Configuración de la imagen de contenedor para ejecutar implementaciones

Artículo
10/03/2024

En este artículo, aprenderá a compilar imágenes de contenedor de Bicep personalizadas para implementar las definiciones de entorno en Azure Deployment Environments (ADE).

En este artículo aprenderá a compilar imágenes de contenedor de Terraform personalizadas para implementar sus definiciones de entorno en Azure Deployment Environments (ADE). Aprenderá a configurar una imagen personalizada para aprovisionar la infraestructura mediante el marco de infraestructura como código (IaC) de Terraform.

En este artículo, aprenderá a usar Pulumi para implementaciones en Azure Deployment Environments (ADE). Aprenderá a usar una imagen de ejemplo proporcionada por Pulumi o cómo configurar una imagen personalizada para aprovisionar la infraestructura mediante el marco Pulumi Infrastructure-as-Code (IaC).

ADE admite un modelo de extensibilidad que permite crear imágenes personalizadas que puede usar en las definiciones de entorno. Para usar este modelo de extensibilidad, cree sus propias imágenes personalizadas y almacénelas en un registro de contenedor como Azure Container Registry (ACR) o Docker Hub. Después, puede hacer referencia a estas imágenes en las definiciones de entorno para implementar los entornos.

Una definición de entorno comprende al menos dos archivos: un archivo de plantilla, como azuredeploy.json o main.bicep, y un archivo de manifiesto llamado environment.yaml. ADE usa contenedores para implementar definiciones de entorno.

El equipo de ADE proporciona una selección de imágenes para empezar, incluida una imagen principal y una imagen de Azure Resource Manager (ARM)-Bicep. Puede acceder a estas imágenes de muestra en la carpeta Runner-Images.

Una definición de entorno comprende al menos dos archivos: un archivo de plantilla, como main.tf, y un archivo de manifiesto llamado environment.yaml. Se usa un contenedor para implementar la definición de entorno que usa Terraform.

Una definición de entorno consta de al menos dos archivos: un archivo de proyecto Pulumi, Pulumi.yaml, y un archivo de manifiesto denominado environment.yaml. También puede contener un programa de usuario escrito en el lenguaje de programación preferido: C#, TypeScript, Python, etc. ADE usa contenedores para implementar definiciones de entorno.

Requisitos previos

Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Azure Deployment Environments configurados en la suscripción de Azure.
- Para configurar ADE, siga el Inicio rápido: configurar entornos de implementación de Azure.

Uso de imágenes de contenedor con ADE

Puede adoptar uno de los métodos siguientes para usar imágenes de contenedor con ADE:

Usar una imagen de contenedor de ejemplo Para escenarios sencillos, use la imagen de contenedor ARM-Bicep de ejemplo proporcionada por ADE.
Crear una imagen de contenedor personalizada: para escenarios más complejos, cree una imagen de contenedor personalizada que cumpla sus requisitos específicos.

Los pasos principales que seguirá al usar una imagen de contenedor son:

Elija el tipo de imagen que desea usar: una imagen de ejemplo o una imagen personalizada.
- Si usa una imagen personalizada, comience con una imagen de ejemplo y a continuación, personalícela para que se ajuste a sus requisitos.
Compile la imagen.
Cargue la imagen en un registro privado o en un registro público.
Configure el acceso al Registro.
- Para un registro público, configure la extracción anónima.
- Para un registro privado, conceda los permisos de ACR de DevCenter.
Agregue la ubicación de la imagen al parámetro runner en la definición del entorno.
Implemente entornos que usen la imagen personalizada.

El primer paso del proceso es elegir el tipo de imagen que desea usar. Seleccione la pestaña correspondiente para ver el proceso.

Usar una imagen de contenedor de ejemplo
Creación de una imagen personalizada

Uso de una imagen de contenedor de ejemplo

ADE admite ARM y Bicep sin necesidad de ninguna configuración adicional. Puede crear una definición de entorno que implemente recursos de Azure para un entorno de implementación agregando los archivos de plantilla (como azuredeploy.json y environment.yaml) al catálogo. ADE usa la imagen de contenedor de ARM-Bicep de ejemplo para crear el entorno de implementación.

En el archivo environment.yaml, la propiedad runner especifica la ubicación de la imagen de contenedor que desea usar. Para usar la imagen de ejemplo publicada en el Registro de artefactos Microsoft, use los identificadores respectivos runner.

