Настройка образа контейнера для выполнения развертываний

Среды развертывания Azure (ADE) поддерживают модель расширяемости, которая позволяет настроить определение среды с помощью предпочтительной платформы шаблонов IaC. Вы можете хранить пользовательские образы в реестре контейнеров, например Реестр контейнеров Azure (ACR) или Docker Hub, а затем ссылаться на них в определениях среды для развертывания сред.

Из этой статьи вы узнаете, как создавать пользовательские образы контейнеров Bicep для развертывания определений среды в ADE. Вы узнаете, как использовать стандартный образ, предоставляемый корпорацией Майкрософт, или как настроить настраиваемую инфраструктуру подготовки образов с помощью платформы Bicep Infrastructure-as-Code (IaC).

Из этой статьи вы узнаете, как создавать пользовательские образы контейнеров Terraform для создания сред развертывания с помощью сред развертывания Azure (ADE). Вы узнаете, как конфигурировать пользовательский образ для развертывания инфраструктуры с помощью платформы Terraform Infrastructure-as-Code (IaC).

Из этой статьи вы узнаете, как использовать Pulumi для развертываний в ADE. Вы узнаете, как использовать стандартный образ, предоставляемый Pulumi или как настроить пользовательский образ для подготовки инфраструктуры с помощью платформы Pulumi Infrastructure-as-Code (IaC).

Предварительные условия

Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
Среды развертывания Azure, настроенные в вашей подписке Azure.
- Чтобы настроить ADE, следуйте краткому руководству: Настройка сред развертывания Azure.

Используйте образы контейнеров с ADE

Вы можете использовать один из следующих подходов к использованию образов контейнеров с ADE:

Используйте стандартный образ контейнера для простых сценариев, используйте стандартный образ контейнера ARM-Bicep, предоставляемый ADE.
Создайте пользовательский образ контейнера для более сложных сценариев, создайте пользовательский образ контейнера, соответствующий вашим конкретным требованиям.

Использование стандартного образа контейнера

ADE поддерживает Azure Resource Manager (ARM) и Bicep без дополнительной настройки. Вы можете создать определение среды, которое развертывает ресурсы Azure для среды развертывания, добавив файлы шаблонов (например , azuredeploy.json и environment.yaml) в каталог. Затем ADE использует стандартный образ контейнера ARM-Bicep для создания среды развертывания.

В файле environment.yaml параметр runner указывает расположение образа контейнера, который вы хотите использовать. Чтобы использовать стандартный образ, опубликованный в Реестр артефактов Microsoft, используйте соответствующие идентификаторыrunner.

В следующем примере показан runner, который ссылается на стандартный образ контейнера ARM-Bicep.

    name: WebApp
    version: 1.0.0
    summary: Azure Web App Environment
    description: Deploys a web app in Azure without a datastore
    runner: Bicep
    templatePath: azuredeploy.json

Вы можете увидеть стандартный образ контейнера Bicep в стандартном репозитории ADE в папке Runner-Images для образа ARM-Bicep .

Дополнительные сведения о создании определений среды, использующих образы контейнеров ADE для развертывания ресурсов Azure, см. в статье "Добавление и настройка определения среды".

Создание пользовательского образа контейнера

Создание пользовательского образа с помощью скрипта
Создание пользовательского образа вручную

Создание пользовательского образа контейнера с помощью скрипта

Создание пользовательского образа контейнера позволяет настроить развертывания в соответствии с вашими требованиями. Вы можете создать и создать образ на основе стандартного образа ADE и отправить его в реестр контейнеров с помощью скрипта быстрого запуска, предоставленного корпорацией Майкрософт. Скрипт можно найти в репозитории сред развертывания. Чтобы использовать скрипт быстрого запуска, форкните репозиторий и запустите скрипт локально.

Скрипт создает образ контейнера и отправляет его в указанный Реестр контейнеров Azure (ACR) в хранилище "ade" с тегом "latest". Для выполнения этого скрипта необходимо ваше имя реестра и каталог для вашего пользовательского образа, установка Azure CLI и Docker Desktop, а также включение их в переменные PATH. Кроме того, у вас должны быть разрешения на отправку в указанный реестр.

Чтобы использовать скрипт быстрого запуска для быстрой сборки и отправки этого примера образа в Реестр контейнеров Azure, вам потребуется:

Скопируйте этот репозиторий в ваш личный аккаунт.
Убедитесь, что Azure CLI и приложение Docker Desktop установлены на вашем компьютере и входят в переменные PATH.
Убедитесь, что у вас есть разрешения на отправку образов в выбранный Реестр контейнеров Azure.

