O recurso de pilhas de implantação
Você desenvolveu uma compreensão das pilhas de implantação e dos benefícios que ela oferece para o gerenciamento do ciclo de vida. Antes de começar o processo de criação de pilhas de implantação para suas implantações, você deseja saber mais sobre o recurso de pilha de implantação.
Nesta unidade, você aprenderá sobre o recurso de pilhas de implantação e algumas das operações que ele pode executar.
O recurso de pilhas de implantação
O ARM (Azure Resource Manager) é o serviço que implanta e gerencia recursos no Azure. Você pode usar o Resource Manager para criar, atualizar e excluir recursos em sua assinatura do Azure.
Uma pilha de implantação é um recurso nativo do Azure, que permite que operações típicas do ARM sejam executadas na pilha como um todo. Uma pilha de implantação pode herdar uma atribuição de política do Azure e uma atribuição de RBAC (controle de acesso baseado em função) do Azure ou até mesmo uma recomendação de segurança do Microsoft Defender para Nuvem. Em uma pilha de implantação há ponteiros para todos os recursos, grupos de recursos e grupos de gerenciamento gerenciados pela pilha. Os recursos gerenciados definidos na pilha podem ser facilmente criados, atualizados ou excluídos com apenas uma operação no recurso de pilha de implantação.
Operações de pilhas de implantação
Um provedor de recursos é uma coleção de operações REST que habilitam recursos para um serviço específico do Azure. Por exemplo, o serviço Banco de dados SQL do Azure consiste em um provedor de recursos chamado Microsoft.Sql e o tipo de recurso completo dele é Microsoft.Sql/servers/databases.
As pilhas de implantação fazem parte do provedor de recursos Microsoft.Resources e o tipo de recurso completo dele é Microsoft.Resources/deploymentStacks. As operações REST dele incluem a criação de uma pilha, a listagem de uma pilha, a atualização de uma pilha existente ou a exclusão de uma pilha. Para os recursos dela, você pode exibir os recursos na pilha, adicionar e remover recursos dentro da pilha e proteger os recursos contra exclusão.
Cada uma dessas operações tem algumas propriedades de chave que controlam o comportamento da pilha.
Opções de configurações de negação
As configurações de negação impedem alterações nos recursos em uma pilha. Eles são um tipo específico de permissão atribuído a uma pilha de implantação e os recursos gerenciados dele. Essas configurações de negação substituem todas as permissões de RBAC (controle de acesso baseado em função) do Azure que possam estar em vigor.
Ao usar configurações de negação, você pode definir um parâmetro que define quais operações são permitidas em recursos gerenciados pela pilha de implantação. Esse parâmetro, conhecido como modo de configurações de negação, determina se os recursos dentro da pilha podem ser modificados ou excluídos quando gerenciados pela pilha. O modo de configurações de negação tem três valores possíveis para comportamento: nenhum, negar exclusão e negar gravação e exclusão.
O valor negar exclusão permite que os recursos gerenciados pela pilha sejam modificados, mas não excluídos. O valor negar gravação e exclusão torna efetivamente os recursos gerenciados pela pilha somente leitura. O valor nenhum permite que os recursos gerenciados pela pilha sejam modificados e excluídos.
As configurações de negação também permitem que você aplique as configurações a escopos filho e recursos aninhados. Por exemplo, se uma pilha de implantação, com configurações de negação, for criada no escopo da assinatura, essas configurações de negação também serão aplicáveis ao escopo do grupo de recursos. Além disso, todos os recursos aninhados definidos em arquivos Bicep, modelos JSON do ARM ou especificações de modelo herdariam os valores definidos nas configurações de negação.
É possível substituir as configurações de negação para funções de controle de acesso baseadas em função específicas. Digamos que você crie uma pilha de implantação com o modo de configurações de negação definido para negar gravação e exclusão. Um dos recursos gerenciados na pilha é uma máquina virtual. Você não quer que alterações sejam feitas na configuração da máquina virtual, mas deseja que os administradores possam ativá-la e desativá-la. Para fornecer o acesso apropriado, exclua as ações "Microsoft.Compute/virtualMachines/start/action" e "Microsoft.Compute/virtualMachines/powerOff/action" usando o parâmetro de ações excluídas de configurações de negação.
Outro cenário que pode existir é substituir a configuração de negação para um usuário ou entidade de serviço específica. Por exemplo, se você estiver usando uma infraestrutura como pipeline de código para criar suas pilhas de implantação, a entidade de serviço que executar o pipeline precisará ter permissão para fazer alterações nos recursos gerenciados pela pilha. O parâmetro de entidades de segurança excluídas das configurações de negação controla esse comportamento.
Desanexação e exclusão de recursos
Um recurso que não é mais gerenciado ou acompanhado por uma pilha de implantação é conhecido como um recurso desanexado. Um recurso desanexado ainda existe no Azure, mas a pilha não o rastreia mais. Você pode controlar como o Azure lida com recursos desanexados, grupos de recursos e grupos de gerenciamento com uma propriedade conhecida como o parâmetro ação ao deixar de gerenciar.
Ao usar esse parâmetro, você escolhe entre três opções possíveis que determinam como os recursos desanexados são tratados:
- Excluir Recursos – exclui recursos e desanexa grupos de recursos e grupos de gerenciamento.
- Excluir Tudo – exclui recursos, grupos de recursos e grupos de gerenciamento.
- Desanexar Tudo – desanexa recursos, grupos de recursos e grupos de gerenciamento.
A ação no parâmetro deixar de gerenciar pode ser definida ao criar, modificar ou excluir uma pilha de implantação. Todas as três operações têm a capacidade de definir o comportamento da ação no parâmetro deixar de gerenciar. Digamos que você crie uma pilha de implantação usando a CLI do Azure e defina a ação em comportamento ao deixar de gerenciar para desanexar tudo. Se você excluir a pilha e especificar o comportamento como excluir tudo, esse valor terá precedência. Considere-o uma substituição do valor original.