En el ejemplo siguiente se muestra un runner que hace referencia a la imagen de contenedor de ARM-Bicep de ejemplo:

    name: WebApp
    version: 1.0.0
    summary: Azure Web App Environment
    description: Deploys a web app in Azure without a datastore
    runner: Bicep
    templatePath: azuredeploy.json

Puede ver la imagen de ejemplo del contenedor Bicep en el repositorio de ejemplos de ADE en la Carpeta Runner-Images para la imagen ARM-Bicep.

Para más información sobre cómo crear definiciones de entorno que usen las imágenes de contenedor de ADE para implementar los recursos de Azure, consulte Incorporación y configuración de una definición de entorno.

Uso de una imagen de contenedor de ejemplo proporcionada por Pulumi

El equipo de Pulumi proporciona una imagen precompilada para empezar, que puede ver en la carpeta Runner-Image. Esta imagen está disponible públicamente en Docker Hub de Pulumi como pulumi/azure-deployment-environments, por lo que puede usarlo directamente desde las definiciones de entorno de ADE.

Este es un archivo de ejemplo environment.yaml que utiliza la imagen precompilada:

name: SampleDefinition
version: 1.0.0
summary: First Pulumi-Enabled Environment
description: Deploys a Storage Account with Pulumi
runner: pulumi/azure-deployment-environments:0.1.0
templatePath: Pulumi.yaml

Puede encontrar algunas definiciones de entorno de ejemplo en la Carpeta entornos.

Crear una imagen personalizada

La creación de una imagen de contenedor personalizada le permite personalizar las implementaciones para que se ajusten a sus requisitos. Puede crear imágenes personalizadas basadas en las imágenes de ejemplo de ADE.

Después de completar la personalización de la imagen, debe compilar la imagen e insertarla en el registro de contenedor.

Puede compilar e insertar la imagen manualmente o usar un script proporcionado por Microsoft para automatizar el proceso.

Como alternativa, puede bifurcar el repositorio Aprovechando el modelo de extensibilidad de ADE con Terraform para compilar e insertar la imagen de Terraform en un ACR proporcionado.

Las imágenes personalizadas se compilan mediante las imágenes de ejemplo de ADE como base con la CLI de ADE, que está preinstalada en las imágenes de ejemplo. Para obtener más información sobre la CLI de ADE, consulte la referencia de imagen de ejecutor personalizado de la CLI.

En este ejemplo, aprenderá a crear una imagen Docker para utilizar las implementaciones de ADE y acceder a la CLI de ADE, basando su imagen en una de las imágenes creadas por ADE.

Para crear una imagen configurada para ADE, siga estos pasos:

Cree una imagen personalizada basada en una imagen de ejemplo.
Instale los paquetes deseados.
Configurar scripts de shell de operaciones.
Cree scripts de shell de operaciones para implementar plantillas de ARM o Bicep.

Para crear una imagen configurada para ADE, siga estos pasos:

Cree una imagen personalizada basada en una imagen de ejemplo.
Instale los paquetes deseados.
Configurar scripts de shell de operaciones.
Cree scripts de shell de operación que usen la CLI de Terraform.

Para crear una imagen configurada para ADE, siga estos pasos:

Cree una imagen personalizada basada en una imagen de ejemplo.
Instale los paquetes deseados.
Configurar scripts de shell de operaciones.
Cree scripts de shell de operación que usen la CLI de Pulumi.

1. Creación de una imagen personalizada basada en una imagen de ejemplo

Cree un DockerFile que incluya una instrucción FROM que apunte a una imagen de ejemplo hospedada en el Registro de artefactos de Microsoft.

A continuación, se muestra una instrucción FROM de ejemplo que hace referencia a la imagen principal de muestra:

FROM mcr.microsoft.com/deployment-environments/runners/core:latest

Esta instrucción extrae la última imagen principal publicada y la convierte en base de la imagen personalizada.

2. Instalación de paquetes necesarios

En este paso, instalará los paquetes que necesite en la imagen, incluido Bicep. Puede instalar el paquete de Bicep con la CLI de Azure mediante la instrucción RUN, como se muestra en el siguiente ejemplo:

RUN az bicep install

En este paso, instalará los paquetes que necesite en la imagen, incluido Terraform. Puede instalar la CLI de Terraform en una ubicación ejecutable para que se pueda usar en los scripts de implementación y eliminación.

