Skip to main content

Configuración de redes privadas para los ejecutores hospedados en GitHub

Aprenda a usar ejecutores hospedados GitHub con una red privada Azure.

Notas:

  • El uso de ejecutores hospedados en GitHub con una VNET de Azure está en versión beta y sujeto a cambios.
  • Solo se admiten ejecutores de Ubuntu y Windows 4-64 CPU con la VNET de Azure. Para obtener más información acerca de los grupos de ejecutores, véase "Acerca de los ejecutores más grandes."
  • Las regiones admitidas incluyen East US, East US 2 y West US 2. Para solicitar soporte técnico para una región que no está en esta lista, rellene el formulario de solicitud de región.
  • Las redes privadas para ejecutores hospedados en GitHub no son compatibles con direcciones IP estáticas para ejecutadores de mayor capacidad. Debe usar direcciones IP dinámicas, que es la configuración predeterminada para los ejecutadores de mayor capacidad. Para más información sobre conexiones en red para ejecutadores de mayor capacidad, véase "Acerca de los ejecutores más grandes".

Acerca de la configuración de la red privada para los ejecutores hospedados en GitHub

To use GitHub-hosted runners with Azure VNET, you will need to configure your Azure resources then create an Azure private network configuration in GitHub.

Los siguientes procedimientos lo guiarán a través del proceso de configuración completo.

Advertencia: Ensure your Azure resources have been configured before adding a network configuration in GitHub. For more information, see "Configuración de redes privadas para los ejecutores hospedados en GitHub."

Configuración de recursos de Azure

Usará un script para automatizar la configuración de los recursos de Azure.

Requisitos previos

  • Use una cuenta de Azure con el rol de colaborador de la suscripción y el rol de colaborador de red. Estos roles permiten registrar el proveedor de recursos GitHub.Network y delegar la subred. Para más información, consulta Roles integrados de Azure en Microsoft Learn.

  • Para asociar correctamente las subredes con el usuario adecuado, los recursos de NetworkSettings de Azure se deben crear en las mismas suscripciones en las que se crean las redes virtuales.

  • Para garantizar la disponibilidad de recursos o la residencia de datos, los recursos deben crearse en la misma región de Azure.

  • Guarde el siguiente archivo .bicep. Asigne al archivo el nombre actions-nsg-deployment.bicep.

    Nota: Como alternativa, para permitir que los GitHub Actions se comunique con los ejecutores, puede permitir los mismos dominios de firewall necesarios para la comunicación entre ejecutores autohospedados y GitHub Enterprise Cloud. Para obtener más información, vea «Acerca de los ejecutores autohospedados».

    Bicep
    @description('NSG for outbound rules')
    param location string
    param nsgName string = 'actions_NSG'
    
    resource actions_NSG 'Microsoft.Network/networkSecurityGroups@2017-06-01' = {
      name: nsgName
      location: location
      properties: {
        securityRules: [
          {
            name: 'DenyInternetOutBoundOverwrite'
            properties: {
              protocol: '*'
              sourcePortRange: '*'
              destinationPortRange: '*'
              sourceAddressPrefix: '*'
              destinationAddressPrefix: 'Internet'
              access: 'Deny'
              priority: 400
              direction: 'Outbound'
            }
          }
          {
            name: 'AllowVnetOutBoundOverwrite'
            properties: {
              protocol: 'TCP'
              sourcePortRange: '*'
              destinationPortRange: '443'
              sourceAddressPrefix: '*'
              destinationAddressPrefix: 'VirtualNetwork'
              access: 'Allow'
              priority: 200
              direction: 'Outbound'
              destinationAddressPrefixes: []
            }
          }
          {
            name: 'AllowAzureCloudOutBound'
            properties: {
              protocol: 'TCP'
              sourcePortRange: '*'
              destinationPortRange: '443'
              sourceAddressPrefix: '*'
              destinationAddressPrefix: 'AzureCloud'
              access: 'Allow'
              priority: 210
              direction: 'Outbound'
              destinationAddressPrefixes: []
            }
          }
          {
            name: 'AllowInternetOutBoundGitHub'
            properties: {
              protocol: 'TCP'
              sourcePortRange: '*'
              destinationPortRange: '443'
              sourceAddressPrefix: '*'
              access: 'Allow'
              priority: 220
              direction: 'Outbound'
              destinationAddressPrefixes: [
                '140.82.112.0/20'
                '143.55.64.0/20'
                '185.199.108.0/22'
                '192.30.252.0/22'
              ]
            }
          }        
        ]
      }
    }
    

