Egyéni virtuálisgép-rendszerképek létrehozása a GitHub Actions és az Azure használatával

Cikk
02/14/2024

Ismerkedjen meg a GitHub Actions szolgáltatással egy munkafolyamat létrehozásával, amely létrehoz egy virtuálisgép-rendszerképet.

A GitHub Actions segítségével felgyorsíthatja a CI/CD-folyamatot, ha egyéni virtuálisgép-lemezképeket hoz létre a munkafolyamatok összetevőivel. Képeket is készíthet, és terjesztheti őket egy megosztott képgyűjteményben.

Ezeket a rendszerképeket ezután virtuális gépek és virtuálisgép-méretezési csoportok létrehozásához használhatja.

A virtuális gép buildelési rendszerkép-művelete az Azure Image Builder szolgáltatást használja.

Előfeltételek

Egy Azure-fiók, aktív előfizetéssel. Fiók ingyenes létrehozása.
Egy GitHub-fiók aktív adattárral. Ha nincs fiókja, ingyenesen regisztrálhat egyet.
- Ez a példa a Java Spring PetClinic mintaalkalmazást használja.
Egy Azure Compute Gallery képpel.
- Hozzon létre egy Azure Compute Galleryt.
- Lemezkép létrehozása.

Munkafolyamat-fájl áttekintése

A munkafolyamatokat egy YAML-fájl (.yml) határozza meg az /.github/workflows/ adattár elérési útján. Ez a definíció a munkafolyamatot alkotó különböző lépéseket és paramétereket tartalmazza.

A fájl három szakaszból áll:

Szakasz	Tevékenységek
Hitelesítés	1. Felhasználó által felügyelt identitás hozzáadása. 2. Szolgáltatásnév vagy open id Csatlakozás beállítása. 3. Hozzon létre egy GitHub-titkos kulcsot.
Build	1. A környezet beállítása. 2. Az alkalmazás létrehozása.
Rendszerkép	1. Virtuálisgép-rendszerkép létrehozása. 2. Hozzon létre egy virtuális gépet.

Felhasználó által felügyelt identitás létrehozása

A rendszerképek terjesztéséhez szüksége lesz egy felhasználó által felügyelt identitásra az Azure Image Builderhez (AIB). Az Azure-beli felhasználó által hozzárendelt felügyelt identitást a rendszer a rendszerkép összeállítása során fogja használni képek olvasására és közös képgyűjteménybe való írására.

Felhasználó által felügyelt identitás létrehozása az Azure CLI-vel vagy az Azure Portallal. Írja le a felügyelt identitás nevét.

Szabja testre ezt a JSON-kódot. Cserélje le a helyőrzőket az előfizetés azonosítójára {subscriptionID} és {rgName}az erőforráscsoport nevére.

{
"properties": {
    "roleName": "Image Creation Role",
    "IsCustom": true,
    "description": "Azure Image Builder access to create resources for the image build",
    "assignableScopes": [
      "/subscriptions/{subscriptionID}/resourceGroups/{rgName}"
    ],
    "permissions": [
        {
            "actions": [
                "Microsoft.Compute/galleries/read",
                "Microsoft.Compute/galleries/images/read",
                "Microsoft.Compute/galleries/images/versions/read",
                "Microsoft.Compute/galleries/images/versions/write",
                "Microsoft.Compute/images/write",
                "Microsoft.Compute/images/read",
                "Microsoft.Compute/images/delete"
            ],
            "notActions": [],
            "dataActions": [],
            "notDataActions": []
        }
    ]
    } 
}

Ezzel a JSON-kóddal új egyéni szerepkört hozhat létre a JSON használatával.
Az Azure Portalon nyissa meg az Azure Compute Galleryt, és lépjen a Hozzáférés-vezérlés (IAM) elemre.
Válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget, és rendelje hozzá a képlétrehozási szerepkört a felhasználó által felügyelt identitáshoz.