Este es un ejemplo de ese proceso, instalando la versión 1.7.5 de la CLI de Terraform:

RUN wget -O terraform.zip https://releases.hashicorp.com/terraform/1.7.5/terraform_1.7.5_linux_amd64.zip
RUN unzip terraform.zip && rm terraform.zip
RUN mv terraform /usr/bin/terraform

Sugerencia

Puede obtener la dirección URL de descarga de su versión preferida de la CLI de Terraform desde las versiones de Hashicorp.

Puede instalar la CLI de Pulumi en una ubicación ejecutable para que se pueda usar en los scripts de implementación y eliminación.

Este es un ejemplo de ese proceso, instalando la versión más reciente de la CLI de Pulumi:

RUN apk add curl
RUN curl -fsSL https://get.pulumi.com | sh
ENV PATH="${PATH}:/root/.pulumi/bin"

En función del lenguaje de programación que quiera usar para programas Pulumi, es posible que tenga que instalar uno o varios entornos de ejecución correspondientes. El entorno de ejecución de Python ya está disponible en la imagen base.

Este es un ejemplo de instalación de Node.js y TypeScript:

# install node.js, npm, and typescript
RUN apk add nodejs npm
RUN npm install typescript -g

Las imágenes de muestra de ADE se basan en la imagen de la CLI de Azure y tienen preinstalados los paquetes JQ y la CLI de ADE. Aquí puede obtener más información sobre la CLI de Azurey el paquete JQ.

Para instalar otros paquetes que necesite en la imagen, use la instrucción RUN.

3. Configuración de scripts de shell de operaciones

En las imágenes de muestra, las operaciones se determinan y ejecutan en función de su nombre. Actualmente, los dos nombres de operación admitidos son deploy y delete.

Para configurar la imagen personalizada de forma que use esta estructura, especifique una carpeta en el nivel de Dockerfile denominada scripts y especifique dos archivos, deploy.sh y delete.sh. El script del shell deploy se ejecuta al crear o volver a implementar el entorno y el script del shell delete se ejecuta al eliminar el entorno. Puede consultar ejemplos de scripts de shell en el repositorio bajo la carpeta Runner-Images para la imagen ARM-Bicep.

Para asegurarse de que estos scripts de shell sean ejecutables, agregue las siguientes líneas al Dockerfile:

COPY scripts/* /scripts/
RUN find /scripts/ -type f -iname "*.sh" -exec dos2unix '{}' '+'
RUN find /scripts/ -type f -iname "*.sh" -exec chmod +x {} \;

4. Creación de scripts de shell de operaciones para implementar plantillas de ARM o Bicep

Para asegurarse de que puede implementar correctamente la infraestructura de ARM o Bicep a través de ADE, debe hacer lo siguiente:

Conversión de parámetros de ADE en parámetros aceptables para ARM
Resolución de plantillas vinculadas si se usan en la implementación
Uso de la identidad administrada con privilegios para realizar la implementación

Durante el punto de entrada de la imagen principal, los parámetros establecidos para el entorno actual se almacenan en la variable $ADE_OPERATION_PARAMETERS. Para convertirlos en parámetros aceptables para ARM, puede ejecutar el siguiente comando mediante JQ:

# format the parameters as arm parameters
deploymentParameters=$(echo "$ADE_OPERATION_PARAMETERS" | jq --compact-output '{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", "contentVersion": "1.0.0.0", "parameters": (to_entries | if length == 0 then {} else (map( { (.key): { "value": .value } } ) | add) end) }' )

A continuación, para resolver cualquier plantilla vinculada utilizada dentro de una plantilla de ARM basada en JSON, puede descompilar el archivo de plantilla principal, que resuelve todos los archivos de infraestructura local utilizados en muchos módulos Bicep. A continuación, vuelva a compilar esos módulos en una única plantilla de ARM con las plantillas vinculadas insertadas en la plantilla de ARM principal como plantillas anidadas. Este paso solo es necesario durante la operación de implementación. El archivo de plantilla principal se puede especificar utilizando el $ADE_TEMPLATE_FILE establecido durante el punto de entrada de la imagen principal, y debe restablecer esta variable con el archivo de plantilla recompilado. Observe el ejemplo siguiente:

if [[ $ADE_TEMPLATE_FILE == *.json ]]; then

    hasRelativePath=$( cat $ADE_TEMPLATE_FILE | jq '[.. | objects | select(has("templateLink") and (.templateLink | has("relativePath")))] | any' )

    if [ "$hasRelativePath" = "true" ]; then
        echo "Resolving linked ARM templates"

        bicepTemplate="${ADE_TEMPLATE_FILE/.json/.bicep}"
        generatedTemplate="${ADE_TEMPLATE_FILE/.json/.generated.json}"

        az bicep decompile --file "$ADE_TEMPLATE_FILE"
        az bicep build --file "$bicepTemplate" --outfile "$generatedTemplate"

