Thomas Segato's questions

Eu tenho este pipeline:

name: Build and deploy Python app to Azure Web App - app-xx-xx-api-dev

on:
  push:
    branches:
      - dev
  workflow_dispatch:

jobs:
  build:
    runs-on: ubuntu-latest
    permissions:
      contents: read

    steps:
      - uses: actions/checkout@v4

      - name: Set up Python version
        uses: actions/setup-python@v5
        with:
          python-version: '3.12'

      - name: Install dependencies
        run: |
          python -m venv venv
          source venv/bin/activate
          pip install -r requirements.txt

      - name: DNA Utils
        run: |
          python -m venv venv
          source venv/bin/activate
          pip install git+https://${{ secrets.MACHINE_USER_PAT }}@github.com/xxx-dna/dna-utils.git@main

Como você pode ver, separamos a instalação dos requisitos e do pacote privado. Isso não é problema ao executar o pipeline no GitHub.

Entretanto, ao executar localmente em um Dev Box, você normalmente chamaria apenas:

pip install -r requirements.txt

Agora, o desenvolvedor também precisa instalar o pacote privado. E se tivermos mais, a coisa começa a ficar complexa.

Não estamos apenas adicionando o token, pois não o queremos no código do repositório. Isso pode ser resolvido de uma maneira mais adequada?

Estou realizando uma ação no GitHub onde tudo parece ter sido um sucesso, porém parece que o aplicativo não foi implantado.

inhame:

name: Build and deploy Python app to Azure Web App - fast-api-port

on:
  push:
    branches:
      - main
  workflow_dispatch:

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
      - uses: actions/checkout@v4

      - name: Set up Python version
        uses: actions/setup-python@v5
        with:
          python-version: '3.12'

      - name: Create and start virtual environment
        run: |
          python -m venv venv
          source venv/bin/activate
      
      - name: Install dependencies
        run: pip install -r requirements.txt
        
      # Optional: Add step to run tests here (PyTest, Django test suites, etc.)

      - name: Zip artifact for deployment
        run: zip release.zip ./* -r

      - name: Upload artifact for deployment jobs
        uses: actions/upload-artifact@v4
        with:
          name: python-app
          path: |
            release.zip
            !venv/

  deploy:
    runs-on: ubuntu-latest
    needs: build
    environment:
      name: 'Production'
      url: ${{ steps.deploy-to-webapp.outputs.webapp-url }}
    permissions:
      id-token: write #This is required for requesting the JWT

    steps:
      - name: Download artifact from build job
        uses: actions/download-artifact@v4
        with:
          name: python-app

      - name: Unzip artifact for deployment
        run: unzip release.zip

      
      - name: Login to Azure
        uses: azure/login@v2
        with:
          client-id: ${{ secrets.AZUREAPPSERVICE_CLIENTID_7C6D249DE594426EBD4725CC0D066145 }}
          tenant-id: ${{ secrets.AZUREAPPSERVICE_TENANTID_6399B578ADAF41E095CA377A465B8BB1 }}
          subscription-id: ${{ secrets.AZUREAPPSERVICE_SUBSCRIPTIONID_527AF2EA4A6A4A8BAC99ECB57B6CE6AB }}

      - name: 'Deploy to Azure Web App'
        uses: azure/webapps-deploy@v3
        id: deploy-to-webapp
        with:
          app-name: 'fast-api-port'
          slot-name: 'Production'

Todas as etapas nos logs foram bem-sucedidas:

Os logs dizem 0 erros e 0 avisos. No entanto, quando entro no gerenciador de arquivos, não consigo encontrar nenhum arquivo carregado e pode ser por isso que não consigo fazer meu aplicativo rodar:

Estou esquecendo de algo ou não deveria conseguir ver os arquivos? Eu testei com uma conexão FTP só para ter certeza, mas não há arquivos .py em nenhum lugar?

