Azure Pipelinesを使用したCICDベースラインアーキテクチャ実践

Azure Pipelinesを使用したCI/CDベースラインアーキテクチャ実践 2024/7/16 yuriemori, yutakaosada

Agenda  Introduction  今日話すこと  自己紹介  クラシックパイプライン以降のAzure Pipelinesの構成プラクティス
 さよならクラシックパイプライン  主な変更点  変更後のYAMLベースのパイプラインのメリット  ベースラインアーキテクチャをもとにしたYAMLベースでのAzure Pipelines構築  YAMLベースでのパイプラインの実装とデプロイ計画  Demo  PR/CI/CDパイプライン  Azure Key Vaultに格納したシークレットをパイプラインから参照する  EnvironmentのApprovals&Checksによるデプロイターゲット環境へのデプロイの承認  まとめ

Introduction

今日話すこと  クラシックパイプライン非推奨後のAzure Pipelinesの変更点  Azure Pipelinesのベースラインアーキテクチャに沿った構成とデプロイの制御  YAMLでのマルチステージパイプラインの構成 
Azure Key Vaultを利用したパイプラインで使用するシークレットの管理

Yurie Mori（森友梨映）  DevOps Engineer @Avanade Japan  お仕事
 AgileとDevOpsの実践の支援  DevOpsソリューション（ Azure DevOps/GitHub ）の導入・構築  GenAI assisted with SDLC  技術スタック  Azure DevOps, GitHub, Azure, .NET, C#  Please follow me

Yutaka Osada（⾧田豊）  DevOps Engineer @Avanade Japan  お仕事
 Azureコンポーネントを活用したサービス構築  技術検証、パフォーマンスチューニングを得意とし、T-SQLが好き。  技術スタック  C#, .NET, Azure(PaaS), Azure DevOps, Sitecore  Please follow me

クラシックパイプライン以降のAzure Pipelinesの構成プラクティス

さよならクラシックパイプライン  2023年1月にAzure DevOpsでクラシックパイプラインの作成を禁止するリリースが発表されました。  2023年3月以降に作成されるOrganizationではクラシックパイプラインの作成はデフォルトでは無効になっており、YAMLベースのパイプライン構成が推奨となります。これが使えなくなります

主な変更点（1/2）クラシックリリースパイプライン無効後の Azure Pipelinesメニュークラシックリリースパイプライン無効前の組織のAzure Pipelinesメニュー GUIベースでパイプラインの作成をサポートしていたこれらのメニューが消滅
パイプラインはビルド/リリース問わず YAMLファイルで構成するように

（最新）YAMLベースでのパイプラインでの代替手段クラシックリリースパイプラインクラシックビルドパイプライン概要機能 Environmentでデプロイターゲットを指定〇
× デプロイターゲットマシンの論理セットを定義デプロイグループ YAMLでデプロイジョブを定義〇 × デプロイグループにリリースするジョブを指定デプロイグループジョブ EnvironmentでのApprovals&Checksを使用〇 × リリースステージを完了する前の外部の正常性シグナルの自動収集と評価をサポート（アプリケーションを特定の環境にデプロイする前のチェック）リリースゲート YAMLファイルで再利用したいタスク群をテンプレートファイルとして定義する〇〇一連のタスクを再利用可能な1つのタスクにカプセル化タスクグループ主な変更点（2/2）クラシックパイプラインで使用できた機能で使えなくなるものたちとYAMLベースパイプラインでの代替手段

変更後のYAMLベースのパイプラインのメリット  パイプラインをソースコードと同様にバージョン管理できる  YAMLファイルはソースコードと同じリポジトリで管理できるため、変更履歴を追跡しやすく、過去のバージョンに簡単に戻すことができる。  レビューが容易になる  ソースコードと同様に、変更をマージするためにPRを強制することで、悪意のある行
為者がパイプラインに悪意のあるステップを導入するのを防ぐことができる（ブランチポリシーを使用することでPRの強制ができる）  リソースアクセス管理が可能  リソース所有者は、YAML パイプラインがリソースにアクセスできるかどうかを制御でき、別のリポジトリを盗むなどの攻撃の防止が可能となる。  承認とチェックにより、パイプラインの実行ごとに機能するアクセス制御が提供される。  セキュリティの向上  シークレットの露出防止: シークレットや機密情報をパイプラインファイルにハードコーディングすることなく、Azure Key Vaultなどのシークレット機構に格納された情報をランタイムパラメーターとして動的に渡すことができるため、リポジトリに機密情報が含まれるリスクの軽減が可能となる。参考:https://devblogs.microsoft.com/devops/disable-creation-of-classic-pipelines/

ベースラインアーキテクチャをもとにしたYAMLベースでのAzure Pipelines構築参考:https://learn.microsoft.com/ja-jp/azure/devops/pipelines/architectures/devops- pipelines-baseline-architecture?view=azure-devops

デモでお見せするもの  PR/CI/CDパイプライン  Azure Key Vaultに格納したシークレットをパイプラインから参照する  EnvironmentのApprovals&Checksによるデプロイターゲット環境へのデプロイの承認ベースラインアーキテク
チャのここの部分

demo architecture Azure Azure DevOps Managed Id App Service Dev
Env App Service Staging Env Azure Repos Azure Pipelines Environments Library Pipelines PR Pipeline CI/CD Pipeline Key Vaultよりシークレット情報を取得 Completed 1 2 5 4 Defender for Cloud DevOps Key Vault Secret Environmentsに定義した環境に対応する App Serviceに対する承認チェック Analize stageによるセキュリティチェック Azure DevOps for Workload identity 承認プロセスが構成された環境へのデプロイは、承認者からの承認されるまで実行されない Pull request Approved 3 Developer Reviewer Service connection 6 7 Pull Request作成時にPR Pipelineを起動