        # Correctly reassign ADE_TEMPLATE_FILE without the $ prefix during assignment
        ADE_TEMPLATE_FILE="$generatedTemplate"
    fi
fi

Para proporcionar los permisos que requiere una implementación para ejecutar la implementación y eliminación de recursos dentro de la suscripción, use la identidad administrada con privilegios asociada al tipo de entorno de proyecto de ADE. Si la implementación necesita permisos especiales para completarse, como roles concretos, asígnelos a la identidad del tipo de entorno del proyecto. A veces, la identidad administrada no está disponible inmediatamente al entrar en el contenedor; puede volver a intentarlo hasta que el inicio de sesión tenga éxito.

echo "Signing into Azure using MSI"
while true; do
    # managed identity isn't available immediately
    # we need to do retry after a short nap
    az login --identity --allow-no-subscriptions --only-show-errors --output none && {
        echo "Successfully signed into Azure"
        break
    } || sleep 5
done

Para comenzar la implementación de las plantillas de ARM o Bicep, ejecute el comando az deployment group create. Al ejecutar este comando dentro del contenedor, elija un nombre de implementación que no invalide las implementaciones anteriores y use las marcas --no-prompt true y --only-show-errors para asegurarse de que la implementación no produce errores en ninguna advertencia o se detiene en la espera de la entrada del usuario, como se muestra en el siguiente ejemplo:

deploymentName=$(date +"%Y-%m-%d-%H%M%S")
az deployment group create --subscription $ADE_SUBSCRIPTION_ID \
    --resource-group "$ADE_RESOURCE_GROUP_NAME" \
    --name "$deploymentName" \
    --no-prompt true --no-wait \
    --template-file "$ADE_TEMPLATE_FILE" \
    --parameters "$deploymentParameters" \
    --only-show-errors

Para eliminar un entorno, realice una implementación en modo completo y proporcione una plantilla de ARM vacía, que quita todos los recursos del grupo de recursos de ADE especificado, como se muestra en el siguiente ejemplo:

deploymentName=$(date +"%Y-%m-%d-%H%M%S")
az deployment group create --resource-group "$ADE_RESOURCE_GROUP_NAME" \
    --name "$deploymentName" \
    --no-prompt true --no-wait --mode Complete \
    --only-show-errors \
    --template-file "$DIR/empty.json"

Para comprobar el estado de aprovisionamiento y los detalles, ejecute los siguientes comandos. ADE utiliza algunas funciones especiales para leer y proporcionar más contexto basado en los detalles de aprovisionamiento, que puede encontrar en la carpeta Runner-Images. Una implementación sencilla podría ser la siguiente:

if [ $? -eq 0 ]; then # deployment successfully created
    while true; do

        sleep 1

        ProvisioningState=$(az deployment group show --resource-group "$ADE_RESOURCE_GROUP_NAME" --name "$deploymentName" --query "properties.provisioningState" -o tsv)
        ProvisioningDetails=$(az deployment operation group list --resource-group "$ADE_RESOURCE_GROUP_NAME" --name "$deploymentName")

        echo "$ProvisioningDetails"

        if [[ "CANCELED|FAILED|SUCCEEDED" == *"${ProvisioningState^^}"* ]]; then

            echo -e "\nDeployment $deploymentName: $ProvisioningState"

            if [[ "CANCELED|FAILED" == *"${ProvisioningState^^}"* ]]; then
                exit 11
            else
                break
            fi
        fi
    done
fi

Por último, para ver las salidas de la implementación y pasarlas a ADE para que sean accesibles a través de la CLI de Azure, puede ejecutar los siguientes comandos:

deploymentOutput=$(az deployment group show -g "$ADE_RESOURCE_GROUP_NAME" -n "$deploymentName" --query properties.outputs)
if [ -z "$deploymentOutput" ]; then
    deploymentOutput="{}"
fi
echo "{\"outputs\": $deploymentOutput}" > $ADE_OUTPUTS

4. Creación de scripts de shell de operaciones que usan la CLI de Terraform

Hay tres pasos para implementar la infraestructura mediante Terraform:

terraform init: inicializa la CLI de Terraform para realizar acciones en el directorio de trabajo
terraform plan: desarrolla un plan basado en los archivos y variables de infraestructura de Terraform entrantes, así como en los archivos de estado existentes, y desarrolla los pasos necesarios para crear o actualizar la infraestructura especificada en los archivos .tf
terraform apply: aplica el plan para crear una infraestructura existente o actualizarla en Azure