Скрипт можно вызвать с помощью следующей команды в PowerShell:

.\quickstart-image-build.ps1 -Registry '{YOUR_REGISTRY}' -Directory '{DIRECTORY_TO_YOUR_IMAGE}'

Кроме того, если вы хотите отправить в определенный репозиторий и имя тега, можно выполнить следующее:

.\quickstart-image-build.ps1 -Registry '{YOUR_REGISTRY}' -Directory '{DIRECTORY_TO_YOUR_IMAGE}' -Repository '{YOUR_REPOSITORY}' -Tag '{YOUR_TAG}'

Чтобы использовать образ в развертываниях среды, необходимо добавить расположение изображения в файл манифеста , чтобы подключить образ к определению среды, и вам может потребоваться настроить разрешения для ACR, чтобы сделать настраиваемый образ доступным для ADE.

Создание пользовательского образа контейнера вручную

После завершения настройки образа можно создать образ и отправить его в реестр контейнеров вручную.

Вы создаете пользовательские образы с помощью стандартных образов ADE в качестве основы с интерфейсом командной строки ADE, который предварительно установлен на стандартных образах. Чтобы узнать больше об интерфейсе командной строки ADE, см. справочник по пользовательскому образу запуска CLI.

В этом примере вы узнаете, как создать образ Docker для использования развертываний ADE и доступа к интерфейсу командной строки ADE, основанный на одном из образов, созданных ADE.

Чтобы создать образ, настроенный для ADE, выполните следующие действия.

Создайте пользовательский образ на основе стандартного образа.
Установите нужные пакеты.
Настройка скриптов командной оболочки.
Создайте скрипты оболочки операций для развертывания файлов ARM или Bicep.

1. Создание пользовательского образа на основе стандартного образа

Создайте Dockerfile, включающий инструкцию FROM, указывающую на стандартный образ, размещенный в реестре артефактов Microsoft.

Ниже приведен пример инструкции FROM, ссылающейся на стандартный основной образ:

FROM mcr.microsoft.com/deployment-environments/runners/core:latest

Эта инструкция загружает последний опубликованный основной образ и использует его в качестве основы для пользовательского образа.

2. Установка обязательных пакетов

На этом этапе вы устанавливаете любые пакеты, которые требуются для вашего образа, включая Bicep. Пакет Bicep можно установить с помощью Azure CLI с помощью инструкции RUN, как показано в следующем примере:

RUN az bicep install

Стандартные образы ADE основаны на образе Azure CLI и предварительно установлены пакеты ADE CLI и JQ. Дополнительные сведения о Azure CLI и пакете JQ можно узнать.

Чтобы установить любые дополнительные пакеты, которые вам нужны в образе, используйте инструкцию RUN.

3. Настройка скриптов оболочки операций

В стандартных образах операции определяются и выполняются на основе имени операции. В настоящее время поддерживаются две операции: deploy и delete.

Чтобы настроить пользовательский образ для использования этой структуры, укажите папку на уровне вашего Dockerfile с названием scripts и укажите два файла: deploy.sh и delete.sh. Скрипт deploy запускается при создании или повторном развертывании среды, а скрипт delete запускается при удалении среды. Примеры скриптов оболочки можно просмотреть в репозитории в папке Runner-Images для образа ARM-Bicep .

Чтобы убедиться, что эти скрипты оболочки являются исполняемыми, добавьте в Dockerfile следующие строки:

COPY scripts/* /scripts/
RUN find /scripts/ -type f -iname "*.sh" -exec dos2unix '{}' '+'
RUN find /scripts/ -type f -iname "*.sh" -exec chmod +x {} \;

4. Создание скриптов оболочки операций для развертывания файлов ARM или Bicep

Чтобы обеспечить успешное развертывание инфраструктуры ARM или Bicep через ADE, необходимо:

Преобразование параметров ADE в допустимые для ARM параметры
Обработать связанные шаблоны, если они используются в развертывании
Используйте привилегированную управляемую идентификацию для развертывания

Во время точки входа основного образа все параметры, заданные для текущей среды, хранятся в переменной $ADE_OPERATION_PARAMETERS. Чтобы преобразовать их в допустимые параметры ARM, можно выполнить следующую команду с помощью JQ:

# format the parameters as arm parameters
deploymentParameters=$(echo "$ADE_OPERATION_PARAMETERS" | jq --compact-output '{ "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#", "contentVersion": "1.0.0.0", "parameters": (to_entries | if length == 0 then {} else (map( { (.key): { "value": .value } } ) | add) end) }' )

