GitHub Actions および Azure を使用してカスタムの仮想マシンイメージを構築する

[アーティクル]
02/15/2024

仮想マシンイメージを構築するためのワークフローを作成することによって、GitHub Actions を開始します。

GitHub Actions を使用すると、ワークフローの成果物を使用してカスタム仮想マシンイメージを作成することにより、CI/CD プロセスを高速化できます。イメージを作成し、Shared Image Galleryに配布できます。

これらのイメージを使用して、仮想マシンと仮想マシンスケールセットを作成できます。

仮想マシンイメージの構築アクションでは、Azure Image Builder サービスを使用します。

前提条件

アクティブなサブスクリプションが含まれる Azure アカウント。無料でアカウントを作成できます。
アクティブなリポジトリを持つ GitHub アカウント。ない場合は、無料でサインアップしてください。
- この例では、Java Spring PetClinic サンプルアプリケーションを使用します。
イメージを使用した Azure Compute Gallery。
- Azure Compute Gallery の作成
- イメージを作成する。

ワークフローファイルの概要

ワークフローは、お使いのリポジトリの /.github/workflows/ パスの YAML (.yml) ファイルに定義されます。この定義には、ワークフローを構成するさまざまな手順とパラメーターが含まれます。

このファイルには 3 つのセクションがあります。

Section	タスク
認証	1. ユーザー管理 ID を追加します。 2. サービスプリンシパルまたは Open ID Connect を設定します。 3. GitHub シークレットを作成します。
ビルド	1.環境を設定します。 2. アプリをビルドします。
イメージ	1. VM イメージを作成します。 2. 仮想マシンを作成します。

ユーザー管理 ID を作成する

イメージを配布するには、Azure Image Builder (AIB) のユーザー管理 ID が必要です。 Azure ユーザーによって割り当てられたマネージド ID は、イメージのビルド中に、Shared Image Gallery に対するイメージの読み取りと書き込みを行うために使用されます。

Azure CLIまたはAzure portalを使用して、ユーザー管理 ID を作成します。管理 ID の名前をメモしておきます。

この JSON コードをカスタマイズします。 {subscriptionID} と {rgName} のプレースホルダーをサブスクリプション ID とリソースグループ名に置き換えます。

{
"properties": {
    "roleName": "Image Creation Role",
    "IsCustom": true,
    "description": "Azure Image Builder access to create resources for the image build",
    "assignableScopes": [
      "/subscriptions/{subscriptionID}/resourceGroups/{rgName}"
    ],
    "permissions": [
        {
            "actions": [
                "Microsoft.Compute/galleries/read",
                "Microsoft.Compute/galleries/images/read",
                "Microsoft.Compute/galleries/images/versions/read",
                "Microsoft.Compute/galleries/images/versions/write",
                "Microsoft.Compute/images/write",
                "Microsoft.Compute/images/read",
                "Microsoft.Compute/images/delete"
            ],
            "notActions": [],
            "dataActions": [],
            "notDataActions": []
        }
    ]
    } 
}

この JSON コードを使用して、JSON で新しいカスタムロールを作成します。
Azure portal で Azure Compute Gallery を開き、アクセス制御 (IAM) に移動します。
[ロールの割り当ての追加] を選択し、イメージの作成ロールをユーザーマネージド ID に割り当てます。

Azure CLI で az ad sp create-for-rbac コマンドを使用して、サービスプリンシパルを作成します。このコマンドは、Azure portal で Azure Cloud Shell を使用するか、[試してみる] ボタンを選択して実行します。

az ad sp create-for-rbac --name "myML" --role contributor \
                            --scopes /subscriptions/<subscription-id>/resourceGroups/<group-name> \
                            --json-auth

--json-auth パラメーターは、Azure CLI バージョン 2.51.0 以降で使用できます。これ以前のバージョンでは --sdk-auth を使用し、非推奨の警告が表示されます。

