æ¯ä»ä¹å¯¼è´ Terraform ä¸åºç°âæ æ³æå»ºææèâéè¯¯ï¼

æ¤éè¯¯éå¸¸æ¯ç±äº Azure CLI èº«ä»½éªè¯ç¼ºå°ææ æåæ®é æçãç¡®ä¿ az login ä½¿ç¨ææçæå¡ä¸»ä½åæ®æ§è¡ã

å¦ä½å¨ GitHub Actions ä¸å¯¹ Terraform ç Azure CLI è¿è¡èº«ä»½éªè¯ï¼

æ¨å¯ä»¥ä½¿ç¨ az login --service-principal å¸¦æå®¢æ·ç«¯ IDãæºå¯åç§æ· ID çå½ä»¤ï¼æè azure/login ç¨äºç®åéæç GitHub Actionã

ä½¿ç¨æå¡ä¸»ä½èº«ä»½éªè¯æä»ä¹å¥½å¤ï¼

å¦ä½å¤ç Terraform GitHub Actions å·¥ä½æµç¨ä¸çå¤ä¸ªç¯å¢ï¼

æ¯å¦å¯ä»¥å¨ GitHub Actions ä¸èªå¨åºç¨ Terraform è®¡åï¼

æå³ CI/CD å·¥ä½æµç¨ç GitHub Actions å Azure éæçè¯¦ç»ä¿¡æ¯åèèª GitHub æä½ææ¡£ã

æå³å¨ CI/CD ç¯å¢ä¸ä¸º Terraform éç½® Azure CLI çè§è§£æ¶éèª Microsoft Azure CLI ææ¡£ã

Terraform ç Azure èµæºç®¡çå¨æä¾ç¨åºçæä½³å®è·µåæéæé¤æç¤ºæ¥èª Terraform ç AzureRM æä¾ç¨åºææ¡£ã

æå³ä½¿ç¨ Terraform èªå¨åæå¡ä¸»ä½èº«ä»½éªè¯çæåå¼ç¨èª Microsoft Azure æå¡ä¸»ä½æåã

修复 Azure 资源管理器 API 中的 Terraform

Daniel Marino

2024年11月9日星期六上午6:27:46

使用 Terraform 解锁 Azure API 访问：解决 GitHub 操作错误

想象一下，建立一个无缝的云基础设施，却在 Terraform 计划过程中因意外错误而停止。 🚧 这令人沮丧，尤其是当问题源于 Azure 资源管理器 API 上的授权错误时。这是开发人员通过 GitHub Actions 在 Azure 上配置云资源时面临的常见场景。

此问题通常是由于授权问题而出现，如果 Azure CLI 会话未经过正确身份验证，就会出现这种情况。指示您“运行 az login to setup account”的具体错误消息可能有点令人畏惧，尤其是当您确定 GitHub Actions 工作流程中的所有凭据都已正确设置时。

了解发生这种情况的原因以及如何解决它对于顺利的 DevOps 工作流程至关重要。通常，它源于较小的配置或环境变量错误，导致 Terraform 提供程序无法与 Azure 的 API 建立安全连接。

在本指南中，我们将详细介绍此问题以及您可以应用的实际修复方法。让我们确保您的 GitHub Actions 工作流程重回正轨并顺利运行。 🌐

命令	使用示例和描述
az login --service-principal	此命令使用服务主体向 Azure 进行身份验证，这对于 CI/CD 中的自动化脚本至关重要。它需要特定的凭据（客户端 ID、客户端密钥、租户 ID），并且比基于用户的身份验证更安全，使其成为 GitHub Actions 工作流程的理想选择。
terraform init -reconfigure	使用 -reconfigure 选项初始化 Terraform 工作目录，确保根据最新设置重置后端配置。这在环境之间切换以避免使用过时的配置时特别有用。
terraform workspace new	创建一个新的 Terraform 工作区，支持特定于环境的状态管理。此命令对于在同一存储库中跨环境（例如开发、暂存和生产）分离基础架构状态至关重要。
terraform plan -input=false	生成执行计划而不提示输入，这在自动化工作流程中非常有用，可以防止脚本挂起。此命令根据指定目录中的状态和 Terraform 文件验证基础设施更改。
terraform plan -out	使用 -out 标志创建保存的计划文件，允许以后使用 terraform apply 进行应用。这种方法有利于分离规划和应用阶段，这在基于批准的 CI/CD 工作流程中通常需要。
terraform apply -input=false	无需用户输入即可执行保存的 Terraform 计划。在 GitHub Actions 中，这对于以非交互方式应用更改并仅在先前计划成功时才执行非常有用，从而增强自动化并最大限度地减少潜在错误。
shell.exec()	使用 shelljs 库从 Node.js 环境中执行 shell 命令。在示例中，它允许以编程方式运行 Azure CLI 和 Terraform 命令，从而实现更加模块化和脚本驱动的基础设施管理方法。
az account set	使用帐户的订阅 ID 设置活动的 Azure 订阅上下文。这可确保后续 CLI 命令针对正确的订阅，这在多订阅环境中至关重要，否则命令可能会默认为不正确的订阅。
echo "message"	将消息输出到控制台，以自动化脚本提供反馈。例如，回显“Azure CLI 登录成功”可确认登录过程已按预期完成，从而允许用户跟踪工作流程的进度并在必要时进行故障排除。
if [ $? -ne 0 ]	检查最后一个命令的退出状态，其中非零状态表示有错误。在 Bash 脚本中使用，以确保每个步骤（例如 Azure CLI 登录）在继续之前成功，通过适当处理故障使工作流更加健壮。

