在 GitHub 或 Azure Repos 中添加和配置目录

要添加目录，请完成以下任务：

• 在 Azure Repos 中为开发人员中心托管标识分配权限。
• 将存储库作为目录添加。

在 Azure Repos 中为开发人员中心托管标识分配权限

必须向开发人员中心托管标识授予 Azure Repos 中存储库的权限。

1. 登录到你的 Azure DevOps 组织。

   注意

   Azure DevOps 组织必须与包含开发人员中心的 Azure 订阅位于同一目录中。

2. 选择 “组织设置”。

   

3. 在“概述”页上，选择“用户”。

   

4. 在“用户”页上，选择“添加用户”。

   

5. 输入或选择以下信息完成“添加新用户”，然后选择“添加”：

   名称	值
   用户或服务主体	输入开发人员中心的名称。 使用系统分配的 MSI 时，请指定开发人员中心的名称，而不是托管帐户的对象 ID。 使用用户分配的 MSI 时，请使用托管帐户的名称。
   访问级别	选择“基本”。
   添加到项目	选择包含存储库的项目。
   Azure DevOps 组	选择“项目读取者”。
   发送电子邮件邀请（仅限用户）	清除该复选框。

   

将存储库作为目录添加

Azure 部署环境支持附加 Azure Repos 存储库和 GitHub 存储库。 你可以将一组特选的 IaC 模板存储在存储库中。 将存储库作为目录附加到开发人员中心，使开发团队能够访问模板，并使其能够快速创建一致的环境。

借助以下步骤，可以附加 Azure Repos 存储库。

1. 在 Azure 门户中，导航到开发人员中心。

2. 在左侧菜单中的“环境配置”下选择“目录”，然后选择“添加”。

   

3. 在“添加目录”中，输入以下信息，然后选择“添加”：

   字段	值
   名称	输入目录的名称。
   目录位置	选择“Azure DevOps”。
   身份验证类型	选择“托管标识”。
   组织	选择 Azure DevOps 组织。
   Project	从项目列表中，选择存储存储库的项目。
   存储库	从存储库列表中，选择要添加的存储库。
   分支	选择分支。
   文件夹路径	Dev Box 检索分支中的文件夹列表。 选择存储 IaC 模板的文件夹。

   

4. 在开发人员中心的“目录”中，验证目录是否显示。 连接成功后，“状态”会显示为“同步成功”。 首次连接到目录可能需要几分钟时间。

要添加目录，请完成以下任务：

• 获取 Azure Repos 存储库的克隆 URL。
• 创建个人访问令牌 (PAT)。
• 将 PAT 存储为 Azure 密钥保管库中的密钥保管库机密。
• 将存储库作为目录添加。

获取 Azure Repos 存储库的克隆 URL

1. 转到团队集合主页（例如 https://contoso-web-team.visualstudio.com），然后选择项目。

2. 获取 Azure Repos Git 存储库的克隆 URL。

3. 复制并保存 URL。

在 Azure Repos 中创建个人访问令牌

1. 转到团队集合主页（例如 https://contoso-web-team.visualstudio.com），然后选择项目。

2. 创建 PAT。

3. 复制并保存生成的令牌以供以后使用。

创建密钥保管库

需要一个 Azure 密钥保管库来存储用于向 Azure 授予对存储库访问权限的 PAT。 密钥保管库可以使用访问策略或基于角色的访问控制 (RBAC) 来控制访问。 如果已有密钥保管库，可以使用，但要检查它是否使用访问策略或 RBAC 分配来控制访问。 有关为密钥保管库配置访问策略的帮助，请参阅分配密钥保管库访问策略。

使用以下步骤创建 RBAC 密钥保管库：

1. 登录 Azure 门户。

2. 在“搜索”框中输入“Key Vault”。

3. 从结果列表中选择“Key Vault”。

4. 在“Key Vault”页面上，选择“创建”。

5. 在“创建密钥保管库”选项卡上，提供以下信息：

   名称	值
   名称	输入密钥保管库的名称。
   订阅	选择要在其中创建密钥保管库的订阅。
   资源组	使用现有资源组，或者选择“新建”并输入资源组的名称。
   位置	选择要在其中创建密钥保管库的位置或区域。

