クラウドネイティブ アプリを Azure Kubernetes Service に手動でデプロイする
Web サイトのデプロイを自動化する前に、既存の eShop アプリを Azure Kubernetes Service (AKS) に手動でデプロイする必要があります。 Azure CLI コマンドと bash スクリプトを使って、Azure リソースを作成し、アプリを AKS にデプロイします。 最後に、Azure Active Directory (Azure AD) サービス プリンシパルを作成して、GitHub Actions を AKS と Azure Container Registry にデプロイできるようにします。
このコマンドでは、更新されたバージョンの eShop アプリをデプロイするための次のリソースが作成されます。
- Azure Container Registry (ACR) をプロビジョニングしてから、レジストリにイメージをプッシュします。
- AKS クラスターをプロビジョニングしてから、コンテナーをそのクラスターにデプロイします。
- デプロイをテストします。
- サービス プリンシパルを作成して、GitHub Actions を AKS と Azure Container Registry にデプロイできるようにします。
重要
始める前に、前提条件が完了していることを確認してください。
開発環境を開く
演習をホストする GitHub codespace を使うか、Visual Studio Code でローカルで演習を完了するかを選択できます。
GitHub Codespaces のセットアップ
https://github.com/MicrosoftDocs/mslearn-dotnet-cloudnative-devops リポジトリを独自の GitHub アカウントにフォークします。 その後、新しいフォークで次のことを行います。
- [コード] を選択します。
- [Codespaces] タブを選択します。
- + アイコンを選択して codespace を作成します。
GitHub による codespace の作成と構成には数分かかります。 このプロセスが完了すると、演習用のコード ファイルが表示されます。
省略可能:Visual Studio Code のセットアップ
Visual Studio Code を使用するには、https://github.com/MicrosoftDocs/mslearn-dotnet-cloudnative-devops リポジトリを自分の GitHub アカウントにフォークし、ローカルにクローンします。 その後、以下を実行します。
- Visual Studio Code 内で Dev Container を実行するためのシステム要件をインストールします。
- Docker が動作していることを確認します。
- 新しい Visual Studio Code ウィンドウの中で、クローンされたリポジトリのフォルダーを開きます
- Ctrl+Shift+P キーを押して、コマンド パレットを開きます。
- 検索: >Dev Containers:コンテナーでリビルドして再度開く
- Visual Studio Code により、ローカルで開発コンテナーが作成されます。
コンテナーをビルドする
ターミナル ペインで、この dotnet CLI コマンドを実行します。
dotnet publish /p:PublishProfile=DefaultContainer
Azure リソースの作成
ターミナル ペインで、この Azure CLI コマンドを使用して Azure にサインインします。
az login --use-device-code
選択された Azure サブスクリプションを表示します。
az account show -o table
間違ったサブスクリプションが選択されている場合は、az account set コマンドを使用して正しいものを選択します。
次の Azure CLI コマンドを実行して、Azure リージョンと、それに関連付けられている名前を示す一覧を取得します。
az account list-locations -o table
最も近いリージョンを見つけ、次の手順でそれを使って
[Closest Azure region]
を置き換えますこれらの bash ステートメントを実行します。
export LOCATION=[Closest Azure region] export RESOURCE_GROUP=rg-eshop export CLUSTER_NAME=aks-eshop export ACR_NAME=acseshop$SRANDOM
上記のコマンドを使って、次の Azure CLI コマンドで使う環境変数を作成できます。 LOCATION を、お近くの Azure リージョン (eastus など) に変更する必要があります。 リソース グループ、AKS クラスター、または ACR に別の名前を付ける場合は、それらの値を変更します。 Azure portal 内でその新しいリポジトリを表示するには、コンテナー レジストリの [アクセス制御 (IAM)] 内でご自身を [アプリ コンプライアンス オートメーション管理者] として割り当ててください。
これらの Azure CLI コマンドを実行します。
az group create --name $RESOURCE_GROUP --location $LOCATION az acr create --resource-group $RESOURCE_GROUP --name $ACR_NAME --sku Basic az acr login --name $ACR_NAME
az acr login --name $ACR_Name
の実行時に認証エラーが発生した場合は、Azure の [設定] - [アクセス キー] で新しく作成したコンテナー レジスタの [管理者ユーザー] を有効にする必要があります。 Azure により、これらの資格情報を入力して続行するように求められます。az login --use-device-code
で再認証が必要になる場合もあります。これらのコマンドでは、Azure リソース、イメージの ACR を含むリソース グループを作成してから、ACR にログインします。 この出力が表示されるまで数分かかる場合があります。
... }, "status": null, "systemData": { "createdAt": "2023-10-19T09:11:51.389157+00:00", "createdBy": "", "createdByType": "User", "lastModifiedAt": "2023-10-19T09:11:51.389157+00:00", "lastModifiedBy": "", "lastModifiedByType": "User" }, "tags": {}, "type": "Microsoft.ContainerRegistry/registries", "zoneRedundancy": "Disabled" } Login Succeeded
