Azure App Service に Docker をデプロイする

継続的デプロイ (CD) ワークフローの一部として、Docker コンテナーを Azure App Service にデプロイできます。

この記事の内容

はじめに

このガイドでは、GitHub Actions を使用し、Docker コンテナーをビルドして Azure App Service にデプロイする方法について説明します。

: GitHub Actions ワークフローが OpenID Connect (OIDC) をサポートするクラウド プロバイダーのリソースにアクセスする必要がある場合、そのクラウド プロバイダーで直接認証されるようにワークフローを構成できます。 これにより、有効期間の長いシークレットとしてこれらの資格情報の格納を停止し、その他のセキュリティ上の利点を提供できます。 詳しくは、「OpenID Connect を使ったセキュリティ強化について」をご覧ください と「Azure での OpenID Connect の構成」。

前提条件

GitHub Actionsワークフローを作成する前に、まず以下のセットアップのステップを完了しておかなければなりません。

  1. Azure App Service プランを作成する。

    たとえば、Azure CLIを使って新しいApp Serviceのプランを作成できます。

    Bash
    az appservice plan create \
   --resource-group MY_RESOURCE_GROUP \
   --name MY_APP_SERVICE_PLAN \
   --is-linux

    上記のコマンドでは、MY_RESOURCE_GROUP を既存の Azure リソース グループに、MY_APP_SERVICE_PLAN を App Service プランの新しい名前に置き換えます。

    Azure CLI の使用に関する詳細については、Azure のドキュメントを参照してください。

  2. Web アプリを作成する。

    たとえば、Azure CLI を使用して Azure App Service Web アプリを作成できます。

    Shell
    az webapp create \
    --name MY_WEBAPP_NAME \
    --plan MY_APP_SERVICE_PLAN \
    --resource-group MY_RESOURCE_GROUP \
    --deployment-container-image-name nginx:latest

    上のコマンドで、パラメータは自分の値で置き換えてください。MY_WEBAPP_NAME は Web アプリの新しい名前です。

  3. Azure 発行プロファイルを構成し、AZURE_WEBAPP_PUBLISH_PROFILE シークレットを作成します。

    公開されたプロフィールを使って、Azureのデプロイ資格情報を生成してください。 詳細については、Azure ドキュメントの「デプロイ資格情報の生成」を参照してください。

    GitHub リポジトリで、発行プロファイルの内容を含む AZURE_WEBAPP_PUBLISH_PROFILE という名前のシークレットを作成してください。 シークレットの作成の詳細については、「GitHub Actions でのシークレットの使用」を参照してください。

  4. Web アプリのレジストリ資格情報を設定します。

    repo スコープと read:packages スコープを使って personal access token (classic) を作成します。 詳しくは、「個人用アクセス トークンを管理する」を参照してください。

    DOCKER_REGISTRY_SERVER_URLhttps://ghcr.io に、DOCKER_REGISTRY_SERVER_USERNAME をリポジトリを所有する GitHub ユーザー名または組織に、DOCKER_REGISTRY_SERVER_PASSWORD を先ほどの personal access token に設定します。 これにより、Web アプリに資格情報が与えられるため、新しくビルドされたイメージがレジストリにワークフローによってプッシュされた後、コンテナー イメージをプルできるようになります。 これを行うには、次の Azure CLI コマンドを使います。

     az webapp config appsettings set \
     --name MY_WEBAPP_NAME \
     --resource-group MY_RESOURCE_GROUP \
     --settings DOCKER_REGISTRY_SERVER_URL=https://ghcr.io DOCKER_REGISTRY_SERVER_USERNAME=MY_REPOSITORY_OWNER DOCKER_REGISTRY_SERVER_PASSWORD=MY_PERSONAL_ACCESS_TOKEN

  5. 任意で、デプロイ環境を構成します。 環境は、一般的なデプロイ ターゲットを記述するために使用されます (例: productionstaging、または development)。 GitHub Actions ワークフローが環境にデプロイされると、その環境がリポジトリのメイン ページに表示されます。 環境を使って、ジョブを進めるには承認を必須にすること、ワークフローをトリガーできるブランチを制限すること、カスタム デプロイ保護規則を使ってデプロイを制御すること、またはシークレットへのアクセスを制限することができます。 環境の作成の詳細については、「デプロイに環境を使用する」を参照してください。

ワークフローの作成

必要な環境を整えたら、ワークフローの作成に進むことができます。

次のサンプル ワークフローからは、main ブランチへのプッシュがあるとき、Docker コンテナーをビルドし、Azure App Service にデプロイする方法がわかります。

ワークフロー env キーの AZURE_WEBAPP_NAME は、作成した Web アプリの名前に必ず設定してください。

デプロイ環境を構成した場合は、environment の値を環境の名前に変更します。 環境を構成しなかった場合、またはワークフローがプライベート リポジトリにあり、GitHub Enterprise Cloud を使わない場合は、environment キーを削除します。

YAML
# このワークフローはGitHubによって認定されていないアクションを使用します。
# それらはサードパーティによって提供され、
# 別個の利用規約、プライバシーポリシー、
# ドキュメントを参照してください。

# GitHub では、コミット SHA にアクションをピン留めすることが推奨されます。
# 新しいバージョンを取得するには、SHA を更新する必要があります。
# タグまたはブランチを参照することもできますが、アクションは警告なしに変更される可能性があります。

name: Build and deploy a container to an Azure Web App

env:
  AZURE_WEBAPP_NAME: MY_WEBAPP_NAME   # set this to your application's name

on:
  push:
    branches:
      - main

permissions:
  contents: 'read'
  packages: 'write'

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
      - uses: actions/checkout@v4

      - name: Set up Docker Buildx
        uses: docker/setup-buildx-action@v2

      - name: Log in to GitHub container registry
        uses: docker/login-action@v2
        with:
          registry: ghcr.io
          username: ${{ github.actor }}
          password: ${{ secrets.GITHUB_TOKEN }}

      - name: Lowercase the repo name
        run: echo "REPO=${GITHUB_REPOSITORY,,}" >>${GITHUB_ENV}

      - name: Build and push container image to registry
        uses: docker/build-push-action@v4
        with:
          push: true
          tags: ghcr.io/${{ env.REPO }}:${{ github.sha }}
          file: ./Dockerfile

  deploy:
    runs-on: ubuntu-latest

    needs: build

    environment:
      name: 'production'
      url: ${{ steps.deploy-to-webapp.outputs.webapp-url }}

    steps:
      - name: Lowercase the repo name
        run: echo "REPO=${GITHUB_REPOSITORY,,}" >>${GITHUB_ENV}

      - name: Deploy to Azure Web App
        id: deploy-to-webapp
        uses: azure/webapps-deploy@85270a1854658d167ab239bce43949edb336fa7c
        with:
          app-name: ${{ env.AZURE_WEBAPP_NAME }}
          publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
          images: 'ghcr.io/${{ env.REPO }}:${{ github.sha }}'

その他のリソース

以下のリソースも役に立つでしょう。

  • もともとのスターター ワークフローについては、GitHub Actions starter-workflows リポジトリの azure-container-webapp.yml を参照してください。
  • Web アプリのデプロイに使用されるアクションは、Azure の公式な Azure/webapps-deploy アクションです。
  • Azure にデプロイする GitHub アクション ワークフローの例が他にも必要であれば、actions-workflow-samples リポジトリを参照してください。