チュートリアル: Azure Container Apps と PostgreSQL を使用して Python Web アプリを構築してデプロイする

Azure CLI コマンドは、Azure Cloud Shell で実行することも、Azure CLI インストールされているワークステーションで実行することもできます。

ローカルで実行している場合は、次の手順に従ってサインインし、このチュートリアルに必要なモジュールをインストールします。

1. 必要に応じて、Azure にサインインして認証します。

   az login
   

2. 最新バージョンの Azure CLI を実行していることを確認します。

   az upgrade
   

3. az extension add コマンドを使用して、containerapp と rdbms-connect の Azure CLI 拡張機能をインストールまたはアップグレードします。

   az extension add --name containerapp --upgrade
   az extension add --name rdbms-connect --upgrade
   

   注

   システムにインストールされている拡張機能を一覧表示するには、az extension list コマンドを使用します。 例えば：

   az extension list --query [].name --output tsv
   

Visual Studio Code (VS Code) に次の拡張機能がインストールされていることを確認します。

• Docker 拡張機能
• Azure Databases 拡張機能
• Azure Container Apps 拡張機能

Azure portalにサインインします。

1. Windows コンピューター上の Git Bash シェルでコマンドを実行している場合は、続行する前に次のコマンドを入力します。

   #!/bin/bash
   export MSYS_NO_PATHCONV=1
   

2. az group create コマンドを使用してリソース グループを作成します。

   #!/bin/bash
   RESOURCE_GROUP_NAME=<resource-group-name>
   LOCATION=<___location>
   az group create \
       --name $RESOURCE_GROUP_NAME \
       --___location $LOCATION
   

3. az acr create コマンドを使用して、コンテナー レジストリを作成します。

   #!/bin/bash
   REGISTRY_NAME=<registry-name> #The name that you use for *\<registry-name>* must be unique within Azure, and it must contain 5 to 50 alphanumeric characters.
   az acr create \
       --resource-group $RESOURCE_GROUP_NAME \
       --name $REGISTRY_NAME \
       --sku Basic \
       --admin-enabled true
   

4. az acr login コマンドを使用してレジストリにサインインします。

   az acr login --name $REGISTRY_NAME
   

   このコマンドは、名前に "azurecr.io" を追加して、完全修飾レジストリ名を作成します。 サインインに成功すると、"ログインに成功しました" というメッセージが表示されます。 レジストリを作成したサブスクリプションとは異なるサブスクリプションからレジストリにアクセスする場合は、--suffix スイッチを使用します。

   サインインに失敗した場合は、Docker デーモンがシステムで実行されていることを確認します。

5. az acr build コマンドを使用してイメージをビルドします。

   #!/bin/bash
   az acr build \
       --registry $REGISTRY_NAME \
       --resource-group $RESOURCE_GROUP_NAME \
       --image pythoncontainer:latest .
   

   次の考慮事項が適用されます。

   • コマンドの末尾にあるドット (.) は、ビルドするソース コードの場所を示します。 サンプル アプリのルート ディレクトリでこのコマンドを実行していない場合は、コードへのパスを指定します。

   • Azure Cloud Shell でコマンドを実行している場合は、git clone を使用して、最初にリポジトリを Cloud Shell 環境にプルします。 次に、プロジェクトのルートにディレクトリを変更して、ドット (.) が正しく解釈されるようにします。

   • -t (--image と同じ) オプションを指定しなかった場合、このコマンドでは、ローカル コンテキスト ビルドがレジストリにプッシュされずにキューに入れられます。 プッシュなしのビルドは、イメージがビルドされるか確認する場合に便利です。

6. az acr repository list コマンドを使用して、コンテナー イメージが作成されたことを確認します。

   az acr repository list --name $REGISTRY_NAME
   

これらの手順では、VS Code の Docker 拡張機能が必要です。

1. Azure Container Registry インスタンスを作成します。

   レジストリの作成 タスクを開始します。

   1. F1 キーまたは CtrlL + Shift + P キーを押してコマンド パレットを開きます。
   2. 「Azure Container Registry」と入力します。
   3. タスク [Azure Container Registry: Create Registry] (Azure Container Registry: レジストリの作成) を選択します。

   

   プロンプトに従ってレジストリとリソース グループを作成します。

   • メッセージが表示されたら、このチュートリアルのリソースを作成するサブスクリプションを選択します。
   • レジストリ名: レジストリ名は Azure 内で一意であり、5 ~ 50 文字の英数字を含む必要があります。
   • SKU の選択: [Basic] を選択します。
   • 新しいリソース グループの作成: リソース グループを作成するには、このオプションを選択します。
   • リソース グループ: pythoncontainer-rgという名前 新しいリソース グループを作成します。
   • 場所: 場所を選択し、レジストリが作成されたことを示す通知を待ちます。

2. イメージをビルドします。

   Azure タスクで Build Image を開始します。

   1. F1 キーまたは Ctrl + Shift + P キーを押してコマンド パレットを開きます。
   2. 「Azure Container Registry」と入力します。
   3. タスク [Azure Container Registry: Build Image in Azure] (Azure Container Registry: Azure でのイメージのビルド) を選択します。

   

   または、Dockerfile を右クリックし、Azure [Build Image]\(イメージのビルド\) を選択して、イメージをビルドするタスクを開始することもできます。 Azure タスクで Build Image が表示されない場合は、Azure にサインインしていることを確認してください。

   画面の指示に従ってイメージをビルドします。

   • 画像をとしてタグ付けする: を入力します pythoncontainer:latest。
   • レジストリ プロバイダー: Azureを選択します。
   • メッセージが表示されたら、サブスクリプションを選択します。
   • レジストリ: 一覧からコンテナー レジストリを選択します。
   • OS の選択: [Linux] を選択します。

