Ресурс стека развертывания

  • 7 мин

Вы разработали представление о стеках развертывания и преимуществах, предоставляемых для управления жизненным циклом. Прежде чем начать процесс создания стеков развертывания для развертываний, вы хотите узнать больше о ресурсе стека развертывания.

В этом уроке вы узнаете о ресурсе стеках развертывания и некоторые операции, которые он может выполнять.

Ресурс стека развертывания

Azure Resource Manager (ARM) — это служба, которая развертывает ресурсы и управляет ими в Azure. Resource Manager можно использовать для создания, обновления и удаления ресурсов в подписке Azure.

Стек развертывания — это собственный ресурс Azure, который позволяет выполнять типичные операции ARM в стеке в целом. Стек развертывания может наследовать назначение политики Azure и назначение управления доступом на основе ролей Azure (RBAC) или даже рекомендацию по безопасности Microsoft Defender для облака. В стеке развертывания указываются все ресурсы, группы ресурсов и группы управления, управляемые стеком. Управляемые ресурсы, определенные в стеке, можно легко создавать, обновлять или удалять с помощью одной операции в ресурсе стека развертывания.

Схема, представляющая ресурсы приложения, управляемые стеком развертывания и развернутые в нескольких группах ресурсов.

Операции стека развертывания

Поставщик ресурсов — это коллекция операций REST, которые обеспечивают функции для определенной службы Azure. Например, служба База данных SQL Azure состоит из поставщика ресурсов с именем и Microsoft.Sql его полный тип Microsoft.Sql/servers/databasesресурса.

Стеки развертывания являются частью Microsoft.Resources поставщика ресурсов и его полный тип Microsoft.Resources/deploymentStacksресурса. Его операции REST включают создание нового стека, перечисление стека, обновление существующего стека или удаление стека. Для своих ресурсов вы можете просматривать ресурсы в стеке, добавлять и удалять ресурсы и защищать ресурсы от удаления.

Каждая из этих операций имеет несколько ключевых свойств, которые управляют поведением стека.

Параметры запрета

Запретить параметры предотвращают изменения ресурсов в стеке. Они являются определенным типом разрешений, назначенных стеку развертывания и его управляемым ресурсам. Эти параметры запрета заменяют все разрешения на основе ролей Azure ( RBAC), которые могут быть на месте.

При использовании параметров запрета можно задать параметр, определяющий, какие операции разрешены для ресурсов, управляемых стеком развертывания. Этот параметр, известный как режим запрета параметров, определяет, могут ли ресурсы в стеке изменяться или удаляться при управлении стеком. Режим параметров запрета имеет три возможных значения для поведения: запретить удаление, запретить запись и удаление, а также нет.

Значение запрета удаления позволяет ресурсам, управляемым стеком, изменяться, но не удаляться. Значение запрета записи и удаления эффективно делает ресурсы, управляемые стеком только для чтения. Значение none позволяет ресурсам, управляемым стеком, изменяться и удаляться.

Кроме того, параметры запрета позволяют применять параметры к дочерним областям и вложенным ресурсам. Например, если стек развертывания с параметрами запрета создается в области подписки, эти параметры запрета также применяются к области группы ресурсов. Кроме того, все вложенные ресурсы, определенные в файлах Bicep, шаблонах JSON ARM или спецификациях шаблонов, наследуют значения, определенные в параметрах запрета.

Можно переопределить параметры запрета для определенных ролей управления доступом на основе ролей. Предположим, что вы создаете стек развертывания с режимом параметров запрета, который позволяет запретить запись и удаление. Одним из управляемых ресурсов в стеке является виртуальная машина. Вы не хотите вносить изменения в конфигурацию виртуальной машины, но вы хотите, чтобы администраторы могли включить и отключить ее. Чтобы предоставить соответствующий доступ, вы исключите действия "Microsoft.Compute/virtualMachines/start/action" и "Microsoft.Compute/virtualMachines/powerOff/action", используя параметр запрещенных параметров, исключенных действий .

Другой сценарий, который может существовать, заключается в переопределении параметра запрета для конкретного пользователя или субъекта-службы. Например, если для создания стеков развертывания используется инфраструктура в качестве конвейера кода, субъект-служба, выполняющий конвейер, должен иметь разрешение на внесение изменений в ресурсы, управляемые стеком. Параметры запрета , исключенные из параметров субъектов, управляют этим поведением.

Отсоединение ресурсов и удаление

Ресурс, который больше не управляется или отслеживается стеком развертывания, называется отсоединяемым ресурсом. Отключенный ресурс по-прежнему существует в Azure, но стек больше не отслеживает его. Вы можете контролировать, как Azure обрабатывает отсоединенные ресурсы, группы ресурсов и группы управления с помощью свойства, известного как действие для неуправляемого параметра.

При использовании этого параметра можно выбрать три возможных варианта, которые определяют, как обрабатываются отсоединяемые ресурсы:

  • Удаление ресурсов — удаляет ресурсы и отсоединяет группы ресурсов и группы управления.
  • Удалить все — удаляет ресурсы, группы ресурсов и группы управления.
  • Отсоедините все — отсоединяет ресурсы, группы ресурсов и группы управления.

Действие для неуправляемого параметра можно задать при создании, изменении или удалении стека развертывания. Все три операции имеют возможность задать поведение действия в неуправляемом параметре. Предположим, что вы создаете стек развертывания с помощью Azure CLI и задаете действие для неуправляемого поведения, чтобы отключить все. Если удалить стек и указать поведение как удаление всех, то это значение имеет приоритет. Рассмотрим его перезапись исходного значения.