解决 GitHub Actions 中的 Terraform 身份验证错误

提供的脚本旨在帮助通过 GitHub Actions 自动化 Azure 资源部署地形。它们解决了 Terraform 无法构建访问 Azure 资源管理器 API 所需的授权的特定错误。当 GitHub Actions 缺少有效的 Azure CLI 登录会话时，通常会发生此问题，从而导致身份验证失败 地形计划 阶段。示例中的每个解决方案都演示了一种独特的方法，可通过提前登录 Azure CLI 来确保 Terraform 可以通过 Azure 正确进行身份验证。例如，第一个脚本在继续执行 Terraform 命令之前检查 Azure CLI 登录是否成功，这对于防止 CI/CD 管道中的错误至关重要。

为了增加可靠性，第一个解决方案被编写为 外壳脚本，它使用 GitHub Secrets 中的环境变量验证 Azure 登录凭据。此脚本使用服务主体执行 Azure 登录以确保安全身份验证，然后通过条件检查验证登录是否成功。如果登录失败，它会立即退出，停止任何进一步的操作，以防止部署部分或失败。此初始验证步骤有助于减少手动故障排除并创建更加简化的自动化部署流程。

在第二个解决方案中，整个 GitHub Actions 工作流 YAML 已更新以包含 Azure 登录步骤。在这里，Azure 登录由官方 GitHub Action“azure/login@v1”处理，这简化了集成。经过身份验证后，工作流程将使用“hashicorp/setup-terraform@v1”设置 Terraform，确保使用正确版本的 Terraform 以保持一致性。然后，工作流程继续执行“terraform init”、“terraform plan”，如果发生推送事件，则执行“terraform apply”。此方法演示了如何将每个步骤直接嵌入到 GitHub Actions YAML 中，从而无需外部脚本即可提供完全自动化的设置。这种设置对于优先考虑可读性和标准化的大型团队特别有用。

最后，第三种解决方案利用 Node.js 运行 Terraform 命令。该脚本使用“shelljs”库，以编程方式从 JavaScript 中控制 Azure CLI 和 Terraform 命令，这使其成为已经使用 Node.js 或构建大型应用程序的开发人员的理想解决方案。通过在 Node.js 函数中构造命令，它增加了额外逻辑的灵活性，例如错误处理，这在 shell 脚本中可能会更加复杂。在将 Terraform 集成到现有 Node.js 项目中时，此方法特别有用，因为它允许开发人员使用熟悉的代码和库来管理云基础设施，将部署逻辑保留在单个代码库中。 🚀

解决方案 1：为 GitHub 操作实施 Azure CLI 身份验证

用于在 GitHub Actions 中执行 Terraform 之前对 Azure CLI 进行身份验证的 Shell 脚本。

# This script ensures Azure CLI login is done before the terraform plan
# to prevent "az login" errors during GitHub Action execution.
# Using Bash to execute authentication on the GitHub runner environment.

#!/bin/bash

# Step 1: Authenticate with Azure CLI using GitHub Secrets
az login --service-principal --username "$ARM_CLIENT_ID" \
           --password "$ARM_CLIENT_SECRET" --tenant "$ARM_TENANT_ID"

# Step 2: Check login status to ensure authentication was successful
if [ $? -ne 0 ]; then
  echo "Azure CLI login failed. Exiting..."
  exit 1
else
  echo "Azure CLI login successful."
fi

# Step 3: Run Terraform plan as normal after successful authentication
terraform plan -input=false -var-file="$ENV/terraform.tfvars" \
  -out="$TF_VAR_location-plan-output"

解决方案 2：使用 Azure 登录步骤的 GitHub Actions YAML 工作流

GitHub Actions YAML 工作流，用于通过 Azure CLI 身份验证处理 Terraform 计划。

name: Terraform Plan with Azure CLI Login
on: [push]

jobs:
  terraform:
    runs-on: ubuntu-latest
    steps:

    - name: Checkout repository
      uses: actions/checkout@v2

    - name: Azure CLI Login
      uses: azure/login@v1
      with:
        creds: ${{ secrets.AZURE_CREDENTIALS }}

    - name: Setup Terraform
      uses: hashicorp/setup-terraform@v1
      with:
        terraform_version: '1.6.6'

    - name: Terraform Init
      run: terraform init -reconfigure -backend-config="${{ secrets.BACKEND_CONFIG }}"

    - name: Terraform Plan
      run: terraform plan -input=false -out=plan_output.tfplan

    - name: Terraform Apply
      if: github.event_name == 'push'
      run: terraform apply -input=false plan_output.tfplan