Implantei um aplicativo FastAPI em um aplicativo da web do Azure. Gostaria de acessar as variáveis ​​de ambiente do aplicativo da web na API rápida. Isso é possível e, se sim, você faz isso? Ambos do Azure, é claro, mas também como você gerencia localmente ao desenvolver. No momento, estou usando apenas um modelo básico de hello world:

from fastapi import FastAPI,Request
from fastapi.middleware.cors import CORSMiddleware
from fastapi_azure_auth import SingleTenantAzureAuthorizationCodeBearer
import uvicorn
from fastapi import FastAPI, Security
import os
from typing import Dict

from settings import Settings

from pydantic import AnyHttpUrl,BaseModel

from contextlib import asynccontextmanager
from typing import AsyncGenerator

from fastapi_azure_auth.user import User

settings = Settings()

@asynccontextmanager
async def lifespan(app: FastAPI) -> AsyncGenerator[None, None]:
    """
    Load OpenID config on startup.
    """
    await azure_scheme.openid_config.load_config()
    yield


app = FastAPI(
    swagger_ui_oauth2_redirect_url='/oauth2-redirect',
    swagger_ui_init_oauth={
        'usePkceWithAuthorizationCodeGrant': True,
        'clientId': settings.OPENAPI_CLIENT_ID,
        'scopes': settings.SCOPE_NAME,
    },
)

if settings.BACKEND_CORS_ORIGINS:
    app.add_middleware(
        CORSMiddleware,
        allow_origins=[str(origin) for origin in settings.BACKEND_CORS_ORIGINS],
        allow_credentials=True,
        allow_methods=['*'],
        allow_headers=['*'],
    )

azure_scheme = SingleTenantAzureAuthorizationCodeBearer(
    app_client_id=settings.APP_CLIENT_ID,
    tenant_id=settings.TENANT_ID,
    scopes=settings.SCOPES,
)

class User(BaseModel):
    name: str
    roles: list[str] = []


@app.get("/", dependencies=[Security(azure_scheme)])
async def root():
    print("Yo bro")
    return {"whoIsTheBest": "DNA Team is"}

@app.get("/test", dependencies=[Security(azure_scheme)])
async def root():
    print("Yo test")
    return {"whoIsTheBest": "DNA Team is!"}

@app.get("/me", dependencies=[Security(azure_scheme)])
async def me(request: Request):
    print("Me")
    return User(roles=request.state.user.roles,name=request.state.user.name)

if __name__ == '__main__':
    uvicorn.run('main:app', reload=True) 

   

Eu implantei um FastAPI para aplicativos da web do Azure. Eu usei o seguinte yaml:

webapps-actions

name: Build and deploy Python app to Azure Web App - fast-api-port

on:
  push:
    branches:
      - main
  workflow_dispatch:

jobs:
  build:
    runs-on: ubuntu-latest

    steps:
      - uses: actions/checkout@v4

      - name: Set up Python version
        uses: actions/setup-python@v5
        with:
          python-version: '3.12'

      - name: Create and start virtual environment
        run: |
          python -m venv venv
          source venv/bin/activate
      
      - name: Install dependencies
        run: pip install -r requirements.txt
        
      # Optional: Add step to run tests here (PyTest, Django test suites, etc.)

      - name: Zip artifact for deployment
        run: zip release.zip ./* -r

      - name: Upload artifact for deployment jobs
        uses: actions/upload-artifact@v4
        with:
          name: python-app
          path: |
            release.zip
            !venv/

  deploy:
    runs-on: ubuntu-latest
    needs: build
    environment:
      name: 'Production'
      url: ${{ steps.deploy-to-webapp.outputs.webapp-url }}
    permissions:
      id-token: write #This is required for requesting the JWT

    steps:
      - name: Download artifact from build job
        uses: actions/download-artifact@v4
        with:
          name: python-app