1. Obtenga el databaseId para su empresa.

Puede usar la siguiente consulta de GraphQL para recuperar la empresa databaseId. Usará la empresa databaseId para el valor de la variable de entorno DATABASE_ID en el paso siguiente. Para más información sobre cómo trabajar con GraphQL, consulta "Formar llamados con GraphQl".

Variable de consultaDescripción
slugEl slug de aplicación de la cuenta empresarial, que puedes identificar examinando la dirección URL de tu empresa, https://github.com/enterprises/SLUG.
query(
  $slug: String!
){
  enterprise (slug: $slug)
  {
    slug
    databaseId
  }
}
'
Variables
{
  "slug": "ENTERPRISE_SLUG"
}

De forma alternativa, puede usar el siguiente comando curl para buscar su databaseId.

Shell
curl -H "Authorization: Bearer BEARER_TOKEN" -X POST \
  -d '{ "query": "query($slug: String!) { enterprise (slug: $slug) { slug databaseId } }" ,
        "variables": {
          "slug": "ENTERPRISE_SLUG"
        }
      }' \
https://api.github.com/graphql

2. Use un script para configurar los recursos de Azure

Use el siguiente script para configurar una subred para redes privadas de Azure. El script crea todos los recursos en el mismo grupo de recursos.

Para usar el script, rellene los valores de la variable de entorno de marcador de posición con los valores reales y ejecute el script desde un shell de Bash o Subsistema de Windows para Linux.

Notas:

  • Ejecute el siguiente script en el mismo directorio donde guardó el archivo actions-nsg-deployment.bicep.
  • Al establecer la variable de entorno YOUR_AZURE_LOCATION, use el nombre de la región. Este valor es diferente del nombre para mostrar de la región. Para ver una lista de nombres y nombres para mostrar, use az account list-locations -o table.
  • Al crear el recurso de configuración de red, se aplica un vínculo de asociación de servicio a la subred que proporcione. Este vínculo evita la eliminación accidental de la subred mientras se usa en el servicio GitHub Actions.
  • Si personaliza esta secuencia de comandos para usar recursos de red en subredes existentes, debe asegurarse de que las interfaces de red existentes (NIC) conectadas a la subred se eliminan antes de que la subred se delegue al servicio GitHub Actions. De lo contrario, el servicio no podrá aplicar el vínculo de asociación de servicio a la subred.
Bash
#!/bin/bash

# This script creates the following resources in the specified subscription:
# - Resource group
# - Network Security Group rules
# - Virtual network (vnet) and subnet
# - Network Settings with specified subnet and GitHub Enterprise database ID
#
# It also registers the `GitHub.Network` resource provider with the subscription,
# delegates the created subnet to the Actions service via the `GitHub.Network/NetworkSettings`
# resource type, and applies the NSG rules to the created subnet.