☆ポイント  AzDO⇔Azure間接続サービスコネクション（workload identity）  Pipelines Library（Key Vaultへの接続） 
Pipelines Environments（デプロイターゲットの定義）  PR・CI/CD Pipelinesの構築  パイプラインの実行許可  Approvalチェックの指定  ブランチポリシーへPRパイプラインを指定  ソースコード変更し、Pull Request PR パイプラインを起動  ソースコードApprove→CI/CD起動→完了後タブの説明

ベースラインアーキテクチャをもとにしたYAMLベースでの Azure Pipelines構築 – PR Pipeline  PR Pipelines 
PR作成をトリガーとするパイプライン  以下を実行  コード解析（Linterによるフォーマットチェック、静的コード解析によるセキュリティチェック）  依存関係の回復  ビルド  単体テストの実行  PR作成時に上記の様々なチェック/テストを実行するため、レビュアーのレビュー負担を軽減することができる  これらの処理が失敗した場合、PRはマージできないため、問題のあるソースコードが⾧命ブランチに混入するのを早期に防ぐことができる PR作成をトリガーにするこのパイプラインのみ、トリガーはチェック対象のブランチ設定 >Build Validationで設定する

 CI Pipelines  特定のブランチへのpushをトリガーとするパイプライン  以下を実行  PR Pipelineで実行していた処理内容
 + 結合テスト/UIテスト（ここで使用するシークレットをAzure Key Vaultから参照してテストを実行）  ビルド成果物の発行  ソースコードをリリース可能な状態にする  CD Pipeline  ビルド成果物のダウンロード  受入テスト  各環境へのデプロイを実行する  本番環境など重要な環境へのデプロイに関してはApprovals & Checksでデプロイ前の承認を構成する（クラシックリリースパイプラインにおけるリリースゲートの役割）これらのCI,CD Pipelineは1つのYAMLファイルでマルチステージパイプラインとして構成する（CDを分けるとエージェントが異なってしまうのでCIで作成した成果物のDLができない）ベースラインアーキテクチャをもとにしたYAMLベースでの Azure Pipelines構築 – CI,CD Pipeline

見せられないよ Azure Key Vaultへのサービスコネクションの名称を指定 Azure Key Vaultの名称を指定 Azure Key
Vaultで格納されているシークレットの名称ベースラインアーキテクチャをもとにしたYAMLベースでのAzure Pipelines構築 - パイプラインで使用するAzure Key Vaultのシークレットの設定

Pipelines>Environmentでデプロイする環境を指定重要な環境へのデプロイの前に承認プロセスを設定し、意図しないデプロイを防ぐベースラインアーキテクチャをもとにしたYAMLベースでの Azure Pipelines構築 - デプロイ環境の定義と承認の構成(1/2)

承認プロセスが構成された環境へのデプロイは、承認者からの承認されるまで実行されない承認者に対してはデプロイの直前にこんな感じで承認してください通知がいくベースラインアーキテクチャをもとにしたYAMLベースでの Azure Pipelines構築 -
デプロイ環境の定義と承認の構成(2/2)

ポイント  クラシックパイプラインからYAMLベースのパイプラインへ  クラシックパイプラインでビルドパイプライン/リリースパイプラインとして構成していたものはYAMLファイルでCI, CDの複数のステージを定義するマルチステージパイプラインとして実装する  クラシックリリースパイプラインでのリリースゲート（リリース前の承認ゲー
ト）はEnvironmentでApprovals & Checksで構成する  パイプライン内で使用するシークレットはLibraryでAzure Key Vaultを参照するように設定する

まとめ

まとめ  YAMLベースでパイプラインを作成することにより、パイプラインのバージョン管理とレビューが容易になる  Azure Key Vaultを使用することでセキュアにCI/CDを実現  クラシックのビルド/リリースパイプライン→YAMLファイルでマルチステージ
パイプラインを構成（ので、ビルドパイプラインとかリリースパイプラインという概念はもはやなくなる?）  デプロイ前の承認プロセスを構成することにより、重要な環境への意図しないデプロイを防ぐことができる

[Microsoft Learn - Azure Pipelinesのベースラインアーキテクチャ] https://learn.microsoft.com/ja-jp/azure/devops/pipelines/architectures/devops-pipelines-baseline-architecture?view=azure- devops [Microsoft Learn -
YAMLパイプラインとクラシックビルド、リリースパイプラインの機能一覧] https://learn.microsoft.com/ja-jp/training/modules/create-release-pipeline-devops/2-describe-azure-devops-capabilities [Microsoft Learn - 承認とチェックを定義する] https://learn.microsoft.com/ja-jp/azure/devops/pipelines/process/approvals?view=azure-devops&tabs=check-pass [Microsoft Learn - Azure DevOps を使用してマルチステージパイプラインを作成する] https://learn.microsoft.com/ja-jp/azure/devops/pipelines/process/create-multistage-pipeline?view=azure-devops デモで利用したSrcは下記に配置しています。 https://github.com/yutaka-art/Baseline_Architectures References

クラシックパイプラインの非推奨に伴うAZ-400のラーニングパスの参照すべきドキュメントの変更点一覧は以下の記事に記載しています。 https://zenn.dev/yuriemori/articles/0eee4d3713aa18 References

Azure Pipelinesを使用したCICDベースラインアーキテクチャ実践

Azure Pipelinesを使用したCICDベースラインアーキテクチャ実践

yuriemori

More Decks by yuriemori

Other Decks in Technology

Featured

Transcript