上記の例で、プレースホルダーをご利用のサブスクリプション ID、リソースグループ名、アプリ名に置き換えます。これにより、以下のようなご自分の App Service アプリにアクセスするためのロールの割り当て資格情報を含む JSON オブジェクトが出力されます。この JSON オブジェクトを後のためにコピーします。

  {
    "clientId": "<GUID>",
    "clientSecret": "<GUID>",
    "subscriptionId": "<GUID>",
    "tenantId": "<GUID>",
    (...)
  }

OpenID Connect は、短期間のトークンを使用する認証方法です。 GitHub Actions を使用して OpenID Connect を設定すると、セキュリティが強化されたより複雑なプロセスになります。

既存のアプリケーションがない場合は、リソースにアクセスできる新しい Microsoft Entra アプリケーションとサービスプリンシパルを登録します。
```
az ad app create --display-name myApp
```
このコマンドにより、あなたの client-id である appId を持つ JSON が出力されます。この objectId は APPLICATION-OBJECT-ID であり、Graph API 呼び出しを使用してフェデレーション資格情報を作成するために使用されます。後で AZURE_CLIENT_ID の GitHub シークレットとして使用する値を保存します。
サービスプリンシパルを作成する。 $appID を、JSON 出力のアプリ ID に置き換えてください。このコマンドを実行すると、次のステップで使用される異なる objectId を持つ JSON 出力を生成します。新しい objectId は assignee-object-id です。

このコマンドにより、異なる objectId を持つ JSON 出力が生成され、次のステップで使用されます。新しい objectId は assignee-object-id です。

後で AZURE_TENANT_ID の GitHub シークレットとして使用するために、appOwnerTenantId をコピーします。
```
 az ad sp create --id $appId
```
サブスクリプションとオブジェクト別に新しいロールの割り当てを作成します。既定では、ロールの割り当ては既定のサブスクリプションに関連付けされます。 $subscriptionId をサブスクリプション ID に、$resourceGroupName をリソースグループ名に、$assigneeObjectId を生成された assignee-object-id (新しく作成されたサービスプリンシパルオブジェクト ID) に置き換えます。
```
az role assignment create --role contributor --subscription $subscriptionId --assignee-object-id  $assigneeObjectId --assignee-principal-type ServicePrincipal --scope /subscriptions/$subscriptionId/resourceGroups/$resourceGroupName
```
次のコマンドを実行して、Microsoft Entra アプリケーションの新しいフェデレーション ID 資格情報を作成します。
- APPLICATION-OBJECT-ID を Microsoft Entra アプリケーションの objectId (アプリの作成中に生成) に置き換えてください。
- 後で参照するには、CREDENTIAL-NAME の値を設定します。
- subject を設定します。この値は、ワークフローに応じて、GitHub によって定義されます。
  - GitHub Actions 環境のジョブ: repo:< Organization/Repository >:environment:< Name >
  - 環境に関連付けられていないジョブの場合は、ワークフローのトリガーに使用される ref パスに基づいて、ブランチ/タグの ref パスを含めます: repo:< Organization/Repository >:ref:< ref path>。たとえば、repo:n-username/ node_express:ref:refs/heads/my-branch または repo:n-username/ node_express:ref:refs/tags/my-tag です。
  - プル要求イベントによってトリガーされるワークフローの場合: repo:< Organization/Repository >:pull_request。
```
az ad app federated-credential create --id <APPLICATION-OBJECT-ID> --parameters credential.json
("credential.json" contains the following content)
{
    "name": "<CREDENTIAL-NAME>",
    "issuer": "https://token.actions.githubusercontent.com",
    "subject": "repo:octo-org/octo-repo:environment:Production",
    "description": "Testing",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}
```

GitHub シークレットを作成する

サービスプリンシパル
OpenID Connect

GitHub で、お使いのリポジトリに移動します。
ナビゲーションメニューで [設定] に移動します。
[Security] (セキュリティ) > [Secrets and variables] (シークレットと変数) > [Actions] (アクション) を選びます。
[New repository secret](新しいリポジトリシークレット) を選択します。
Azure CLI コマンドからの JSON 出力全体をシークレットの値フィールドに貼り付けます。シークレットに AZURE_CREDENTIALS と名前を付けます。
[Add secret](シークレットの追加) を選択します。