# stop on failure
set -e

#set environment
export AZURE_LOCATION=YOUR_AZURE_LOCATION
export SUBSCRIPTION_ID=YOUR_SUBSCRIPTION_ID
export RESOURCE_GROUP_NAME=YOUR_RESOURCE_GROUP_NAME
export VNET_NAME=YOUR_VNET_NAME
export SUBNET_NAME=YOUR_SUBNET_NAME
export NSG_NAME=YOUR_NSG_NAME
export NETWORK_SETTINGS_RESOURCE_NAME=YOUR_NETWORK_SETTINGS_RESOURCE_NAME
export DATABASE_ID=YOUR_DATABASE_ID

# These are the default values. You can adjust your address and subnet prefixes.
export ADDRESS_PREFIX=10.0.0.0/16
export SUBNET_PREFIX=10.0.0.0/24

echo
echo login to Azure
. az login --output none

echo
echo set account context $SUBSCRIPTION_ID
. az account set --subscription $SUBSCRIPTION_ID

echo
echo Register resource provider GitHub.Network
. az provider register --namespace GitHub.Network

echo
echo Create resource group $RESOURCE_GROUP_NAME at $AZURE_LOCATION
. az group create --name $RESOURCE_GROUP_NAME --location $AZURE_LOCATION

echo
echo Create NSG rules deployed with 'actions-nsg-deployment.bicep' file
. az deployment group create --resource-group $RESOURCE_GROUP_NAME --template-file ./actions-nsg-deployment.bicep --parameters location=$AZURE_LOCATION nsgName=$NSG_NAME

echo
echo Create vnet $VNET_NAME and subnet $SUBNET_NAME
. az network vnet create --resource-group $RESOURCE_GROUP_NAME --name $VNET_NAME --address-prefix $ADDRESS_PREFIX --subnet-name $SUBNET_NAME --subnet-prefixes $SUBNET_PREFIX

echo
echo Delegate subnet to GitHub.Network/networkSettings and apply NSG rules
. az network vnet subnet update --resource-group $RESOURCE_GROUP_NAME --name $SUBNET_NAME --vnet-name $VNET_NAME --delegations GitHub.Network/networkSettings --network-security-group $NSG_NAME

echo
echo Create network settings resource $NETWORK_SETTINGS_RESOURCE_NAME
. az resource create --resource-group $RESOURCE_GROUP_NAME  --name $NETWORK_SETTINGS_RESOURCE_NAME --resource-type GitHub.Network/networkSettings --properties "{ \"location\": \"$AZURE_LOCATION\", \"properties\" : {  \"subnetId\": \"/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP_NAME/providers/Microsoft.Network/virtualNetworks/$VNET_NAME/subnets/$SUBNET_NAME\", \"organizationId\": \"$DATABASE_ID\" }}" --is-full-object --output table --query "{GitHubId:tags.GitHubId, name:name}" --api-version 2023-11-01-preview

echo
echo To clean up and delete resources run the following command:
echo az group delete --resource-group $RESOURCE_GROUP_NAME

El script devolverá la carga completa del recurso creado. El valor hash de GitHubId devuelto en la carga útil del recurso creado es el identificador de recurso de configuración de red que usará en los pasos siguientes al configurar una opción de red en GitHub.

Configuración de una red en GitHub

Después de configurar los recursos de Azure, puede usar una red virtual de Azure (VNET) para redes privadas mediante la creación de una configuración de red para tu empresa. A continuación, puede asociar esa configuración de red a grupos de ejecutores. Para más información acerca de los grupos de ejecutores, consulta "Control del acceso a los ejecutores más grandes."

Una vez asociada la configuración de red a un grupo de ejecutores, todos los ejecutores de ese grupo tendrán acceso a la red virtual de Azure que se ha conectado a la configuración subyacente.

Requisitos previos

Ensure your Azure resources have been configured before adding a network configuration in GitHub. For more information, see "Configuración de redes privadas para los ejecutores hospedados en GitHub."

1. Agregar una nueva configuración de red

  1. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.

  2. En la lista de empresas, da clic en aquella que quieras ver.

  3. En la barra lateral de la cuenta de empresa, haz clic en Configuración.

  4. En la barra lateral de la izquierda, haz clic en Red informática alojada.

  5. Haga clic en la lista desplegable Nueva configuración de red. A continuación, haga clic en Red privada de Azure.

  6. Aporte un nombre a la configuración de red.

  7. Haga clic en Agregar red virtual de Azure.

  8. En la ventana emergente, escriba el identificador de recurso de configuración de red que recuperó al configurar los recursos de Azure para redes privadas.