イメージにタグを付けて、作成した ACR にプッシュするには、これらのコマンドを実行します。
docker tag store $ACR_NAME.azurecr.io/storeimage:v1 docker tag products $ACR_NAME.azurecr.io/productservice:v1 docker push $ACR_NAME.azurecr.io/storeimage:v1 docker push $ACR_NAME.azurecr.io/productservice:v1
次のコマンドを使って、イメージのプッシュが正常に完了したことを確認できます。
az acr repository list --name $ACR_NAME --output table
AKS を作成し、これらのコマンドを使用して ACR に接続します。
az aks create --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --node-count 1 --generate-ssh-keys --node-vm-size Standard_B2s --network-plugin azure --attach-acr $ACR_NAME az aks get-credentials --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP
上記のコマンドでは、単一ノードの AKS クラスターを作成し、それを ACR に接続してから、ローカル コンピューターを AKS クラスターに接続します。 上記のコマンドは、完了するまでに数分かかる場合があります。
このコマンドを使用して、新しい AKS で ACR からイメージをプルできることを確認します。
az aks check-acr --acr $ACR_NAME.azurecr.io --name $CLUSTER_NAME --resource-group $RESOURCE_GROUP
次のメッセージのような出力が表示されます。
[2023-10-19T13:33:09Z] Loading azure.json file from /etc/kubernetes/azure.json [2023-10-19T13:33:09Z] Checking managed identity... [2023-10-19T13:33:09Z] Cluster cloud name: AzurePublicCloud [2023-10-19T13:33:09Z] Kubelet managed identity client ID: 00001111-aaaa-2222-bbbb-3333cccc4444 [2023-10-19T13:33:09Z] Validating managed identity existance: SUCCEEDED [2023-10-19T13:33:09Z] Validating image pull permission: SUCCEEDED [2023-10-19T13:33:09Z] Your cluster can pull images from acseshop1251599299.azurecr.io!
新しい AKS クラスターに対して kubectl コマンドを実行できるようになりました。 出力から完全な ACR URL をコピーします。たとえば、上記の場合、URL は acseshop1251599299 です。
AKS クラスターの状態を確認します。
kubectl get nodes -A
次のメッセージのような出力が表示されます。
NAME STATUS ROLES AGE VERSION aks-nodepool1-37200563-vmss000000 Ready agent 3h44m v1.26.6
Kubernetes 配置マニフェストを構成する
これで eShop イメージが ACR に追加されたので、これらの新しいイメージを使うように AKS 配置マニフェストを更新できます。
Visual Studio Code の [エクスプローラー] パネルから、プロジェクトのルートにある deployment.yml ファイルを選びます。
17 行目を次のように置き換えます。
- image: [replace with your ACR name].azurecr.io/storeimage:v1
前の手順でコピーした ACR 名を貼り付けます。この行は次の yaml のようになります。
- image: acseshop1251599299.azurecr.io/storeimage:v1
65 行目について、これらの手順を繰り返します。
- image: [replace with your ACR name].azurecr.io/productservice:v1
CTRL+S キーでファイルを保存します。
ターミナル ペインで、次の kubernetes コマンドを使って NGINX イングレス コントローラーをデプロイします。
kubectl apply -f https://raw.githubusercontent.com/kubernetes/ingress-nginx/controller-v1.9.3/deploy/static/provider/cloud/deploy.yaml
上記の
kubectl
コマンドでは、AKS クラスターへのイングレスを許可するためにサービスとコンポーネントを追加します。 次の kubernetes コマンドを使って、イングレスの実行準備が整っていることを確認します。kubectl get services --namespace ingress-nginx
次のメッセージのような出力が表示されます。
NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE ingress-nginx-controller LoadBalancer 10.0.135.51 20.26.154.64 80:32115/TCP,443:32254/TCP 58s ingress-nginx-controller-admission ClusterIP 10.0.137.137 <none> 443/TCP 58s
このコマンドを使用して eShop アプリをデプロイします。
kubectl apply -f deployment.yml
kubectl
apply コマンドを使って、eShop アプリ、フロントエンド Blazor Web アプリとバックエンド REST API 製品サービス、トラフィックを正しいサービスにルーティングするためのイングレス ルールを AKS クラスターにデプロイします。 デプロイでエラーが発生した場合は、このコマンドを再実行します。次のメッセージのような出力が表示されます。
