将 GitHub Actions 与 Azure 机器学习配合使用

在 Azure CLI 中使用 az ad sp create-for-rbac 命令创建服务主体。

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --sdk-auth

在上面的示例中，请将占位符替换为你的订阅 ID、资源组名称和应用名称。 输出是一个 JSON 对象，包含的角色分配凭据可提供对应用服务应用的访问权限，如下所示。 复制此 JSON 对象供以后使用。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect 是一种使用短期令牌的身份验证方法。 使用 GitHub Actions 设置 OpenID Connect 的过程会更复杂，能提供更强的安全性。

1. 如果没有现有的应用程序，请注册一个可访问资源的新 Active Directory 应用程序和服务主体。 创建 Active Directory 应用程序。

   az ad app create --display-name myApp
   

   此命令将输出 JSON，其中 appId 为你的 client-id。 保存该值，稍后将其用作 AZURE_CLIENT_ID GitHub 机密。

   使用图形 API 创建联合凭据时，将使用 objectId 值，并将其引用为 APPLICATION-OBJECT-ID。

2. 创建服务主体。 将 $appID 替换为 JSON 输出中的 appId。

   此命令使用不同的 objectId 生成 JSON 输出，将在下一步中使用。 新的 objectId 是 assignee-object-id。

   复制 appOwnerTenantId 以在稍后用作 AZURE_TENANT_ID 的 GitHub 机密。

    az ad sp create --id $appId
   

3. 按订阅和对象创建新的角色分配。 默认情况下，角色分配将绑定到默认订阅。 将 $subscriptionId 替换为你的订阅 ID，将 $resourceGroupName 替换为你的资源组名称，将 $assigneeObjectId 替换为生成的 assignee-object-id。 了解如何使用 Azure CLI 管理 Azure 订阅。

   az role assignment create --role contributor --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal
   

4. 运行以下命令，为 Active Directory 应用程序创建新的联合标识凭据。

   • 将 APPLICATION-OBJECT-ID 替换为 Active Directory 应用程序的 objectId（在创建应用时生成）。
   • 为 CREDENTIAL-NAME 设置一个值供以后引用。
   • 设置 subject。 此项的值由 GitHub 根据工作流定义：
     • GitHub Actions 环境中的作业：repo:< Organization/Repository >:environment:< Name >
     • 对于未绑定到环境的作业，请根据用于触发工作流的 ref 路径包括分支/标记的 ref 路径：repo:< Organization/Repository >:ref:< ref path>。 例如 repo:n-username/ node_express:ref:refs/heads/my-branch 或 repo:n-username/ node_express:ref:refs/tags/my-tag。
     • 对于由拉取请求事件触发的工作流：repo:< Organization/Repository >:pull_request。

   az rest --method POST --uri 'https://microsoftgraph.chinacloudapi.cn/beta/applications/<APPLICATION-OBJECT-ID>/federatedIdentityCredentials' --body '{"name":"<CREDENTIAL-NAME>","issuer":"https://token.actions.githubusercontent.com","subject":"repo:organization/repository:ref:refs/heads/main","description":"Testing","audiences":["api://AzureADTokenExchange"]}' 
   

若要了解如何在 Azure 门户中创建 Active Directory 应用程序、服务主体和联合凭据，请参阅连接 GitHub 和 Azure。

1. 在 GitHub 中浏览存储库，选择“设置”>“机密”>“操作”。 选择“新建存储库机密”。

2. 将 Azure CLI 命令的整个 JSON 输出粘贴到机密的值字段中。 为机密指定名称 AZ_CREDS。

需要向登录操作提供应用程序的“客户端 ID”、“租户 ID”和“订阅 ID”。 这些值可直接在工作流中提供，或可存储在 GitHub 机密中并在工作流中引用。 将这些值保存为 GitHub 机密是更安全的选择。

1. 在 GitHub 中浏览存储库，选择“设置”>“机密”>“操作”。 选择“新建存储库机密”。

2. 为 AZURE_CLIENT_ID、AZURE_TENANT_ID 和 AZURE_SUBSCRIPTION_ID 创建机密。 将 Active Directory 应用程序中的这些值用于 GitHub 机密：

