Einführung
In diesem Leitfaden wird erläutert, wie GitHub Actions zum Erstellen und Bereitstellen eines Docker-Containers für Azure App Service verwendet wird.
Note
Wenn deine GitHub Actions-Workflows auf Ressourcen eines Cloudanbieters zugreifen müssen, der OpenID Connect (OIDC) unterstützt, kannst du deine Workflows so konfigurieren, dass die Authentifizierung direkt beim Cloudanbieter erfolgt. Dadurch musst du diese Anmeldeinformationen nicht mehr als langlebige Geheimnisse speichern und profitierst zudem von weiteren Sicherheitsvorteilen. Weitere Informationen findest du unter Informationen zur Sicherheitshärtung mit OpenID Connect. und Konfigurieren von OpenID Connect in Azure.
Voraussetzungen
Bevor du deinen GitHub Actions-Workflow erstellst, musst du die folgenden Einrichtungsschritte ausführen:
-
Erstellen eines Azure App Service-Plans
Du kannst beispielsweise die Azure CLI verwenden, um einen neuen App Service-Plan zu erstellen:
Bash az appservice plan create \ --resource-group MY_RESOURCE_GROUP \ --name MY_APP_SERVICE_PLAN \ --is-linux
az appservice plan create \ --resource-group MY_RESOURCE_GROUP \ --name MY_APP_SERVICE_PLAN \ --is-linux
Ersetze
MY_RESOURCE_GROUP
im obigen Befehl durch deine bereits vorhandene Azure-Ressourcengruppe undMY_APP_SERVICE_PLAN
durch einen neuen Namen für den App Service-Plan.Weitere Informationen zur Verwendung der Azure-Befehlszeilenschnittstelle findest du in der Azure-Dokumentation:
- Informationen zur Authentifizierung findest du unter Anmelden mit Azure CLI.
- Informationen zu Erstellen einer neuen Ressourcengruppe findest du unter az group.
-
Erstellen einer Web-App
Du kannst beispielsweise die Azure CLI verwenden, um eine Azure App Service-Web-App zu erstellen:
Shell az webapp create \ --name MY_WEBAPP_NAME \ --plan MY_APP_SERVICE_PLAN \ --resource-group MY_RESOURCE_GROUP \ --deployment-container-image-name nginx:latest
az webapp create \ --name MY_WEBAPP_NAME \ --plan MY_APP_SERVICE_PLAN \ --resource-group MY_RESOURCE_GROUP \ --deployment-container-image-name nginx:latest
Ersetze im obigen Befehl die Parameter durch eigene Werte, wobei
MY_WEBAPP_NAME
ein neuer Name für die Web-App ist. -
Konfiguriere ein Azure-Veröffentlichungsprofil, und erstelle ein
AZURE_WEBAPP_PUBLISH_PROFILE
-Geheimnis.Generiere Anmeldeinformationen für deine Azure-Bereitstellung mithilfe eines Veröffentlichungsprofils. Weitere Informationen findest du unter Generieren von Anmeldeinformationen für die Bereitstellung in der Azure-Dokumentation.
Erstelle in deinem GitHub-Repository ein Geheimnis namens
AZURE_WEBAPP_PUBLISH_PROFILE
, das den Inhalt des Veröffentlichungsprofils enthält. Weitere Informationen zum Erstellen von Geheimnissen findest du unter Verwenden von Geheimnissen in GitHub-Aktionen. -
Lege Registrierungsanmeldeinformationen für deine Web-App fest.
Erstelle ein personal access token (classic) mit den Bereichen
repo
undread:packages
. Weitere Informationen finden Sie unter Verwalten deiner persönlichen Zugriffstoken.Lege
DOCKER_REGISTRY_SERVER_URL
aufhttps://ghcr.io
fest, legeDOCKER_REGISTRY_SERVER_USERNAME
auf den GitHub-Benutzernamen oder die GitHub-Organisation fest, der oder die das Repository besitzt, und legeDOCKER_REGISTRY_SERVER_PASSWORD
auf dein personal access token von oben fest. Dadurch erhält deine Web-App Anmeldeinformationen, damit sie das Containerimage pullen kann, nachdem dein Workflow ein neu erstelltes Image in die Registrierung pusht. Dafür kannst du den folgenden Azure CLI-Befehl verwenden:az webapp config appsettings set \ --name MY_WEBAPP_NAME \ --resource-group MY_RESOURCE_GROUP \ --settings DOCKER_REGISTRY_SERVER_URL=https://ghcr.io DOCKER_REGISTRY_SERVER_USERNAME=MY_REPOSITORY_OWNER DOCKER_REGISTRY_SERVER_PASSWORD=MY_PERSONAL_ACCESS_TOKEN
-
Konfiguriere optional auch eine Bereitstellungsumgebung. Umgebungen werden verwendet, um ein allgemeines Bereitstellungsziel wie
production
,staging
oderdevelopment
zu beschreiben. Wenn ein GitHub Actions-Workflow in einer Umgebung bereitgestellt wird, wird die Umgebung auf der Hauptseite des Repositorys angezeigt. Du kannst Umgebungen verwenden, um die Genehmigung für die Fortsetzung eines Auftrags anzufordern, einzuschränken, welche Branches einen Workflow auslösen können, Bereitstellungen mit benutzerdefinierten Bereitstellungsschutzregeln zu schützen oder den Zugriff auf Geheimnisse zu beschränken. Weitere Informationen zum Erstellen von Umgebungen findest du unter Verwalten von Umgebungen für die Bereitstellung.
Erstellen des Workflows
Nachdem die Voraussetzungen erfüllt sind, kannst du mit dem Erstellen des Workflows fortfahren.
