Zasób stosów wdrożeń

  • 7 min

Opracowaliśmy wiedzę na temat stosów wdrażania i korzyści, jakie zapewnia zarządzanie cyklem życia. Przed rozpoczęciem procesu tworzenia stosów wdrażania dla wdrożeń chcesz dowiedzieć się więcej o zasobie stosu wdrożenia.

W tej lekcji poznasz zasób stosów wdrażania i niektóre operacje, które może wykonać.

Zasób stosów wdrożeń

Azure Resource Manager (ARM) to usługa, która wdraża zasoby i zarządza nimi na platformie Azure. Za pomocą usługi Resource Manager można tworzyć, aktualizować i usuwać zasoby w ramach subskrypcji platformy Azure.

Stos wdrożenia to natywny zasób platformy Azure, który umożliwia wykonywanie typowych operacji usługi ARM na stosie jako całości. Stos wdrażania może dziedziczyć przypisanie zasad platformy Azure oraz przypisanie kontroli dostępu na podstawie ról (RBAC) platformy Azure, a nawet zalecenie dotyczące zabezpieczeń Microsoft Defender dla Chmury. W ramach stosu wdrożenia znajdują się wskaźniki do wszystkich zasobów, grup zasobów i grup zarządzania zarządzanych przez stos. Zasoby zarządzane zdefiniowane w stosie można łatwo tworzyć, aktualizować lub usuwać za pomocą jednej operacji w zasobie stosu wdrożenia.

Diagram przedstawiający zasoby aplikacji zarządzane przez stos wdrożenia i wdrożony w wielu grupach zasobów.

Operacje stosów wdrożeń

Dostawca zasobów to kolekcja operacji REST, które umożliwiają korzystanie z funkcji dla określonej usługi platformy Azure. Na przykład usługa Azure SQL Database składa się z dostawcy zasobów o nazwie Microsoft.Sql , a jego pełny typ zasobu to Microsoft.Sql/servers/databases.

Stosy wdrażania są częścią Microsoft.Resources dostawcy zasobów, a jego pełny typ zasobu to Microsoft.Resources/deploymentStacks. Jego operacje REST obejmują tworzenie nowego stosu, wyświetlanie listy stosu, aktualizowanie istniejącego stosu lub usuwanie stosu. W przypadku jej zasobów możesz wyświetlać zasoby w stosie, dodawać i usuwać zasoby oraz chronić zasoby przed usunięciem.

Każda z tych operacji ma kilka kluczowych właściwości, które kontrolują zachowanie stosu.

Opcje odmowy ustawień

Ustawienia odmowy uniemożliwiają zmianę zasobów w obrębie stosu. Są one określonym typem uprawnień przypisanych do stosu wdrożenia i jego zarządzanych zasobów. Te ustawienia odmowy zastępują wszystkie uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure, które mogą być wprowadzone.

W przypadku używania ustawień odmowy można ustawić parametr definiujący, które operacje są dozwolone w zasobach zarządzanych przez stos wdrożenia. Ten parametr, znany jako tryb ustawień odmowy, określa, czy zasoby w stosie można modyfikować lub usuwać podczas zarządzania przez stos. Tryb ustawień odmowy ma trzy możliwe wartości zachowania: odmowa usuwania, odmowy zapisu i usuwania i brak.

Wartość odmowy usuwania umożliwia modyfikowanie zasobów zarządzanych przez stos, ale nie jest usuwana. Wartość odmowy zapisu i usuwania skutecznie sprawia, że zasoby zarządzane przez stos tylko do odczytu. Wartość none umożliwia modyfikowanie i usuwanie zasobów zarządzanych przez stos.

Ustawienia odmowy umożliwiają również stosowanie ustawień do zakresów podrzędnych i zasobów zagnieżdżonych. Jeśli na przykład stos wdrożenia z ustawieniami odmowy zostanie utworzony w zakresie subskrypcji, te ustawienia odmowy będą również stosowane do zakresu grupy zasobów. Ponadto wszystkie zagnieżdżone zasoby zdefiniowane w plikach Bicep, szablonach JSON usługi ARM lub specyfikacje szablonu dziedziczą wartości zdefiniowane w ustawieniach odmowy.

Istnieje możliwość zastąpienia ustawień odmowy dla określonych ról kontroli dostępu na podstawie ról. Załóżmy, że utworzysz stos wdrożenia z trybem odmowy ustawień ustawionym na odmowę zapisu i usunięcia. Jedną z zarządzanych zasobów w stosie jest maszyna wirtualna. Nie chcesz wprowadzać zmian w konfiguracji maszyny wirtualnej, ale chcesz, aby administratorzy mogli ją włączyć i wyłączyć. Aby zapewnić odpowiedni dostęp, należy wykluczyć akcje "Microsoft.Compute/virtualMachines/start/action" i "Microsoft.Compute/virtualMachines/powerOff/action" przy użyciu parametru akcji wykluczonych ustawień odmowy.

Innym scenariuszem, który może istnieć, jest zastąpienie ustawienia odmowy dla określonego użytkownika lub jednostki usługi. Jeśli na przykład używasz infrastruktury jako potoku kodu do tworzenia stosów wdrażania, jednostka usługi wykonująca potok musi mieć uprawnienia do wprowadzania zmian w zasobach zarządzanych przez stos. Ustawienia odmowy wykluczają parametr principals steruje tym zachowaniem.

Odłączanie i usuwanie zasobów

Zasób, który nie jest już zarządzany lub śledzony przez stos wdrożenia, jest nazywany zasobem odłączonym. Odłączony zasób nadal istnieje na platformie Azure, ale stos nie śledzi go już. Możesz kontrolować, jak platforma Azure obsługuje odłączone zasoby, grupy zasobów i grupy zarządzania za pomocą właściwości znanej jako akcja dla parametru niezarządzanego .

W przypadku korzystania z tego parametru można wybrać jedną z trzech możliwych opcji, które określają sposób obsługi odłączonych zasobów:

  • Usuwanie zasobów — usuwa zasoby i odłącza grupy zasobów i grupy zarządzania.
  • Usuń wszystko — usuwa zasoby, grupy zasobów i grupy zarządzania.
  • Odłącz wszystkie — odłącza zasoby, grupy zasobów i grupy zarządzania.

Akcję dla parametru niezarządzanego można ustawić podczas tworzenia, modyfikowania lub usuwania stosu wdrożenia. Wszystkie trzy operacje mają możliwość ustawienia zachowania akcji dla parametru niezarządzanego. Załóżmy, że stos wdrożenia utworzysz przy użyciu interfejsu wiersza polecenia platformy Azure i ustawisz akcję dotyczącą zachowania niezarządzanego, aby odłączyć wszystkie. Jeśli usuniesz stos i określisz zachowanie jako usuń wszystkie, ta wartość ma pierwszeństwo. Rozważ zastąpienie oryginalnej wartości.