   出力 ウィンドウで進行状況を監視し、イメージが正常にビルドされたことを確認します。 エラーが発生した場合は、「トラブルシューティング」セクションを参照してください。

3. レジストリが作成されたことを確認します。

   Docker 拡張機能を選択し、REGISTRIES セクションに移動します。 Azure ノードを展開して、新しい Azure Container Registry インスタンスを見つけます。

   

4. az acr update コマンドを使用して、レジストリの管理者ユーザー アカウントを有効にします。 このコマンドは、VS Code ターミナル ウィンドウで実行することもできますし、Azure Cloud Shellで実行することもできます。

   az acr update --name <registry-name> \
       --resource-group pythoncontainer-rg \
       --admin-enabled true
   

   または、Docker 拡張機能でレジストリを選択し、右クリックして[ポータルで開く]選択することもできます。 その後、チュートリアルのこのセクションの Azure portal タブの指示に従って、管理者ユーザー アカウントを有効にすることができます。

   管理者アカウント用に作成された資格情報は、次のコマンドを使用して表示できます。

   az acr credential show \
       --name  <registry-name> \
       --resource-group pythoncontainer-rg
   

1. Azure portalで、コンテナー レジストリを検索します。 結果の [マーケットプレイス] で [Container Registry] を選択します。

2. [基本] タブで、次の値を入力します。

   • リソース グループ: 新規作成 を選択し、「pythoncontainer-rg」を入力 して下さい。
   • レジストリ名: レジストリ名は Azure 内で一意であり、5 ~ 50 文字の英数字を含む必要があります。
   • 場所: 近くの場所を選択します。
   • SKU: [Basic] を選択します。

   終わったら、 [確認と作成] を選択します。 検証が完了したら、[作成] を選択します。

3. デプロイが完了したら、[リソースに移動] を選択します。 この通知を見逃した場合は、コンテナー レジストリ を検索し、結果の [リソース] でレジストリを選択できます。

4. 管理者ユーザー アカウントを有効にします。

   1. サービス メニューの [設定]で、[アクセス キー]選択します。
   2. [管理者ユーザー] チェック ボックスをオンにします。

5. 構成を完了してイメージをビルドするには、上部のメニュー バーにある Azure Cloud Shell アイコンを選択します。

   

   Azure Cloud Shell に直接移動することもできます。

6. az acr build コマンドを使用して、リポジトリからイメージをビルドします。

   az acr build --registry <registry-name> \
       --resource-group pythoncontainer-rg \ 
       --image pythoncontainer:latest <repo-path>
   

   作成したレジストリの名前として、<レジストリ名> を指定します。 <repo-path> には、Django または Flask のリポジトリ パスを選択します。

7. コマンドが完了したら、Services内で リポジトリ を選択し、イメージが表示されることを確認します。

1. az postgres flexible-server create コマンドを使用して、Azure に PostgreSQL サーバーを作成します。 このコマンドが完了する前に数分間実行することは珍しくありません。

   #!/bin/bash
   ADMIN_USERNAME=demoadmin
   ADMIN_PASSWORD=<admin-password> # Use a strong password that meets the requirements for PostgreSQL.
   POSTGRES_SERVER_NAME=<postgres-server-name> 
   az postgres flexible-server create \
     --resource-group $RESOURCE_GROUP_NAME \
     --name $POSTGRES_SERVER_NAME \
     --___location $LOCATION \
     --admin-user $ADMIN_USERNAME \
     --admin-password $ADMIN_PASSWORD \
     --version 16 \
     --tier Burstable \
     --sku-name Standard_B1ms \
     --public-access 0.0.0.0 \
     --microsoft-entra-auth Enabled \
     --storage-size 32 \
     --backup-retention 7 \
     --high-availability Disabled \
     --yes
   
   

   次の値を使用します。

   • <postgres-server-name>: PostgreSQL データベース サーバー名。 この名前は、すべての Azure で一意である必要があります。 サーバー エンドポイントが https://<postgres-server-name>.postgres.database.azure.com。 使用できる文字は、A から Z、0 から 9、およびハイフン (-) です。

   • <場所>: Web アプリに使用したのと同じ場所を使用します。 <場所> は、コマンド Nameの出力からの Azure の場所 az account list-locations -o table 値の 1 つです。

   • <admin-username>: 管理者アカウントのユーザー名。 azure_superuser、admin、administrator、root、guest、または publicすることはできません。 このチュートリアルでは、demoadmin を使用します。

   • <admin-password>: 管理者ユーザーのパスワード。 これには、次のうちの 3 つのカテゴリの、8 から 128 文字が含まれている必要があります。英大文字、英小文字、数字、英数字以外の文字のうち、3 つのカテゴリの文字が含まれている必要があります。

     重要

     ユーザー名またはパスワードを作成するときは、ドル記号 ($) 文字を使用しないでください。 後でこれらの値を使用して環境変数を作成すると、その文字は、Python アプリの実行に使用する Linux コンテナー内で特別な意味を持ちます。

   • --version: 16を使用します。 サーバーに使用する PostgreSQL のバージョンを指定します。

   • --tier: Burstableを使用します。 サーバーの価格レベルを指定します。 Burstable レベルは、完全な CPU を継続的に必要としないワークロードの低コストのオプションであり、このチュートリアルの要件に適しています。

   • --sku-name: 価格レベルとコンピューティング構成の名前。たとえば、Standard_B1msします。 詳しくは、「Azure Database for PostgreSQL の価格」をご覧ください。 使用可能なレベルを一覧表示するには、az postgres flexible-server list-skus --___location <___location>を使用します。

