De resource voor implementatiestacks

  • 7 minuten

U hebt een goed begrip ontwikkeld van implementatiestacks en de voordelen die het biedt voor levenscyclusbeheer. Voordat u begint met het bouwen van implementatiestacks voor uw implementaties, wilt u meer informatie over de implementatiestackresource.

In deze les krijgt u informatie over de resource van de implementatiestacks en een aantal bewerkingen die kunnen worden uitgevoerd.

De resource voor implementatiestacks

Azure Resource Manager (ARM) is de service waarmee resources in Azure worden geïmplementeerd en beheerd. U kunt Resource Manager gebruiken om resources in uw Azure-abonnement te maken, bij te werken en te verwijderen.

Een implementatiestack is een systeemeigen Azure-resource, waardoor typische ARM-bewerkingen als geheel op de stack kunnen worden uitgevoerd. Een implementatiestack kan een Azure-beleidstoewijzing overnemen en RBAC-toewijzing (op rollen gebaseerd toegangsbeheer) van Azure, of zelfs een Microsoft Defender voor Cloud beveiligingsaanbeveling. Binnen een implementatiestack verwijzen we naar alle resources, resourcegroepen en beheergroepen die worden beheerd door de stack. De beheerde resources die in de stack zijn gedefinieerd, kunnen eenvoudig worden gemaakt, bijgewerkt of verwijderd met één bewerking op de implementatiestackresource.

Een diagram dat de resources van een toepassing vertegenwoordigt die worden beheerd door een implementatiestack en wordt geïmplementeerd in meerdere resourcegroepen.

Bewerkingen voor implementatiestacks

Een resourceprovider is een verzameling REST-bewerkingen die functies voor een bepaalde Azure-service inschakelen. De Azure SQL Database-service bestaat bijvoorbeeld uit een resourceprovider met de naam Microsoft.Sql en het volledige resourcetype.Microsoft.Sql/servers/databases

Implementatiestacks maken deel uit van de Microsoft.Resources resourceprovider en het volledige resourcetype is Microsoft.Resources/deploymentStacks. De REST-bewerkingen omvatten het maken van een nieuwe stack, het weergeven van een stack, het bijwerken van een bestaande stack of het verwijderen van een stack. Voor de bijbehorende resources kunt u de resources in de stack bekijken, resources toevoegen en verwijderen en resources beschermen tegen verwijdering.

Elk van deze bewerkingen heeft enkele belangrijke eigenschappen waarmee het gedrag van de stack wordt bepaald.

Opties voor weigeren van instellingen

Instellingen weigeren verhinderen wijzigingen in de resources binnen een stack. Dit is een specifiek type machtiging dat is toegewezen aan een implementatiestack en de bijbehorende beheerde resources. Deze instellingen voor weigeren vervangen alle RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) van Azure.

Wanneer u instellingen voor weigeren gebruikt, kunt u een parameter instellen waarmee wordt gedefinieerd welke bewerkingen zijn toegestaan voor resources die worden beheerd door de implementatiestack. Deze parameter, ook wel de instellingsmodus weigeren genoemd, bepaalt of resources in de stack kunnen worden gewijzigd of verwijderd wanneer ze worden beheerd door de stack. De modus instellingen voor weigeren heeft drie mogelijke waarden voor gedrag: verwijderen weigeren, schrijven en verwijderen weigeren en geen.

Met de waarde voor het verwijderen van weigeren kunnen resources die door de stack worden beheerd, worden gewijzigd, maar niet worden verwijderd. De waarde voor schrijven en verwijderen weigeren zorgt ervoor dat de resources die worden beheerd door de stack alleen-lezen worden. Met de waarde geen kunnen resources die door de stack worden beheerd, worden gewijzigd en verwijderd.

Met instellingen voor weigeren kunt u de instellingen ook toepassen op onderliggende bereiken en geneste resources. Als bijvoorbeeld een implementatiestack met instellingen voor weigeren wordt gemaakt in het abonnementsbereik, zijn deze instellingen voor weigeren ook van toepassing op het bereik van de resourcegroep. Bovendien nemen alle geneste resources die zijn gedefinieerd in Bicep-bestanden, ARM JSON-sjablonen of sjabloonspecificaties de waarden over die zijn gedefinieerd in de instellingen voor weigeren.

Het is mogelijk om de instellingen voor weigeren voor specifieke op rollen gebaseerd toegangsbeheer te overschrijven. Stel dat u een implementatiestack maakt met de modus voor weigeren-instellingen ingesteld om schrijven en verwijderen te weigeren. Een van de beheerde resources in de stack is een virtuele machine. U wilt niet dat wijzigingen worden aangebracht in de configuratie van de virtuele machine, maar u wilt wel dat uw beheerders deze kunnen in- en uitschakelen. Als u de juiste toegang wilt bieden, sluit u de acties Microsoft.Compute/virtualMachines/start/action en Microsoft.Compute/virtualMachines/powerOff/action uit met behulp van de parameter voor geweigerde acties .

Een ander scenario dat kan bestaan, is het negeren van de instelling voor weigeren voor een specifieke gebruiker of service-principal. Als u bijvoorbeeld een infrastructuur als codepijplijn gebruikt om uw implementatiestacks te maken, moet de service-principal die de pijplijn uitvoert, gemachtigd zijn om wijzigingen aan te brengen in de resources die door de stack worden beheerd. Dit gedrag wordt bepaald door de instelling voor weigeren van uitgesloten principals .

Resource loskoppelen en verwijderen

Een resource die niet meer wordt beheerd of bijgehouden door een implementatiestack, wordt een losgekoppelde resource genoemd. Er bestaat nog steeds een losgekoppelde resource in Azure, maar de stack houdt deze niet meer bij. U kunt bepalen hoe Azure losgekoppelde resources, resourcegroepen en beheergroepen verwerkt met een eigenschap die de actie voor onbeheerde parameter wordt genoemd.

Wanneer u deze parameter gebruikt, kiest u uit drie mogelijke opties die bepalen hoe losgekoppelde resources worden verwerkt:

  • Resources verwijderen - resources verwijderen en resourcegroepen en beheergroepen loskoppelen.
  • Alles verwijderen: hiermee verwijdert u resources, resourcegroepen en beheergroepen.
  • Alles loskoppelen: resources, resourcegroepen en beheergroepen loskoppelen.

De actie voor een onbeheerde parameter kan worden ingesteld bij het maken, wijzigen of verwijderen van een implementatiestack. Alle drie de bewerkingen hebben de mogelijkheid om het gedrag van de actie op een onbeheerde parameter in te stellen. Stel dat u een implementatiestack maakt met behulp van de Azure CLI en de actie instelt op onbeheerd gedrag om alles los te koppelen. Als u de stack verwijdert en het gedrag opgeeft als alles verwijderen, heeft die waarde voorrang. Overweeg het een overschrijf van de oorspronkelijke waarde.