   让其他选项保留默认值。

6. 在“访问策略”选项卡上，选择“Azure 基于角色的访问控制”，然后选择“查看 + 创建”。

7. 在“查看 + 创建”选项卡上，选择“创建”。

将个人访问令牌存储在密钥保管库中

1. 在 Key Vault 中的左侧菜单上，选择“机密”。

2. 在“机密”页面上，选择“生成/导入”。

3. 在“创建机密”页上，执行以下操作：

   • 在“名称”框中，为机密输入一个描述性名称。
   • 在“机密值”框中，粘贴之前复制的 PAT。
   • 选择创建。

获取机密标识符

获取在密钥保管库中创建的机密的路径。

1. 在 Azure 门户中，导航到你的密钥保管库。

2. 在密钥保管库页面上，从左侧菜单中选择“机密”。

3. 在“机密”页上，选择之前创建的机密。

4. 在版本页面上，选择“当前版本”。

5. 在当前版本页面上，针对“机密标识符”选择复制按钮。

将存储库作为目录添加

1. 在 Azure 门户中转到你的开发人员中心。

2. 确保附加到开发人员中心的标识有权访问密钥保管库机密（其中存储了个人访问令牌）。

3. 在左侧菜单中的“环境配置”下选择“目录”，然后选择“添加”。

4. 在“添加目录”中，输入以下信息，然后选择“添加”：

   字段	值
   名称	输入目录的名称。
   目录位置	选择“Azure DevOps”。
   身份验证类型	选择“个人访问令牌”。
   组织	选择托管目录存储库的组织。
   项目	选择存储目录存储库的项目。
   Rep	选择存储目录的存储库。
   文件夹路径	选择保存 IaC 模板的文件夹。
   机密标识符	输入包含存储库 PAT 的机密标识符。 复制机密标识符时，连接字符串末尾包含一个版本标识符，如下所示：https://contoso-kv.vault.azure.net/secrets/GitHub-repo-pat/9376b432b72441a1b9e795695708ea5a。 删除版本标识符可确保部署环境从密钥保管库中提取最新版本的机密。 如果 PAT 过期，只需更新密钥保管库即可。 示例机密标识符：https://contoso-kv.vault.azure.net/secrets/GitHub-repo-pat

   

5. 在开发人员中心的“目录”中，验证目录是否显示。 如果连接成功，则“状态”为“已连接”。

要添加目录，请完成以下任务：

1. 安装和配置 Microsoft 开发人员中心应用
2. 在 GitHub 中为存储库分配权限。
3. 将存储库作为目录添加。

安装 Microsoft 开发人员中心应用

1. 登录 Azure 门户。

2. 导航到你的开发人员中心。

3. 在左侧菜单中的“环境配置”下选择“目录”，然后选择“添加”。

4. 在“添加目录”窗格中，输入或选择以下内容：

   字段	值
   名称	输入目录的名称。
   目录源	选择“GitHub”。
   身份验证类型	选择“GitHub 应用”。

5. 若要安装 Microsoft 开发人员中心应用，请选择“配置存储库”。

   

6. 如果系统提示你向 GitHub 进行身份验证，请进行身份验证。

7. 在“Microsoft DevCenter”页上，选择“配置”。

   

8. 选择包含要添加为目录的存储库的 GitHub 组织。 你必须是组织的所有者才能安装此应用。

   

9. 在“安装 Microsoft DevCenter”页面上，依次选择“仅选择存储库”、要添加为目录的存储库、“安装”。

   

   可以选择多个要添加为目录的存储库。 必须将每个存储库添加为单独的目录，如将存储库添加为目录中所述。

10. 在“Microsoft 的 Microsoft DevCenter 想要获得以下权限:”页面上，查看所需的权限，然后选择“授权 Microsoft 开发人员中心”。

    

将存储库作为目录添加

1. 切换回 Azure 门户。

2. 在“添加目录”中，输入以下信息，然后选择“添加”：

   字段	值
   存储库	选择要添加为目录的存储库。
   分支	选择分支。
   文件夹路径	选择所含子文件夹用于保存环境定义的文件夹。

   

3. 在开发人员中心的“目录”中，验证目录是否显示。 连接成功后，“状态”会显示为“同步成功”。

   

要添加目录，请完成以下任务：

• 获取 GitHub 存储库的克隆 URL。
• 在 GitHub 中创建个人访问令牌 (PAT)。
• 将 PAT 存储为 Azure 密钥保管库中的密钥保管库机密。
• 将存储库作为目录添加。