   • --public-access: 0.0.0.0を使用します。 これにより、Container Apps などの任意の Azure サービスからサーバーへのパブリック アクセスが許可されます。

   • --microsoft-entra-auth: Enabledを使用します。 サーバーで Microsoft Entra 認証を有効にします。

   • --storage-size: 32を使用します。 サーバーのストレージ サイズをギガバイト (GB) 単位で指定します。 最小値は 32 GB です。

   • --backup-retention: 7を使用します。 サーバーのバックアップを保持する日数を指定します。 最小値は 7 日です。

   • --high-availability: Disabledを使用します。 サーバーの高可用性が無効になります。 このチュートリアルでは、高可用性は必要ありません。

   • --yes: PostgreSQL サーバーの使用条件に同意します。

   注

   ツールを使用してローカル ワークステーションから PostgreSQL サーバーを操作する場合は、az postgres flexible-server firewall-rule create コマンド 使用して、ワークステーションの IP アドレスのファイアウォール規則を追加する必要があります。

2. ユーザー アカウントのオブジェクト ID を取得するには、az ad signed-in-user show コマンドを使用します。 この ID は、次のコマンドで使用します。

   #!/bin/bash
   CALLER_OBJECT_ID=$(az ad signed-in-user show --query id -o tsv)
   CALLER_DISPLAY_NAME=$(az ad signed-in-user show --query userPrincipalName -o tsv)
   

3. az postgres flexible-server ad-admin create コマンドを使用して、PostgreSQL サーバーに Microsoft Entra 管理者としてユーザー アカウントを追加します。

   #!/bin/bash
   az postgres flexible-server microsoft-entra-admin create \
     --server-name "$POSTGRES_SERVER_NAME" \
     --resource-group "$RESOURCE_GROUP_NAME" \
     --display-name "$CALLER_DISPLAY_NAME" \
     --object-id "$CALLER_OBJECT_ID" \
     --type User
   
   

4. Web アプリが PostgeSQL フレキシブル サーバーにアクセスできるようにする規則を追加するには、az postgres flexible-server firewall-rule create コマンドを使用します。 次のコマンドでは、パブリック IP アドレスを使用して、開発ワークステーションからの接続を受け入れるようにサーバーのファイアウォールを構成します。

   MY_IP=$(curl -s ifconfig.me)
   az postgres flexible-server firewall-rule create \
     --name "$POSTGRES_SERVER_NAME" \
     --resource-group "$RESOURCE_GROUP_NAME" \
     --rule-name allow-my-ip \
     --start-ip-address "$MY_IP" \
     --end-ip-address "$MY_IP"
       ```
   
   

この手順では、VS Code の Azure Databases 拡張機能が必要です。

1. PostgreSQL サーバー の作成タスクを開始します。

   1. F1 キーまたは Ctrl + Shift + P キーを押してコマンド パレットを開きます。
   2. 「Azure Databases」と入力します。
   3. [Azure Databases: Create Server] (Azure Databases: サーバーの作成) タスクを選択します。

   

   または、Azure 拡張機能 選択し、RESOURCESに移動して、サブスクリプションを展開することもできます。 (リソースの種類別 グループ化でリソースを表示していることを確認します)。次に、PostgreSQL サーバー 右クリックし、[サーバー 作成] を選択して同じタスクを開始します。

2. 一連のプロンプトでは、サーバーを作成するプロセスを案内します。 次のように情報を入力します。

   • サブスクリプションの選択を求められた場合は、このチュートリアルで使用しているサブスクリプションを選択します。

   • Azure Database Serverを選択します。PostgreSQL フレキシブル サーバー選択します。

   • サーバー名: データベース サーバーの名前を指定します。 名前は、すべての Azure で一意である必要があります。 データベース サーバーの URL は https://<server-name>.postgres.database.azure.com になります。 使用できる文字は、A Z、0 9、ハイフン () の です。 例: postgres-db-<unique-id>

   • Postgres SKU とオプションの選択: B1ms Basic レベル (仮想コア、2 GiB メモリ、5 GB ストレージ) を選択します。

   • 管理者ユーザー名: データベース サーバーで管理者アカウントのユーザー名を作成します。 このチュートリアル demoadmin を使用します。

   • 管理者パスワード: 管理者のパスワードを作成して確認します。

   • 新しいリソースのリソース グループを選択: サーバーを含むリソース グループを選択します。 pythoncontainer-rgコンテナー レジストリを作成したのと同じリソース グループを使用します。

   • 新しいリソースの場所を選択: リソース グループとコンテナー レジストリと同じ場所を選択します。

   Azure ウィンドウで進行状況を監視し、サーバーが正常に作成されたことを確認します。 エラーが発生した場合は、「トラブルシューティング」セクションを参照してください。

   

3. サーバーが作成されたら、ローカル環境から Azure Database for PostgreSQL サーバーへのアクセスを構成します。

   1. サーバーが作成されたことを確認するために、[Azure: アクティビティ ログ] ウィンドウを確認します。

   2. コマンド パレットを開きます (F1 キーまたは Ctrl + Shift + P キーを押します)。

   3. [PostgreSQL: ファイアウォールの構成] を検索して選択します。 メッセージが表示されたら、サブスクリプションを選択します。

   4. PostgreSQL サーバー (フレキシブル)を選択し、前の手順で作成したサーバーを選択します。 サーバーが一覧に表示されない場合は、引き続き作成されている可能性があります。

   5. ダイアログ [はい] を選択して、PostgreSQL サーバーのファイアウォール規則に IP アドレスを追加します。

      

4. 次の手順では、Azure CLI が必要です。 Azure CLI をローカルにインストールしている場合は、ターミナル プロンプトで実行できます。 それ以外の場合は、ブラウザー Azure Cloud Shell を開きます。

