简介
本指南介绍如何使用 GitHub Actions 构建和部署 Docker 容器到 Azure 应用服务.
注意:如果您的 GitHub Actions 工作流需要访问支持 OpenID Connect (OIDC) 的云提供商的资源,您可以配置您的工作流以直接向云提供商进行身份验证。这将使您能够停止将这些凭据存储为长期存在的密钥,并提供其他安全优势。有关更多信息,请参阅 "关于使用 OpenID Connect 进行安全加固" 和 "在 Azure 中配置 OpenID Connect."
先决条件
在创建 GitHub Actions 工作流之前,您首先需要完成以下设置步骤
-
创建 Azure 应用服务计划。
例如,您可以使用 Azure CLI 创建新的应用服务计划
Bash az appservice plan create \ --resource-group MY_RESOURCE_GROUP \ --name MY_APP_SERVICE_PLAN \ --is-linux
az appservice plan create \ --resource-group MY_RESOURCE_GROUP \ --name MY_APP_SERVICE_PLAN \ --is-linux在上面的命令中,将
MY_RESOURCE_GROUP替换为您的预先存在的 Azure 资源组,将MY_APP_SERVICE_PLAN替换为应用服务计划的新名称。有关使用 Azure CLI 的更多信息,请参阅 Azure 文档。
- 有关身份验证,请参阅“使用 Azure CLI 登录”。
- 如果您需要创建新的资源组,请参阅“az group”。
-
创建 Web 应用。
例如,您可以使用 Azure CLI 创建 Azure 应用服务 Web 应用。
Shell az webapp create \ --name MY_WEBAPP_NAME \ --plan MY_APP_SERVICE_PLAN \ --resource-group MY_RESOURCE_GROUP \ --deployment-container-image-name nginx:latestaz webapp create \ --name MY_WEBAPP_NAME \ --plan MY_APP_SERVICE_PLAN \ --resource-group MY_RESOURCE_GROUP \ --deployment-container-image-name nginx:latest在上面的命令中,将参数替换为您自己的值,其中
MY_WEBAPP_NAME是 Web 应用的新名称。 -
配置 Azure 发布配置文件并创建一个
AZURE_WEBAPP_PUBLISH_PROFILE密钥。使用发布配置文件生成您的 Azure 部署凭据。有关更多信息,请参阅 Azure 文档中的“生成部署凭据”。
在您的 GitHub 存储库中,创建一个名为
AZURE_WEBAPP_PUBLISH_PROFILE的密钥,其中包含发布配置文件的内容。有关创建密钥的更多信息,请参阅“在 GitHub Actions 中使用密钥”。 -
为您的 Web 应用设置注册表凭据。
创建一个具有
repo和read:packages范围的个人访问令牌(经典)。有关更多信息,请参阅“管理您的个人访问令牌”。将
DOCKER_REGISTRY_SERVER_URL设置为https://ghcr.io,将DOCKER_REGISTRY_SERVER_USERNAME设置为拥有存储库的 GitHub 用户名或组织,并将DOCKER_REGISTRY_SERVER_PASSWORD设置为您上面获得的个人访问令牌。这将为您的 Web 应用提供凭据,以便它在您的工作流将新构建的映像推送到注册表后,可以拉取容器映像。您可以使用以下 Azure CLI 命令执行此操作。az webapp config appsettings set \ --name MY_WEBAPP_NAME \ --resource-group MY_RESOURCE_GROUP \ --settings DOCKER_REGISTRY_SERVER_URL=https://ghcr.io DOCKER_REGISTRY_SERVER_USERNAME=MY_REPOSITORY_OWNER DOCKER_REGISTRY_SERVER_PASSWORD=MY_PERSONAL_ACCESS_TOKEN -
可选地,配置部署环境。环境用于描述一般的部署目标,例如 `production`、`staging` 或 `development`。当 GitHub Actions 工作流部署到环境时,环境将显示在仓库的主页上。您可以使用环境来要求批准工作才能继续,限制哪些分支可以触发工作流,使用自定义部署保护规则来控制部署,或限制对密钥的访问。有关创建环境的更多信息,请参阅 "使用环境进行部署。"。
创建工作流
完成先决条件后,您可以继续创建工作流。
以下示例工作流演示了如何在将代码推送到 `main` 分支时,如何构建和部署 Docker 容器到 Azure 应用服务。
确保在工作流的 `env` 键中将 `AZURE_WEBAPP_NAME` 设置为创建的 Web 应用的名称。
如果您配置了部署环境,请将 `environment` 的值更改为您的环境名称。如果您没有配置环境,或者您的工作流位于私有仓库中并且您没有使用 GitHub Enterprise Cloud,请删除 `environment` 键。