   GitHub 机密	Active Directory 应用程序
   AZURE_CLIENT_ID	应用程序（客户端）ID
   AZURE_TENANT_ID	目录（租户）ID
   AZURE_SUBSCRIPTION_ID	订阅 ID

3. 通过选择“添加机密”来保存每个机密。

工作流文件由触发器部分和作业组成：

• 触发器在 on 部分中启动工作流。 工作流默认按 cron 计划运行，也在匹配的分支和路径发出拉取请求时运行。 详细了解触发工作流的事件。
• 在工作流的作业部分中，签出代码并使用服务主体机密登录到 Azure。
• 作业部分还包括设置操作，用于安装和设置机器学习 CLI (v2)。 安装 CLI 后，运行作业操作将运行 Azure 机器学习 pipeline.yml 文件，以使用纽约出租车数据训练模型。

启用工作流

1. 在克隆的存储库中，打开 .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml 并验证工作流是否如下所示。

   name: cli-jobs-pipelines-nyc-taxi-pipeline
   on:
     workflow_dispatch:
     schedule:
       - cron: "0 0/4 * * *"
     pull_request:
       branches:
         - main
         - sdk-preview
       paths:
         - cli/jobs/pipelines/nyc-taxi/**
         - .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml
         - cli/run-pipeline-jobs.sh
         - cli/setup.sh
   jobs:
     build:
       runs-on: ubuntu-latest
       steps:
       - name: check out repo
         uses: actions/checkout@v2
       - name: azure login
         uses: azure/login@v1
         with:
           creds: ${{secrets.AZURE_CREDENTIALS}}
       - name: setup
         run: bash setup.sh
         working-directory: cli
         continue-on-error: true
       - name: run job
         run: bash -x ../../../run-job.sh pipeline.yml
         working-directory: cli/jobs/pipelines/nyc-taxi
   

2. 选择“查看运行”。

3. 选择“我了解我的工作流，继续并启用”以启用工作流。

4. 选择 cli-jobs-pipelines-nyc-taxi-pipeline 工作流并选择“启用工作流”。

5. 选择“运行工作流”，并选择立即运行工作流。

工作流文件由触发器部分和作业组成：

• 触发器在 on 部分中启动工作流。 工作流默认按 cron 计划运行，也在匹配的分支和路径发出拉取请求时运行。 详细了解触发工作流的事件。
• 在工作流的作业部分中，签出代码并使用 OpenID Connect 通过 Azure 登录操作登录到 Azure。
• 作业部分还包括设置操作，用于安装和设置机器学习 CLI (v2)。 安装 CLI 后，运行作业操作将运行 Azure 机器学习 pipeline.yml 文件，以使用纽约出租车数据训练模型。

启用工作流

1. 在克隆的存储库中，打开 .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml 并验证工作流是否如下所示。

   name: cli-jobs-pipelines-nyc-taxi-pipeline
   on:
     workflow_dispatch:
     schedule:
       - cron: "0 0/4 * * *"
     pull_request:
       branches:
         - main
         - sdk-preview
       paths:
         - cli/jobs/pipelines/nyc-taxi/**
         - .github/workflows/cli-jobs-pipelines-nyc-taxi-pipeline.yml
         - cli/run-pipeline-jobs.sh
         - cli/setup.sh
   jobs:
     build:
       runs-on: ubuntu-latest
       steps:
       - name: check out repo
         uses: actions/checkout@v2
       - name: azure login
         uses: azure/login@v1
         with:
             client-id: ${{ secrets.AZURE_CLIENT_ID }}
             tenant-id: ${{ secrets.AZURE_TENANT_ID }}
             subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
       - name: setup
         run: bash setup.sh
         working-directory: cli
         continue-on-error: true
       - name: run job
         run: bash -x ../../../run-job.sh pipeline.yml
         working-directory: cli/jobs/pipelines/nyc-taxi
   

2. 选择“查看运行”。

3. 选择“我了解我的工作流，继续并启用”以启用工作流。

4. 选择 cli-jobs-pipelines-nyc-taxi-pipeline 工作流并选择“启用工作流”。

   

5. 选择“运行工作流”，并选择立即运行工作流。