Der folgende Beispielworkflow veranschaulicht, wie ein Docker-Container erstellt und in Azure App Service bereitgestellt wird, wenn ein Push zum main
-Branch vorhanden ist.
Stelle sicher, dass du AZURE_WEBAPP_NAME
im Workflowschlüssel env
auf den Namen der von dir erstellten Web-App festgelegt hast.
Wenn du eine Bereitstellungsumgebung konfiguriert hast, ändere den Wert environment
in den Namen deiner Umgebung. Wenn du keine Umgebung konfiguriert hast oder wenn sich dein Workflow in einem privaten Repository befindet und du GitHub Enterprise Cloud nicht verwendest, lösche den environment
-Schlüssel.
# Dieser Workflow verwendet Aktionen, die nicht von GitHub zertifiziert sind. # Sie werden von einem Drittanbieter bereitgestellt und unterliegen # separaten Nutzungsbedingungen, Datenschutzbestimmungen und Support # Onlinedokumentation. # GitHub empfiehlt, Aktionen an einen Commit-SHA anzuheften. # Um eine neuere Version zu erhalten, musst du den SHA aktualisieren. # Du kannst auch auf ein Tag oder einen Branch verweisen, aber die Aktion kann sich ohne Vorwarnung ändern. name: Build and deploy a container to an Azure Web App env: AZURE_WEBAPP_NAME: MY_WEBAPP_NAME # set this to your application's name on: push: branches: - main permissions: contents: 'read' packages: 'write' jobs: build: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - name: Set up Docker Buildx uses: docker/setup-buildx-action@7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b - name: Log in to GitHub container registry uses: docker/login-action@8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d with: registry: ghcr.io username: ${{ github.actor }} password: ${{ secrets.GITHUB_TOKEN }} - name: Lowercase the repo name run: echo "REPO=${GITHUB_REPOSITORY,,}" >>${GITHUB_ENV} - name: Build and push container image to registry uses: docker/build-push-action@9e0f1a2b3c4d5e6f7a8b9c0d1e2f3a4b5c6d7e8f with: push: true tags: ghcr.io/${{ env.REPO }}:${{ github.sha }} file: ./Dockerfile deploy: runs-on: ubuntu-latest needs: build environment: name: 'production' url: ${{ steps.deploy-to-webapp.outputs.webapp-url }} steps: - name: Lowercase the repo name run: echo "REPO=${GITHUB_REPOSITORY,,}" >>${GITHUB_ENV} - name: Deploy to Azure Web App id: deploy-to-webapp uses: azure/webapps-deploy@85270a1854658d167ab239bce43949edb336fa7c with: app-name: ${{ env.AZURE_WEBAPP_NAME }} publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }} images: 'ghcr.io/${{ env.REPO }}:${{ github.sha }}'
# Dieser Workflow verwendet Aktionen, die nicht von GitHub zertifiziert sind.
# Sie werden von einem Drittanbieter bereitgestellt und unterliegen
# separaten Nutzungsbedingungen, Datenschutzbestimmungen und Support
# Onlinedokumentation.
# GitHub empfiehlt, Aktionen an einen Commit-SHA anzuheften.
# Um eine neuere Version zu erhalten, musst du den SHA aktualisieren.
# Du kannst auch auf ein Tag oder einen Branch verweisen, aber die Aktion kann sich ohne Vorwarnung ändern.
name: Build and deploy a container to an Azure Web App
env:
AZURE_WEBAPP_NAME: MY_WEBAPP_NAME # set this to your application's name
on:
push:
branches:
- main
permissions:
contents: 'read'
packages: 'write'
jobs:
build:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Set up Docker Buildx
uses: docker/setup-buildx-action@7a8b9c0d1e2f3a4b5c6d7e8f9a0b1c2d3e4f5a6b
- name: Log in to GitHub container registry
uses: docker/login-action@8c9d0e1f2a3b4c5d6e7f8a9b0c1d2e3f4a5b6c7d
with:
registry: ghcr.io
username: ${{ github.actor }}
password: ${{ secrets.GITHUB_TOKEN }}
- name: Lowercase the repo name
run: echo "REPO=${GITHUB_REPOSITORY,,}" >>${GITHUB_ENV}
- name: Build and push container image to registry
uses: docker/build-push-action@9e0f1a2b3c4d5e6f7a8b9c0d1e2f3a4b5c6d7e8f
with:
push: true
tags: ghcr.io/${{ env.REPO }}:${{ github.sha }}
file: ./Dockerfile
deploy:
runs-on: ubuntu-latest
needs: build
environment:
name: 'production'
url: ${{ steps.deploy-to-webapp.outputs.webapp-url }}
steps:
- name: Lowercase the repo name
run: echo "REPO=${GITHUB_REPOSITORY,,}" >>${GITHUB_ENV}
- name: Deploy to Azure Web App
id: deploy-to-webapp
uses: azure/webapps-deploy@85270a1854658d167ab239bce43949edb336fa7c
with:
app-name: ${{ env.AZURE_WEBAPP_NAME }}
publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
images: 'ghcr.io/${{ env.REPO }}:${{ github.sha }}'
Zusätzliche Ressourcen
Die folgenden Ressourcen können ebenfalls nützlich sein:
- Die ursprüngliche Workflowvorlage finden Sie unter
azure-container-webapp.yml
im GitHub Actions-Repositorystarter-workflows
. - Die zum Bereitstellen der Web-App verwendete Aktion ist die offizielle Azure-Aktion
Azure/webapps-deploy
. - Weitere Beispiele für GitHub Action-Workflows, die in Azure bereitgestellt werden können, findest du im Repository actions-workflow-samples.