# This workflow uses actions that are not certified by GitHub.
# They are provided by a third-party and are governed by
# separate terms of service, privacy policy, and support
# documentation.
# GitHub recommends pinning actions to a commit SHA.
# To get a newer version, you will need to update the SHA.
# You can also reference a tag or branch, but the action may change without warning.
name: Build and deploy a container to an Azure Web App
env:
AZURE_WEBAPP_NAME: MY_WEBAPP_NAME # set this to your application's name
on:
push:
branches:
- main
permissions:
contents: 'read'
packages: 'write'
jobs:
build:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Set up Docker Buildx
uses: docker/setup-buildx-action@v2
- name: Log in to GitHub container registry
uses: docker/login-action@v2
with:
registry: ghcr.io
username: ${{ github.actor }}
password: ${{ secrets.GITHUB_TOKEN }}
- name: Lowercase the repo name
run: echo "REPO=${GITHUB_REPOSITORY,,}" >>${GITHUB_ENV}
- name: Build and push container image to registry
uses: docker/build-push-action@v4
with:
push: true
tags: ghcr.io/${{ env.REPO }}:${{ github.sha }}
file: ./Dockerfile
deploy:
runs-on: ubuntu-latest
needs: build
environment:
name: 'production'
url: ${{ steps.deploy-to-webapp.outputs.webapp-url }}
steps:
- name: Lowercase the repo name
run: echo "REPO=${GITHUB_REPOSITORY,,}" >>${GITHUB_ENV}
- name: Deploy to Azure Web App
id: deploy-to-webapp
uses: azure/webapps-deploy@85270a1854658d167ab239bce43949edb336fa7c
with:
app-name: ${{ env.AZURE_WEBAPP_NAME }}
publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
images: 'ghcr.io/${{ env.REPO }}:${{ github.sha }}'
# This workflow uses actions that are not certified by GitHub.
# They are provided by a third-party and are governed by
# separate terms of service, privacy policy, and support
# documentation.
# GitHub recommends pinning actions to a commit SHA.
# To get a newer version, you will need to update the SHA.
# You can also reference a tag or branch, but the action may change without warning.
name: Build and deploy a container to an Azure Web App
env:
AZURE_WEBAPP_NAME: MY_WEBAPP_NAME # set this to your application's name
on:
push:
branches:
- main
permissions:
contents: 'read'
packages: 'write'
jobs:
build:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v4
- name: Set up Docker Buildx
uses: docker/setup-buildx-action@v2
- name: Log in to GitHub container registry
uses: docker/login-action@v2
with:
registry: ghcr.io
username: ${{ github.actor }}
password: ${{ secrets.GITHUB_TOKEN }}
- name: Lowercase the repo name
run: echo "REPO=${GITHUB_REPOSITORY,,}" >>${GITHUB_ENV}
- name: Build and push container image to registry
uses: docker/build-push-action@v4
with:
push: true
tags: ghcr.io/${{ env.REPO }}:${{ github.sha }}
file: ./Dockerfile
deploy:
runs-on: ubuntu-latest
needs: build
environment:
name: 'production'
url: ${{ steps.deploy-to-webapp.outputs.webapp-url }}
steps:
- name: Lowercase the repo name
run: echo "REPO=${GITHUB_REPOSITORY,,}" >>${GITHUB_ENV}
- name: Deploy to Azure Web App
id: deploy-to-webapp
uses: azure/webapps-deploy@85270a1854658d167ab239bce43949edb336fa7c
with:
app-name: ${{ env.AZURE_WEBAPP_NAME }}
publish-profile: ${{ secrets.AZURE_WEBAPP_PUBLISH_PROFILE }}
images: 'ghcr.io/${{ env.REPO }}:${{ github.sha }}'
其他资源
以下资源可能也有用
- 有关原始入门工作流,请参阅 GitHub Actions `starter-workflows` 仓库中的
azure-container-webapp.yml。 - 用于部署 Web 应用的操作是官方的 Azure
Azure/webapps-deploy操作。 - 有关部署到 Azure 的 GitHub Action 工作流的更多示例,请参阅 actions-workflow-samples 仓库。