Snabbstart: Använda GitHub Actions för att ansluta till Azure Database for PostgreSQL – flexibel server

Artikel
03/20/2024

GÄLLER FÖR: Azure Database for PostgreSQL – Azure Database for PostgreSQL för enskild server – flexibel server

Viktigt!

Azure Database for PostgreSQL – enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till Azure Database for PostgreSQL – flexibel server. Mer information om hur du migrerar till Azure Database for PostgreSQL – flexibel server finns i Vad händer med Azure Database for PostgreSQL – enskild server?.

Kom igång med GitHub Actions med hjälp av ett arbetsflöde för att distribuera databasuppdateringar till en flexibel Azure Database for PostgreSQL-server.

Förutsättningar

Du måste:

Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
En GitHub-lagringsplats med exempeldata (data.sql). Om du inte har ett GitHub-konto registrerar du dig kostnadsfritt.
En flexibel Azure Database for PostgreSQL-serverinstans.
- Snabbstart: Skapa en Azure Database for PostgreSQL – flexibel serverinstans i Azure-portalen

Översikt över arbetsflödesfil

Ett GitHub Actions-arbetsflöde definieras av en YAML-fil (.yml) i /.github/workflows/ sökvägen på lagringsplatsen. Den här definitionen innehåller de olika steg och parametrar som utgör arbetsflödet.

Filen har två avsnitt:

Avsnitt	Uppgifter
Autentisering	1. Generera autentiseringsuppgifter för distribution.
Distribuera	1. Distribuera databasen.

Generera autentiseringsuppgifter för distribution

Tjänstens huvud
OpenID Connect

Skapa ett huvudnamn för tjänsten med kommandot az ad sp create-for-rbac i Azure CLI. Kör det här kommandot med Azure Cloud Shell i Azure-portalen eller genom att välja knappen Prova .

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

Parametern --json-auth är tillgänglig i Azure CLI-versioner >= 2.51.0. Versioner före den här användningen --sdk-auth med en utfasningsvarning.

I exemplet ovan ersätter du platshållarna med ditt prenumerations-ID, resursgruppsnamn och appnamn. Utdata är ett JSON-objekt med autentiseringsuppgifterna för rolltilldelning som ger åtkomst till din App Service-app på liknande sätt som nedan. Kopiera det här JSON-objektet för senare.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Anslut är en autentiseringsmetod som använder kortlivade token. Att konfigurera OpenID-Anslut med GitHub Actions är en mer komplex process som erbjuder förstärkt säkerhet.

Om du inte har ett befintligt program registrerar du ett nytt Microsoft Entra-program och tjänstens huvudnamn som kan komma åt resurser.
```
az ad app create --display-name myApp
```
Det här kommandot matar ut JSON med en appId som är din client-id. is objectIdAPPLICATION-OBJECT-ID och används för att skapa federerade autentiseringsuppgifter med Graph API-anrop. Spara värdet som ska användas som AZURE_CLIENT_ID GitHub-hemlighet senare.
Skapa ett huvudnamn för tjänsten. $appID Ersätt med appId från dina JSON-utdata. Det här kommandot genererar JSON-utdata med en annan objectId som används i nästa steg. Den nya objectId är assignee-object-id.

Det här kommandot genererar JSON-utdata med en annan objectId och används i nästa steg. Den nya objectId är assignee-object-id.

Kopiera som appOwnerTenantId ska användas som en GitHub-hemlighet för AZURE_TENANT_ID senare.
```
 az ad sp create --id $appId
```
Skapa en ny rolltilldelning efter prenumeration och objekt. Som standard är rolltilldelningen kopplad till din standardprenumeration. Ersätt $subscriptionId med ditt prenumerations-ID, $resourceGroupName med resursgruppens namn och $assigneeObjectId med genererat assignee-object-id (det nyligen skapade objekt-ID:t för tjänstens huvudnamn).
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
Kör följande kommando för att skapa en ny federerad identitetsautentiseringsuppgift för ditt Microsoft Entra-program.
- Ersätt APPLICATION-OBJECT-ID med objectId (genereras när du skapar appen) för ditt Microsoft Entra-program.
- Ange ett värde som CREDENTIAL-NAME ska refereras senare.
- subjectAnge . Värdet för detta definieras av GitHub beroende på ditt arbetsflöde:
  - Jobb i din GitHub Actions-miljö: repo:< Organization/Repository >:environment:< Name >
  - För Jobb som inte är knutna till en miljö inkluderar du referenssökvägen för gren/tagg baserat på referenssökvägen som används för att utlösa arbetsflödet: repo:< Organization/Repository >:ref:< ref path>. Exempel: repo:n-username/ node_express:ref:refs/heads/my-branch eller repo:n-username/ node_express:ref:refs/tags/my-tag.
  - För arbetsflöden som utlöses av en pull-begärandehändelse: repo:< Organization/Repository >:pull_request.
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

Kopiera azure database for PostgreSQL– flexibel server anslutningssträng

I Azure-portalen går du till din flexibla Azure Database for PostgreSQL-serverinstans och öppnar Inställningar> Anslut ionssträngar. Exempel på ADO.NET-anslutningssträng. Ersätt platshållarvärdena för your_database och your_password. Anslutningssträng ser ut ungefär så här.

