O recurso de pilhas de implantação
Você desenvolveu uma compreensão das pilhas de implantação e dos benefícios que ela oferece para o gerenciamento do ciclo de vida. Antes de começar o processo de criação de pilhas de implantação para suas implantações, você deseja saber mais sobre o recurso de pilha de implantação.
Nesta unidade, você aprende sobre o recurso de pilhas de implantação e algumas das operações que ele pode executar.
O recurso de pilhas de implantação
O Azure Resource Manager (ARM) é o serviço que implanta e gerencia recursos no Azure. Você pode usar o Gerenciador de Recursos para criar, atualizar e excluir recursos em sua assinatura do Azure.
Uma pilha de implantação é um recurso nativo do Azure, que permite que operações ARM típicas sejam executadas na pilha como um todo. Uma pilha de implantação pode herdar uma atribuição de política do Azure e uma atribuição de controle de acesso baseado em função (RBAC) do Azure ou até mesmo uma recomendação de segurança do Microsoft Defender for Cloud. Dentro de uma pilha de implantação estão ponteiros para todos os recursos, grupos de recursos e grupos de gerenciamento gerenciados pela pilha. Os recursos gerenciados definidos na pilha podem ser facilmente criados, atualizados ou excluídos com uma única operação no recurso da pilha de implantação.
Operações de pilhas de implantação
Um provedor de recursos é uma coleção de operações REST que habilitam recursos para um serviço específico do Azure. Por exemplo, o serviço Banco de Dados SQL do Azure consiste em um provedor de recursos chamado Microsoft.Sql e seu tipo de recurso completo é Microsoft.Sql/servers/databases.
As pilhas de implantação fazem parte do Microsoft.Resources provedor de recursos e seu tipo de recurso completo é Microsoft.Resources/deploymentStacks. Suas operações REST incluem a criação de uma nova pilha, a listagem de uma pilha, a atualização de uma pilha existente ou a exclusão de uma pilha. Para seus recursos, você pode visualizar os recursos na pilha, adicionar e remover recursos e proteger os recursos contra exclusão.
Cada uma dessas operações tem algumas propriedades-chave que controlam o comportamento da pilha.
Opções de configuração de negação
Negar configurações impede alterações nos recursos dentro de uma pilha. Eles são um tipo específico de permissão atribuída a uma pilha de implantação e seus recursos gerenciados. Essas configurações de negação substituem quaisquer permissões de controle de acesso baseado em função (RBAC) do Azure que possam estar em vigor.
Ao usar as configurações de negação, você pode definir um parâmetro que define quais operações são permitidas em recursos gerenciados pela pilha de implantação. Esse parâmetro, conhecido como modo de configurações de negação, determina se os recursos dentro da pilha podem ser modificados ou excluídos quando gerenciados pela pilha. O modo de configurações de negação tem três valores possíveis para o comportamento: negar exclusão, negar gravação e exclusão e nenhum.
O valor deny delete permite que os recursos gerenciados pela pilha sejam modificados, mas não excluídos. O valor deny write and delete torna efetivamente os recursos gerenciados pela pilha somente leitura. O valor none permite que os recursos gerenciados pela pilha sejam modificados e excluídos.
As configurações de negação também permitem que você aplique as configurações a escopos filho e recursos aninhados. Por exemplo, se uma pilha de implantação, com configurações de negação, for criada no escopo da assinatura, essas configurações de negação também se aplicarão ao escopo do grupo de recursos. Além disso, quaisquer recursos aninhados definidos em arquivos Bicep, modelos JSON ARM ou especificações de modelo herdariam os valores definidos nas configurações de negação.
É possível substituir as configurações de negação para funções específicas de controle de acesso com base em função. Digamos que você crie uma pilha de implantação com o modo de configurações de negação definido para negar, gravar e excluir. Um dos recursos gerenciados na pilha é uma máquina virtual. Você não quer que sejam feitas alterações na configuração da máquina virtual, mas deseja que seus administradores possam ligá-la e desligá-la. Para fornecer o acesso apropriado, exclua as ações "Microsoft.Compute/virtualMachines/start/action" e "Microsoft.Compute/virtualMachines/powerOff/action" usando o parâmetro deny settings excluded actions .
Outro cenário que pode existir é substituir a configuração de negação para um usuário específico ou entidade de serviço. Por exemplo, se você estiver usando uma infraestrutura como pipeline de código para criar suas pilhas de implantação, a entidade de serviço que executa o pipeline precisará ter permissão para fazer alterações nos recursos gerenciados pela pilha. O parâmetro deny settings excluded principals controla esse comportamento.
Destacamento e exclusão de recursos
Um recurso que não é mais gerenciado ou rastreado por uma pilha de implantação é conhecido como um recurso desanexado. Um recurso desanexado ainda existe no Azure, mas a pilha não o rastreia mais. Você pode controlar como o Azure lida com recursos separados, grupos de recursos e grupos de gerenciamento com uma propriedade conhecida como o parâmetro action on unmanage .
Ao usar esse parâmetro, você escolhe entre três opções possíveis que determinam como os recursos desanexados são tratados:
- Excluir recursos - exclui recursos e desanexa grupos de recursos e grupos de gerenciamento.
- Excluir tudo - exclui recursos, grupos de recursos e grupos de gerenciamento.
- Desanexar tudo - desanexa recursos, grupos de recursos e grupos de gerenciamento.
A ação no parâmetro unmanage pode ser definida ao criar, modificar ou excluir uma pilha de implantação. Todas as três operações têm a capacidade de definir o comportamento da ação no parâmetro unmanage. Digamos que você crie uma pilha de implantação usando a CLI do Azure e defina a ação no comportamento de não gerenciamento para desanexar tudo. Se você excluir a pilha e especificar o comportamento como excluir tudo, esse valor terá precedência. Considere-o uma substituição do valor original.