Затем, чтобы разрешить любые связанные шаблоны, используемые в шаблоне ARM на основе JSON, можно декомпилировать основной файл шаблона, который декомпилирует все файлы локальной инфраструктуры и распределяет их по многим модулям Bicep. Затем перестройте эти модули обратно в один шаблон ARM с связанными шаблонами, внедренными в основной шаблон ARM в виде вложенных шаблонов. Этот шаг необходим только во время операции развертывания. Основной файл шаблона можно указать с помощью набора $ADE_TEMPLATE_FILE, который используется в качестве точки входа основного образа, и эту переменную следует переназначить с помощью перекомпилированного файла шаблона. См. следующий пример.

if [[ $ADE_TEMPLATE_FILE == *.json ]]; then

    hasRelativePath=$( cat $ADE_TEMPLATE_FILE | jq '[.. | objects | select(has("templateLink") and (.templateLink | has("relativePath")))] | any' )

    if [ "$hasRelativePath" = "true" ]; then
        echo "Resolving linked ARM templates"

        bicepTemplate="${ADE_TEMPLATE_FILE/.json/.bicep}"
        generatedTemplate="${ADE_TEMPLATE_FILE/.json/.generated.json}"

        az bicep decompile --file "$ADE_TEMPLATE_FILE"
        az bicep build --file "$bicepTemplate" --outfile "$generatedTemplate"

        # Correctly reassign ADE_TEMPLATE_FILE without the $ prefix during assignment
        ADE_TEMPLATE_FILE="$generatedTemplate"
    fi
fi

Чтобы предоставить развертыванию необходимые разрешения для выполнения развертывания и удаления ресурсов в подписке, используйте привилегированное управляемое удостоверение, связанное с типом среды проекта ADE. Если для развертывания требуются специальные разрешения, например определенные роли, назначьте эти роли удостоверениям типа среды проекта. Иногда управляемое удостоверение не сразу доступно при входе в контейнер; вы можете повторять попытку до успешного входа.

echo "Signing into Azure using MSI"
while true; do
    # managed identity isn't available immediately
    # we need to do retry after a short nap
    az login --identity --allow-no-subscriptions --only-show-errors --output none && {
        echo "Successfully signed into Azure"
        break
    } || sleep 5
done

Чтобы начать развертывание файлов ARM или Bicep, выполните az deployment group create команду. При выполнении этой команды в контейнере выберите имя развертывания, которое не переопределяет предыдущие развертывания, и используйте флаги --no-prompt true и --only-show-errors, чтобы убедиться, что развертывание не завершится сбоем или зависнет при ожидании ввода данных пользователем, как показано в следующем примере:

deploymentName=$(date +"%Y-%m-%d-%H%M%S")
az deployment group create --subscription $ADE_SUBSCRIPTION_ID \
    --resource-group "$ADE_RESOURCE_GROUP_NAME" \
    --name "$deploymentName" \
    --no-prompt true --no-wait \
    --template-file "$ADE_TEMPLATE_FILE" \
    --parameters "$deploymentParameters" \
    --only-show-errors

Чтобы удалить среду, выполните развертывание в полном режиме и укажите пустой шаблон ARM, который удаляет все ресурсы в указанной группе ресурсов ADE, как показано в следующем примере:

deploymentName=$(date +"%Y-%m-%d-%H%M%S")
az deployment group create --resource-group "$ADE_RESOURCE_GROUP_NAME" \
    --name "$deploymentName" \
    --no-prompt true --no-wait --mode Complete \
    --only-show-errors \
    --template-file "$DIR/empty.json"

Вы можете проверить состояние развертывания и детали, выполнив указанные ниже команды. ADE использует специальные функции для чтения и предоставления дополнительного контекста на основе данных о подготовке, которые можно найти в папке Runner-Images. Простая реализация может быть следующей:

if [ $? -eq 0 ]; then # deployment successfully created
    while true; do

        sleep 1

        ProvisioningState=$(az deployment group show --resource-group "$ADE_RESOURCE_GROUP_NAME" --name "$deploymentName" --query "properties.provisioningState" -o tsv)
        ProvisioningDetails=$(az deployment operation group list --resource-group "$ADE_RESOURCE_GROUP_NAME" --name "$deploymentName")

        echo "$ProvisioningDetails"

        if [[ "CANCELED|FAILED|SUCCEEDED" == *"${ProvisioningState^^}"* ]]; then

            echo -e "\nDeployment $deploymentName: $ProvisioningState"

            if [[ "CANCELED|FAILED" == *"${ProvisioningState^^}"* ]]; then
                exit 11
            else
                break
            fi
        fi
    done
fi

Наконец, чтобы просмотреть выходные данные развертывания и передать их в ADE, чтобы сделать их доступными через Azure CLI, можно выполнить следующие команды:

deploymentOutput=$(az deployment group show -g "$ADE_RESOURCE_GROUP_NAME" -n "$deploymentName" --query properties.outputs)
if [ -z "$deploymentOutput" ]; then
    deploymentOutput="{}"
fi
echo "{\"outputs\": $deploymentOutput}" > $ADE_OUTPUTS