Viktigt!

För Azure Database for PostgreSQL– enskild server använder du user=adminusername@servername . Observera att krävs @servername .
För flexibel Azure Database for PostgreSQL-server använder du user= adminusername utan @servername.

psql host={servername.postgres.database.azure.com} port=5432 dbname={your_database} user={adminusername} password={your_database_password} sslmode=require

Du använder anslutningssträng som en GitHub-hemlighet.

Gå till din lagringsplats i GitHub.
Gå till Inställningar i navigeringsmenyn.
Välj Säkerhetshemligheter > och variabler > Åtgärder.
Välj Ny lagringsplatshemlighet.
Klistra in hela JSON-utdata från Azure CLI-kommandot i hemlighetens värdefält. Ge hemligheten namnet AZURE_CREDENTIALS.
Välj Add secret (Lägg till hemlighet).

Du måste ange programmets klient-ID, klient-ID och prenumerations-IDför inloggningsåtgärden. Dessa värden kan antingen anges direkt i arbetsflödet eller lagras i GitHub-hemligheter och refereras till i arbetsflödet. Att spara värdena som GitHub-hemligheter är det säkrare alternativet.

Gå till din lagringsplats i GitHub.
Välj Säkerhetshemligheter > och variabler > Åtgärder.
Välj Ny lagringsplatshemlighet.
Skapa hemligheter för AZURE_CLIENT_ID, AZURE_TENANT_IDoch AZURE_SUBSCRIPTION_ID. Använd dessa värden från ditt Microsoft Entra-program för dina GitHub-hemligheter:

GitHub-hemlighet Microsoft Entra-program

AZURE_CLIENT_ID App-ID (klient-ID)

AZURE_TENANT_ID Katalog-ID (klientorganisation)

AZURE_SUBSCRIPTION_ID Prenumerations-ID:t
Spara varje hemlighet genom att välja Lägg till hemlighet.

GitHub-hemlighet	Microsoft Entra-program
AZURE_CLIENT_ID	App-ID (klient-ID)
AZURE_TENANT_ID	Katalog-ID (klientorganisation)
AZURE_SUBSCRIPTION_ID	Prenumerations-ID:t

Lägg till arbetsflödet

Gå till Åtgärder för din GitHub-lagringsplats.
Välj Konfigurera arbetsflödet själv.
Ta bort allt efter avsnittet i on: arbetsflödesfilen. Ditt återstående arbetsflöde kan till exempel se ut så här.
```
name: CI

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]
```

Byt namn på arbetsflödet PostgreSQL for GitHub Actions och lägg till utchecknings- och inloggningsåtgärderna. Dessa åtgärder checkar ut din webbplatskod och autentiserar med Azure med hjälp av GitHub-hemligheterna som du skapade tidigare.

Tjänstens huvud
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]

jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Använd åtgärden Azure PostgreSQL Deploy för att ansluta till din flexibla Azure Database for PostgreSQL-serverinstans. Ersätt POSTGRESQL_SERVER_NAME med namnet på servern. Du bör ha en flexibel serverdatafil för Azure Database for PostgreSQL med namnet data.sql på rotnivån för lagringsplatsen.
```
 - uses: azure/postgresql@v1
   with:
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    server-name: POSTGRESQL_SERVER_NAME
    plsql-file: './data.sql'
```

Slutför arbetsflödet genom att lägga till en åtgärd för att logga ut från Azure. Här är det slutförda arbetsflödet. Filen visas i mappen på .github/workflows lagringsplatsen.

Tjänstens huvud
OpenID Connect

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CREDENTIALS }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

name: PostgreSQL for GitHub Actions

on:
push:
    branches: [ main ]
pull_request:
    branches: [ main ]


jobs:
build:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v1
    - uses: azure/login@v1
    with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

- uses: azure/postgresql@v1
  with:
    server-name: POSTGRESQL_SERVER_NAME
    connection-string: ${{ secrets.AZURE_POSTGRESQL_CONNECTION_STRING }}
    plsql-file: './data.sql'

    # Azure logout
- name: logout
  run: |
     az logout

Granska distributionen

Gå till Åtgärder för din GitHub-lagringsplats.
Öppna det första resultatet om du vill se detaljerade loggar för arbetsflödets körning.

Rensa resurser

När azure database for PostgreSQL– flexibel serverdatabas och lagringsplats inte längre behövs rensar du de resurser som du har distribuerat genom att ta bort resursgruppen och din GitHub-lagringsplats.

Nästa steg

Lär dig mer om Azure- och GitHub-integrering

Lär dig hur du ansluter till servern