Üzembehelyezési hitelesítő adatok létrehozása

Egyszerű szolgáltatás
OpenID Connect

Hozzon létre egy egyszerű szolgáltatást az az ad sp create-for-rbac paranccsal az Azure CLI-ben. Futtassa ezt a parancsot az Azure Cloud Shell használatával az Azure Portalon, vagy a Kipróbálás gombra kattintva.

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

A paraméter --json-auth az Azure CLI 2.51.0-s verzióiban >érhető el. A használat --sdk-auth előtti verziók elavultsági figyelmeztetéssel.

A fenti példában cserélje le a helyőrzőket az előfizetés azonosítójára, az erőforráscsoport nevére és az alkalmazás nevére. A kimenet egy JSON-objektum, amelynek szerepkör-hozzárendelési hitelesítő adatai az alábbiakhoz hasonló hozzáférést biztosítanak az App Service-alkalmazáshoz. Másolja ezt a JSON-objektumot későbbre.

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

Az OpenID Csatlakozás egy olyan hitelesítési módszer, amely rövid élettartamú jogkivonatokat használ. Az OpenID Csatlakozás beállítása a GitHub Actions használatával összetettebb folyamat, amely fokozott biztonságot nyújt.

Ha nem rendelkezik meglévő alkalmazással, regisztráljon egy új Microsoft Entra-alkalmazást és szolgáltatásnevet, amely hozzáfér az erőforrásokhoz.
```
az ad app create --display-name myApp
```
Ez a parancs jSON-t appId ad ki az Ön által.client-id Ez objectId az, APPLICATION-OBJECT-ID és az összevont hitelesítő adatok Graph API-hívásokhoz való létrehozásához lesz használva. Mentse később GitHub-titkos kódként AZURE_CLIENT_ID használni kívánt értéket.
Hozzon létre egy szolgáltatásnevet. Cserélje le az $appID appId-et a JSON-kimenetből. Ez a parancs egy másik objectId JSON-kimenetet hoz létre a következő lépésben. Az új objectId a assignee-object-id.

Ez a parancs egy másik objectId JSON-kimenetet hoz létre, és a következő lépésben fogja használni. Az új objectId a assignee-object-id.

Másolja ki a appOwnerTenantId gitHub-titkos kódként való használathoz későbbi használatra AZURE_TENANT_ID .
```
 az ad sp create --id $appId
```
Hozzon létre egy új szerepkör-hozzárendelést előfizetés és objektum szerint. A szerepkör-hozzárendelés alapértelmezés szerint az alapértelmezett előfizetéshez lesz kötve. Cserélje le $subscriptionId az előfizetés azonosítóját az $resourceGroupName erőforráscsoport nevére és $assigneeObjectId a generáltra assignee-object-id (az újonnan létrehozott szolgáltatásnév-objektumazonosítóra).
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
Futtassa az alábbi parancsot egy új összevont identitás hitelesítő adatainak létrehozásához a Microsoft Entra-alkalmazáshoz.
- Cserélje le APPLICATION-OBJECT-ID a Microsoft Entra-alkalmazás objektumazonosítóját (amely az alkalmazás létrehozásakor jön létre).
- Adjon meg egy értéket a CREDENTIAL-NAME későbbi hivatkozáshoz.
- Állítsa be a subject. Ennek értékét a GitHub határozza meg a munkafolyamattól függően:
  - Feladatok a GitHub Actions-környezetben: repo:< Organization/Repository >:environment:< Name >
  - A környezethez nem kapcsolódó feladatok esetében adja meg az ág/címke hiv elérési útját a munkafolyamat aktiválásához használt hiv elérési út alapján: repo:< Organization/Repository >:ref:< ref path>. Például, repo:n-username/ node_express:ref:refs/heads/my-branch vagy repo:n-username/ node_express:ref:refs/tags/my-tag.
  - Lekéréses kérelem esemény által aktivált munkafolyamatok esetén: repo:< Organization/Repository >:pull_request.
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

A GitHubon nyissa meg az adattárat.
Nyissa meg a Gépház a navigációs menüben.
Válassza ki a Biztonsági > titkos kulcsok és változók > műveletek lehetőséget.
Válassza az Új tárház titkos kódját.
Illessze be az Azure CLI parancs teljes JSON-kimenetét a titkos kód értékmezőjébe. Adja meg a titkos nevet AZURE_CREDENTIALS.
Válassza az Add secret (Titkos kód hozzáadása) lehetőséget.