获取 GitHub 存储库的克隆 URL

1. 转到包含模板定义的 GitHub 存储库的主页。

2. 获取 GitHub 存储库克隆 URL。

3. 复制并保存 URL。

在 GitHub 中创建个人访问令牌

Azure 部署环境支持通过使用经典令牌或细粒度令牌向 GitHub 存储库进行身份验证。 在此示例中，你将创建细粒度令牌。

1. 转到包含模板定义的 GitHub 存储库的主页。

2. 选择 GitHub 右上角的配置文件图像，然后选择“设置”。

3. 在左侧边栏中，选择“开发人员设置”>“个人访问令牌”>“细粒度令牌”。

4. 选择“生成新令牌”。

5. 在“新建精细个人访问令牌”页上，提供以下信息：

   名称	值
   令牌名称	输入令牌的描述性名称。
   过期日期	选择令牌过期期限（以天为单位）。
   说明	输入令牌的说明。
   资源所有者	选择存储库的所有者。
   存储库访问	选择“仅选择存储库”。
   选择存储库	选择包含环境定义的存储库。
   存储库权限	展开“存储库权限”，对于“内容”，请从“访问权限”列表选择“代码读取”。

   

6. 选择“生成令牌”。

7. 复制并保存生成的令牌以供以后使用。

创建密钥保管库

需要使用 Azure 密钥保管库来存储用于授予 Azure 对存储库访问权限的 PAT。 密钥保管库可以使用访问策略或基于角色的访问控制 (RBAC) 来控制访问。 如果已有密钥保管库，可以使用，但要检查它是否使用访问策略或 RBAC 分配来控制访问。 有关为密钥保管库配置访问策略的帮助，请参阅分配密钥保管库访问策略。

使用以下步骤创建 RBAC 密钥保管库：

1. 登录 Azure 门户。

2. 在搜索框中输入“Key Vault”。

3. 从结果列表中选择“Key Vault”。

4. 在“Key Vault”页面上，选择“创建”。

5. 在“创建密钥保管库”选项卡上，提供以下信息：

   名称	值
   名称	输入密钥保管库的名称。
   订阅	选择要在其中创建密钥保管库的订阅。
   资源组	使用现有资源组，或者选择“新建”并输入资源组的名称。
   位置	选择要在其中创建密钥保管库的位置或区域。

   让其他选项保留默认值。

6. 在“访问策略”选项卡上，选择“Azure 基于角色的访问控制”，然后选择“查看 + 创建”。

7. 在“查看 + 创建”选项卡上，选择“创建”。

将个人访问令牌存储在密钥保管库中

1. 在 Key Vault 中的左侧菜单上，选择“机密”。

2. 在“机密”页面上，选择“生成/导入”。

3. 在“创建机密”页上，执行以下操作：

   • 在“名称”框中，为机密输入一个描述性名称。
   • 在“机密值”框中，粘贴 PAT。
   • 选择创建。

获取机密标识符

获取在密钥保管库中创建的机密的路径。

1. 在 Azure 门户中，导航到你的密钥保管库。

2. 在密钥保管库页面上，从左侧菜单中选择“机密”。

3. 在“机密”页上，选择之前创建的机密。

4. 在版本页面上，选择“当前版本”。

5. 在当前版本页面上，针对“机密标识符”选择复制按钮。

将存储库作为目录添加

1. 在 Azure 门户中转到你的开发人员中心。

2. 确保附加到开发人员中心的托管标识有权访问密钥保管库机密（其中存储了个人访问令牌）。

3. 在左侧菜单中的“环境配置”下选择“目录”，然后选择“添加”。

4. 在“添加目录”中，输入以下信息，然后选择“添加”。

   字段	值
   名称	输入目录的名称。
   目录位置	选择“GitHub”。
   存储库	输入或粘贴 GitHub 存储库或 Azure Repos 存储库的克隆 URL。 目录示例：https://github.com/Azure/deployment-environments.git
   分支	输入要连接到的存储库分支。 目录示例：main
   文件夹路径	输入与克隆 URI 相对的文件夹路径，其中包含保存环境定义的子文件夹。 文件夹路径适用于子文件夹中包含环境定义环境文件的文件夹，而不适用于包含环境定义环境文件的文件夹本身。 下图显示了示例目录文件夹的结构。 目录示例：/Environments 文件夹路径可以以正斜杠开头，也可以不带正斜杠 (/)。
   机密标识符	输入包含存储库 PAT 的机密标识符。 复制机密标识符时，连接字符串末尾包含一个版本标识符，如下所示：https://contoso-kv.vault.azure.net/secrets/GitHub-repo-pat/9376b432b72441a1b9e795695708ea5a。 移除版本标识符可确保部署环境从密钥保管库中提取最新版本的机密。 如果 PAT 过期，只需更新密钥保管库即可。 示例机密标识符：https://contoso-kv.vault.azure.net/secrets/GitHub-repo-pat

   

5. 在开发人员中心的“目录”中，验证目录是否显示。 连接成功后，“状态”会显示为“同步成功”。