      - name: Unzip artifact for deployment
        run: unzip release.zip

      
      - name: Login to Azure
        uses: azure/login@v2
        with:
          client-id: ${{ secrets.AZUREAPPSERVICE_CLIENTID_xx }}
          tenant-id: ${{ secrets.AZUREAPPSERVICE_TENANTID_xx }}
          subscription-id: ${{ secrets.AZUREAPPSERVICE_SUBSCRIPTIONID_xx }}

      - name: 'Deploy to Azure Web App'
        uses: azure/webapps-deploy@v3
        id: deploy-to-webapp
        with:
          app-name: 'fast-api-port'
          slot-name: 'Production'

Posso ver que os arquivos agora existem no servidor:

Entretanto, quando navego até a URL do aplicativo da web, recebo o seguinte:

Como inicio o servidor uvicorn na implantação? De alguma forma, preciso do fastapi para começar.

Adicionei o seguinte na Configuração:

Código:

from fastapi import FastAPI,Request
from fastapi.middleware.cors import CORSMiddleware
from fastapi_azure_auth import SingleTenantAzureAuthorizationCodeBearer
import uvicorn
from fastapi import FastAPI, Security
import os
from typing import Dict

from settings import Settings

from pydantic import AnyHttpUrl,BaseModel

from contextlib import asynccontextmanager
from typing import AsyncGenerator

from fastapi_azure_auth.user import User

settings = Settings()

@asynccontextmanager
async def lifespan(app: FastAPI) -> AsyncGenerator[None, None]:
    """
    Load OpenID config on startup.
    """
    await azure_scheme.openid_config.load_config()
    yield


app = FastAPI(
    swagger_ui_oauth2_redirect_url='/oauth2-redirect',
    swagger_ui_init_oauth={
        'usePkceWithAuthorizationCodeGrant': True,
        'clientId': settings.OPENAPI_CLIENT_ID,
        'scopes': settings.SCOPE_NAME,
    },
)

if settings.BACKEND_CORS_ORIGINS:
    app.add_middleware(
        CORSMiddleware,
        allow_origins=[str(origin) for origin in settings.BACKEND_CORS_ORIGINS],
        allow_credentials=True,
        allow_methods=['*'],
        allow_headers=['*'],
    )

azure_scheme = SingleTenantAzureAuthorizationCodeBearer(
    app_client_id=settings.APP_CLIENT_ID,
    tenant_id=settings.TENANT_ID,
    scopes=settings.SCOPES,
)

class User(BaseModel):
    name: str
    roles: list[str] = []


@app.get("/", dependencies=[Security(azure_scheme)])
async def root():
    print("Yo bro")
    return {"whoIsTheBest": "DNA Team is"}

@app.get("/test", dependencies=[Security(azure_scheme)])
async def root():
    print("Yo test")
    return {"whoIsTheBest": "DNA Team is!"}

@app.get("/me", dependencies=[Security(azure_scheme)])
async def me(request: Request):
    print("Me")
    return User(roles=request.state.user.roles,name=request.state.user.name)

if __name__ == '__main__':
    uvicorn.run('main:app', reload=True)

    

Registros:

Estamos tentando enviar um aplicativo do GitHub para o Azure Web App. No GitHub, sou proprietário de uma organização chamada DNA:

Na organização o repositório que gostaríamos de implantar existe:

No Azure, vou para o "Centro de implantação" e escolho GitHub na fonte. Entro com minha conta, mas só vejo meus repositórios pessoais e não os repositórios da organização. O que pode causar isso?

A única organização que posso escolher é meu próprio perfil:

Configurei um FastAPI com FastAPI-Azure-Auth. É uma API e uma página Swagger (SPA) para testar a API. Tenho um registro de aplicativo para a API e um para a página Swagger. No registro do aplicativo API, adicionei uma função chamada "Role7" no meu usuário.

No aplicativo de registro da página do Swagger, adicionei uma "Função1" ao meu usuário.

Página do Swagger APP reg:

Adicionei permissão ao registro do aplicativo API.