Durante el punto de entrada de la imagen principal, cualquier archivo de estado existente se introduce en el contenedor y el directorio se guarda bajo la variable de entorno $ADE_STORAGE. Además, los parámetros establecidos para el entorno actual almacenados en la variable $ADE_OPERATION_PARAMETERS. Para acceder al archivo de estado existente y establecer sus variables dentro de un archivo .tfvars.json, ejecute los siguientes comandos:

EnvironmentState="$ADE_STORAGE/environment.tfstate"
EnvironmentPlan="/environment.tfplan"
EnvironmentVars="/environment.tfvars.json"

echo "$ADE_OPERATION_PARAMETERS" > $EnvironmentVars

Además, para usar los privilegios de ADE para implementar la infraestructura dentro de su suscripción, su script necesita usar la Identidad de servicio administrada (MSI) al aprovisionar la infraestructura usando el proveedor de Terraform AzureRM. Si su implementación necesita permisos especiales para su finalización, como roles particulares, asigne esos permisos a la identidad del tipo de entorno del proyecto que se está usando para su implementación del entorno. ADE establece las variables de entorno pertinentes, como los id. de cliente, inquilino y suscripción dentro del punto de entrada de la imagen principal, así que ejecute los siguientes comandos para asegurarse de que el proveedor usa el MSI de ADE:

export ARM_USE_MSI=true
export ARM_CLIENT_ID=$ADE_CLIENT_ID
export ARM_TENANT_ID=$ADE_TENANT_ID
export ARM_SUBSCRIPTION_ID=$ADE_SUBSCRIPTION_ID

Si tiene otras variables a las que hacer referencia dentro de su plantilla que no estén especificadas en los parámetros de su entorno, establezca variables de entorno usando el prefijo TF_VAR. Se proporciona una lista de las variables de entorno de ADE proporcionadas referencia de variables de la CLI del entorno de implementación de Azure. Un ejemplo de esos comandos podría ser;

export TF_VAR_resource_group_name=$ADE_RESOURCE_GROUP_NAME
export TF_VAR_ade_env_name=$ADE_ENVIRONMENT_NAME
export TF_VAR_env_name=$ADE_ENVIRONMENT_NAME
export TF_VAR_ade_subscription=$ADE_SUBSCRIPTION_ID
export TF_VAR_ade_location=$ADE_ENVIRONMENT_LOCATION
export TF_VAR_ade_environment_type=$ADE_ENVIRONMENT_TYPE

Ahora, puede ejecutar los pasos enumerados anteriormente para inicializar la CLI de Terraform, generar un plan para la infraestructura de aprovisionamiento y aplicar un plan durante el script de implementación:

terraform init
terraform plan -no-color -compact-warnings -refresh=true -lock=true -state=$EnvironmentState -out=$EnvironmentPlan -var-file="$EnvironmentVars"
terraform apply -no-color -compact-warnings -auto-approve -lock=true -state=$EnvironmentState $EnvironmentPlan

Durante el script de eliminación, puede agregar la marca destroy a la generación del plan para eliminar los recursos existentes, como se muestra en el ejemplo siguiente:

terraform init
terraform plan -no-color -compact-warnings -destroy -refresh=true -lock=true -state=$EnvironmentState -out=$EnvironmentPlan -var-file="$EnvironmentVars"
terraform apply -no-color -compact-warnings -auto-approve -lock=true -state=$EnvironmentState $EnvironmentPlan

Por último, para que las salidas de la implementación se carguen y sean accesibles al acceder al entorno a través de la CLI de Azure, transforme el objeto de salida de Terraform al formato especificado por ADE mediante el paquete JQ. Establezca el valor en la variable de entorno $ADE_OUTPUTS, como se muestra en el ejemplo siguiente:

tfOutputs=$(terraform output -state=$EnvironmentState -json)
# Convert Terraform output format to ADE format.
tfOutputs=$(jq 'walk(if type == "object" then 
            if .type == "bool" then .type = "boolean" 
            elif .type == "list" then .type = "array" 
            elif .type == "map" then .type = "object" 
            elif .type == "set" then .type = "array" 
            elif (.type | type) == "array" then 
                if .type[0] == "tuple" then .type = "array" 
                elif .type[0] == "object" then .type = "object" 
                elif .type[0] == "set" then .type = "array" 
                else . 
                end 
            else . 
            end 
        else . 
        end)' <<< "$tfOutputs")