ログインアクションには、アプリケーションのクライアント ID、テナント ID、サブスクリプション IDを指定する必要があります。これらの値は、ワークフロー内で直接指定するか、GitHub シークレットに格納してワークフローで参照できます。 GitHub シークレットとして値を保存する方がより安全なオプションです。

GitHub で、お使いのリポジトリに移動します。
[Security] (セキュリティ) > [Secrets and variables] (シークレットと変数) > [Actions] (アクション) を選びます。
[New repository secret](新しいリポジトリシークレット) を選択します。

AZURE_CLIENT_ID、AZURE_TENANT_ID、AZURE_SUBSCRIPTION_ID のシークレットを作成します。 GitHub シークレットには、Microsoft Entra アプリケーションの次の値を使用します。

GitHub シークレット	Microsoft Entra アプリケーション
AZURE_CLIENT_ID	アプリケーション (クライアント) ID
AZURE_TENANT_ID	ディレクトリ (テナント) ID
AZURE_SUBSCRIPTION_ID	サブスクリプション ID

[Add secret](シークレットの追加) を選択して各シークレットを保存します。

Azure で認証するには、GitHub シークレットと Azure Login アクションを使用します。

サービスプリンシパル
Open ID Connect

このワークフローでは、secrets.AZURE_CREDENTIALS に格納されているサービスプリンシパルの詳細を使用して、Azure login アクションを使って認証を行います。次に、Azure CLI アクションを実行します。ワークフローファイルで GitHub シークレットを参照する方法の詳細については、GitHub Docs の「ワークフローでの暗号化されたシークレットの使用」をご覧ください。

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          creds: '${{ secrets.AZURE_CREDENTIALS }}'

Open ID Connect では、Active Directory アプリに関連付けられたフェデレーション資格情報を使用します。

ワークフローファイルで GitHub シークレットを参照する方法の詳細については、GitHub Docs の「ワークフローでの暗号化されたシークレットの使用」をご覧ください。

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    steps:
      - name: Log in with Azure
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

Java を構成する

Java セットアップ SDK アクションを使用して java 環境を設定します。この例では、環境を設定し、Maven でビルドして、成果物を出力します。

GitHub 成果物は、ジョブ間でワークフロー内のファイルを共有する方法です。 JAR ファイルを保持する成果物を作成し、それを仮想マシンイメージに追加します。

サービスプリンシパル
Open ID Connect

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    strategy:
      matrix:
        java: [ '17' ]

    steps:
    - name: Checkout
      uses: actions/checkout@v3    

    - name: Login via Az module
      uses: azure/login@v1
      with:
        creds: ${{secrets.AZURE_CREDENTIALS}}

    - name: Set up JDK ${{matrix.java}}
      uses: actions/setup-java@v2
      with:
        java-version: ${{matrix.java}}
        distribution: 'adopt'
        cache: maven
    - name: Build with Maven Wrapper
      run: ./mvnw -B package
        
    - name: Build Java
      run: mvn --batch-mode --update-snapshots verify

    - run: mkdir staging && cp target/*.jar staging
    - uses: actions/upload-artifact@v2
      with:
        name: Package
        path: staging

on: [push]

name: Create Custom VM Image

jobs:
  build-image:
    runs-on: ubuntu-latest
    strategy:
      matrix:
        java: [ '17' ]

    steps:
    - name: Checkout
      uses: actions/checkout@v3    

    - name: Login via Az module
      uses: azure/login@v1
      with:
        creds: ${{secrets.AZURE_CREDENTIALS}}

    - name: Set up JDK ${{matrix.java}}
      uses: actions/setup-java@v2
      with:
        java-version: ${{matrix.java}}
        distribution: 'adopt'
        cache: maven
    - name: Build with Maven Wrapper
      run: ./mvnw -B package
        
