Konfigurieren eines Containerimages zum Ausführen von Bereitstellungen

  • Artikel

In diesem Artikel erfahren Sie, wie Sie benutzerdefinierte Containerimages erstellen, um Ihre Umgebungsdefinitionen in Azure Deployment Environments (ADE) bereitzustellen.

Eine Umgebungsdefinition umfasst mindestens zwei Dateien: eine Vorlagendatei, z. B. azuredeploy.json und eine Manifestdatei namens environment.yaml. ADE verwendet Container zum Bereitstellen von Umgebungsdefinitionen und unterstützt systemeigene Azure Resource Manager (ARM)- und Bicep-IaC-Frameworks.

Mit dem ADE-Erweiterbarkeitsmodell können Sie benutzerdefinierte Containerimages erstellen, die mit Ihren Umgebungsdefinitionen verwendet werden. Durch Nutzung des Erweiterbarkeitsmodells können Sie eigene benutzerdefinierte Containerimages erstellen und in einer Containerregistrierung wie Azure Container Registry (ACR) oder Docker Hub speichern. Anschließend können Sie in Ihren Umgebungsdefinitionen auf diese Images verweisen, um Ihre Umgebungen bereitzustellen.

Das ADE-Team bietet eine Auswahl an Images für den Einstieg, einschließlich eines Kernimages und eines ARM- (Azure Resource Manager)/Bicep-Images. Sie können auf diese Beispielimages im Ordner Runner-Images zugreifen.

Voraussetzungen

Verwenden von Containerimages mit ADE

Sie können einen der folgenden Ansätze verwenden, um Containerimages mit ADE zu verwenden:

  • Standardcontainerimage verwenden: Verwenden Sie für einfache Szenarien das standardmäßige Bicep-Containerimage, das von ADE bereitgestellt wird.
  • Ein benutzerdefiniertes Containerimage verwenden: Erstellen Sie für komplexere Szenarien ein benutzerdefiniertes Containerimage, das Ihren spezifischen Anforderungen entspricht.

Unabhängig davon, welchen Ansatz Sie wählen, müssen Sie das Containerimage in Ihrer Umgebungsdefinition angeben, um Ihre Azure-Ressourcen bereitzustellen.

Verwenden eines Standardimages

ADE unterstützt Bicep nativ, sodass Sie eine Umgebungsdefinition konfigurieren können, die Azure-Ressourcen für eine Bereitstellungsumgebung bereitstellt, indem Sie Ihrem Katalog die Vorlagendateien (azuredeploy.json und environment.yaml) hinzufügen. ADE verwendet dann das standardmäßige Bicep-Containerimage, um die Bereitstellungsumgebung zu erstellen.

In der Datei „environment.yaml“ gibt die Runner-Eigenschaft die Position des Containerimages an, das Sie verwenden möchten. Um das Beispielimage zu verwenden, das in der Microsoft-Artefaktregistrierung veröffentlicht wurde, verwenden Sie die entsprechenden Bezeichner, wie in der folgenden Tabelle aufgeführt.

Das folgende Beispiel zeigt einen Runner, der auf das Beispiel-Bicep-Containerimage verweist:

    name: WebApp
    version: 1.0.0
    summary: Azure Web App Environment
    description: Deploys a web app in Azure without a datastore
    runner: Bicep
    templatePath: azuredeploy.json

Sie können das standardmäßige Bicep-Containerimage im ADE-Beispiel-Repository unter dem Ordner Runner-Images für das ARM-Bicep-Image anzeigen.

Weitere Informationen zum Erstellen von Umgebungsdefinitionen, welche die ADE-Containerimages verwenden, um Ihre Azure-Ressourcen bereitzustellen, finden Sie unter Hinzufügen und Konfigurieren einer Umgebungsdefinition.

Erstellen eines benutzerdefinierten Containerimages

Durch das Erstellen eines benutzerdefinierten Containerimages können Sie Ihre Bereitstellungen an Ihre Anforderungen anpassen. Sie können benutzerdefinierte Images basierend auf den ADE-Standardcontainerimages erstellen.

Nachdem Sie die Imageanpassung abgeschlossen haben, müssen Sie das Image erstellen und in die Containerregistrierung übertragen.

Erstellen und Anpassen eines Containerimages mit Docker

In diesem Beispiel erfahren Sie, wie Sie ein Docker-Image erstellen, um ADE-Bereitstellungen zu nutzen und auf die ADE CLI zuzugreifen, indem Sie als Grundlage für Ihr Image eines der erstellten ADE-Images verwenden.