O problema é que nas claims que recebo na página do Swagger, recebo "Role7", que é do registro do aplicativo da API. E eu esperaria obter as funções que configurei no registro do aplicativo da página do Swagger. Como configuro os appregs para que seja a página da web e não a API que controla o acesso e as funções?

Eu segui este exemplo como está: https://intility.github.io/fastapi-azure-auth/

No entanto, recebo o seguinte erro: AADSTS9002325: A chave de prova para troca de código é necessária para resgate de código de autorização de origem cruzada.

Pelo que entendi, isso está relacionado aos URIs de redirecionamento não corresponderem.

API rápida Abra o aplicativo reg:

Registro de aplicativo de API rápida:

No entanto, eles devem corresponder. E ideias de como resolver ou solucionar problemas?

Código:

from fastapi import FastAPI
from fastapi.middleware.cors import CORSMiddleware
from fastapi_azure_auth import SingleTenantAzureAuthorizationCodeBearer
from pydantic import AnyHttpUrl, computed_field
import uvicorn
from fastapi import FastAPI, Security

from pydantic import AnyHttpUrl
from pydantic_settings import BaseSettings

from contextlib import asynccontextmanager
from typing import AsyncGenerator


class Settings(BaseSettings):
    BACKEND_CORS_ORIGINS: list[str | AnyHttpUrl] = ['http://localhost:8000']
    OPENAPI_CLIENT_ID: str = "  "
    APP_CLIENT_ID: str = "xxx"
    TENANT_ID: str = "xxx"
    SCOPE_DESCRIPTION: str = "user_impersonation"

    @computed_field
    @property
    def SCOPE_NAME(self) -> str:
        return f'api://{self.APP_CLIENT_ID}/{self.SCOPE_DESCRIPTION}'

    @computed_field
    @property
    def SCOPES(self) -> dict:
        return {
            self.SCOPE_NAME: self.SCOPE_DESCRIPTION,
        }

    class Config:
        env_file = '.env'
        env_file_encoding = 'utf-8'
        case_sensitive = True

settings = Settings()

@asynccontextmanager
async def lifespan(app: FastAPI) -> AsyncGenerator[None, None]:
    """
    Load OpenID config on startup.
    """
    await azure_scheme.openid_config.load_config()
    yield


app = FastAPI(
    swagger_ui_oauth2_redirect_url='/oauth2-redirect',
    swagger_ui_init_oauth={
        'usePkceWithAuthorizationCodeGrant': True,
        'clientId': settings.OPENAPI_CLIENT_ID,
    },
)

app = FastAPI()

if settings.BACKEND_CORS_ORIGINS:
    app.add_middleware(
        CORSMiddleware,
        allow_origins=[str(origin) for origin in settings.BACKEND_CORS_ORIGINS],
        allow_credentials=True,
        allow_methods=['*'],
        allow_headers=['*'],
    )

azure_scheme = SingleTenantAzureAuthorizationCodeBearer(
    app_client_id=settings.APP_CLIENT_ID,
    tenant_id=settings.TENANT_ID,
    scopes=settings.SCOPES,
)


@app.get("/", dependencies=[Security(azure_scheme)])
async def root():
    return {"whoIsTheBest": "DNA Team is"}

if __name__ == '__main__':
    uvicorn.run('main:app', reload=True)

Estou tentando obter um token de acesso do Microsoft Intra ID com o Postman. Criei um aplicativo de registros com um segredo:

O registro do aplicativo tem permissão de usuário.Leitura:

Configurei a seguinte autenticação:

No postman tenho o seguinte:

Na URL tenho um post com: https://login.microsoftonline.com/{{tenantId}}/oauth2/v2.0/authorize

Na aba Autenticação tenho o seguinte:

Quando clico em Obter Novo Token de Acesso, o PostMan abre um navegador e posso inserir minhas credenciais e MFA. No entanto, recebo a seguinte mensagem de erro:

Estou tentando fazer meu primeiro aplicativo de função python. O aplicativo é apenas um aplicativo simples que cria um arquivo blob. O código é executado localmente. No entanto, quando eu implanto no Azure, não vejo o aplicativo de função.

