Implantar um aplicativo Python em contêiner no Serviço de Aplicativo

Os comandos da CLI do Azure podem ser executados no Azure Cloud Shell ou em uma estação de trabalho com a CLI do Azure instalada.

Passo 1. Obtenha a ID do recurso do grupo que contém o Registro de Contêiner do Azure com o comando az group show .

# RESOURCE_GROUP_NAME='msdocs-web-app-rg'

RESOURCE_ID=$(az group show \
  --resource-group $RESOURCE_GROUP_NAME \
  --query id \
  --output tsv)
echo $RESOURCE_ID

No comando acima, RESOURCE_GROUP_NAME ainda deve ser definido em seu ambiente para o nome do grupo de recursos usado na parte 3. Criar contêiner no Azure deste tutorial. Se não estiver, descomente a primeira linha e certifique-se de que está definida para o nome que usou.

Passo 2. Crie um plano do Serviço de Aplicações com o comando az appservice plan create.

APP_SERVICE_PLAN_NAME='msdocs-web-app-plan'

az appservice plan create \
    --name $APP_SERVICE_PLAN_NAME \
    --resource-group $RESOURCE_GROUP_NAME \
    --sku B1 \
    --is-linux

Passo 3. Crie um aplicativo Web com o comando az webapp create .

O comando a seguir também habilita a identidade gerenciada atribuída pelo sistema para o aplicativo Web e atribui a ele a AcrPull função no recurso especificado - neste caso, o grupo de recursos que contém o Registro de Contêiner do Azure. Isso concede aos privilégios de pull de identidade gerenciada atribuídos pelo sistema em qualquer Registro de Contêiner do Azure no grupo de recursos.

APP_SERVICE_NAME='<website-name>'
# REGISTRY_NAME='<your Azure Container Registry name>'
CONTAINER_NAME=$REGISTRY_NAME'.azurecr.io/msdocspythoncontainerwebapp:latest'

az webapp create \
  --resource-group $RESOURCE_GROUP_NAME \
  --plan $APP_SERVICE_PLAN_NAME \
  --name $APP_SERVICE_NAME \
  --assign-identity '[system]' \
  --scope $RESOURCE_ID \
  --role acrpull \
  --deployment-container-image-name $CONTAINER_NAME 

No comando acima:

• APP_SERVICE_NAME deve ser globalmente exclusivo, pois se torna o nome do site na URL https://<website-name>.azurewebsites.net.
• CONTAINER_NAME é da forma "yourregistryname.azurecr.io/repo_name:tag".
• REGISTRY_NAME ainda deve ser definido em seu ambiente para o nome do Registro usado na Parte 3. Criar contêiner no Azure deste tutorial. Se não estiver, descomente a linha onde está definida acima e certifique-se de que está definida para o nome que usou.

No credential was provided to access Azure Container Registry. Trying to look up...
Retrieving credentials failed with an exception:'No resource or more than one were found with name ...'

Essas etapas exigem a extensão do Docker para o VS Code.

Instruções	Captura de ecrã
Atualize o Registro de Contêiner do Azure na extensão do Docker. Confirme se o contêiner criado aparece na seção REGISTROS da extensão do Docker. Caso contrário, clique com o botão direito do mouse no nome do Registro e selecione Atualizar.
Selecione F1 ou CTRL+SHIFT+P para abrir a paleta de comandos e iniciar a tarefa Registros do Docker: Implantar imagem no Serviço de Aplicativo do Azure...
Siga as instruções para implantar a imagem: Selecione o provedor de registro → "Azure" Selecione Registro → Digite o nome do registro que você criou anteriormente neste tutorial. Selecione repositório → Digite o nome do repositório "msdocspythoncontainerwebapp". Se você não vir esse repositório, atualize a seção REGISTROS da extensão do Docker. Selecione a tag → "mais recente" Insira um nome globalmente exclusivo para o aplicativo Web → Insira um nome que seja globalmente exclusivo para o Serviço de Aplicativo do Azure. Por exemplo, se você usar "msdocs-python-container-web-app", a URL do aplicativo Web será http://msdocs-python-container-web-app.azurewebsites.net. Selecione um grupo de recursos → Use o grupo de recursos que contém o Registro de Contêiner do Azure criado anteriormente. Selecione um local → Use o mesmo local que o grupo de recursos. Selecione um plano do Serviço de Aplicativo Linux → Usar um existente ou criar um novo.
Veja a janela OUTPUT para obter detalhes da implantação. Uma das linhas de saída é "Concedendo permissão para o Serviço de Aplicativo extrair imagem do ACR...", que o Serviço de Aplicativo acessa o registro usando a identidade gerenciada. O site https://<app-name>.azurewebsites.net final ainda não está pronto porque você precisa especificar as informações do MongoDB.