Meg kell adnia az alkalmazás ügyfél-azonosítóját, bérlőazonosítóját és előfizetés-azonosítóját a bejelentkezési művelethez. Ezek az értékek közvetlenül a munkafolyamatban is megadhatóak, vagy a GitHub titkos kulcsaiban tárolhatók, és a munkafolyamatban hivatkozhatnak gombra. Az értékek GitHub-titkos kulcsként való mentése a biztonságosabb megoldás.

A GitHubon nyissa meg az adattárat.
Válassza ki a Biztonsági > titkos kulcsok és változók > műveletek lehetőséget.
Válassza az Új tárház titkos kódját.

Titkos kulcsok létrehozása a következőhöz AZURE_CLIENT_ID: , AZURE_TENANT_IDés AZURE_SUBSCRIPTION_ID. Használja ezeket az értékeket a Microsoft Entra-alkalmazásból a GitHub-titkos kulcsokhoz:

GitHub-titkos kód	Microsoft Entra-alkalmazás
AZURE_CLIENT_ID	Alkalmazás (ügyfél) azonosítója
AZURE_TENANT_ID	Címtár (bérlő) azonosítója
AZURE_SUBSCRIPTION_ID	Előfizetés azonosítója

Mentse az egyes titkos kulcsokat a Titkos kód hozzáadása gombra kattintva.

Az Azure Bejelentkezési művelettel a GitHub-titkos kód használatával hitelesítheti magát az Azure-ban.

Egyszerű szolgáltatás
Azonosító megnyitása Csatlakozás

Ebben a munkafolyamatban az Azure bejelentkezési művelettel hitelesíthet a szolgáltatásnévben secrets.AZURE_CREDENTIALStárolt adatokkal. Ezután futtat egy Azure CLI-műveletet. A GitHub-titkos kódok munkafolyamat-fájlban való hivatkozásáról a GitHub Docs titkosított titkos kulcsainak használata című témakörben olvashat bővebben.

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'

Az Open ID Csatlakozás az Active Directory-alkalmazáshoz társított összevont hitelesítő adatokat fogja használni.

A GitHub-titkos kódok munkafolyamat-fájlban való hivatkozásáról a GitHub Docs titkosított titkos kulcsainak használata című témakörben olvashat bővebben.

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

A Java konfigurálása

Állítsa be a Java-környezetet a Java Setup SDK művelettel. Ebben a példában beállítja a környezetet, a Mavennel épít, majd egy összetevőt ad ki.

A GitHub-összetevők használatával fájlokat oszthat meg egy munkafolyamatban a feladatok között. Létre fog hozni egy összetevőt a JAR-fájl tárolásához, majd hozzáadja a virtuális gép lemezképéhez.

Egyszerű szolgáltatás
Azonosító megnyitása Csatlakozás

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    strategy:
      matrix:
        java: [ '17' ]

    steps:
    - name: Checkout
      uses: actions/checkout@v3    

    - name: Login via Az module
      uses: azure/login@v1
      with:
        creds: ${{secrets.AZURE_CREDENTIALS}}

    - name: Set up JDK ${{matrix.java}}
      uses: actions/setup-java@v2
      with:
        java-version: ${{matrix.java}}
        distribution: 'adopt'
        cache: maven
    - name: Build with Maven Wrapper
      run: ./mvnw -B package
        
    - name: Build Java
      run: mvn --batch-mode --update-snapshots verify

    - run: mkdir staging && cp target/*.jar staging
    - uses: actions/upload-artifact@v2
      with:
        name: Package
        path: staging

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    strategy:
      matrix:
        java: [ '17' ]

    steps:
    - name: Checkout
      uses: actions/checkout@v3    

    - name: Login via Az module
      uses: azure/login@v1
      with:
        creds: ${{secrets.AZURE_CREDENTIALS}}

