La risorsa degli stack di distribuzione
Si è sviluppata una conoscenza degli stack di distribuzione e dei vantaggi offerti per la gestione del ciclo di vita. Prima di iniziare il processo di compilazione degli stack di distribuzione per le distribuzioni, è necessario ottenere altre informazioni sulla risorsa dello stack di distribuzione.
In questa unità vengono fornite informazioni sulla risorsa stack di distribuzione e su alcune delle operazioni che è possibile eseguire.
La risorsa degli stack di distribuzione
Azure Resource Manager (ARM) è il servizio che distribuisce e gestisce le risorse in Azure. È possibile usare Resource Manager per creare, aggiornare ed eliminare risorse nella sottoscrizione di Azure.
Uno stack di distribuzione è una risorsa nativa di Azure, che consente l'esecuzione di operazioni ARM tipiche nello stack nel suo complesso. Uno stack di distribuzione può ereditare un'assegnazione di criteri di Azure e un'assegnazione di controllo degli accessi in base al ruolo di Azure o anche una raccomandazione sulla sicurezza di Microsoft Defender for Cloud. All'interno di uno stack di distribuzione sono puntatori a tutte le risorse, i gruppi di risorse e i gruppi di gestione gestiti dallo stack. Le risorse gestite definite nello stack possono essere facilmente create, aggiornate o eliminate con una singola operazione nella risorsa dello stack di distribuzione.
Operazioni sugli stack di distribuzione
Un provider di risorse è una raccolta di operazioni REST che consentono funzionalità per un particolare servizio di Azure. Ad esempio, il servizio di database SQL di Azure è costituito da un provider di risorse denominato Microsoft.Sql e il tipo di risorsa completo è Microsoft.Sql/servers/databases.
Gli stack di distribuzione fanno parte del provider di risorse Microsoft.Resources e il tipo di risorsa completo è Microsoft.Resources/deploymentStacks. Le operazioni REST includono la creazione di un nuovo stack, l'elenco di uno stack, l'aggiornamento di uno stack esistente o l'eliminazione di uno stack. Per le risorse, è possibile visualizzare le risorse nello stack, aggiungere e rimuovere risorse e proteggere le risorse dall'eliminazione.
Ognuna di queste operazioni ha alcune proprietà chiave che controllano il comportamento dello stack.
Opzioni di negazione delle impostazioni
Negare le impostazioni impedisce le modifiche alle risorse all'interno di uno stack. Si tratta di un tipo specifico di autorizzazione assegnato a uno stack di distribuzione e alle relative risorse gestite. Queste impostazioni di negazione sostituisce tutte le autorizzazioni di controllo degli accessi in base al ruolo di Azure che possono essere applicate.
Quando si usano le impostazioni di negazione, è possibile impostare un parametro che definisce le operazioni consentite per le risorse gestite dallo stack di distribuzione. Questo parametro, noto come modalità di negazione delle impostazioni, determina se le risorse all'interno dello stack possono essere modificate o eliminate quando gestite dallo stack. La modalità delle impostazioni di negazione ha tre valori possibili per il comportamento: nega eliminazione, nega scrittura ed eliminazione e nessuna.
Il valore di nega eliminazione consente la modifica delle risorse gestite dallo stack, ma non eliminate. Il valore nega scrittura e eliminazione rende effettivamente le risorse gestite dallo stack di sola lettura. Il valore nessuno consente alle risorse gestite dallo stack di essere modificate ed eliminate.
Le impostazioni di negazione consentono anche di applicare le impostazioni agli ambiti figlio e alle risorse annidate. Ad esempio, se uno stack di distribuzione, con le impostazioni di negazione, viene creato nell'ambito della sottoscrizione, tali impostazioni di negazione verranno applicate anche all'ambito del gruppo di risorse. Inoltre, tutte le risorse annidate definite nei file Bicep, nei modelli JSON ARM o nelle specifiche di modello ereditano i valori definiti nelle impostazioni di negazione.
È possibile eseguire l'override delle impostazioni di negazione per specifici ruoli di controllo degli accessi in base al ruolo. Si supponga di creare uno stack di distribuzione con la modalità delle impostazioni di negazione impostata per negare la scrittura e l'eliminazione. Una delle risorse gestite nello stack è una macchina virtuale. Non si vuole apportare modifiche alla configurazione della macchina virtuale, ma si vuole che gli amministratori possano attivarlo e disattivarlo. Per fornire l'accesso appropriato, escludere le azioni "Microsoft.Compute/virtualMachines/start/action" e "Microsoft.Compute/virtualMachines/powerOff/action" usando il parametro nega azioni escluse delle impostazioni .
Un altro scenario che può esistere consiste nell'eseguire l'override dell'impostazione di negazione per un utente o un'entità servizio specifica. Ad esempio, se si usa un'infrastruttura come pipeline di codice per creare gli stack di distribuzione, l'entità servizio che esegue la pipeline deve avere l'autorizzazione per apportare modifiche alle risorse gestite dallo stack. Il parametro nega principi esclusi delle impostazioni controlla questo comportamento.
Scollegamento ed eliminazione delle risorse
Una risorsa non più gestita o rilevata da uno stack di distribuzione è nota come risorsa scollegata. Una risorsa scollegata esiste ancora in Azure, ma lo stack non lo tiene più traccia. È possibile controllare il modo in cui Azure gestisce le risorse scollegate, i gruppi di risorse e i gruppi di gestione con una proprietà nota come azione sul parametro non gestito .
Quando si usa questo parametro, è possibile scegliere tra tre opzioni possibili che determinano la modalità di gestione delle risorse scollegate:
- Elimina risorse: elimina le risorse e scollega i gruppi di risorse e i gruppi di gestione.
- Elimina tutto: elimina risorse, gruppi di risorse e gruppi di gestione.
- Scollega tutto: scollega le risorse, i gruppi di risorse e i gruppi di gestione.
L'azione sul parametro non gestito può essere impostata durante la creazione, la modifica o l'eliminazione di uno stack di distribuzione. Tutte e tre le operazioni hanno la possibilità di impostare il comportamento dell'azione sul parametro non gestito. Si supponga di creare uno stack di distribuzione usando l'interfaccia della riga di comando di Azure e di impostare l'azione sul comportamento non gestito per scollegare tutto. Se si elimina lo stack e si specifica il comportamento come elimina tutto, tale valore ha la precedenza. Si consideri una sovrascrittura del valore originale.