Entre no portal do Azure e siga estas etapas para criar o aplicativo Web.

Instruções	Captura de ecrã
Crie um novo Serviço de Aplicativo: Na pesquisa do portal do Azure, procure "Serviços de Aplicativo" e selecione Serviços de Aplicativo. Selecione + Criar para iniciar o processo de criação.
Nas configurações básicas do Serviço de Aplicativo, especifique: Grupo de Recursos → Use o mesmo grupo de recursos em que o Registro de Contêiner do Azure está. Nome → Use um nome exclusivo que será http://<app-name>.azurewebsites.net. Publique → Use o contêiner do Docker para que a imagem do Registro criada seja usada. Sistema operacional → Linux Região → Use a mesma região que o grupo de recursos e o Registro de Contêiner do Azure. Plano Linux → Selecione um plano Linux existente ou use um novo. Sku e tamanho → Selecione Basic B1. Selecione o link Alterar tamanho para acessar mais opções. Redundância de zona → Selecione Desativado se esta opção estiver disponível para a SKU selecionada. Selecione Next: Docker para continuar.
Especifique as informações do Docker do Serviço de Aplicativo, incluindo: Opções → selecionar Contêiner único. Origem da Imagem → Selecione Registro de Contêiner do Azure. Registro → O registro que você criou para este tutorial. Image → Uma imagem no registo. Tag → "mais recente" A conta de administrador do Registro é necessária quando você usa o portal do Azure para implantar uma imagem de contêiner. Se a conta de administrador não estiver ativada, você verá um erro ao especificar a Imagem. Depois que o Serviço de Aplicativo é criado, a identidade gerenciada é usada para extrair imagens do Registro e a conta de administrador pode ser desabilitada.
Vá para a página Rever + Criar e selecione Criar.

Passo 1. Configure o aplicativo Web para usar identidades gerenciadas para extrair do Registro de Contêiner do Azure com o comando az webapp config set .

az webapp config set \
  --resource-group $RESOURCE_GROUP_NAME \
  --name $APP_SERVICE_NAME \
  --generic-configurations '{"acrUseManagedIdentityCreds": true}'

Como você habilitou a identidade gerenciada atribuída ao sistema quando criou o aplicativo Web, ela será a identidade gerenciada usada para extrair do Registro de Contêiner do Azure.

Passo 2. Obtenha a credencial de escopo do aplicativo com o comando az webapp deployment list-publishing-credentials .

CREDENTIAL=$(az webapp deployment list-publishing-credentials \
  --resource-group $RESOURCE_GROUP_NAME \
  --name $APP_SERVICE_NAME \
  --query publishingPassword \
  --output tsv)
echo $CREDENTIAL 

Passo 3. Use a credencial de escopo do aplicativo para criar um webhook com o comando az acr webhook create .

SERVICE_URI='https://$'$APP_SERVICE_NAME':'$CREDENTIAL'@'$APP_SERVICE_NAME'.scm.azurewebsites.net/api/registry/webhook'

az acr webhook create \
  --name webhookforwebapp \
  --registry $REGISTRY_NAME \
  --scope msdocspythoncontainerwebapp:* \
  --uri $SERVICE_URI \
  --actions push 

Por padrão, esse comando cria o webhook no mesmo grupo de recursos e local que o registro de Contêiner do Azure especificado. Se desejar, você pode usar os --resource-group parâmetros e --location para substituir esse comportamento.

Vá para o portal do Azure para seguir estas etapas.