    - name: Set up JDK ${{matrix.java}}
      uses: actions/setup-java@v2
      with:
        java-version: ${{matrix.java}}
        distribution: 'adopt'
        cache: maven
    - name: Build with Maven Wrapper
      run: ./mvnw -B package
        
    - name: Build Java
      run: mvn --batch-mode --update-snapshots verify

    - run: mkdir staging && cp target/*.jar staging
    - uses: actions/upload-artifact@v2
      with:
        name: Package
        path: staging

A rendszerkép létrehozása

Egyéni virtuálisgép-rendszerkép létrehozásához használja az Azure Virtual Machine Image létrehozása műveletet .

Cserélje le a helyőrzőket {subscriptionID}{rgName}{Identity} az előfizetés azonosítójára, az erőforráscsoport nevére és a felügyelt identitás nevére. Cserélje le a képgyűjtemény és a képnév értékeit {galleryName} {imageName} .

Feljegyzés

Ha az Alkalmazás létrehozása parancskép létrehozása művelet engedélyhiba miatt meghiúsul, ellenőrizze, hogy hozzárendelte-e a képlétrehozó szerepkört a felhasználó által felügyelt identitáshoz.

    - name: Create App Baked Image
      id: imageBuilder
      uses: azure/build-vm-image@v0
      with:
        location: 'eastus2'
        resource-group-name: '{rgName}'
        managed-identity: '{Identity}' # Managed identity
        source-os-type: 'windows'
        source-image-type: 'platformImage'
        source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
        dist-type: 'SharedImageGallery'
        dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
        dist-location: 'eastus2'

Virtuális gép műveleti argumentumai

Bevitel	Kötelező	Leírás
`resource-group-name`	Igen	A buildelési folyamat során a tároláshoz és az összetevők mentéséhez használt erőforráscsoport.
`image-builder-template-name`	Nem	A használt képszerkesztő sablonerőforrás neve.
`location`	Igen	Az a hely, ahol az Azure Image Builder futni fog. Lásd a támogatott helyeket.
`build-timeout-in-minutes`	Nem	A build megszakításának időpontja. Alapértelmezett érték: 240.
`vm-size`	Választható	Alapértelmezés szerint a `Standard_D1_v2` rendszer ezt használja. Lásd a virtuális gépek méretét.
`managed-identity`	Igen	A felhasználó által korábban létrehozott identitás. Használja a teljes azonosítót, ha az identitás egy másik erőforráscsoportban található. Használja a nevet, ha ugyanabban az erőforráscsoportban található.
`source-os`	Igen	Az alaprendszerkép operációs rendszerének típusa (Linux vagy Windows)
`source-image-type`	Igen	Az egyéni rendszerkép létrehozásához használt alapképtípus.
`source-image`	Igen	Az alaprendszerkép erőforrás-azonosítója. A forrásrendszerképnek ugyanabban az Azure-régióban kell lennie, amely a hely bemeneti értékében van megadva.
`customizer-source`	Nem	Az a könyvtár, ahol megtarthatja az összes összetevőt, amelyet hozzá kell adni az alaprendszerképhez a testreszabáshoz. Alapértelmezés szerint az érték `${{ GITHUB.WORKSPACE }}/workflow-artifacts.`
`customizer-destination`	Nem	Ez az a könyvtár a testre szabott képen, ahová az összetevőket másolni kell.
`customizer-windows-update`	Nem	Csak Windows esetén. Logikai érték. Ha `true`a rendszerképkészítő a testreszabások végén futtatja a Windows-frissítést.
`dist-location`	Nem	A SharedImageGallery esetében ez a `dist-type`.
`dist-image-tags`	Nem	Ezek a felhasználó által definiált címkék, amelyek hozzáadódnak a létrehozott egyéni rendszerképhez (például: `version:beta`).

A virtuális gép létrehozása

Utolsó lépésként hozzon létre egy virtuális gépet a rendszerképből.