  9. Haga clic en Agregar red virtual de Azure.

2. Creación de un grupo de ejecutores

Nota: Para que el grupo de ejecutores sea accesible por los repositorios de las organizaciones de su empresa, dichos repositorios deben tener acceso a ese grupo de ejecutores a nivel de organización. Para obtener más información, vea «Control del acceso a los ejecutores más grandes».

  1. Crea un nuevo grupo de ejecutores para la empresa. Para más información acerca de cómo crear un grupo de ejecutores, consulta "Control del acceso a los ejecutores más grandes."
  2. Para elegir una directiva para el acceso de la organización, selecciona el menú desplegable Acceso de la organización y haz clic en una directiva. Puedes configurar un grupo de ejecutores para que sea accesible a una lista de organizaciones específica o a todas las organizaciones en la empresa.
  3. Al configurar el grupo de ejecutores, en "Configuraciones de red", use el menú desplegable para seleccionar la configuración de red que creó para la red virtual de Azure.
  4. Para crear el grupo y aplicar la directiva, haga clic en Crear grupo.

3. Agregue un ejecutor GitHub

hospedado al grupo de ejecutores

Nota: Al agregar los datos del ejecutor hospedado en GitHub a un grupo de ejecutores, seleccione el grupo de ejecutores creado en los procedimientos anteriores.

  1. Agregue un ejecutor GitHub hospedado al grupo de ejecutores Para obtener más información, vea «Administración de ejecutores más grandes».

4. Opcionalmente, administrar configuraciones de red

  1. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.

  2. En la lista de empresas, da clic en aquella que quieras ver.

  3. En la barra lateral de la cuenta de empresa, haz clic en Configuración.

  4. En la barra lateral de la izquierda, haga clic en Redes de equipo hospedadas.

  5. Para editar una configuración de red, a la derecha de la configuración de red, haga clic en . A continuación, haga clic en Editar configuración.

  6. Para deshabilitar una configuración de red, a la derecha de la configuración de red, haga clic en . Posteriormente, haga clic en Deshabilitar.

  7. Para eliminar una configuración de red, a la derecha de la configuración de red, haga clic en . Luego haga clic en Eliminar.

Eliminación de una subred

Al crear el recurso de configuración de red, se aplica un vínculo de asociación de servicio a la subred que proporcione. Este vínculo evita la eliminación accidental de la subred mientras se usa en el servicio GitHub Actions.

Para eliminar la subred, primero debe quitarse el vínculo de asociación de servicio. El vínculo de asociación de servicio se quita de forma segura y automática una vez se ha eliminado el recurso de configuración de red.

  1. En la esquina superior derecha de GitHub.com, haga clic en la imagen de perfil y después en Your enterprises.

  2. En la lista de empresas, da clic en aquella que quieras ver.

  3. En la barra lateral de la cuenta de empresa, haz clic en Configuración.

  4. En la barra lateral de la izquierda, haga clic en Redes de equipo hospedadas.

  5. Abra la configuración de red que usa la subred que desea eliminar.

  6. Revise la lista de grupos de ejecutores mediante la configuración de red.

  7. En la esquina superior derecha, haga clic en el botón "". A continuación, haga clic en Eliminar configuración.

  8. Para eliminar el recurso de configuración de red y quitar el vínculo de asociación de servicio, use sus propias entradas con los siguientes comandos con la CLI de Azure. Para más información, véase la documentación de la interfaz de la línea de comandos Azure (CLI).

    Bash
    az account set --subscription $SUBSCRIPTION_ID
    az resource delete -g $RESOURCE_GROUP_NAME --name $NETWORK_SETTINGS_RESOURCE_NAME --resource-type 'GitHub.Network/networkSettings' --api-version '2023-11-01-preview'
    
  9. Elimine la subred en Azure. Para más información, consulta Eliminación de una subred en Microsoft Learn.