Die ADE CLI ist ein Tool, mit dem Sie benutzerdefinierte Images mithilfe von ADE-Basisimages erstellen können. Sie können die ADE CLI verwenden, um Ihre Bereitstellungen und Löschungen an Ihren Workflow anzupassen. Die ADE CLI ist auf den Beispielimages vorinstalliert. Weitere Informationen zur ADE CLI finden Sie in der Referenz zur CLI für benutzerdefinierte Runner-Images.

Führen Sie die folgenden Schritte aus, um ein für ADE konfiguriertes Image zu erstellen:

  1. Basieren Sie Ihr Image auf einem in ADE erstellten Beispielimage oder einem Image Ihrer Wahl, indem Sie die FROM-Anweisung verwenden.
  2. Installieren Sie mithilfe der RUN-Anweisung alle erforderlichen Pakete für Ihr Image.
  3. Erstellen Sie auf der Ebene, auf der sich Ihre Dockerfile-Datei befindet, einen Ordner namens scripts, speichern Sie Ihre Dateien deploy.sh und delete.sh darin, und stellen Sie sicher, dass diese Skripts in Ihrem erstellten Container auffindbar und ausführbar sind. Dieser Schritt ist erforderlich, damit Ihre Bereitstellung mit dem ADE-Kernimage funktioniert.

Auswählen eines Beispielcontainerimages mithilfe der FROM-Anweisung

Um ein Docker-Image zu erstellen, mit dem Sie ADE-Bereitstellungen nutzen und auf die ADE CLI zugreifen können, sollten Sie eines der in ADE erstellten Images als Grundlage Ihres Image verwenden. Fügen Sie eine FROM-Anweisung in eine für Ihr neues Image erstellte DockerFile-Datei ein, die auf ein in ADE erstelltes Beispielimage zeigt, das in der Microsoft-Artefaktregistrierung gehostet wird. Bei Verwendung der in ADE erstellten Images sollten Sie Ihr benutzerdefiniertes Image auf der Grundlage des ADE-Kernimages erstellen.

Hier ist eine FROM-Beispielanweisung, die auf das Beispielkernimage verweist:

FROM mcr.microsoft.com/deployment-environments/runners/core:latest

Diese Anweisung ruft das zuletzt veröffentlichte Kernimage ab und macht es zur Grundlage für Ihr benutzerdefiniertes Image.

Installieren von Paketen in einem Image

Sie können Pakete mit der Azure CLI installieren, indem Sie die RUN-Anweisung verwenden, wie im folgenden Beispiel gezeigt:

RUN az bicep install

Die ADE-Beispielimages basieren auf dem Azure CLI-Image, in dem die ADE CLI- und JQ-Pakete bereits vorinstalliert sind. Erfahren Sie mehr über die Azure-Befehlszeilenschnittstelle und das JQ-Paket.

Verwenden Sie die RUN-Anweisung, um weitere Pakete zu installieren, die Sie in Ihrem Image benötigen.

Shellskripts für Ausführungsvorgänge

Innerhalb der Beispielimages werden Vorgänge basierend auf dem Vorgangsnamen bestimmt und ausgeführt. Derzeit werden die beiden Vorgangsnamen deploy und delete unterstützt.

Wenn Sie Ihr benutzerdefiniertes Image so einrichten möchten, dass diese Struktur verwendet wird, geben Sie einen Ordner auf der Ebene Ihres Dockerfiles scripts sowie die beiden Dateien deploy.sh und delete.sh an. Das Shellskript für die Bereitstellung wird ausgeführt, wenn Ihre Umgebung erstellt oder erneut bereitgestellt wird, während das Shellskript für die Löschung ausgeführt wird, wenn Ihre Umgebung gelöscht wird. Beispiele für Shellskripts finden Sie im Repository im Ordner Runner-Images für das Image.

Um sicherzustellen, dass diese Shellskripts ausführbar sind, fügen Sie Ihrem Dockerfile die folgenden Zeilen hinzu:

COPY scripts/* /scripts/
RUN find /scripts/ -type f -iname "*.sh" -exec dos2unix '{}' '+'
RUN find /scripts/ -type f -iname "*.sh" -exec chmod +x {} \;

Machen Sie das benutzerdefinierte Image für ADE zugänglich

Sie müssen Ihr Docker-Image erstellen und an eine Containerregistrierung senden, um es für die Verwendung in ADE verfügbar zu machen.

Sie können Ihr Image mithilfe der Docker CLI oder mithilfe eines Skripts erstellen, das von ADE bereitgestellt wird.

Wählen Sie die entsprechende Registerkarte aus, um mehr über die einzelnen Ansätze zu erfahren.