Создание пользовательского образа

Вы можете создать образ с помощью интерфейса командной строки Docker. Убедитесь, что подсистема Docker установлена на компьютере. Затем перейдите в каталог Dockerfile и выполните следующую команду:

docker build . -t {YOUR_REGISTRY}.azurecr.io/{YOUR_REPOSITORY}:{YOUR_TAG}

Например, если вы хотите сохранить образ в репозитории в реестре с именем customImageи отправить с помощью версии тега 1.0.0, выполните следующие действия:

docker build . -t {YOUR_REGISTRY}.azurecr.io/customImage:1.0.0

Используйте образы контейнеров с ADE

Вы можете использовать один из следующих подходов к использованию образов контейнеров с ADE:

Создайте пользовательский образ контейнера с помощью скрипта: используйте опубликованный сценарий для создания конкретного образа Terraform.
Создайте пользовательский образ контейнера, используя рабочий процесс GitHub: используйте опубликованный рабочий процесс из репозитория Leveraging ADE's Extensibility Model With Terraform.
Создание пользовательского образа контейнера вручную: создание настроенного образа, специфичного для Terraform, вручную.

Создание пользовательского образа контейнера

Создание пользовательского образа контейнера с помощью скрипта

Создание пользовательского образа контейнера позволяет настроить развертывания в соответствии с вашими требованиями. Вы можете создать образ на основе стандартного образа ADE и отправить его в реестр контейнеров с помощью скрипта быстрого запуска, предоставленного корпорацией Майкрософт. Скрипт можно найти в репозитории Deployment Environments with Terraform. Чтобы использовать скрипт быстрого запуска, форкните репозиторий и запустите скрипт локально.

Скопируйте этот репозиторий в ваш личный аккаунт.
Убедитесь, что Azure CLI и приложение Docker Desktop установлены на вашем компьютере и входят в переменные PATH.
Убедитесь, что у вас есть разрешения на отправку образов в выбранный Реестр контейнеров Azure.

.\quickstart-image-build.ps1 -Registry '{YOUR_REGISTRY}' -Directory '{DIRECTORY_TO_YOUR_IMAGE}'

Кроме того, если вы хотите отправить в определенный репозиторий и имя тега, можно выполнить следующее:

.\quickstart-image-build.ps1 -Registry '{YOUR_REGISTRY}' -Directory '{DIRECTORY_TO_YOUR_IMAGE}' -Repository '{YOUR_REPOSITORY}' -Tag '{YOUR_TAG}'

Создание пользовательского образа контейнера вручную

После завершения настройки образа необходимо создать образ и отправить его в реестр контейнеров.

Вы можете создать и отправить образ вручную или использовать скрипт, предоставленный корпорацией Майкрософт, для автоматизации процесса.

Опубликованная GitHub Action помогает создавать и отправлять образ в Реестр контейнеров Azure (ACR). Вы можете ссылаться на предоставленную ссылку на образ ACR в определении среды в ADE, чтобы развернуть или удалить среду с предоставленным изображением.

Чтобы создать образ, настроенный для ADE, выполните следующие действия.

Создайте пользовательский образ на основе рабочего процесса GitHub.
Установите нужные пакеты.
Настройка скриптов командной оболочки.
Создайте скрипты оболочки операций, использующие интерфейс командной строки Terraform.

1. Создайте пользовательский образ на основе рабочего процесса GitHub

Используйте опубликованный репозиторий, чтобы воспользоваться преимуществами рабочего процесса GitHub. Репозиторий содержит компоненты образов, совместимые с ADE, включая Dockerfile и скрипты оболочки для развертывания и удаления сред с помощью шаблонов Terraform IaC. Этот пример кода помогает создать собственный образ контейнера.

2. Установите необходимые пакеты. На этом шаге вы устанавливаете все пакеты, которые потребуются в вашем образе, включая Terraform. Интерфейс командной строки Terraform можно установить в папку с исполняемыми файлами, чтобы его можно было использовать в сценариях развертывания и удаления.

Вот пример этого процесса, установка версии 1.7.5 интерфейса командной строки Terraform:

RUN wget -O terraform.zip https://releases.hashicorp.com/terraform/1.7.5/terraform_1.7.5_linux_amd64.zip
RUN unzip terraform.zip && rm terraform.zip
RUN mv terraform /usr/bin/terraform

Совет

Вы можете получить URL-адрес для загрузки предпочтительной версии Terraform CLI из релизов Hashicorp.

