Краткое руководство. Использование GitHub Actions для подключения к База данных Azure для PostgreSQL — гибкий сервер

Статья
03/20/2024

ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для PostgreSQL — отдельный сервер База данных Azure для PostgreSQL — гибкий сервер

Внимание

База данных Azure для PostgreSQL — одиночный сервер находится на пути выхода на пенсию. Настоятельно рекомендуется выполнить обновление до База данных Azure для PostgreSQL — гибкий сервер. Дополнительные сведения о миграции на База данных Azure для PostgreSQL — гибкий сервер см. в статье "Что происходит с одним сервером База данных Azure для PostgreSQL?".

Начало работы с GitHub Actions с помощью рабочего процесса для развертывания обновлений базы данных на гибком сервере База данных Azure для PostgreSQL.

Необходимые компоненты

Необходимые компоненты:

Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Репозиторий GitHub с примером данных (data.sql). Если у вас нет учетной записи GitHub, зарегистрируйтесь бесплатно.
Гибкий экземпляр сервера База данных Azure для PostgreSQL.
- Краткое руководство. Создание экземпляра гибкого сервера База данных Azure для PostgreSQL в портал Azure

Общие сведения о файле рабочего процесса

Рабочий процесс в GitHub Actions определяется файлом .yml, который размещается в папке репозитория /.github/workflows/. Это определение содержит разные шаги и параметры рабочего процесса.

Этот файл содержит два раздела:

Раздел	Задачи
Аутентификация	1. Создание учетных данных для развертывания.
Развертывание	1. Развертывание базы данных.

Создание учетных данных для развертывания.

Субъект-служба
OpenID Connect

Создайте субъект-службу с помощью командыaz ad sp create-for-rbac в Azure CLI. Чтобы выполнить эту команду, откройте Azure Cloud Shell на портале Azure или нажмите кнопку Попробовать.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

Параметр --json-auth доступен в версиях >Azure CLI = 2.51.0. Версии до этого использования --sdk-auth с предупреждением об нерекомендуемом.

В указанном выше примере замените заполнители соответствующим идентификатором подписки, именем группы ресурсов и именем приложения. Выходные данные содержат объект JSON с учетными данными назначения роли, которые предоставляют доступ к приложению Службы приложений, как показано ниже. Скопируйте этот объект JSON для последующего использования.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Метод проверки подлинности OpenID Connect использует маркеры с коротким сроком жизни. Настройка OpenID Connect с помощью GitHub Actions выполняется сложнее, но зато обеспечивает более безопасную работу.

Если у вас нет существующего приложения, зарегистрируйте новое приложение Microsoft Entra и субъект-службу, которое может получить доступ к ресурсам.
```
az ad app create --display-name myApp
```
Эта команда выводит код JSON с объектом appId, который представляет client-id. APPLICATION-OBJECT-ID Он objectId используется для создания федеративных учетных данных с помощью вызовов API Graph. Сохраните это значение, чтобы позднее применить в качестве секрета GitHub AZURE_CLIENT_ID.
Создание субъекта-службы. Замените $appID значением appId из выходных данных в формате JSON. Эта команда создает выходные данные JSON с другим objectId будет использоваться на следующем шаге. Новое значение objectId представляет assignee-object-id.

Эта команда создает выходные данные в формате JSON с другим значением objectId, которое вы примените на следующем шаге. Новое значение objectId представляет assignee-object-id.

Скопируйте appOwnerTenantId, чтобы позднее применить в качестве секрета GitHub AZURE_TENANT_ID.
```
 az ad sp create --id $appId
```
Создайте назначение ролей для подписки и объекта. По умолчанию назначение ролей будет привязано к вашей подписке по умолчанию. Замените $subscriptionId идентификатором подписки, $resourceGroupName именем группы ресурсов и $assigneeObjectId созданным assignee-object-id (только что созданный идентификатор объекта субъекта-службы).
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
Выполните следующую команду, чтобы создать новые федеративные учетные данные удостоверения для приложения Microsoft Entra.
- Замените APPLICATION-OBJECT-ID объектным идентификатором (созданным при создании приложения) для приложения Microsoft Entra.
- Задайте значение для CREDENTIAL-NAME, оно понадобится позже.
- Задайте subject. Значение этого определяется GitHub в зависимости от рабочего процесса:
  - Задания в среде GitHub Actions: repo:< Organization/Repository >:environment:< Name >.
  - Если задания не привязаны к среде, включите путь ссылки для ветви или тега с учетом пути, используемого для запуска рабочего процесса: repo:< Organization/Repository >:ref:< ref path>. Например, repo:n-username/ node_express:ref:refs/heads/my-branch или repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Для рабочих процессов, запускаемых событием запроса на вытягивание: repo:< Organization/Repository >:pull_request.
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