echo "{\"outputs\": $tfOutputs}" > $ADE_OUTPUTS

Hay cuatro pasos para implementar la infraestructura mediante Pulumi:

pulumi login : conéctese al almacenamiento de estado, ya sea en el sistema de archivos local o en Pulumi Cloud
pulumi stack select : cree o seleccione la pila que se va a usar para el entorno determinado
pulumi config set : se pasan los parámetros de implementación como valores de configuración de Pulumi
pulumi up : ejecute la implementación para crear una infraestructura existente o actualizarla en Azure

Durante el punto de entrada de la imagen principal, los archivos de estado local existentes se extraen en el contenedor y el directorio guardado en la variable de entorno $ADE_STORAGE. Para acceder al archivo de estado existente, ejecute los siguientes comandos:

mkdir -p $ADE_STORAGE
export PULUMI_CONFIG_PASSPHRASE=
pulumi login file://$ADE_STORAGE

Para iniciar sesión en Pulumi Cloud en su lugar, establezca el token de acceso de Pulumi como una variable de entorno y ejecute los comandos siguientes:

export PULUMI_ACCESS_TOKEN=YOUR_PULUMI_ACCESS_TOKEN
pulumi login

Los parámetros establecidos para el entorno actual se almacenan en la variable $ADE_OPERATION_PARAMETERS. Además, la región de Azure seleccionada y el nombre del grupo de recursos se pasan ADE_ENVIRONMENT_LOCATION y ADE_RESOURCE_GROUP_NAME respectivamente. Para establecer la configuración de la pila de Pulumi, ejecute los siguientes comandos:

# Create or select the stack for the current environment
pulumi stack select $ADE_ENVIRONMENT_NAME --create

# Store configuration values in durable storage
export PULUMI_CONFIG_FILE=$ADE_STORAGE/Pulumi.$ADE_ENVIRONMENT_NAME.yaml

# Set the Pulumi stack config
pulumi config set azure-native:location $ADE_ENVIRONMENT_LOCATION --config-file $PULUMI_CONFIG_FILE
pulumi config set resource-group-name $ADE_RESOURCE_GROUP_NAME --config-file $PULUMI_CONFIG_FILE
echo "$ADE_OPERATION_PARAMETERS" | jq -r 'to_entries|.[]|[.key, .value] | @tsv' |
  while IFS=$'\t' read -r key value; do
    pulumi config set $key $value --config-file $PULUMI_CONFIG_FILE
  done

Además, para usar privilegios de ADE para implementar la infraestructura dentro de la suscripción, el script debe usar ADE Managed Service Identity (MSI) al aprovisionar la infraestructura mediante el proveedor nativo de Azure Pulumi o Azure clásico. Si su implementación necesita permisos especiales para su finalización, como roles particulares, asigne esos permisos a la identidad del tipo de entorno del proyecto que se está usando para su implementación del entorno. ADE establece las variables de entorno pertinentes, como los identificadores de cliente, inquilino y suscripción dentro del punto de entrada de la imagen principal, por lo que ejecute los siguientes comandos para asegurarse de que el proveedor usa MSI de ADE:

export ARM_USE_MSI=true
export ARM_CLIENT_ID=$ADE_CLIENT_ID
export ARM_TENANT_ID=$ADE_TENANT_ID
export ARM_SUBSCRIPTION_ID=$ADE_SUBSCRIPTION_ID

Ahora, puede ejecutar el comando pulumi up para ejecutar la implementación:

pulumi up --refresh --yes --config-file $PULUMI_CONFIG_FILE

Durante el script de eliminación, puede ejecutar el comando destroy, como se muestra en el ejemplo siguiente:

pulumi destroy --refresh --yes --config-file $PULUMI_CONFIG_FILE

Por último, para que las salidas de la implementación se carguen y sean accesibles al acceder al entorno a través de la CLI de Azure, transforme el objeto de salida de Pulumi al formato especificado por ADE a través del paquete JQ. Establezca el valor en la variable de entorno $ADE_OUTPUTS, como se muestra en el ejemplo siguiente:

stackout=$(pulumi stack output --json | jq -r 'to_entries|.[]|{(.key): {type: "string", value: (.value)}}')
echo "{\"outputs\": ${stackout:-{\}}}" > $ADE_OUTPUTS

Consulte Compilación de una imagen.