5. Web アプリが PostgeSQL フレキシブル サーバーにアクセスできるようにする規則を追加するには、az postgres flexible-server firewall-rule create コマンドを使用します。 次のコマンドでは、すべての Azure リソースからの接続を受け入れるようにサーバーのファイアウォールを構成します。

   az postgres flexible-server firewall-rule create \
       --name <postgres-server_name> \
       --resource-group pythoncontainer-rg \
       --rule-name AllowAllAzureServices \
       --start-ip-address 0.0.0.0 \
       --end-ip-address 0.0.0.0
   

6. az postgres flexible-server update コマンドを使用して、サーバーで Microsoft Entra 認証を有効にします。

   az postgres flexible-server update \
       --resource-group pythoncontainer-rg \
       --name <postgres-server-name> 
       --active-directory-auth Enabled
   

7. ユーザー アカウントのオブジェクト ID を取得するには、az ad signed-in-user show コマンドを使用します。 この ID は、次のコマンドで使用します。

   az ad signed-in-user show --query id --output tsv
   

8. az postgres flexible-server ad-admin create コマンドを使用して、PostgreSQL サーバーに Microsoft Entra 管理者としてユーザー アカウントを追加します。

   az postgres flexible-server ad-admin create \
      --resource-group pythoncontainer-rg \
      --server-name <postgres-server-name>  \
      --display-name <your-email-address> \
      --object-id <your-account-object-id>
   

   アカウント オブジェクト ID には、前の手順で取得した値を使用します。

1. Azure portal で「postgresql flexible」を検索します。 結果の [マーケットプレイス] で [Azure Database for PostgreSQL フレキシブル サーバー] を選択します。

2. [基本] タブで、次の値を入力します。

   • リソース グループ: このチュートリアルで使用するリソース グループを入力します。pythoncontainer-rg。
   • サーバー名: Azure 全体で一意のデータベース サーバーの名前を入力します。 データベース サーバーの URL は https://<server-name>.postgres.database.azure.com になります。 使用できる文字は、A Z、0 9、ハイフン () の です。 例: postgres-db-<unique-id>
   • リージョン: リソース グループに使用したリージョンと同じリージョンを選択します。
   • ワークロードの種類: 開発を選択します。
   • 認証方法: PostgreSQL と Microsoft Entra 認証を選択します。
   • Microsoft Entra 管理者の設定: [管理者の設定] を選択します。[Microsoft Entra 管理者の選択] ウィンドウで Azure ユーザー アカウントを検索し、結果でそれを選択して [選択] をクリックします。
   • 管理者ユーザー名: demoadmin を使用します。
   • パスワード と パスワードの確認: 管理者アカウントのパスワードを入力します。

   その他の設定はすべて、既定値のままにしておきます。 完了したら、[次へ: ネットワーク] を選択します。

3. [ネットワーク] タブで、次の値を入力します。

   • 接続方法の: パブリック アクセス (許可された IP アドレス) とプライベート エンドポイント 選択されていることを確認します。
   • パブリック IP アドレスを使用してインターネット経由でこのリソースへのパブリック アクセスを許可する: チェック ボックスがオンになっていることを確認します。
   • Azure 内の任意の Azure サービスからこのサーバーへのパブリック アクセスを許可: チェック ボックスをオンにします。
   • 現在のクライアント IP アドレス追加: ローカル サーバーからデータベースにアクセスする場合は、選択 (追加) します。

   その他の設定はすべて、既定値のままにしておきます。 [確認と作成] を選択して続行します。

4. 設定を確認します。 完了したら、[作成] を選択します。

az postgres flexible-server db create コマンドを使用して、restaurants_reviewsという名前のデータベースを作成します。

#!/bin/bash
DATABASE_NAME=restaurants_reviews
az postgres flexible-server db create \
    --resource-group $RESOURCE_GROUP_NAME \
    --server-name $POSTGRES_SERVER_NAME \
    --database-name $DATABASE_NAME

az postgres flexible-server connect コマンドを使用してデータベースに接続し、psql コマンドを操作することもできます。 psql を使用する場合、シェルにはすべての依存関係が含まれているため、Azure Cloud Shell 使用する方が簡単になることがよくあります。

この手順では、VS Code の Azure Databases 拡張機能が必要です。

1. Azure Databases 拡張機能で、作成した PostgreSQL サーバーを見つけて右クリックし、[データベースの作成]選択します。

2. プロンプトで、データベース名の 値として「restaurants_reviews」と入力します。

データベースの作成で問題が発生した場合、サーバーで前の手順のファイアウォール規則がまだ処理中である可能性があります。 しばらく待ってから、もう一度お試しください。 データベースにアクセスするための資格情報の入力を求められた場合は、demoadmin ユーザー名と、データベースの作成時に入力したパスワードを使用します。

1. Azure portalで、PostgreSQL サーバーに移動します。 たとえば、検索バーに PostgreSQL サーバーの名前を入力し、結果の [リソース で選択できます。

2. [サービスメニュー] の [設定] で、[データベース] を選択します。

3. [データベース] ウィンドウの上部メニューで[追加] を選択します。

4. [データベースの作成] ウィンドウで、[名前] に「restaurants_reviews」と入力して [保存] を選択します。

5. 操作が完了すると、データベース ペインに戻ります。 restaurants_reviews がデータベースの一覧に表示されることを確認します。 表示するには、ウィンドウの更新が必要になる場合があります。

az identity create コマンドを使用して、ユーザー割り当てマネージド ID を作成します。

UA_MANAGED_IDENTITY_NAME=<managed-identity-name> # Use a unique name for the managed identity, such as-"my-ua-managed-id".
az identity create \
    --name $UA_MANAGED_IDENTITY_NAME 
    --resource-group $RESOURCE_GROUP_NAME

