Prostředek zásobníků nasazení

  • 7 min

Vyvinuli jste znalost zásobníků nasazení a výhod, které poskytuje pro správu životního cyklu. Než začnete s procesem sestavování zásobníků nasazení pro vaše nasazení, chcete se dozvědět více o prostředku zásobníku nasazení.

V této lekci se dozvíte o prostředku zásobníků nasazení a některých operacích, které může provádět.

Prostředek zásobníků nasazení

Azure Resource Manager (ARM) je služba, která nasazuje a spravuje prostředky v Azure. Pomocí Resource Manageru můžete vytvářet, aktualizovat a odstraňovat prostředky ve vašem předplatném Azure.

Zásobník nasazení je nativní prostředek Azure, který umožňuje provádět typické operace ARM v zásobníku jako celek. Zásobník nasazení může dědit přiřazení zásad Azure a přiřazení řízení přístupu na základě role (RBAC) Azure nebo dokonce doporučení microsoft Defenderu pro zabezpečení cloudu. V rámci zásobníku nasazení jsou ukazatele na všechny prostředky, skupiny prostředků a skupiny pro správu spravované zásobníkem. Spravované prostředky definované v zásobníku je možné snadno vytvořit, aktualizovat nebo odstranit pomocí jedné operace s prostředkem zásobníku nasazení.

Diagram znázorňující prostředky aplikace spravované zásobníkem nasazení a nasazený do více skupin prostředků

Operace zásobníků nasazení

Poskytovatel prostředků je kolekce operací REST, které umožňují funkce pro konkrétní službu Azure. Například služba Azure SQL Database se skládá z poskytovatele prostředků s názvem Microsoft.Sql a jeho úplný typ prostředku je Microsoft.Sql/servers/databases.

Zásobníky nasazení jsou součástí Microsoft.Resources poskytovatele prostředků a jeho úplný typ prostředku je Microsoft.Resources/deploymentStacks. Mezi její operace REST patří vytvoření nového zásobníku, výpis zásobníku, aktualizace existujícího zásobníku nebo odstranění zásobníku. U svých prostředků můžete zobrazit prostředky v zásobníku, přidávat a odebírat prostředky a chránit prostředky před odstraněním.

Každá z těchto operací má několik klíčových vlastností, které řídí chování zásobníku.

Možnosti odepřít nastavení

Zakázat nastavení brání změnám prostředků v rámci zásobníku. Jedná se o konkrétní typ oprávnění přiřazeného ke zásobníku nasazení a jeho spravovaným prostředkům. Tato nastavení zamítnutí nahrazují všechna oprávnění řízení přístupu na základě role v Azure (RBAC), která mohou být zavedená.

Při použití nastavení zamítnutí můžete nastavit parametr, který definuje, které operace jsou povolené u prostředků spravovaných zásobníkem nasazení. Tento parametr, označovaný jako režim nastavení zamítnutí, určuje, jestli je možné upravit nebo odstranit prostředky v rámci zásobníku při správě zásobníku. Režim nastavení zamítnutí má tři možné hodnoty pro chování: odepřít odstranění, odepřít zápis a odstranění a žádné.

Hodnota odepřít odstranění umožňuje úpravám prostředků spravovaných zásobníkem, ale ne odstranění. Hodnota odepření zápisu a odstranění efektivně zajišťuje, aby prostředky spravované zásobníkem jen pro čtení. Žádná hodnota neumožňuje úpravě a odstranění prostředků spravovaných zásobníkem.

Nastavení zamítnutí také umožňuje použít nastavení pro podřízené obory a vnořené prostředky. Pokud se například v oboru předplatného vytvoří zásobník nasazení s nastavením zamítnutí, budou tato nastavení odepření platit i pro obor skupiny prostředků. Všechny vnořené prostředky definované v souborech Bicep, šablonách JSON ARM nebo specifikacích šablon by navíc dědily hodnoty definované v nastavení zamítnutí.

Nastavení zamítnutí pro konkrétní role řízení přístupu na základě role je možné přepsat. Řekněme, že vytvoříte zásobník nasazení s režimem nastavení zamítnutí nastaveným na odepření zápisu a odstranění. Jedním ze spravovaných prostředků v zásobníku je virtuální počítač. Nechcete, aby změny konfigurace virtuálního počítače byly provedeny, ale chcete, aby je správci mohli zapnout a vypnout. Pokud chcete poskytnout odpovídající přístup, vyloučíte akce Microsoft.Compute/virtualMachines/start/action a Microsoft.Compute/virtualMachines/powerOff/action pomocí parametru vyloučených akcí nastavení zamítnutí.

Dalším scénářem, který může existovat, je přepsání nastavení zamítnutí pro konkrétního uživatele nebo instančního objektu. Pokud například k vytváření zásobníků nasazení používáte infrastrukturu jako kanál kódu, musí mít instanční objekt, který kanál spouští, oprávnění provádět změny prostředků spravovaných zásobníkem. Toto chování řídí nastavení odepření vyloučených objektů zabezpečení.

Odpojení a odstranění prostředků

Prostředek, který už není spravovaný nebo sledovaný zásobníkem nasazení, se označuje jako odpojený prostředek. Odpojený prostředek stále existuje v Rámci Azure, ale zásobník už ho sleduje. Můžete řídit, jak Azure zpracovává odpojené prostředky, skupiny prostředků a skupiny pro správu s vlastností známou jako akce u nespravovaného parametru.

Při použití tohoto parametru zvolíte ze tří možných možností, které určují, jak se zpracovávají odpojené prostředky:

  • Odstranit prostředky – odstraní prostředky a oddělí skupiny prostředků a skupiny pro správu.
  • Odstranit vše – odstraní prostředky, skupiny prostředků a skupiny pro správu.
  • Odpojit vše – odpojte prostředky, skupiny prostředků a skupiny pro správu.

Akci s nespravovacím parametrem je možné nastavit při vytváření, úpravách nebo odstraňování zásobníku nasazení. Všechny tři operace mají možnost nastavit chování akce u nespravovaných parametrů. Řekněme, že vytvoříte zásobník nasazení pomocí Azure CLI a nastavíte akci na nespravování chování tak, aby se odpojilo. Pokud zásobník odstraníte a určíte chování jako odstranit vše, bude mít tato hodnota přednost. Představte si, že se jedná o přepsání původní hodnoty.