Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Important
Azure SRE Aracısı'nın bu özelliği şu anda önizleme aşamasındadır. Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
GitHub Enterprise Cloud (<TENANT>.ghe.com) veya github.com üzerinde barındırılan depoları byO (Kendi GitHub Uygulama Getir) kullanarak Azure SRE Aracınıza bağlayın. Aracı, Azure Key Vault'ta depolanan ve asla kopyalanmayan uygulamanızın özel anahtarını kullanarak kısa ömürlü kurulum belirteçleri oluşturur.
Uyarı
BYO GitHub Uygulaması hem github.com hem de *.ghe.com konakları için çalışır. OAuth veya PAT ile github.com için bkz. GitHub bağlayıcısını ayarlama.
BYO GitHub Uygulaması kimlik doğrulaması ne zaman kullanılmalı?
BYO App’i şu durumlarda kullanın:
- Kuruluşunuz için uygulama tabanlı kimlik doğrulaması ve anahtar saklama denetimleri gerekir.
-
*.ghe.comdepolarına bağlanıyorsunuz (bu gereklidir, çünkü OAuth ve PAT GHE ana bilgisayarlarında kullanılamaz). - Kullanıcı belirteçleri yerine yükleme belirteci tabanlı erişim istiyorsunuz.
Prerequisites
| Requirement | Ayrıntılar |
|---|---|
| Azure SRE Aracısı | Yönetici veya Standart Kullanıcı rolüyle Çalışıyor durumundaki bir aracı |
| GitHub Uygulaması | Hedef ana bilgisayarınızda oluşturulan bir GitHub Uygulaması (github.com veya <TENANT>.ghe.com) |
| GitHub yönetici erişimi | GitHub App kapsamını oluşturmak, yüklemek veya doğrulamak için kuruluş veya depo yöneticisi erişimi |
| Azure Key Vault | GitHub Uygulamasının özel anahtarını depolayabileceğiniz kasa |
| İdare edilen kimlik | Aracının yönetilen kimliğine Key Vault Secrets User rolünü atama özelliği |
GitHub uygulaması oluşturma
Doğru izinlere sahip bir GitHub Uygulamanız varsa >Azure Key Vault içinde özel anahtarı depolama bölümüne atlayın.
- GitHub konağınıza gidin:
-
github.com: Kuruluş >Settings>Geldirici ayarlarına gidin>GitHub Apps>Yeni GitHub Uygulaması -
<TENANT>.ghe.com: GHE örneğinizde aynı yol
-
- Uygulama ayrıntılarını doldurun:
-
GitHub Uygulama adı: örneğin,
sre-agent-reader -
Giriş sayfası URL'si:
https://sre.azure.com - Web Kancası: Etkin seçeneğinin işaretini kaldırın (aracı web kancalarını kullanmaz)
-
GitHub Uygulama adı: örneğin,
-
İzinler'in altında şunları ayarlayın:
- Depo izinleri > İçerik: Salt okunur (gerekli)
- Depo izinleri > Meta veriler: Salt okunur (otomatik seçili)
- İsteğe bağlı olarak Sorunlar ve Çekme istekleri için okuma erişimi ekleyin
- Bu GitHub Uygulaması nereye yüklenebilir? altında Bu hesapta'i seçin.
- GitHub Uygulaması Oluştur'u seçin.
- Uygulama ayarları sayfasında gösterilen İstemci Kimliği'ne dikkat edin.
GitHub uygulamasını yükleme
- GitHub Uygulama ayarları sayfasında, sol kenar çubuğundan Yükle Uygulamayı seçin.
- Kuruluşunuzu seçin.
- Tüm depolar'ı seçin veya belirli depoları seçin.
- Yükle'yi seçin.
GitHub uygulama özel anahtarı oluşturma
- GitHub uygulaması ayarları sayfasında, Özel anahtarlar bölümüne aşağı kaydırın.
- Özel anahtar oluştur'a tıklayın.
-
.pemdosyası indirilir. Bu dosya, aracının kimlik doğrulaması için kullandığı RSA özel anahtarıdır.
Caution
PEM'i güvende tutun. Sonraki adımda Key Vault'ye yüklersiniz. Depoya kaydetmeyin ve paylaşmayın.
Özel anahtarı Azure Key Vault'ta depolayın
- Azure portalını açın ve Key Vault gidin.
- Gizli Anahtarlar>Oluştur/İçe Aktar bölümüne gidin.
-
Ad'ı (örneğin,
sre-agent-github-app-key) ayarlayın ve tam PEM içeriğini Değer alanına (-----BEGIN RSA PRIVATE KEY-----ve-----END RSA PRIVATE KEY-----başlıkları dahil) yapıştırın. - Oluştur'i seçin.