    - name: Build Java
      run: mvn --batch-mode --update-snapshots verify

    - run: mkdir staging && cp target/*.jar staging
    - uses: actions/upload-artifact@v2
      with:
        name: Package
        path: staging

イメージのビルド

Azure 仮想マシンイメージの構築アクションを使用して、カスタム仮想マシンイメージを作成します。

{subscriptionID}、{rgName} と {Identity} のプレースホルダーをサブスクリプション ID、リソースグループ名および管理 ID 名に置き換えます。 {galleryName} と {imageName} の値をイメージギャラリー名とイメージ名に置き換えます。

Note

Create App Baked Image アクションがアクセス許可エラーで失敗する場合は、イメージの作成ロールがユーザーマネージド ID に割り当てられていることを確認してください。

    - name: Create App Baked Image
      id: imageBuilder
      uses: azure/build-vm-image@v0
      with:
        location: 'eastus2'
        resource-group-name: '{rgName}'
        managed-identity: '{Identity}' # Managed identity
        source-os-type: 'windows'
        source-image-type: 'platformImage'
        source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
        dist-type: 'SharedImageGallery'
        dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
        dist-location: 'eastus2'

仮想マシンアクションの引数

入力	必須	Description
`resource-group-name`	はい	ビルド処理中にストレージと成果物を保存するために使用されるリソースグループ。
`image-builder-template-name`	いいえ	使用するイメージビルダーテンプレートリソースの名前。
`location`	はい	Image Builder が実行される場所です。サポートされる場所を参照してください。
`build-timeout-in-minutes`	いいえ	ビルドがキャンセルされるまでの時間です。既定値は 240 です。
`vm-size`	省略可能	既定では `Standard_D1_v2` が使用されます。仮想マシンのサイズを参照してください。
`managed-identity`	はい	前に作成したユーザー管理 ID。 ID が別のリソースグループにある場合は、完全な識別子を使用します。同じリソースグループ内にある場合は、名前を使用します。
`source-os`	はい	基本イメージの OS の種類 (Linux または Windows)
`source-image-type`	はい	カスタムイメージの作成に使用される基本イメージの型。
`source-image`	はい	基本イメージのリソース識別子です。ソースイメージは、場所の入力値に設定されているのと同じ Azure リージョンに存在する必要があります。
`customizer-source`	いいえ	カスタマイズのために基本イメージに追加する必要があるすべての成果物を保持できるディレクトリ。既定値は `${{ GITHUB.WORKSPACE }}/workflow-artifacts.` です。
`customizer-destination`	いいえ	これは、成果物のコピー先のカスタマイズされたイメージ内のディレクトリです。
`customizer-windows-update`	いいえ	Windows のみ。ブール値。 `true`の場合、イメージビルダーは、カスタマイズの最後に Windows Update を実行します。
`dist-location`	いいえ	SharedImageGallery の場合、これは `dist-type` です。
`dist-image-tags`	いいえ	これらは、作成されたカスタムイメージ (例: `version:beta`) に追加されるユーザー定義のタグです。

仮想マシンを作成する

最後の手順として、イメージから仮想マシンを作成します。

{rgName} のプレースホルダーを目的のリソースグループとサイト名に置き換えます。
仮想マシンのパスワード (VM_PWD) を使用して、GitHub シークレットを追加します。パスワードは、もう一度確認することができないため、書き留めておいてください。ユーザー名は myuser です。

    - name: CREATE VM
      uses: azure/CLI@v1
      with:
        azcliversion: 2.0.72
        inlineScript: |
        az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
            --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"

YAML の完了

サービスプリンシパル
Open ID Connect

  on: [push]

  name: Create Custom VM Image

  jobs:
    build-image:
      runs-on: ubuntu-latest    
      steps:
      - name: Checkout
        uses: actions/checkout@v2    

      - name: Login via Az module
        uses: azure/login@v1
        with:
          creds: ${{secrets.AZURE_CREDENTIALS}}

      - name: Setup Java 1.8.x
        uses: actions/setup-java@v1
        with:
          java-version: '1.8.x'
          