Se eu remover isso, então funciona:

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient, BlobClient, ContainerClient

Código completo:

import logging
import datetime
import azure.functions as func

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient, BlobClient, ContainerClient

app = func.FunctionApp()
    
@app.timer_trigger(schedule="0 * * * * *", arg_name="myTimer", run_on_startup=False, use_monitor=False) 
def timer_trigger(myTimer: func.TimerRequest) -> None:
     
    logging.info('Python timer trigger function executed.')

Configuration in azure:
[
  {
    "name": "APPINSIGHTS_INSTRUMENTATIONKEY",
    "value": "xx-6dd2-xx-9ab8-xx",
    "slotSetting": true
  },
  {
    "name": "APPLICATIONINSIGHTS_CONNECTION_STRING",
    "value": "InstrumentationKey=xx;IngestionEndpoint=https://westeurope-5.in.applicationinsights.azure.com/;LiveEndpoint=https://westeurope.livediagnostics.monitor.azure.com/;ApplicationId=xxx",
    "slotSetting": false
  },
  {
    "name": "AzureWebJobsStorage",
    "value": "DefaultEndpointsProtocol=https;AccountName=xx;AccountKey=xx;EndpointSuffix=core.windows.net",
    "slotSetting": false
  },
  {
    "name": "BUILD_FLAGS",
    "value": "UseExpressBuild",
    "slotSetting": false
  },
  {
    "name": "AzureWebJobsStorage__accountname",
    "value": "stsxxxondev",
    "slotSetting": false
  },
  {
    "name": "ENABLE_ORYX_BUILD",
    "value": "true",
    "slotSetting": false
  },
  {
    "name": "FUNCTIONS_EXTENSION_VERSION",
    "value": "~4",
    "slotSetting": false
  },
  {
    "name": "FUNCTIONS_WORKER_RUNTIME",
    "value": "python",
    "slotSetting": false
  },
  {
    "name": "SCM_DO_BUILD_DURING_DEPLOYMENT",
    "value": "1",
    "slotSetting": false
  },
  {
    "name": "XDG_CACHE_HOME",
    "value": "/tmp/.cache",
    "slotSetting": false
  }
]

Eu instalei o Microsoft.Extensions.Logging. Mas recebo o seguinte erro do compilador:

'ILogger' não contém uma definição para 'LogMetric' e nenhum método de extensão acessível 'LogMetric'.

Alguma indicação sobre o que instalar para poder registrar métricas de um Azure Function App 8.0?

> <PackageReference Include="Microsoft.Azure.Functions.Worker"
> Version="1.22.0" />    <PackageReference
> Include="Microsoft.Azure.Functions.Worker.Extensions.Http"
> Version="3.2.0" />    <PackageReference
> Include="Microsoft.Azure.Functions.Worker.Extensions.Http.AspNetCore"
> Version="1.3.0" />    <PackageReference
> Include="Microsoft.Azure.Functions.Worker.Extensions.Storage.Queues"
> Version="5.4.0" />    <PackageReference
> Include="Microsoft.Azure.Functions.Worker.Extensions.Timer"
> Version="4.3.0" />    <PackageReference
> Include="Microsoft.Azure.Functions.Worker.Sdk" Version="1.17.2" />   
> <PackageReference
> Include="Microsoft.ApplicationInsights.WorkerService" Version="2.22.0"
> />    <PackageReference
> Include="Microsoft.Azure.Functions.Worker.ApplicationInsights"
> Version="1.2.0" />    <PackageReference
> Include="Microsoft.Azure.WebJobs" Version="3.0.39" />   
> <PackageReference Include="Microsoft.Azure.WebJobs.Extensions.Storage"
> Version="5.3.0" />    <PackageReference
> Include="Microsoft.Data.SqlClient" Version="5.2.0" />   
> <PackageReference Include="Microsoft.Extensions.Logging"
> Version="8.0.0" />