Bevor Sie das Image erstellen, das an Ihre Registrierung gepusht werden soll, stellen Sie sicher, dass die Docker-Engine auf Ihrem Computer installiert ist. Navigieren Sie dann zum Verzeichnis Ihres Dockerfiles, und führen Sie den folgenden Befehl aus:

docker build . -t {YOUR_REGISTRY}.azurecr.io/{YOUR_REPOSITORY}:{YOUR_TAG}

Wenn Sie Ihr Image beispielsweise in einem Repository in Ihrer Registrierung mit dem Namen customImage speichern und mit der Tagversion 1.0.0 hochladen möchten, führen Sie Folgendes aus:

docker build . -t {YOUR_REGISTRY}.azurecr.io/customImage:1.0.0

Pushen des Images in eine Registrierung

Um benutzerdefinierte Images verwenden zu können, müssen Sie sie in einer Containerregistrierung speichern. Azure Container Registry (ACR) wird dafür dringend empfohlen. Aufgrund der engen Integration in ADE kann das Image veröffentlicht werden, ohne den öffentlichen, anonymen Pull-Zugriff zuzulassen.

Es ist auch möglich, das Image in einer anderen Containerregistrierung wie Docker Hub zu speichern, aber in diesem Fall muss es öffentlich zugänglich sein.

Achtung

Wenn Sie Ihr Containerimage in einer Registrierung mit anonymem (nicht authentifiziertem) Pull-Zugriff speichern, ist es öffentlich zugänglich. Tun Sie das nicht, wenn Ihr Image sensible Informationen enthält. Speichern Sie es stattdessen in Azure Container Registry (ACR) mit deaktiviertem anonymen Pull-Zugriff.

Um ein benutzerdefiniertes Image zu verwenden, das in ACR gespeichert ist, müssen Sie sicherstellen, dass ADE über entsprechende Berechtigungen für den Zugriff auf Ihr Image verfügt. Wenn Sie eine ACR-Instanz erstellen, ist sie standardmäßig sicher und ermöglicht nur authentifizierten Benutzern den Zugriff.

Um eine ACR-Instanz zu erstellen, was über die Azure CLI, das Azure-Portal, PowerShell-Befehle und vieles mehr möglich ist, befolgen Sie eine der Schnellstartanleitungen.

Verwenden einer öffentlichen Registrierung mit anonymem Pull-Zugriff

Führen Sie die folgenden Befehle in der Azure-Befehlszeilenschnittstelle aus, um Ihre Registrierung so einzurichten, dass das anonyme Pullen von Images aktiviert ist:

az login
az acr login -n {YOUR_REGISTRY}
az acr update -n {YOUR_REGISTRY} --public-network-enabled true
az acr update -n {YOUR_REGISTRY} --anonymous-pull-enabled true

Wenn Sie bereit sind, Ihr Image an Ihre Registrierung zu pushen, führen Sie den folgenden Befehl aus:

docker push {YOUR_REGISTRY}.azurecr.io/{YOUR_IMAGE_LOCATION}:{YOUR_TAG}

Verwenden der ACR mit gesichertem Zugriff

Standardmäßig ist der Zugriff auf Pull- oder Push-Inhalte aus einer Azure Container Registry nur für authentifizierte Benutzer verfügbar. Sie können den Zugriff auf die ACR weiter sichern, indem Sie den Zugriff von bestimmten Netzwerken einschränken und bestimmte Rollen zuweisen.

Netzwerkzugriff einschränken

Um den Netzwerkzugriff auf Ihre ACR zu sichern, können Sie den Zugriff auf Ihre eigenen Netzwerke einschränken oder den Zugriff auf öffentliche Netzwerke vollständig deaktivieren. Wenn Sie den Netzwerkzugriff einschränken, müssen Sie die Firewallausnahme Vertrauenswürdigen Microsoft-Diensten Zugriff auf diese Containerregistrierung gestatten aktivieren.

So deaktivieren Sie den Zugriff von öffentlichen Netzwerken:

  1. Erstellen Sie eine ACR-Instanz, oder verwenden Sie eine vorhandene Instanz.

  2. Navigieren Sie im Azure-Portal zu der ACR, die Sie konfigurieren möchten.

  3. Wählen Sie im linken Menü unter Einstellungen die Option Netzwerk aus.

  4. Wählen Sie auf der Seite „Netzwerk“ auf der Registerkarte Öffentlicher Zugriff unter Öffentlicher Netzwerkzugriff die Option Deaktiviert aus.

    Screenshot des Azure-Portals mit den ACR-Netzwerkeinstellungen mit den hervorgehobenen Optionen „Öffentlicher Zugriff“ und „Deaktiviert“.

  5. Überprüfen Sie unter Firewallausnahme, ob Vertrauenswürdigen Microsoft-Diensten Zugriff auf diese Containerregistrierung gestatten aktiviert ist, und wählen Sie dann Speichern aus.