Копирование гибкого сервера База данных Azure для PostgreSQL строка подключения

В портал Azure перейдите к База данных Azure для PostgreSQL гибкому экземпляру сервера и откройте строки Параметры> Подключение ion. Скопируйте строку подключения по протоколу ADO.NET. Замените заполнители значениями для your_database и your_password. Строка подключения выглядит примерно так.

Внимание

Для одного сервера База данных Azure для PostgreSQL используйте user=adminusername@servername . Обратите внимание, что часть @servername является обязательной.
Для База данных Azure для PostgreSQL гибкого сервера используйте user= adminusername без @servername.

psql host={servername.postgres.database.azure.com} port=5432 dbname={your_database} user={adminusername} password={your_database_password} sslmode=require

Вы используете строка подключения в качестве секрета GitHub.

В GitHub перейдите в репозиторий.
Перейдите к Параметры в меню навигации.
Выберите "Секреты безопасности>" и "Действия переменных>".
Нажмите Создать секрет репозитория.
Вставьте все выходные данные JSON, полученные из команды Azure CLI, в поле значения секрета. Присвойте секрету имя AZURE_CREDENTIALS.
Выберите Добавить секрет.

Вам необходимо указать для действия входа идентификатор клиента, идентификатор арендатора и идентификатор подписки вашего приложения. Эти значения могут быть указаны непосредственно в рабочем процессе или храниться в секретах GitHub с указанием ссылок на них в рабочем процессе. Сохранение значений в виде секретов GitHub является более безопасным вариантом.

В GitHub перейдите в репозиторий.
Выберите "Секреты безопасности>" и "Действия переменных>".
Нажмите Создать секрет репозитория.

Создайте секреты для AZURE_CLIENT_ID, AZURE_TENANT_ID и AZURE_SUBSCRIPTION_ID. Используйте эти значения из приложения Microsoft Entra для секретов GitHub:

Секрет GitHub	Приложение Microsoft Entra
AZURE_CLIENT_ID	Идентификатор приложения (клиент)
AZURE_TENANT_ID	Идентификатор каталога (клиента)
AZURE_SUBSCRIPTION_ID	ИД подписки

Сохраните каждый секрет, выбрав Добавить секрет.

Добавление рабочего процесса

Перейдите в раздел Actions (Действия) для репозитория GitHub.
Выберите Set up your workflow yourself (Настроить рабочий процесс самостоятельно).
Удалите все содержимое в файле рабочего процесса после раздела on:. После этого рабочий процесс должен выглядеть примерно так.
```
name: CI

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]
```

Переименуйте рабочий процесс PostgreSQL for GitHub Actions и добавьте проверка out и выполните вход. Эти действия проверка код сайта и проверку подлинности с помощью Azure с помощью секретов GitHub, созданных ранее.

Субъект-служба
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Используйте действие развертывания Azure PostgreSQL для подключения к База данных Azure для PostgreSQL гибкому экземпляру сервера. Замените POSTGRESQL_SERVER_NAME именем сервера. У вас должен быть База данных Azure для PostgreSQL гибкий файл данных сервера с именем data.sql на корневом уровне репозитория.
```
 - uses: azure/postgresql@v1
   with:
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    server-name: POSTGRESQL_SERVER_NAME
    plsql-file: './data.sql'
```

Завершите создание рабочего процесса, добавив действие для выхода из Azure. Готовый рабочий процесс выглядит так: Файл отображается в папке .github/workflows репозитория.

Субъект-служба
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CREDENTIALS }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

Проверка развертывания

Перейдите в раздел Actions (Действия) для репозитория GitHub.
Откройте первый результат, чтобы проверить подробные журналы выполнения рабочего процесса.

Очистка ресурсов

Если База данных Azure для PostgreSQL гибкой базе данных сервера и репозитория больше не нужны, очистите ресурсы, развернутые путем удаления группы ресурсов и репозитория GitHub.

Следующие шаги

Сведения об интеграции Azure с GitHub

Сведения о подключении к серверу