現在、ユーザー割り当てマネージド ID の作成をサポートする VS Code 拡張機能はありません。 Azure CLI または Azure portal の手順に従います。

1. Azure portalで、マネージド IDを検索します。 結果の [マーケットプレイス] で [ユーザー割り当てマネージド ID] を選択します。

2. [基本] タブで、次の値を入力します。

   • サブスクリプション: このチュートリアルのリソースに使用しているサブスクリプションを選択します。
   • リソース グループ: このチュートリアルのリソース グループ pythoncontainer-rgを入力します。
   • リージョン: このチュートリアルのリソースに使用しているリージョンを選択します。
   • 名前: ユーザー割り当てマネージド ID の名前を入力します。 このチュートリアルでは、my-ua-managed-idを使用します。別の名前を使用できますが、このチュートリアルのコマンドでは、-managed-idmy-ua想定しています。別の名前を使用する場合は、他のコマンドで変更する必要があります。

3. [確認と作成] を選択して変更を確認します。

4. [作成] を選択します。

1. az account get-access-token コマンドを使用して、Azure アカウントのアクセス トークンを取得します。 アクセス トークンは、次の手順で使用します。

   #!/bin/bash
   MY_ACCESS_TOKEN=$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken)
   echo $MY_ACCESS_TOKEN
   

2. PostgreSQL サーバーにユーザー割り当てマネージド ID をデータベース ロールとして追加するには、az postgres flexible-server execute コマンドを使用します。

   #!/bin/bash
   az postgres flexible-server execute \
     --name "$POSTGRES_SERVER_NAME" \
     --admin-user "$CALLER_DISPLAY_NAME" \
     --admin-password "$ACCESS_TOKEN" \
     --database-name postgres \
     --querytext "SELECT * FROM pgaadauth_create_principal('$UA_MANAGED_IDENTITY_NAME', false, false);"
   

   注

   ローカル ワークステーションで az postgres flexible-server execute コマンドを実行している場合は、ワークステーションの IP アドレスのファイアウォール規則を追加したことを確認します。 az postgres flexible-server firewall-rule create コマンド 使用して、規則を追加できます。 次の手順では、コマンドにも同じ要件が存在します。

3. 次の az postgres flexible-server execute コマンドを使用して、restaurants_reviews データベースに対する必要なアクセス許可をユーザー割り当てマネージド ID に付与します。

   #!/bin/bash
   SQL_GRANTS=$(cat <<EOF
   GRANT CONNECT ON DATABASE $DATABASE_NAME TO "$UA_MANAGED_IDENTITY_NAME";
   GRANT USAGE, CREATE ON SCHEMA public TO "$UA_MANAGED_IDENTITY_NAME";
   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "$UA_MANAGED_IDENTITY_NAME";
   ALTER DEFAULT PRIVILEGES IN SCHEMA public GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO "$UA_MANAGED_IDENTITY_NAME";
   EOF
   )
   
   az postgres flexible-server execute \
     --name "$POSTGRES_SERVER_NAME" \
     --admin-user "$CALLER_DISPLAY_NAME" \
     --admin-password "$MY_ACCESS_TOKEN" \
     --database-name "$DATABASE_NAME" \
     --querytext "$SQL_GRANTS"
   
   

   この Azure CLI コマンドは、サーバー上の restaurants_reviews データベースに接続し、次の SQL コマンドを発行します。

   GRANT CONNECT ON DATABASE restaurants_reviews TO "my-ua-managed-id";
   GRANT USAGE ON SCHEMA public TO "my-ua-managed-id";
   GRANT CREATE ON SCHEMA public TO "my-ua-managed-id";
   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "my-ua-managed-id";
   ALTER DEFAULT PRIVILEGES IN SCHEMA public
   GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO "my-ua-managed-id";
   

PostgreSQL 対話型ターミナル psql は、ローカル環境や、Azure ポータルからもアクセス可能な Azure Cloud Shellで使用できます。 psql を使用する場合、シェルにはすべての依存関係が含まれているため、Cloud Shell を使用する方が簡単になることがよくあります。

1. サーバーで Microsoft Entra 管理者として以前に構成した Azure アカウントを使用して、psql を使用してデータベースに接続します。

   psql --host=<postgres-server-name>.postgres.database.azure.com \
        --port=5432 \
        --username=<your-azure-email-address> \
        --dbname=postgres \
        --set sslmode=require
   

   このコマンドでは、postgres-server-name は PostgreSQL サーバーの名前であり、azure-email-address は Azure アカウントの電子メール アドレスです。 コマンドによって、Azure アカウントのパスワードの入力が求められます。

   Azure Cloud Shell で作業している場合、またはローカル システムに Azure CLI がインストールされている場合は、az account get-access-token コマンドを使用して、パスワードとしてコピーして入力できるアクセス トークンを取得できます。

   az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken
   

   または、psql コマンドと Azure CLI コマンドを組み合わせることができます。

   psql "host=<postgres-server-name>.postgres.database.azure.com port=5432 dbname=postgres user=<your-azure-email-address> password='$(az account get-access-token --resource-type oss-rdbms --output tsv --query accessToken)' sslmode=require"
   

   コマンドを実行する前に、<postgres-server-name> と <your-azure-email-address> のプレースホルダーをそれぞれ置き換えてください。

   接続で問題が発生した場合は、データベースを再起動して、もう一度やり直してください。 ローカル環境から接続している場合は、その IP アドレスをデータベース サービスのファイアウォール規則の一覧に追加する必要があります。