3. Настройка скриптов оболочки операций

Чтобы убедиться, что эти скрипты оболочки являются исполняемыми, добавьте в Dockerfile следующие строки:

COPY scripts/* /scripts/
RUN find /scripts/ -type f -iname "*.sh" -exec dos2unix '{}' '+'
RUN find /scripts/ -type f -iname "*.sh" -exec chmod +x {} \;

4. Создание скриптов оболочки операций, использующих интерфейс командной строки Terraform

Существует три шага для развертывания инфраструктуры с помощью Terraform:

terraform init — инициализирует интерфейс командной строки Terraform для выполнения действий в рабочем каталоге.
terraform plan — разрабатывает план на основе входящих файлов инфраструктуры Terraform и переменных, а также всех существующих файлов состояния и разрабатывает шаги, необходимые для создания или обновления инфраструктуры, указанной в файлах .tf .
terraform apply — применяет план для создания новой или обновления существующей инфраструктуры в Azure

В точке входа основного образа все существующие файлы состояния извлекаются в контейнер и каталог, сохраненный в переменной среды $ADE_STORAGE. Кроме того, все параметры, заданные для текущей среды, хранящейся в переменной $ADE_OPERATION_PARAMETERS. Чтобы получить доступ к существующему файлу состояния и задать переменные в файле .tfvars.json , выполните следующие команды:

set -e #set script to exit on error
EnvironmentState="$ADE_STORAGE/environment.tfstate"
EnvironmentPlan="/environment.tfplan"
EnvironmentVars="/environment.tfvars.json"

echo "$ADE_OPERATION_PARAMETERS" > $EnvironmentVars

Кроме того, чтобы использовать привилегии ADE для развертывания инфраструктуры в вашей подписке, скрипт должен использовать управляемое удостоверение при подготовке инфраструктуры с помощью провайдера Terraform AzureRM. Если для развертывания требуются специальные разрешения, например, для определенных ролей, назначьте эти разрешения идентификации типа среды проекта, которое используется для развертывания вашей среды. ADE задает соответствующие переменные среды, такие как идентификаторы клиента, арендатора и подписки в точке входа основного образа. Выполните следующие команды, чтобы убедиться, что поставщик использует управляемую идентификацию ADE:

export ARM_USE_MSI=true
export ARM_CLIENT_ID=$ADE_CLIENT_ID
export ARM_TENANT_ID=$ADE_TENANT_ID
export ARM_SUBSCRIPTION_ID=$ADE_SUBSCRIPTION_ID

Если в шаблоне есть другие переменные, которые не указаны в параметрах среды, задайте переменные среды с помощью префикса TF_VAR. Предоставляется список переменных среды ADE (Azure Deployment Environment), подробнее см. справочник по переменным среды развертывания Azure. Примером этих команд может быть;

export TF_VAR_resource_group_name=$ADE_RESOURCE_GROUP_NAME
export TF_VAR_ade_env_name=$ADE_ENVIRONMENT_NAME
export TF_VAR_env_name=$ADE_ENVIRONMENT_NAME
export TF_VAR_ade_subscription=$ADE_SUBSCRIPTION_ID
export TF_VAR_ade_location=$ADE_ENVIRONMENT_LOCATION
export TF_VAR_ade_environment_type=$ADE_ENVIRONMENT_TYPE

Теперь можно выполнить шаги, перечисленные ранее для инициализации интерфейса командной строки Terraform, создания плана подготовки инфраструктуры и применения плана во время скрипта развертывания:

terraform init
terraform plan -no-color -compact-warnings -refresh=true -lock=true -state=$EnvironmentState -out=$EnvironmentPlan -var-file="$EnvironmentVars"
terraform apply -no-color -compact-warnings -auto-approve -lock=true -state=$EnvironmentState $EnvironmentPlan

Во время скрипта удаления можно добавить destroy флаг в создание плана для удаления существующих ресурсов, как показано в следующем примере:

terraform init
terraform plan -no-color -compact-warnings -destroy -refresh=true -lock=true -state=$EnvironmentState -out=$EnvironmentPlan -var-file="$EnvironmentVars"
terraform apply -no-color -compact-warnings -auto-approve -lock=true -state=$EnvironmentState $EnvironmentPlan