Cserélje le a helyőrzőket {rgName}az erőforráscsoport nevére.
Adjon hozzá egy GitHub-titkos kulcsot a virtuális gép jelszavával (VM_PWD). Mindenképpen írja le a jelszót, mert nem fogja tudni újra látni. Felhasználónév: myuser.

    - name: CREATE VM
      uses: azure/CLI@v1
      with:
        azcliversion: 2.0.72
        inlineScript: |
        az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
            --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"

TELJES YAML

Egyszerű szolgáltatás
Azonosító megnyitása Csatlakozás

  on: [push]

  name: Create Custom VM Image

  jobs:
    build-image:
      runs-on: ubuntu-latest    
      steps:
      - name: Checkout
        uses: actions/checkout@v2    

      - name: Login via Az module
        uses: azure/login@v1
        with:
          creds: ${{secrets.AZURE_CREDENTIALS}}

      - name: Setup Java 1.8.x
        uses: actions/setup-java@v1
        with:
          java-version: '1.8.x'
          
      - name: Build Java
        run: mvn --batch-mode --update-snapshots verify

      - run: mkdir staging && cp target/*.jar staging
      - uses: actions/upload-artifact@v2
        with:
          name: Package
          path: staging

      - name: Create App Baked Image
        id: imageBuilder
        uses: azure/build-vm-image@v0
        with:
          location: 'eastus2'
          resource-group-name: '{rgName}'
          managed-identity: '{Identity}' # Managed identity
          source-os-type: 'windows'
          source-image-type: 'platformImage'
          source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
          dist-type: 'SharedImageGallery'
          dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
          dist-location: 'eastus2'

      - name: CREATE VM
        uses: azure/CLI@v1
        with:
          azcliversion: 2.0.72
          inlineScript: |
          az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
              --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"

  on: [push]

  name: Create Custom VM Image

  jobs:
    build-image:
      runs-on: ubuntu-latest    
      steps:
      - name: Checkout
        uses: actions/checkout@v2    

      - name: Login via Az module
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      - name: Setup Java 1.8.x
        uses: actions/setup-java@v1
        with:
          java-version: '1.8.x'
          
      - name: Build Java
        run: mvn --batch-mode --update-snapshots verify

      - run: mkdir staging && cp target/*.jar staging
      - uses: actions/upload-artifact@v2
        with:
          name: Package
          path: staging

      - name: Create App Baked Image
        id: imageBuilder
        uses: azure/build-vm-image@v0
        with:
          location: 'eastus2'
          resource-group-name: '{rgName}'
          managed-identity: '{Identity}' # Managed identity
          source-os-type: 'windows'
          source-image-type: 'platformImage'
          source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
          dist-type: 'SharedImageGallery'
          dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
          dist-location: 'eastus2'

      - name: CREATE VM
        uses: azure/CLI@v1
        with:
          azcliversion: 2.0.72
          inlineScript: |
          az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
              --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"

Következő lépések

Megtudhatja, hogyan helyezheti üzembe az Azure-ban.

Megosztás a következőn keresztül:

Egyéni virtuálisgép-rendszerképek létrehozása a GitHub Actions és az Azure használatával

Előfeltételek

Munkafolyamat-fájl áttekintése

Felhasználó által felügyelt identitás létrehozása

Üzembehelyezési hitelesítő adatok létrehozása

GitHub-titkos kódok létrehozása

A Java konfigurálása

A rendszerkép létrehozása

Virtuális gép műveleti argumentumai

A virtuális gép létrehozása

TELJES YAML

Következő lépések

Visszajelzés

További források

Megosztás a következőn keresztül:

Egyéni virtuálisgép-rendszerképek létrehozása a GitHub Actions és az Azure használatával

Előfeltételek

Munkafolyamat-fájl áttekintése

Felhasználó által felügyelt identitás létrehozása

Üzembehelyezési hitelesítő adatok létrehozása

GitHub-titkos kódok létrehozása

Az Azure bejelentkezési műveletének használata

A Java konfigurálása

A rendszerkép létrehozása

Virtuális gép műveleti argumentumai

A virtuális gép létrehozása

TELJES YAML

Következő lépések

Visszajelzés

További források