2. PostgreSQL サーバーに、ユーザー割り当てマネージド ID をデータベース ロールとして追加します。

   postgres=> プロンプトで、次のように入力します。

   SELECT * FROM pgaadauth_create_principal('my-ua-managed-id', false, false);SELECT * FROM pgaadauth_list_principals(false);
   

   各コマンドの末尾にあるセミコロン (;) が必要です。 データベースが正常に作成されたことを確認するには、コマンド \c restaurants_reviews を使用します。 「\?」と入力してヘルプを表示するか、終了する \q を入力します。

3. (connect) コマンドを使用して、\c データベースに接続します。

   \c restaurants_reviews
   

   注

   restaurants_reviews データベースをまだ作成していない場合は、次のコマンドを使用して作成できます。

   CREATE DATABASE resaurants_reviews
   

4. ユーザー割り当てマネージド ID に、restaurants_reviews データベースに必要なアクセス許可を付与します。

   restaurants_reviews_=> プロンプトで、次のコマンドを入力します。

   GRANT CONNECT ON DATABASE restaurants_reviews TO "my-ua-managed-id";
   GRANT USAGE ON SCHEMA public TO "my-ua-managed-id";
   GRANT CREATE ON SCHEMA public TO "my-ua-managed-id";
   GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO "my-ua-managed-id";
   ALTER DEFAULT PRIVILEGES IN SCHEMA public
   GRANT SELECT, INSERT, UPDATE, DELETE ON TABLES TO "my-ua-managed-id";
   

5. \q コマンドを使用して psql を終了します。

   \q
   

これらの手順には、azure Container Apps 拡張機能 containerappが必要です。

1. az containerapp env create コマンドを使用して Container Apps 環境を作成します。

   #!/bin/bash
   APP_ENV_NAME=<app-env-name> # Use a unique name for the environment, such as "python-container-env".
   az containerapp env create \
   --name python-container-env \
   --resource-group $RESOURCE_GROUP_NAME \
   --___location $LOCATION
   

2. az acr credential show コマンドを使用して、Azure Container Registry インスタンスのサインイン資格情報を取得します。

   #!/bin/bash
   REGISTRY_CREDS=$(az acr credential show -n "$REGISTRY_NAME" --query "[username,passwords[0].value]" -o tsv)
   REGISTRY_USERNAME=$(echo "$REGISTRY_CREDS" | head -n1)
   REGISTRY_PASSWORD=$(echo "$REGISTRY_CREDS" | tail -n1)
   

   手順 5 でコンテナー アプリを作成するときに、コマンドの出力から返されたユーザー名とパスワードの 1 つを使用します。

3. az identity show コマンドを使用して、ユーザー割り当てマネージド ID のクライアント ID とリソース ID を取得します。

   UA_CLIENT_ID=$(az identity show \
       --name "$UA_MANAGED_IDENTITY_NAME" \
       --resource-group "$RESOURCE_GROUP" \
       --query clientId -o tsv)
   UA_RESOURCE_ID=$(az identity show \
       --name "$UA_MANAGED_IDENTITY_NAME" \
       --resource-group "$RESOURCE_GROUP" \
       --query id -o tsv)
   

   手順 5 でコンテナー アプリを作成するときに、コマンドの出力のクライアント ID (GUID) とリソース ID の値を使用します。 リソース ID の形式は次のとおりです:/subscriptions/<subscription-id>/resourcegroups/pythoncontainer-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-ua-managed-id。

4. 次のコマンドを実行して、秘密鍵の値を生成します。

   AZURE_SECRET_KEY=$(python -c 'import secrets; print(secrets.token_hex())')
   

   手順 5 でコンテナー アプリを作成するときに、秘密鍵の値を使用して環境変数を設定します。

   注

   この手順で示すコマンドは、Bash シェル用です。 環境によっては、python3を使用して Python を呼び出す必要がある場合があります。 Windows では、コマンドを -c パラメーターで単一引用符ではなく二重引用符で囲む必要があります。 また、環境によっては、py または py -3を使用して Python を呼び出す必要がある場合もあります。

5. az containerapp create コマンドを使用して、環境内にコンテナー アプリを作成します。

   az containerapp create \
     --name "$CONTAINER_APP_NAME" \
     --resource-group "$RESOURCE_GROUP" \
     --environment "$APP_ENV" \
     --image "$REGISTRY_NAME.azurecr.io/$IMAGE_NAME" \
     --target-port "$TARGET_PORT" \
     --ingress external \
     --registry-server "$REGISTRY_NAME.azurecr.io" \
     --registry-username "$REGISTRY_USERNAME" \
     --registry-password "$REGISTRY_PASSWORD" \
     --user-assigned "$UA_RESOURCE_ID" \
     --env-vars \
         DBHOST="$POSTGRES_SERVER_NAME" \
         DBNAME="$DATABASE_NAME" \
         DBUSER="$UA_MANAGED_IDENTITY_NAME" \
         RUNNING_IN_PRODUCTION=1 \
         AZURE_CLIENT_ID="$UA_CLIENT_ID" \
         AZURE_SECRET_KEY="$AZURE_SECRET_KEY"
       ```
   
   

6. Django の場合のみ、データベース スキーマを移行して作成します。 (Flask サンプル アプリでは自動的に実行されるため、この手順をスキップできます)。

   az containerapp exec コマンドを使用して接続します。

       az containerapp exec \
           --name $CONTAINER_APP_NAME \
           --resource-group $RESOURCE_GROUP_NAME
   

   次に、シェルのコマンド プロンプトで、「python manage.py migrate」と入力します。

   コンテナーのリビジョンについては、移行する必要はありません。

7. Web サイトをテストします。

   入力した az containerapp create コマンドは、アプリの参照に使用できるアプリケーション URL を出力します。 URL は azurecontainerapps.ioで終わります。 ブラウザーで URL に移動します。 または、az containerapp browse コマンドを使用することもできます。