Наконец, чтобы результаты вашего развертывания были загружены и доступны при доступе к вашей среде через Azure CLI, преобразуйте объект результатов из Terraform в ADE-соответствующий формат через пакет JQ. Задайте значение переменной среды $ADE_OUTPUTS, как показано в следующем примере:

tfOutputs=$(terraform output -state=$EnvironmentState -json)
# Convert Terraform output format to ADE format.
tfOutputs=$(jq 'walk(if type == "object" then 
            if .type == "bool" then .type = "boolean" 
            elif .type == "list" then .type = "array" 
            elif .type == "map" then .type = "object" 
            elif .type == "set" then .type = "array" 
            elif (.type | type) == "array" then 
                if .type[0] == "tuple" then .type = "array" 
                elif .type[0] == "object" then .type = "object" 
                elif .type[0] == "set" then .type = "array" 
                else . 
                end 
            else . 
            end 
        else . 
        end)' <<< "$tfOutputs")

echo "{\"outputs\": $tfOutputs}" > $ADE_OUTPUTS

Создание пользовательского образа

docker build . -t {YOUR_REGISTRY}.azurecr.io/{YOUR_REPOSITORY}:{YOUR_TAG}

docker build . -t {YOUR_REGISTRY}.azurecr.io/customImage:1.0.0

Использование стандартного образа контейнера, предоставленного Pulumi

Команда Pulumi предоставляет предварительно созданный образ для начала работы, который можно увидеть в папке Runner-Image . Этот образ доступен на Docker Hub Pulumi как pulumi/azure-deployment-environments, так что его можно использовать непосредственно в определениях окружений ADE.

Ниже приведен пример файла environment.yaml , который использует предварительно созданный образ:

name: SampleDefinition
version: 1.0.0
summary: First Pulumi-Enabled Environment
description: Deploys a Storage Account with Pulumi
runner: pulumi/azure-deployment-environments:0.1.0
templatePath: Pulumi.yaml

В папке "Среды" можно найти несколько примеров определений среды.

Создание пользовательского образа

Создание пользовательского образа контейнера позволяет настроить развертывания в соответствии с вашими требованиями. Вы можете создавать пользовательские образы на основе стандартных образов Pulumi и настраивать их в соответствии с вашими требованиями. После завершения настройки образа необходимо создать образ и отправить его в реестр контейнеров.

Чтобы создать образ, настроенный для ADE, выполните следующие действия.

Создайте пользовательский образ на основе стандартного образа.
Установите нужные пакеты.
Настройка скриптов командной оболочки.
Создайте рабочие shell-скрипты, использующие CLI Pulumi.

1. Создание пользовательского образа на основе стандартного образа

Ниже приведен пример инструкции FROM, ссылающейся на стандартный основной образ:

FROM mcr.microsoft.com/deployment-environments/runners/core:latest

2. Установка обязательных пакетов

Вы можете установить CLI Pulumi в исполняемое место, чтобы в сценариях развертывания и удаления можно было его использовать.

Ниже приведен пример этого процесса, устанавливающий последнюю версию интерфейса командной строки Pulumi:

RUN apk add curl
RUN curl -fsSL https://get.pulumi.com | sh
ENV PATH="${PATH}:/root/.pulumi/bin"

В зависимости от того, какой язык программирования вы планируете использовать для программ Pulumi, может потребоваться установить одну или несколько соответствующих сред выполнения. Среда выполнения Python уже доступна в базовом образе.

Ниже приведен пример установки Node.js и TypeScript:

# install node.js, npm, and typescript
RUN apk add nodejs npm
RUN npm install typescript -g

Чтобы установить любые дополнительные пакеты, которые вам нужны в образе, используйте инструкцию RUN.

Существует четыре шага по развертыванию инфраструктуры через Pulumi:

pulumi login — подключение к хранилищу состояний в локальной файловой системе или в Pulumi Cloud
pulumi stack select — создание или выбор стека, используемого для конкретной среды
pulumi config set — передавайте параметры развертывания в качестве значений конфигурации Pulumi
pulumi up — запустите развертывание, чтобы создать новую или обновить существующую инфраструктуру в Azure

Во время точки входа основного образа все существующие локальные файлы состояния извлекаются в контейнер и каталог, сохраненный в переменной $ADE_STORAGEсреды. Чтобы получить доступ к существующему файлу состояния, выполните следующие команды:

mkdir -p $ADE_STORAGE
export PULUMI_CONFIG_PASSPHRASE=
pulumi login file://$ADE_STORAGE

Чтобы войти в Pulumi Cloud, задайте маркер доступа Pulumi в качестве переменной среды и выполните следующие команды:

export PULUMI_ACCESS_TOKEN=YOUR_PULUMI_ACCESS_TOKEN
pulumi login

Все параметры, заданные для текущей среды, хранятся в переменной $ADE_OPERATION_PARAMETERS. Кроме того, выбранный регион Azure и имя группы ресурсов передаются ADE_ENVIRONMENT_LOCATION и ADE_RESOURCE_GROUP_NAME соответственно. Чтобы задать конфигурацию стека Pulumi, выполните следующие команды:

# Create or select the stack for the current environment
pulumi stack select $ADE_ENVIRONMENT_NAME --create

# Store configuration values in durable storage
export PULUMI_CONFIG_FILE=$ADE_STORAGE/Pulumi.$ADE_ENVIRONMENT_NAME.yaml

# Set the Pulumi stack config
pulumi config set azure-native:location $ADE_ENVIRONMENT_LOCATION --config-file $PULUMI_CONFIG_FILE
pulumi config set resource-group-name $ADE_RESOURCE_GROUP_NAME --config-file $PULUMI_CONFIG_FILE
echo "$ADE_OPERATION_PARAMETERS" | jq -r 'to_entries|.[]|[.key, .value] | @tsv' |
  while IFS=$'\t' read -r key value; do
    pulumi config set $key $value --config-file $PULUMI_CONFIG_FILE
  done

Кроме того, чтобы использовать права ADE для развертывания инфраструктуры в подписке, скрипту необходимо использовать управляемое удостоверение ADE при подготовке инфраструктуры с помощью поставщика Pulumi Azure Native или Azure Classic. Если для развертывания требуются специальные разрешения, например, для определенных ролей, назначьте эти разрешения идентификации типа среды проекта, которое используется для развертывания вашей среды. ADE задает соответствующие переменные среды, такие как идентификаторы клиента, арендатора и подписки в точке входа основного образа, поэтому выполните следующие команды, чтобы убедиться, что поставщик использует управляемую идентичность ADE:

export ARM_USE_MSI=true
export ARM_CLIENT_ID=$ADE_CLIENT_ID
export ARM_TENANT_ID=$ADE_TENANT_ID
export ARM_SUBSCRIPTION_ID=$ADE_SUBSCRIPTION_ID

Теперь можно выполнить pulumi up команду для выполнения развертывания:

pulumi up --refresh --yes --config-file $PULUMI_CONFIG_FILE

Во время сценария удаления можно вместо этого выполнить destroy команду, как показано в следующем примере:

pulumi destroy --refresh --yes --config-file $PULUMI_CONFIG_FILE

Наконец, чтобы сделать выходные данные развертывания загруженными и доступными при доступе к среде через Azure CLI, преобразуйте выходной объект Pulumi в формат, указанный ADE, с помощью пакета JQ. Задайте значение переменной среды $ADE_OUTPUTS, как показано в следующем примере:

stackout=$(pulumi stack output --json | jq -r 'to_entries|.[]|{(.key): {type: "string", value: (.value)}}')
echo "{\"outputs\": ${stackout:-{\}}}" > $ADE_OUTPUTS

Создание пользовательского образа

docker build . -t {YOUR_REGISTRY}.azurecr.io/{YOUR_REPOSITORY}:{YOUR_TAG}

docker build . -t {YOUR_REGISTRY}.azurecr.io/customImage:1.0.0

Сделать настраиваемый образ доступным для ADE

Чтобы использовать кастомные образы, необходимо хранить их в контейнерном реестре. Вы можете использовать общедоступный реестр контейнеров или частный реестр контейнеров. Реестр контейнеров Azure (ACR) настоятельно рекомендуется благодаря тесной интеграции с ADE. Образ может быть опубликован без предоставления общедоступного анонимного доступа для вытягивания. Необходимо создать пользовательский образ контейнера и отправить его в реестр контейнеров, чтобы сделать его доступным для использования в ADE.

Кроме того, можно сохранить образ в другом реестре контейнеров, например Docker Hub, но в этом случае он должен быть общедоступным.

Внимание

Хранение образа контейнера в реестре с анонимным (неавторизованным) доступом на извлечение делает его общедоступным. Не делайте этого, если изображение содержит конфиденциальную информацию. Вместо этого сохраните его в Реестре контейнеров Azure (ACR) с отключенным анонимным доступом на вытягивание.

Чтобы использовать пользовательский образ, хранящийся в ACR, необходимо убедиться, что ADE имеет соответствующие разрешения для доступа к изображению. При создании экземпляра ACR он защищается по умолчанию и позволяет получать доступ только прошедшим проверку подлинности пользователям.

Вы можете использовать Pulumi для создания реестра контейнеров Azure и публикации образа в нем. Ознакомьтесь с примером подготовки или пользовательского образа для автономного проекта Pulumi, создающего все необходимые ресурсы в учетной записи Azure.

Выберите соответствующую вкладку, чтобы узнать больше о каждом подходе.

Частный реестр
Общедоступный реестр

Использование частного реестра с защищенным доступом

По умолчанию доступ к извлечению или отправке содержимого из Реестр контейнеров Azure доступен только для пользователей, прошедших проверку подлинности. Вы можете дополнительно защитить доступ к ACR, ограничив доступ из определенных сетей и назначив определенные роли.