Puede compilar la imagen mediante la CLI de Docker. Asegúrese de que el Motor de Docker está instalado en el equipo. A continuación, vaya al directorio del Dockerfile y ejecute el siguiente comando:

docker build . -t {YOUR_REGISTRY}.azurecr.io/{YOUR_REPOSITORY}:{YOUR_TAG}

Por ejemplo, si quiere guardar la imagen en un repositorio dentro del registro denominado customImage y cargar la versión de etiqueta de 1.0.0, debería ejecutar:

docker build . -t {YOUR_REGISTRY}.azurecr.io/customImage:1.0.0

Hacer que la imagen personalizada esté disponible para ADE

Para usar imágenes personalizadas, debe almacenarlas en un registro de contenedor. Puede usar un registro de contenedor público o un registro de contenedor privado. Se recomienda encarecidamente Azure Container Registry (ACR), debido a su estrecha integración con ADE, la imagen se puede publicar sin permitir el acceso de extracción anónimo público. Debe compilar la imagen de contenedor personalizada e insertarla en un registro de contenedor para que esté disponible para su uso en ADE.

También es posible almacenar la imagen en un registro de contenedor diferente, como Docker Hub, pero en ese caso debe ser accesible públicamente.

Precaución

Almacenar la imagen de contenedor en un registro con acceso de extracción anónimo (sin autenticar) hace que sea accesible públicamente. No lo haga si la imagen contiene información confidencial. En su lugar, almacénela en Azure Container Registry (ACR) con el acceso de extracción anónimo deshabilitado.

Para usar una imagen personalizada almacenada en ACR, debe asegurarse de que ADE tiene los permisos adecuados para acceder a la imagen. Al crear una instancia de ACR, es segura de forma predeterminada y solo permite el acceso a usuarios autenticados.

Puede usar Pulumi para crear una instancia de Azure Container Registry y publicar la imagen en ella. Consulte el ejemplo de provisioning/custom-image para ver un proyecto Pulumi independiente que crea todos los recursos necesarios en su cuenta de Azure.

Seleccione la pestaña adecuada para obtener más información sobre cada enfoque.

Registro privado
Registro público

Uso de un registro privado con acceso protegido

De forma predeterminada, el acceso a la extracción o inserción de contenido de una instancia de Azure Container Registry solo está disponible para los usuarios autenticados. Puede proteger aún más el acceso a ACR limitando el acceso desde determinadas redes y asignando roles específicos.

Para crear una instancia de ACR, lo cual puede realizarse mediante la CLI de Azure, Azure Portal o comandos de PowerShell entre otros métodos, siga uno de los inicios rápidos correspondientes.

Límite de acceso a la red

Para proteger el acceso de red a su ACR, puede limitar el acceso a sus propias redes o deshabilitar el acceso a la red pública por completo. Si limita el acceso a la red, debe habilitar la excepción de firewall Permitir que los servicios de Microsoft de confianza accedan a este registro de contenedor.

Para deshabilitar el acceso desde redes públicas:

Crear una instancia de ACR o usar una existente.
En Azure Portal, vaya al ACR que desea configurar.
En el menú de la izquierda, en Configuración, seleccione Redes.
En la página Redes, en la pestaña Acceso público, en Acceso a la red pública, seleccione Deshabilitado.
En Excepción firewall, compruebe que esta seleccionado Permitir que los servicios de Microsoft de confianza accedan a este registro de contenedor y, a continuación, seleccione Guardar.

Asignación del rol AcrPull

La creación de entornos mediante imágenes de contenedor usa la infraestructura de ADE, incluidos los proyectos y los tipos de entorno. Cada proyecto tiene uno o varios tipos de entorno de proyecto, que necesitan acceso de lectura a la imagen de contenedor que define el entorno que se va a implementar. Para acceder a las imágenes dentro de ACR de forma segura, asigne el rol AcrPull a cada tipo de entorno de proyecto.

Para asignar el rol AcrPull al tipo de entorno de proyecto:

En Azure Portal, vaya al ACR que desea configurar.
En el menú izquierdo, seleccione Access Control (IAM).
Seleccione Agregar>Agregar asignación de roles.

Asigne el siguiente rol. Para asignar roles, consulte Asignación de roles de Azure mediante Azure Portal.

Configuración	Valor
Rol	Seleccione AcrPull.
Asignar acceso a	Seleccione Usuario, grupo o entidad de servicio.
Miembros	Escriba el nombre del tipo de entorno del proyecto que necesita tener acceso a la imagen en el contenedor.