      - name: Build Java
        run: mvn --batch-mode --update-snapshots verify

      - run: mkdir staging && cp target/*.jar staging
      - uses: actions/upload-artifact@v2
        with:
          name: Package
          path: staging

      - name: Create App Baked Image
        id: imageBuilder
        uses: azure/build-vm-image@v0
        with:
          location: 'eastus2'
          resource-group-name: '{rgName}'
          managed-identity: '{Identity}' # Managed identity
          source-os-type: 'windows'
          source-image-type: 'platformImage'
          source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
          dist-type: 'SharedImageGallery'
          dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
          dist-location: 'eastus2'

      - name: CREATE VM
        uses: azure/CLI@v1
        with:
          azcliversion: 2.0.72
          inlineScript: |
          az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
              --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"

  on: [push]

  name: Create Custom VM Image

  jobs:
    build-image:
      runs-on: ubuntu-latest    
      steps:
      - name: Checkout
        uses: actions/checkout@v2    

      - name: Login via Az module
        uses: azure/login@v1
        with:
          client-id: ${{ secrets.AZURE_CLIENT_ID }}
          tenant-id: ${{ secrets.AZURE_TENANT_ID }}
          subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}

      - name: Setup Java 1.8.x
        uses: actions/setup-java@v1
        with:
          java-version: '1.8.x'
          
      - name: Build Java
        run: mvn --batch-mode --update-snapshots verify

      - run: mkdir staging && cp target/*.jar staging
      - uses: actions/upload-artifact@v2
        with:
          name: Package
          path: staging

      - name: Create App Baked Image
        id: imageBuilder
        uses: azure/build-vm-image@v0
        with:
          location: 'eastus2'
          resource-group-name: '{rgName}'
          managed-identity: '{Identity}' # Managed identity
          source-os-type: 'windows'
          source-image-type: 'platformImage'
          source-image: MicrosoftWindowsServer:WindowsServer:2019-Datacenter:latest #unique identifier of source image
          dist-type: 'SharedImageGallery'
          dist-resource-id: '/subscriptions/{subscriptionID}/resourceGroups/{rgName}/providers/Microsoft.Compute/galleries/{galleryName}/images/{imageName}/versions/0.1.${{ GITHUB.RUN_ID }}' #Replace with the resource id of your shared image  gallery's image definition
          dist-location: 'eastus2'

      - name: CREATE VM
        uses: azure/CLI@v1
        with:
          azcliversion: 2.0.72
          inlineScript: |
          az vm create --resource-group ghactions-vMimage  --name "app-vm-${{ GITHUB.RUN_NUMBER }}"  --admin-username myuser --admin-password "${{ secrets.VM_PWD }}" --location  eastus2 \
              --image "${{ steps.imageBuilder.outputs.custom-image-uri }}"

次のステップ

Azure へのデプロイ方法を学習します。

次の方法で共有

GitHub Actions および Azure を使用してカスタムの仮想マシンイメージを構築する

前提条件

ワークフローファイルの概要

ユーザー管理 ID を作成する

デプロイ資格情報を生成する

GitHub シークレットを作成する

Java を構成する

イメージのビルド

仮想マシンアクションの引数

仮想マシンを作成する

YAML の完了

次のステップ

フィードバック

その他のリソース

次の方法で共有

GitHub Actions および Azure を使用してカスタムの仮想マシン イメージを構築する

前提条件

ワークフロー ファイルの概要

ユーザー 管理 ID を作成する

デプロイ資格情報を生成する

GitHub シークレットを作成する

Azure ログイン アクションを使用する

Java を構成する

イメージのビルド

仮想マシン アクションの引数

仮想マシンを作成する

YAML の完了

次のステップ

フィードバック

その他のリソース

GitHub Actions および Azure を使用してカスタムの仮想マシンイメージを構築する

ワークフローファイルの概要

ユーザー管理 ID を作成する

Azure ログインアクションを使用する

仮想マシンアクションの引数