この手順では、VS Code の Azure Container Apps 拡張機能が必要です。

1. 環境変数に必要な値を取得します。

   1. 次の Azure CLI コマンド用に VS Code でターミナルを開きます。 Azure Cloud Shell からコマンドを入力することもできます。

   2. az identity show コマンドを使用して、マネージド ID のクライアント ID を取得します。

      az identity show --name my-ua-managed-id --resource-group pythoncontainer-rg --query clientId -o tsv
      

      クライアント ID は GUID です。 これを使用して、次の手順で環境変数を設定します。

   3. 秘密鍵の値を生成します。

      python -c 'import secrets; print(secrets.token_hex())'
      

      次の手順では、秘密鍵の値を使用して環境変数を設定します。

      注

      次に示すコマンドは、Bash シェル用です。 環境によっては、python3を使用して Python を呼び出す必要がある場合があります。 Windows では、コマンドを -c パラメーターで単一引用符ではなく二重引用符で囲む必要があります。 また、py または py -3を使用して Python を呼び出す必要がある場合もあります。

2. コンテナー アプリの作成時に参照する .env ファイルを作成します。

   サンプル リポジトリには、開始できる .env.example ファイルが含まれています。 次の値を含む .env ファイルを作成します。

   DBHOST="<postgres-server-name>"
   DBNAME="restaurants_reviews"
   DBUSER="my-ua-managed-id"
   RUNNING_IN_PRODUCTION="1"
   AZURE_CLIENT_ID="<managed-identity-client-id>"
   AZURE_SECRET_KEY="<your-secret-key>"
   

   DBUSER 値は、ユーザー割り当てマネージド ID の名前です。

   AZURE_CLIENT_ID 値は、ユーザー割り当てマネージド ID のクライアント ID です。 前の手順で取得しました。

   AZURE_SECRET_KEY 値は、前の手順で生成した秘密鍵の値です。

3. Container Apps 環境を作成します。

   [Container Apps 環境の作成] タスクを開始します。

   1. F1 キーまたは Ctrl + Shift + P キーを押してコマンド パレットを開きます。
   2. 「container apps」と入力します。
   3. [Azure Container Apps: Container Apps 環境の作成] タスクを選択します。

   または、Azure 拡張機能を開き、[+] セクションでプラス () アイコンを選択することもできます。

   プロンプトに従って、Container Apps 環境を作成します。

   • メッセージが表示されたら、サブスクリプションを選択します。
   • コンテナー アプリの環境名を入力します: python-container-env を入力します 。
   • 新しいリソースの場所を選択: 前に作成したリソース グループと同じ場所を選択します。

   環境の作成には数分かかります。 操作の進行状況が通知に表示されます。 次の手順に進む前に、"新しい Container Apps 環境が正常に作成されました" を探します。 環境は、python-container-env同じ名前のリソース グループに作成されます。

   

4. コマンド パレットで Azure Container Apps: Create Container App タスクを見つけて、新しい環境にコンテナー アプリを作成します。

   コンテナー アプリの作成 タスクを開始します。

   1. F1 キーまたは Ctrl + Shift + P キーを押してコマンド パレットを開きます。
   2. 「container apps」と入力します。
   3. タスク Azure Container Apps: Create Container Appを選択します。

   または、Azure 拡張機能を開き、Container Apps セクションに移動することもできます。 環境を選択し、右クリックし、[コンテナー アプリの作成] 選択してタスクを開始します。

   プロンプトに従ってコンテナー アプリを作成します。

   • サブスクリプションの選択: このチュートリアルで使用しているサブスクリプションを選択します。
   • コンテナー アプリ環境の選択: 前の手順で作成した環境を選択します。
   • コンテナー アプリ名を入力します: python-container-app を入力します。
   • コンテナー アプリののイメージ ソースを選択します。 コンテナー レジストリを選択します。
   • コンテナー レジストリを選択: Azure Container Registry を選択。
   • Azure Container Registryを選択します。前に作成したレジストリの名前を選択します。
   • リポジトリの選択: [pythoncontainer] を選択します。
   • タグの選択: [最新] を選択します。
   • .env ファイルを選択して、コンテナー インスタンスの環境変数を設定します。手順 2 で作成した .env ファイル を選択します。
   • HTTP エンドポイントが必要なアプリケーションのイングレスを有効にする: [を有効にする] を選択します。
   • エンドポイントが受け入れる HTTP トラフィックの選択: [外部] を選択します。
   • コンテナーがリッスンしているポート: Django の場合は 8000、Flask の場合は 5000 に設定します。

   

   操作の進行状況が通知に表示されます。 次の手順に進む前に、"新しい Container Apps 環境が正常に作成されました" を探します。 コンテナー アプリは、Python-container-envContainer Apps 環境と同じリソース グループに作成されます。

5. 新しく作成されたコンテナー アプリでユーザー割り当てマネージド ID を構成します。

   1. 次の Azure CLI コマンド用に VS Code でターミナルを開きます。 Azure Cloud Shell からコマンドを入力することもできます。

   2. マネージド ID のリソース ID を取得します。

      az identity show --name my-ua-managed-id --resource-group pythoncontainer-rg --query id -o tsv
      

      リソース ID の形式は次のようになります: /subscriptions/<サブスクリプション ID>/resourcegroups/pythoncontainer-rg/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-ua-managed-id。

   3. az containerapp identity assign コマンドを使用して、マネージド ID をコンテナー アプリに割り当てます。

      az containerapp identity assign  \
          --name python-container-app \
          --resource-group container-app-environment  \
          --user-assigned <managed-identity-resource-id>      
      

