cloud Shell を使用するか、[試してみる] ボタンを選択して実行します。

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

--json-auth パラメーターは、Azure CLI バージョン 2.51.0 以降で使用できます。これ以前のバージョンでは --sdk-auth を使用し、非推奨の警告が表示されます。

上記の例で、プレースホルダーをご利用のサブスクリプション ID、リソースグループ名、アプリ名に置き換えます。これにより、以下のようなご自分の App Service アプリにアクセスするためのロールの割り当て資格情報を含む JSON オブジェクトが出力されます。この JSON オブジェクトを後のためにコピーします。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect は、短期間のトークンを使用する認証方法です。 GitHub Actions を使用して OpenID Connect を設定すると、セキュリティが強化されたより複雑なプロセスになります。

既存のアプリケーションがない場合は、リソースにアクセスできる新しい Microsoft Entra アプリケーションとサービスプリンシパルを登録します。
```
az ad app create --display-name myApp
```
このコマンドにより、あなたの client-id である appId を持つ JSON が出力されます。この objectId は APPLICATION-OBJECT-ID であり、Graph API 呼び出しを使用してフェデレーション資格情報を作成するために使用されます。後で AZURE_CLIENT_ID の GitHub シークレットとして使用する値を保存します。
サービスプリンシパルを作成する。 $appID を、JSON 出力のアプリ ID に置き換えてください。このコマンドを実行すると、次のステップで使用される異なる objectId を持つ JSON 出力を生成します。新しい objectId は assignee-object-id です。

このコマンドにより、異なる objectId を持つ JSON 出力が生成され、次のステップで使用されます。新しい objectId は assignee-object-id です。

後で AZURE_TENANT_ID の GitHub シークレットとして使用するために、appOwnerTenantId をコピーします。
```
 az ad sp create --id $appId
```
サブスクリプションとオブジェクト別に新しいロールの割り当てを作成します。既定では、ロールの割り当ては既定のサブスクリプションに関連付けされます。 $subscriptionId をサブスクリプション ID に、$resourceGroupName をリソースグループ名に、$assigneeObjectId を生成された assignee-object-id (新しく作成されたサービスプリンシパルオブジェクト ID) に置き換えます。
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
次のコマンドを実行して、Microsoft Entra アプリケーションの新しいフェデレーション ID 資格情報を作成します。
- APPLICATION-OBJECT-ID を Microsoft Entra アプリケーションの objectId (アプリの作成中に生成) に置き換えてください。
- 後で参照するには、CREDENTIAL-NAME の値を設定します。
- subject を設定します。この値は、ワークフローに応じて、GitHub によって定義されます。
  - GitHub Actions 環境のジョブ: repo:< Organization/Repository >:environment:< Name >
  - 環境に関連付けられていないジョブの場合は、ワークフローのトリガーに使用される ref パスに基づいて、ブランチ/タグの ref パスを含めます: repo:< Organization/Repository >:ref:< ref path>。たとえば、repo:n-username/ node_express:ref:refs/heads/my-branch または repo:n-username/ node_express:ref:refs/tags/my-tag です。
  - プル要求イベントによってトリガーされるワークフローの場合: repo:< Organization/Repository >:pull_request。
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

Azure Database for PostgreSQL フレキシブルサーバー接続文字列をコピーする

Azure portal で、Azure Database for PostgreSQL フレキシブルサーバーインスタンスに移動し、[設定]>[接続文字列] を開きます。 ADO.NET の接続文字列をコピーします。プレースホルダー your_database および your_password の値を置き換えます。接続文字列はこのようになります。

重要

Azure Database for PostgreSQL 単一サーバーの場合、user=adminusername@servername を使用します。 @servername は必須です。
Azure Database for PostgreSQL フレキシブルサーバーの場合、@servername なしで user= adminusername を使用します。

psql host={servername.postgres.database.azure.com} port=5432 dbname={your_database} user={adminusername} password={your_database_password} sslmode=require

接続文字列を GitHub シークレットとして使います。

GitHub シークレットを構成する

サービスプリンシパル
OpenID Connect

GitHub で、お使いのリポジトリに移動します。
ナビゲーションメニューで [設定] に移動します。
[Security] (セキュリティ) > [Secrets and variables] (シークレットと変数) > [Actions] (アクション) を選びます。
[New repository secret](新しいリポジトリシークレット) を選択します。
Azure CLI コマンドからの JSON 出力全体をシークレットの値フィールドに貼り付けます。シークレットに AZURE_CREDENTIALS と名前を付けます。
[Add secret](シークレットの追加) を選択します。

ログインアクションには、アプリケーションのクライアント ID、テナント ID、サブスクリプション IDを指定する必要があります。これらの値は、ワークフロー内で直接指定するか、GitHub シークレットに格納してワークフローで参照できます。 GitHub シークレットとして値を保存する方がより安全なオプションです。

GitHub で、お使いのリポジトリに移動します。
[Security] (セキュリティ) > [Secrets and variables] (シークレットと変数) > [Actions] (アクション) を選びます。
[New repository secret](新しいリポジトリシークレット) を選択します。

AZURE_CLIENT_ID、AZURE_TENANT_ID、AZURE_SUBSCRIPTION_ID のシークレットを作成します。 GitHub シークレットには、Microsoft Entra アプリケーションの次の値を使用します。

GitHub シークレット	Microsoft Entra アプリケーション
AZURE_CLIENT_ID	アプリケーション (クライアント) ID
AZURE_TENANT_ID	ディレクトリ (テナント) ID
AZURE_SUBSCRIPTION_ID	サブスクリプション ID

[Add secret](シークレットの追加) を選択して各シークレットを保存します。

ワークフローを追加する

GitHub リポジトリの [Actions](アクション) にアクセスします。
[Set up a workflow yourself](ワークフローを自分でセットアップする) を選択します。
ワークフローファイルの on: セクションの後にあるすべてのものを削除します。たとえば、残りのワークフローは次のようになります。
```
name: CI

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]
```

ワークフロー PostgreSQL for GitHub Actions の名前を変更し、チェックアウトとサインインのアクションを追加します。これらのアクションにより、サイトコードがチェックアウトされ、先ほど作成した GitHub シークレットを使って Azure に対する認証が行われます。

サービスプリンシパル
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Azure PostgreSQL デプロイアクションを使って、Azure Database for PostgreSQL フレキシブルサーバーインスタンスに接続します。 POSTGRESQL_SERVER_NAME をご自分のサーバーの名前に置き換えます。リポジトリのルートレベルに data.sql という名前の Azure Database for PostgreSQL フレキシブルサーバーデータファイルを配置する必要があります。
```
 - uses: azure/postgresql@v1
   with:
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    server-name: POSTGRESQL_SERVER_NAME
    plsql-file: './data.sql'
```

Azure のサインアウトにアクションを追加して、ワークフローを完成させます。完成したワークフローを次に示します。このファイルは、リポジトリの .github/workflows フォルダーに表示されます。

サービスプリンシパル
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CREDENTIALS }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

デプロイを確認する

GitHub リポジトリの [Actions](アクション) にアクセスします。
最初の結果を開くと、ワークフローの実行の詳細なログが表示されます。

リソースをクリーンアップする

Azure Database for PostgreSQL フレキシブルサーバーデータベースとリポジトリが不要になったら、リソースグループと GitHub リポジトリを削除して、デプロイしたリソースをクリーンアップします。

次のステップ

Azure と GitHub の統合に関する詳細

サーバーに接続する方法の詳細

クイック スタート: GitHub Actions を使用して Azure PostgreSQL Database - フレキシブル サーバーに接続する