deployment.apps/storeimage created service/eshop-website created deployment.apps/productservice created service/eshop-backend created ingress.networking.k8s.io/eshop-ingress created
次のコマンドを使って、2 つのマイクロサービスがデプロイされていることを確認します。
kubectl get pods -A
次のメッセージのような出力が表示されます。
NAMESPACE NAME READY STATUS RESTARTS AGE default productservice-7569b8c64-vfbfz 1/1 Running 0 3m56s default storeimage-6c7c999d7c-zsnxd 1/1 Running 0 3m56s ingress-nginx ingress-nginx-admission-create-szb8l 0/1 Completed 0 4m4s ingress-nginx ingress-nginx-admission-patch-czdbv 0/1 Completed 0 4m4s ingress-nginx ingress-nginx-controller-58bf5bf7dc-nwtsr 1/1 Running 0 4m4s
このコマンドを使用して、デプロイされた eShop を表示します。
echo "http://$(kubectl get services --namespace ingress-nginx ingress-nginx-controller --output jsonpath='{.status.loadBalancer.ingress[0].ip}')"
上記のコマンドでは、Web アプリの外部 IP アドレスが返されます。 Ctrl キーを押しながらリンクをクリックして、新しいタブでアプリを開きます。
GitHub からデプロイするためのサービス プリンシパルを作成する
GitHub Actions では、コンテナー イメージを Azure Container Registry に発行できます。 そのため、GitHub ランナーには、Azure に接続するためのアクセス許可が必要です。 次の手順では、Azure 内で GitHub Actions ID として機能する Azure AD サービス プリンシパルを作成します。
サブスクリプション ID を環境変数に保存するには、ターミナルで次のコマンドを実行します。
export SUBS=$(az account show --query 'id' --output tsv)
GitHub からのアクセスを許可する Azure AD サービス プリンシパルを作成するには、次のコマンドを実行します。
az ad sp create-for-rbac --name "eShop" --role contributor --scopes /subscriptions/$SUBS/resourceGroups/$RESOURCE_GROUP --json-auth
次のような出力が表示されます。
Creating 'Contributor' role assignment under scope '/subscriptions/ffffffff-aaaa-bbbb-6666-777777777777' The output includes credentials that you must protect. Be sure that you do not include these credentials in your code or check the credentials into your source control. For more information, see https://aka.ms/azadsp-cli { "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444", "clientSecret": "abc1A~abc123ABC123abc123ABC123abc123ABC1", "subscriptionId": "00000000-0000-0000-0000-000000000000", "tenantId": "00000000-0000-0000-0000-000000000000", "activeDirectoryEndpointUrl": "https://login.microsoftonline.com", "resourceManagerEndpointUrl": "https://management.azure.com/", "activeDirectoryGraphResourceId": "https://graph.windows.net/", "sqlManagementEndpointUrl": "https://management.core.windows.net:8443/", "galleryEndpointUrl": "https://gallery.azure.com/", "managementEndpointUrl": "https://management.core.windows.net/" }
JSON の出力と角かっこを次のステップで使用するためにコピーします。
GitHub シークレットを作成する
GitHub Actions のランナーは、Container Registry および AKS と対話するために資格情報を使用します。 コンテナー レジストリのサービス プリンシパルと資格情報は、機密情報です。 機密情報は暗号化された "シークレット" として安全な場所に格納することをお勧めします。 GitHub には、シークレットやその他の変数を格納するための組み込みの場所が用意されています。
次のステップを実行して、機密情報を環境変数としてリポジトリに安全に格納します。 リポジトリ管理者は、GitHub Actions ランナーがアクセスできるシークレットを管理する必要があります。
フォークされた GitHub リポジトリで、[Settings]>[Secrets and variables]>[Actions] を選びます。
[Actions secrets and variables] ページで、[New repository secret] を選びます。
[New secret] ページの [Name] の下に、「AZURE_CREDENTIALS」と入力し、[Secret] の下にターミナルからコピーした JSON の出力を入力します。
設定は次のスクリーン ショットのようになります。
[Add secret] を選択します。
この GitHub シークレットは、次のセクションで使用して、コンテナー イメージをビルドする GitHub アクションを作成します。