Чтобы создать экземпляр ACR, который можно создать с помощью Azure CLI, портала Azure, команд PowerShell и другими способами, выполните одно из кратких руководств.

Ограничение сетевого доступа

Чтобы защитить сетевой доступ к ACR, можно ограничить доступ к собственным сетям или полностью отключить доступ к общедоступной сети. Если ограничить доступ к сети, необходимо включить исключение брандмауэра разрешить доверенным службам Microsoft доступ к этому контейнерному реестру.

Чтобы отключить доступ из общедоступных сетей, выполните приведенные действия.

Создайте экземпляр ACR или используйте существующий.
В портале Azure перейдите к ACR, который требуется настроить.
В меню слева в разделе "Параметры" выберите "Сеть".
На странице "Сеть" на вкладке "Общедоступный доступ" в разделе "Доступ к общедоступной сети" выберите "Отключено".
В разделе Исключения брандмауэра убедитесь, что установлен флажок "Разрешить доверенным службам Microsoft доступ к этому реестру контейнеров", и затем выберите Сохранить.

Назначьте роль AcrPull

Создание сред с помощью образов контейнеров использует инфраструктуру ADE, включая проекты и типы сред. Каждый проект имеет один или несколько типов среды проекта, которые нуждаются в доступе на чтение к образу контейнера, определяющему среду для развертывания. Чтобы получить доступ к изображениям в ACR безопасно, назначьте роль AcrPull каждому типу среды проекта.

Чтобы назначить роль AcrPull типу среды проекта:

В портале Azure перейдите к ACR, который требуется настроить.
В меню слева выберите контроль доступа (IAM).
Выберите Добавить>Добавить назначение ролей.

Назначьте следующую роль. Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.

Настройка	Значение
Роль	Выберите AcrPull.
Назначение доступа	Выберите "Пользователь", "Группа" или "Субъект-служба".
Участники	Введите имя типа среды проекта, который должен получить доступ к образу в контейнере.

Тип среды проекта отображается следующим образом:

Снимок экрана: область

В этой конфигурации ADE использует управляемое удостоверение для PET, назначаемое системой или назначаемое пользователем.

Совет

Это назначение роли должно быть сделано для каждого типа среды проекта. Его можно автоматизировать с помощью Azure CLI.

Совет

Если ваш ACR использует управление доступом на основе атрибутов Microsoft Entra (ABAC) для прав доступа к репозиторию, возможно, потребуется назначить дополнительные роли, например Container Registry Repository Reader, для удостоверения PET. Дополнительные сведения см. в статье о разрешениях для репозитория Microsoft Entra ABAC.

Когда вы будете готовы отправить образ в реестр, выполните следующую команду:

docker push {YOUR_REGISTRY}.azurecr.io/{YOUR_IMAGE_LOCATION}:{YOUR_TAG}

Использование общедоступного реестра с анонимным извлечением

Чтобы настроить реестр для включения анонимного извлечения образа, выполните следующие команды в Azure CLI:

az login
az acr login -n {YOUR_REGISTRY}
az acr update -n {YOUR_REGISTRY} --public-network-enabled true
az acr update -n {YOUR_REGISTRY} --anonymous-pull-enabled true

Когда вы будете готовы отправить образ в реестр, выполните следующую команду:

docker push {YOUR_REGISTRY}.azurecr.io/{YOUR_IMAGE_LOCATION}:{YOUR_TAG}

Подключите образ к определению вашей среды

При создании определений среды для использования пользовательского образа в развертывании измените свойство runner в файле манифеста (environment.yaml или manifest.yaml).

runner: "{YOUR_REGISTRY}.azurecr.io/{YOUR_REPOSITORY}:{YOUR_TAG}"

Репозиторий azure-deployment-environments в Pulumi

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-01-22

Настройка образа контейнера для выполнения развертываний

Предварительные условия

Используйте образы контейнеров с ADE

Использование стандартного образа контейнера

Создание пользовательского образа контейнера

Создание пользовательского образа контейнера с помощью скрипта

Используйте образы контейнеров с ADE

Создание пользовательского образа контейнера

Создание пользовательского образа контейнера с помощью скрипта

Использование стандартного образа контейнера, предоставленного Pulumi

Создание пользовательского образа

Создание пользовательского образа

Сделать настраиваемый образ доступным для ADE

Использование частного реестра с защищенным доступом

Ограничение сетевого доступа

Назначьте роль AcrPull

Подключите образ к определению вашей среды

Связанный контент

Обратная связь

Дополнительные ресурсы