Instruções	Captura de ecrã
Identidade gerenciada habilitada. Vá para o recurso Identidade do Serviço de Aplicativo. Selecione o status Ativado em Sistema atribuído. Selecione Guardar. Selecione Sim no prompt para continuar.
No recurso Identidade do Serviço de Aplicativo e onde você acabou de habilitar a identidade gerenciada, selecione Atribuições de função do Azure.
Adicione a função "AcrPull" para a identidade gerenciada atribuída ao sistema. A função AcrPull permite que o Serviço de Aplicativo extraia imagens do Contêiner do Azure Registry.In "Atribuições de função do Azure", selecione + Adicionar atribuição de função e siga os prompts para adicionar: Âmbito → "Grupo de recursos" Subscrição → A sua subscrição. Grupo de recursos → O grupo com o Registro de Contêiner do Azure e o Serviço de Aplicativo. Função → "AcrPull" Selecione Guardar para guardar a função. Para obter mais informações, consulte Atribuir funções do Azure utilizando o portal do Azure.
Configure a implantação do Serviço de Aplicativo para usar a identidade gerenciada. Vá para o recurso Centro de Implantação do Serviço de Aplicativo. Na guia Configurações, defina Autenticação como Identidade Gerenciada. Selecione Guardar para guardar as alterações.
Crie um webhook que dispara atualizações para o Serviço de Aplicativo quando novas imagens são enviadas por push para o Registro de Contêiner do Azure. Primeiro, obtenha a credencial de escopo do aplicativo: Vá para o recurso Centro de Implantação do Serviço de Aplicativo. Na guia Credenciais FTPS, obtenha o valor Senha em Escopo do aplicativo. Em seguida, crie o webhook usando o valor da credencial e o nome do Serviço de Aplicativo: Vá para o Registro de Contêiner do Azure que tem a imagem de repositório e contêiner e selecione a página de recursos Webhooks . Na página webhooks, selecione + Adicionar. Especifique os parâmetros da seguinte forma: Nome do Webhook → Digite "webhookforwebapp". Localização → Utilize a localização do registo. URI de serviço → Uma cadeia de caracteres que é uma combinação de nome e credencial do Serviço de Aplicativo. Ver abaixo. Ações → Selecione push. Status → Selecione Ativado. Escopo → Digite "msdocspythoncontainerwebapp:*". O URI do serviço é formatado como "https://$" + APP_SERVICE_NAME + ":" + CREDENTIAL + "@" + APP_SERVICE_NAME + ".scm.azurewebsites.net/api/registry/webhook". Por exemplo: "https://$msdocs-python-container-web-app:credential@msdocs-python-container-web-app.scm.azurewebsites.net/api/registry/webhook".

Para definir variáveis de ambiente no Serviço de Aplicativo, crie configurações de aplicativo com o seguinte comando az webapp config appsettings set .

MONGO_CONNECTION_STRING='your Mongo DB connection string in single quotes'
MONGO_DB_NAME=restaurants_reviews
MONGO_COLLECTION_NAME=restaurants_reviews

az webapp config appsettings set \
   --resource-group $RESOURCE_GROUP_NAME \
   --name $APP_SERVICE_NAME \
   --settings CONNECTION_STRING=$MONGO_CONNECTION_STRING \
              DB_NAME=$MONGO_DB_NAME  \
              COLLECTION_NAME=$MONGO_COLLECTION_NAME 

• CONNECTION_STRING: Uma cadeia de conexão que começa com "mongodb://".
• DB_NAME: Use "restaurants_reviews".
• COLLECTION_NAME: Use "restaurants_reviews".

Para configurar variáveis de ambiente para o aplicativo Web a partir do VS Code, você deve ter o pacote de extensão Ferramentas do Azure instalado e estar conectado ao Azure a partir do VS Code.

Instruções	Captura de ecrã
Na extensão Ferramentas do Azure para Visual Studio Code: Expanda RECURSOS e encontre Serviços de Aplicações na sua subscrição. (Certifique-se de visualizar os recursos por Agrupar por tipo de recurso.) Expanda Serviços de Aplicativos e localize o aplicativo Web que você acabou de criar. Expanda seu aplicativo Web e clique com o botão direito do mouse em Configurações do aplicativo. Selecione Adicionar nova configuração....
Cada vez que você adiciona uma nova configuração, uma caixa de diálogo aparece na parte superior da janela VS Code, onde você pode adicionar cada nome de configuração seguido de seu valor. Adicione as seguintes configurações: CONNECTION_STRING → Uma cadeia de conexão que começa com "mongodb://". DB_NAME → Use "restaurants_reviews". COLLECTION_NAME → Use "restaurants_reviews". WEBSITES_PORT → Use "8000" para Django e "5000" para Flask. Essa variável de ambiente especifica a porta na qual o contêiner está escutando.

Se você estiver executando a CLI do Azure localmente, poderá usar o comando az webapp browse para navegar até o site. Se você estiver usando o Cloud Shell, abra uma janela do navegador e navegue até o URL do site.

az webapp browse  --name $APP_SERVICE_NAME --resource-group $RESOURCE_GROUP_NAME