El tipo de entorno de proyecto se muestra como en el ejemplo siguiente:

Captura de pantalla del panel Seleccionar miembros, en la que se muestra una lista de tipos de entorno de proyecto con parte del nombre resaltado.

En esta configuración, ADE usa la identidad administrada para el PET, ya sea asignada por el sistema o por el usuario.

Sugerencia

Esta asignación de roles debe realizarse para cada tipo de entorno de proyecto. Se puede automatizar a través de la CLI de Azure.

Cuando esté listo para insertar la imagen en el registro, ejecute el siguiente comando:

docker push {YOUR_REGISTRY}.azurecr.io/{YOUR_IMAGE_LOCATION}:{YOUR_TAG}

Uso de un registro público con extracción anónima

Para configurar el registro de forma que tenga habilitada la extracción anónima de imágenes, ejecute los siguientes comandos en la CLI de Azure:

az login
az acr login -n {YOUR_REGISTRY}
az acr update -n {YOUR_REGISTRY} --public-network-enabled true
az acr update -n {YOUR_REGISTRY} --anonymous-pull-enabled true

Cuando esté listo para insertar la imagen en el registro, ejecute el siguiente comando:

docker push {YOUR_REGISTRY}.azurecr.io/{YOUR_IMAGE_LOCATION}:{YOUR_TAG}

Compilación de una imagen de contenedor con un script

En lugar de compilar la imagen personalizada e insertarla en un registro de contenedor usted mismo, puede usar un script para compilarla e insertarla en un registro de contenedor especificado.

Microsoft proporciona un script de inicio rápido para ayudarle a crear la imagen personalizada e insertarla en un registro. El script compila la imagen y la inserta en una instancia específica de Azure Container Registry (ACR) en el repositorio ade con la etiqueta latest.

Para usar el script, debe:

Crear un Dockerfile y una carpeta de scripts que admitan el modelo de extensibilidad de ADE.
Proporcionar un nombre de registro y su directorio para la imagen personalizada.
Tener instalada la CLI de Azure y Docker Desktop en las variables PATH.
Tener Docker Desktop en ejecución.
Tener permisos para insertar en el registro especificado.

Puede ver el script aquí.

Para llamar al script, use el siguiente comando en PowerShell:

.\quickstart-image-build.ps1 -Registry '{YOUR_REGISTRY}' -Directory '{DIRECTORY_TO_YOUR_IMAGE}'

Además, si quiere insertar en un repositorio y un nombre de etiqueta específicos, puede ejecutar:

.\quickstart-image.build.ps1 -Registry '{YOUR_REGISTRY}' -Directory '{DIRECTORY_TO_YOUR_IMAGE}' -Repository '{YOUR_REPOSITORY}' -Tag '{YOUR_TAG}'

Conexión de la imagen a la definición del entorno

Al crear definiciones de entorno para usar la imagen personalizada en su implementación, edite la propiedad runner en el archivo de manifiesto (environment.yaml o manifest.yaml).

runner: "{YOUR_REGISTRY}.azurecr.io/{YOUR_REPOSITORY}:{YOUR_TAG}"

Repositorio azure-deployment-environments de Pulumi

Compartir a través de

Configuración de la imagen de contenedor para ejecutar implementaciones

Requisitos previos

Uso de imágenes de contenedor con ADE

Uso de una imagen de contenedor de ejemplo

Uso de una imagen de contenedor de ejemplo proporcionada por Pulumi

Crear una imagen personalizada

Consulte Compilación de una imagen.

Hacer que la imagen personalizada esté disponible para ADE

Uso de un registro privado con acceso protegido

Límite de acceso a la red

Asignación del rol AcrPull

Uso de un registro público con extracción anónima

Compilación de una imagen de contenedor con un script

Conexión de la imagen a la definición del entorno

Comentarios

Recursos adicionales

Compartir a través de

Configuración de la imagen de contenedor para ejecutar implementaciones

Requisitos previos

Uso de imágenes de contenedor con ADE

Uso de una imagen de contenedor de ejemplo

Uso de una imagen de contenedor de ejemplo proporcionada por Pulumi

Consulte Compilación de una imagen.

Hacer que la imagen personalizada esté disponible para ADE

Uso de un registro privado con acceso protegido

Límite de acceso a la red

Asignación del rol AcrPull

Compilación de una imagen de contenedor con un script

Conexión de la imagen a la definición del entorno

Contenido relacionado

Comentarios

Recursos adicionales