解决方案 3：使用 Node.js 脚本进行 Azure 身份验证和 Terraform 执行

用于验证 Azure CLI 并按顺序执行 Terraform 命令的 Node.js 脚本。

// This script authenticates using Azure CLI and then runs Terraform commands in Node.js
// Requires `shelljs` package for executing CLI commands from Node.js

const shell = require('shelljs');

// Step 1: Authenticate Azure CLI
shell.exec('az login --service-principal --username $ARM_CLIENT_ID --password $ARM_CLIENT_SECRET --tenant $ARM_TENANT_ID', (code, stdout, stderr) => {
  if (code !== 0) {
    console.error('Azure CLI login failed:', stderr);
    process.exit(1);
  } else {
    console.log('Azure CLI login successful.');
    // Step 2: Initialize and run Terraform commands
    shell.exec('terraform init', (code, stdout, stderr) => {
      if (code !== 0) {
        console.error('Terraform init failed:', stderr);
        process.exit(1);
      } else {
        console.log('Terraform initialized. Running plan...');
        shell.exec('terraform plan -input=false -out=plan_output.tfplan');
      }
    });
  }
});

在 GitHub Actions 工作流中增强 Terraform 的 Azure 身份验证

一种处理 Terraform 的有效解决方案 授权错误 GitHub Actions 中的方法是直接在工作流程中实施服务主体身份验证。这种方法确保所有 Terraform 操作，例如 地形计划 和 地形应用，使用正确的 Azure 权限和设置运行。通过利用 Azure 服务主体，您可以安全地将 GitHub Actions 与 Azure 环境连接起来，而无需基于用户的身份验证，这对于自动化来说并不理想。此方法使用客户端 ID、客户端密钥和租户 ID 来对会话进行身份验证，从而确保跨环境的部署过程更加一致。

另一个需要考虑的方面是使用条件检查来验证每个操作是否已成功完成，然后再进行下一个操作。在 Terraform 连接到外部系统的工作流程中，尤其是在 CI/CD 管道中，故障检查至关重要。例如，在提供的 shell 脚本中，退出状态检查验证是否 az login 命令在继续 Terraform 操作之前已成功。条件检查和验证有助于避免不必要的资源部署失败，从而节省时间并减少潜在错误。

优雅地处理多种环境也很重要。每个环境（例如开发环境、登台环境或生产环境）可能具有独特的设置或凭据。通过配置 GitHub Actions 以自动选择正确的特定于环境的凭据和配置，您可以确保每次运行都将资源部署到预期环境。通过最佳实践，例如针对不同环境使用单独的工作区以及安全地存储机密，您可以简化 Terraform 部署流程，同时最大限度地降低风险。 🚀 此设置不仅减少了手动错误的可能性，而且使部署更易于管理，从长远来看更可靠。

解决 GitHub Actions 中有关 Terraform 授权的常见查询

是什么导致 Terraform 中出现“无法构建授权者”错误？
此错误通常是由于 Azure CLI 身份验证缺少或无效凭据造成的。确保 az login 使用有效的服务主体凭据执行。
如何在 GitHub Actions 中对 Terraform 的 Azure CLI 进行身份验证？
您可以使用 az login --service-principal 带有客户端 ID、机密和租户 ID 的命令，或者 azure/login 用于简化集成的 GitHub Action。
使用服务主体身份验证有什么好处？
服务主体身份验证提供了安全的非交互式登录，非常适合自动化，并且比用户登录更安全，尤其是在 CI/CD 环境中。
如何处理 Terraform GitHub Actions 工作流程中的多个环境？
通过为每个环境创建单独的工作区并使用特定于环境的秘密（例如 ARM_SUBSCRIPTION_ID），您可以高效地将资源部署到不同的Azure环境。
是否可以在 GitHub Actions 中自动应用 Terraform 计划？
是的，运行后 terraform plan -out，您可以自动应用保存的计划 terraform apply 在后续步骤中，具体取决于您的工作流程逻辑。

解决 GitHub Actions 中的 Terraform 授权问题

使用 Terraform 和 GitHub Actions 成功管理 Azure 资源在很大程度上依赖于精确的身份验证。本指南概述了与“无法构建授权者”相关的错误的常见原因和解决方案，重点介绍了使用服务主体和环境变量配置 Azure CLI。

通过实施这些解决方案并利用 GitHub Action 插件，开发人员可以确保多环境设置中安全且自动化的部署工作流程。正确的配置和身份验证检查最终将节省时间、最大限度地减少错误并增强部署可靠性。 🌐

来源和参考文献

有关 CI/CD 工作流程的 GitHub Actions 和 Azure 集成的详细信息参考自 GitHub 操作文档。
有关在 CI/CD 环境中为 Terraform 配置 Azure CLI 的见解收集自 Microsoft Azure CLI 文档。
Terraform 的 Azure 资源管理器提供程序的最佳实践和故障排除提示来自 Terraform 的 AzureRM 提供程序文档。
有关使用 Terraform 自动化服务主体身份验证的指南引用自 Microsoft Azure 服务主体指南。

修复 Azure 资源管理器 API 中的 Terraform 授权问题 GitHub Actions