- Gizli diziyi açın, geçerli sürümü seçin ve Gizli Dizi Tanımlayıcısı URI'sini kopyalayın:
https://myvault.vault.azure.net/secrets/my-github-app-key/<VERSION>
Tip
Sürümlü ve sürümsüz URI: Belirli bir anahtar sürümüne sabitlemek için sürümlü URI’yi (/<VERSION> son ekiyle) kullanabilir veya her zaman en son sürümü kullanmak için sürümü belirtmeyebilirsiniz. Anahtarı döndürdüğünüzde aracının URI'yi güncelleştirmeden yeni sürümü otomatik olarak alması için, tersine çevrilmemiş URI'yi kullanın.
Aracı kimliğine Key Vault erişimi verin
- Azure portalında Key Vault>Access denetimi (IAM) açın.
- Key Vault Secrets User rolünü aracının yönetilen kimliğine atayın.
- Rol atamanın etkili olmasını bekleyin.
Kod Erişimi'nde BYO uygulamasını yapılandırma
- Temsilcinizi portalda açın.
- Oluşturucu>Kod Erişimi'ne gidin.
- Depo ekle'yi seçin.
-
GitHub seçin ve konağı girin:
-
github.comherkese açık GitHub için -
<TENANT>.ghe.comKurumsal Bulut için
-
- Kimlik Doğrulamasına Devam Edin.
- Kendi GitHub Uygulamanızı seçin.
- Girmek:
- Müşteri Kimliği
- Özel anahtar gizli dizisi URI’si (Key Vault)
- İsteğe bağlı Key Vault identity (veya sistem tarafından atanmış kalsın)
- Bağlan seçeneğini seçin.
Sihirbaz kimlik bilgilerinizi doğrular. İşlem başarılı olduğunda, yeşil bir onay işaretiyle birlikte GitHub Uygulaması olarak bağlandı ifadesini görürsünüz.
Uyarı
Ana bilgisayar olarak bir *.ghe.com etki alanı girdiğinizde, sihirbaz otomatik olarak Bring your own GitHub App seçeneğini belirler. OAuth ve PAT, GHE ana bilgisayarları için kullanılamaz.
Depo ekleme ve bağlantıyı doğrulama
- Depoları seçin ve kaydedin.
- Kod Erişimi kartının bağlı ana bilgisayarı ve kimlik doğrulama türünü
GitHubAppgösterdiğini onaylayın. - Sohbette test yapın:
Get me recent issues from owner/repo.
Birden çok GitHub uygulaması için uygulama başına yönetilen kimlik
Varsayılan olarak, aracı Key Vault’taki özel anahtarı okumak için sistem tarafından atanan yönetilen kimliğini kullanır. Birden çok GitHub Uygulaması yönetiyorsanız (örneğin GHE örneği başına bir tane), her uygulamaya farklı bir kullanıcı tarafından atanan yönetilen kimlik atayabilirsiniz. Bu yaklaşım, her kimlik yalnızca Key Vault'taki kendi gizli anahtarına erişebildiği için güvenlik yalıtımı sağlar.
Yapılandırma adımı sırasında Key Vault identity açılan listesinden kimliği seçin.
GitHub bağlantılarında birden fazla ana bilgisayar desteği
Aynı aracıya birden çok GitHub ana bilgisayarı bağlayabilirsiniz. Her konak bağımsız kimlik doğrulamaya sahiptir:
-
github.comOAuth, PAT veya BYO Uygulamasını → -
contoso.ghe.com→ BYO Uygulaması -
engineering.ghe.com→ BYO Uygulaması (farklı bir GitHub Uygulaması ile)
Bir ana makinenin bağlantısını kesmek diğerlerini etkilemez.
Troubleshooting
| Belirti | Olası neden | Düzelt |
|---|---|---|
| Kimlik doğrulaması başarısız oluyor | Yanlış istemci kimliği veya yanlış ana bilgisayar | Uygulamanın Kod Erişimi'ne girilen ana bilgisayarda oluşturulduğunu doğrulayın. |
| Gizli dizi okuma başarısız oluyor | Key Vault RBAC veya erişim ilkesi eksik | Aracı kimliğine Key Vault Gizli Dizi Kullanıcısı rolünü atayın. |
| Depo, Kod Erişiminde Başarısız Oldu ifadesini gösteriyor | Eksik uygulama izinleri veya yükleme kapsamı | Meta veriler: Okuma + İçerik: Okuma ve yükleme kapsamını doğrulayın. |
| Sohbet sorunları çalışıyor ancak Kod Erişimi başarısız oluyor | Uç nokta/yol denetimleri farklı | Bağlantı testlerini yeniden çalıştırın ve meta veri iznini doğrulayın. |