使用 GitHub Actions 部署 ARM 模板

可以使用 Azure CLI 中的 az ad sp create-for-rbac 命令创建服务主体。

如果没有资源组，请创建一个。

    az group create -n {MyResourceGroup} -l {location}

请将 myApp 占位符替换为应用程序的名称。

   az ad sp create-for-rbac --name {myApp} --role contributor --scopes /subscriptions/{subscription-id}/resourceGroups/{MyResourceGroup} --sdk-auth

在上面的示例中，请将占位符替换为你的订阅 ID 和资源组名称。 输出是一个 JSON 对象，包含的角色分配凭据可提供对应用程序服务应用的访问权限，如下所示。 复制此 JSON 对象供以后使用。 你只需要具有 clientId、clientSecret、subscriptionId 和 tenantId 值的部分。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect 是一种使用短期令牌的身份验证方法。 使用 GitHub Actions 设置 OpenID Connect 的过程会更复杂，能提供更强的安全性。

1. 如果没有现有的应用程序，请注册一个可访问资源的新 Active Directory 应用程序和服务主体。 创建 Active Directory 应用程序。

   az ad app create --display-name myApp
   

   此命令将输出 JSON，其中 appId 为你的 client-id。 保存该值，稍后将其用作 AZURE_CLIENT_ID GitHub 机密。

   使用图形 API 创建联合凭据时，将使用 objectId 值，并将其引用为 APPLICATION-OBJECT-ID。

2. 创建服务主体。 将 $appID 替换为 JSON 输出中的 appId。

   此命令使用不同的 objectId 生成 JSON 输出，将在下一步中使用。 新的 objectId 是 assignee-object-id。

   复制 appOwnerTenantId 以在稍后用作 AZURE_TENANT_ID 的 GitHub 机密。

    az ad sp create --id $appId
   

3. 按订阅和对象创建新的角色分配。 默认情况下，角色分配将绑定到默认订阅。 将 $subscriptionId 替换为你的订阅 ID，将 $resourceGroupName 替换为你的资源组名称，将 $assigneeObjectId 替换为生成的 assignee-object-id。 了解如何使用 Azure CLI 管理 Azure 订阅。

   az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scopes /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName/providers/Microsoft.Web/sites/
   

4. 运行以下命令，为 Active Directory 应用程序创建新的联合标识凭据。

   • 将 APPLICATION-OBJECT-ID 替换为 Active Directory 应用程序的 objectId（在创建应用时生成）。
   • 为 CREDENTIAL-NAME 设置一个值供以后引用。
   • 设置 subject。 此项的值由 GitHub 根据工作流定义：
     • GitHub Actions 环境中的作业：repo:< Organization/Repository >:environment:< Name >
     • 对于未绑定到环境的作业，请根据用于触发工作流的 ref 路径包括分支/标记的 ref 路径：repo:< Organization/Repository >:ref:< ref path>。 例如 repo:n-username/ node_express:ref:refs/heads/my-branch 或 repo:n-username/ node_express:ref:refs/tags/my-tag。
     • 对于由拉取请求事件触发的工作流：repo:< Organization/Repository >:pull_request。

   az rest --method POST --uri 'https://microsoftgraph.chinacloudapi.cn/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

需要为 Azure 凭据、资源组和订阅创建机密。

1. 在 GitHub 中，浏览你的存储库。

2. 选择“设置”>“机密”>“新建机密”。

3. 将 Azure CLI 命令的整个 JSON 输出粘贴到机密的值字段中。 为机密指定名称 AZURE_CREDENTIALS。

4. 创建另一个名为 AZURE_RG 的机密。 将资源组的名称添加到该机密的“值”字段（例如：myResourceGroup）。

5. 再创建一个名为 AZURE_SUBSCRIPTION 的机密。 将订阅 ID 添加到该机密的“值”字段（例如：90fd3f9d-4c61-432d-99ba-1273f236afa2）。

需要向登录操作提供应用程序的“客户端 ID”、“租户 ID”和“订阅 ID”。 这些值可直接在工作流中提供，或可存储在 GitHub 机密中并在工作流中引用。 将这些值保存为 GitHub 机密是更安全的选择。

1. 打开 GitHub 存储库并转到“设置”。

2. 选择“设置”>“机密”>“新建机密”。

3. 为 AZURE_CLIENT_ID、AZURE_TENANT_ID 和 AZURE_SUBSCRIPTION_ID 创建机密。 将 Active Directory 应用程序中的这些值用于 GitHub 机密：

   GitHub 机密	Active Directory 应用程序
   AZURE_CLIENT_ID	应用程序（客户端）ID
   AZURE_TENANT_ID	目录（租户）ID
   AZURE_SUBSCRIPTION_ID	订阅 ID

4. 通过选择“添加机密”来保存每个机密。

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          creds: ${{ secrets.AZURE_CREDENTIALS }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

工作流文件的第一部分包含：

• name：工作流的名称。
• 事件：触发工作流的 GitHub 事件的名称。 当主分支上有推送事件时，会触发工作流，修改所指定的两个文件中的至少一个。 这两个文件分别是工作流文件和模板文件。

  on: [push]
  name: Azure ARM
  jobs:
    build-and-deploy:
      runs-on: ubuntu-latest
      steps:

        # Checkout code
      - uses: actions/checkout@main

        # Log into Azure
      - uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

        # Deploy ARM template
      - name: Run ARM deploy
        uses: azure/arm-deploy@v1
        with:
          subscriptionId: ${{ secrets.AZURE_SUBSCRIPTION }}
          resourceGroupName: ${{ secrets.AZURE_RG }}
          template: ./azuredeploy.json
          parameters: storageAccountType=Standard_LRS

        # output containerName variable from template
      - run: echo ${{ steps.deploy.outputs.containerName }}

工作流文件的第一部分包含：

• name：工作流的名称。
• 事件：触发工作流的 GitHub 事件的名称。 当主分支上有推送事件时，会触发工作流，修改所指定的两个文件中的至少一个。 这两个文件分别是工作流文件和模板文件。