    Screenshot der ACR-Netzwerkeinstellungen mit den hervorgehobenen Optionen „Vertrauenswürdigen Microsoft-Diensten Zugriff auf diese Containerregistrierung gestatten“ und „Speichern“.

Zuweisen der AcrPull-Rolle

Das Erstellen von Umgebungen mithilfe von Containerimages verwendet die ADE-Infrastruktur, einschließlich Projekte und Umgebungstypen. Jedes Projekt verfügt über einen oder mehrere Projektumgebungstypen, die Lesezugriff auf das Containerimage benötigen, das die bereitzustellende Umgebung definiert. Um sicher auf die Images in Ihrer ACR zuzugreifen, weisen Sie die AcrPull-Rolle jedem Projektumgebungstyp zu.

So weisen Sie die AcrPull-Rolle dem Projektumgebungstyp zu:

  1. Navigieren Sie im Azure-Portal zu der ACR, die Sie konfigurieren möchten.

  2. Wählen Sie im linken Menü Zugriffssteuerung (IAM) aus.

  3. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.

  4. Weisen Sie die folgende Rolle zu. Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.

    Einstellung Wert
    Rolle Wählen Sie AcrPull aus.
    Zugriff zuweisen zu Wählen Sie User, group, or service principal (Benutzer, Gruppe oder Dienstprinzipal) aus.
    Mitglieder Geben Sie den Namen des Projektumgebungstyps ein, der auf das Image im Container zugreifen muss.

    Der Projektumgebungstyp wird wie im folgenden Beispiel angezeigt:

    Screenshot des Bereichs „Mitglieder auswählen“ mit einer Liste der Projektumgebungstypen mit hervorgehobenem Teil des Namens.

In dieser Konfiguration verwendet ADE die verwaltete Identität für PET, unabhängig davon, ob diese systemseitig zugewiesen oder benutzerseitig zugewiesen ist.

Tipp

Diese Rollenzuweisung muss für jeden Projektumgebungstyp vorgenommen werden. Sie kann über die Azure CLI automatisiert werden.

Wenn Sie bereit sind, Ihr Image an Ihre Registrierung zu pushen, führen Sie den folgenden Befehl aus:

docker push {YOUR_REGISTRY}.azurecr.io/{YOUR_IMAGE_LOCATION}:{YOUR_TAG}

Verbinden des Images mit Ihrer Umgebungsdefinition

Wenn Sie Umgebungsdefinitionen erstellen, die Ihr benutzerdefiniertes Image in Ihrer Bereitstellung verwenden sollen, bearbeiten Sie die runner-Eigenschaft in der Manifestdatei („environment.yaml“ oder „manifest.yaml“).

runner: "{YOUR_REGISTRY}.azurecr.io/{YOUR_REPOSITORY}:{YOUR_TAG}"

Zugreifen auf Vorgangsprotokolle und Fehlerdetails

ADE speichert Fehlerdetails für eine fehlgeschlagene Bereitstellung in der Datei $ADE_ERROR_LOG im Container.

So beheben Sie Probleme mit einer fehlerhaften Bereitstellung

  1. Melden Sie sich beim Entwicklerportal an.

  2. Identifizieren Sie die Umgebung, die nicht bereitgestellt werden konnte, und wählen Sie Details anzeigen aus.

    Screenshot mit Details zu Bereitstellungsfehlern, insbesondere einem ungültigen Namen für ein Speicherkonto

  3. Überprüfen Sie die Fehlerdetails im Abschnitt Fehlerdetails.

    Screenshot der fehlerhaften Bereitstellung einer Umgebung mit der Schaltfläche „Details anzeigen“

Darüber hinaus können Sie den folgenden Befehl in der Azure-Befehlszeilenschnittstelle verwenden, um Fehlerdetails zu einer Umgebung anzuzeigen:

az devcenter dev environment show --environment-name {YOUR_ENVIRONMENT_NAME} --project {YOUR_PROJECT_NAME}

Um die Vorgangsprotokolle für eine Umgebungsbereitstellung oder -löschung anzuzeigen, rufen Sie mithilfe der Azure-Befehlszeilenschnittstelle den neuesten Vorgang für Ihre Umgebung ab und zeigen dann die Protokolle für diese Vorgangs-ID an.

# Get list of operations on the environment, choose the latest operation
az devcenter dev environment list-operation --environment-name {YOUR_ENVIRONMENT_NAME} --project {YOUR_PROJECT_NAME}
# Using the latest operation ID, view the operation logs
az devcenter dev environment show-logs-by-operation --environment-name {YOUR_ENVIRONMENT_NAME} --project {YOUR_PROJECT_NAME} --operation-id {LATEST_OPERATION_ID}

Zugehöriger Inhalt