      <managed-identity-resource-id> プレースホルダーを、前のコマンドの出力のリソース ID に置き換えます。

      このコマンドのリソース グループは、コンテナー アプリ環境とコンテナー アプリを作成したのと同じリソース グループで、python-container-appします。

6. Django の場合のみ、データベース スキーマを移行して作成します。 (Flask サンプル アプリでは自動的に実行されるため、この手順をスキップできます)。

   1. Azure 拡張機能に移動し、Container Apps セクションを展開します。 コンテナー環境を見つけて展開し、作成したコンテナー アプリを右クリックし、ポータルで [コンソール 開く] を選択します。
   2. スタートアップ コマンドを選択し、[接続] を選択します。
   3. シェル プロンプトで、「python manage.py migrate」と入力します。

   コンテナーのリビジョンについては、移行する必要はありません。

   

7. Web サイトをテストします。

   コンテナー アプリの作成 タスクが完了すると、Web サイトに移動するための [参照] ボタンが表示された通知が表示されます。

   

   通知を見逃した場合は、Azure 拡張機能に移動し、[Container Apps] セクションを展開します。 コンテナー環境を見つけて展開し、コンテナー アプリを右クリックして [参照] を選択します。 コマンド パレットで Azure Container Apps: Browse タスクを入力し、プロンプトに従うこともできます。

1. ユーザー割り当てマネージド ID のクライアント ID を取得します。 後の手順で使用します。

   1. Azure portalで my-ua-managed-id を検索し、結果の [リソース] の下でそれを選択します。
   2. サービス メニューの [概要] 選択し、クライアント ID 値をメモします。

2. Azure Cloud Shell を開き、次のコマンドを入力して秘密鍵の値を取得します。

   python -c 'import secrets; print(secrets.token_hex())'
   

   秘密鍵の値を使用して、後の手順で環境変数を設定します。

3. ポータルでコンテナー アプリを検索します。 結果の [マーケットプレイス] で [Container App] を選択します。

4. [基本] タブで、次の値を入力します。

   • リソース グループ: Azure Container Registry インスタンスを含む以前に作成したグループを使用します。
   • コンテナー アプリ名: python-container-app入力します。
   • デプロイ ソースの: コンテナー イメージの が選択されていることを確認します。
   • リージョン: リソース グループと同じリージョン/場所を使用します。
   • Container Apps 環境: [新規作成] を選択して、python-container-env という名前の新しい環境を作成します。

   「を選択して: 次へ コンテナー 構成を続行します。」

5. [コンテナー] タブで、コンテナー アプリの構成を続行します。

   • クイック スタートイメージのを使用する: チェック ボックスがオフになっていることを確認します。
   • イメージ ソース: Azure Container Registry が選択されていることを確認します。
   • レジストリ: 前に作成したレジストリの名前を選択します。
   • イメージ: ビルドしたイメージの名前である pythoncontainer を選択します。
   • 画像タグ: 最新のを選択します。

   環境変数で、次の変数の値を入力します。

   • DBHOST=<postgres-server-name>
   • DBNAME=レストランレビュー
   • DBUSER=my-ua-managed-id
   • RUNNING_IN_PRODUCTION=1
   • AZURE_CLIENT_ID=<managed-identity-client-id>
   • AZURE_SECRET_KEY=<-secret-key>

   AZURE_CLIENT_IDの場合は、ユーザー割り当てマネージド ID にコピーしたクライアント ID を使用します。

   AZURE_SECRET_KEYの場合は、前の手順で生成した秘密鍵の値を使用します。

   [次へ: イングレス] を選択して続行します。

6. イングレス タブで、コンテナー アプリの構成を続行します。

   • イングレス: [有効] チェックボックスをオンにします。 その他の選択項目が表示されます。
   • イングレス トラフィック: どこからでもトラフィックを受け入れる を選択します。
   • ターゲットポート: Django の場合は 8000、Flask の場合は 5000 に設定します。

   [Review + create](レビュー + 作成) を選択します。

7. 設定を確認したうえで、デプロイを開始するために[作成] を選択します。

8. デプロイが完了したら、[リソースに移動] を選択します。

9. ユーザー割り当てマネージド ID をコンテナー アプリに追加します。

   1. サービス メニューの [ セキュリティ] で、[ ID] を選択します。
   2. [ユーザー割り当て済み] タブで、 [追加] を選択します。
   3. [ユーザー割り当てマネージド ID の追加] ウィンドウで、my-ua-managed-identity を選択してから [追加] を選択します。
   4. 操作が完了すると、ユーザー割り当て タブに戻ります。my-ua-managed-id が ID の一覧に表示されることを確認します。

   ヒント

   マネージド ID を追加して環境変数を定義する代わりに、サービス コネクタを使用できます。 サービス コネクタは、接続情報を構成し、環境変数を生成して格納することで、Azure コンピューティング サービスを他のバッキング サービスに接続するのに役立ちます。

   サービス コネクタを使用する場合は、サンプル コードの環境変数を、サービス コネクタで作成した環境変数と同期してください。

10. Django の場合のみ、データベース スキーマを移行して作成します。 (Flask サンプル アプリでは自動的に実行されるため、この手順をスキップできます)。

    1. サービス メニューの Monitoringの下で、Consoleを選択します。
    2. スタートアップ コマンドを選択し、[接続] を選択します。
    3. シェル プロンプトで、「python manage.py migrate」と入力します。

    コンテナーのリビジョンについては、移行する必要はありません。

    

11. Web サイトをテストします。

    1. サービス メニューの [概要]選択します。
    2. [Essentials] (要点) で、[アプリケーション URL] を選択して、ブラウザーで Web サイトを開きます。