Övning – Distribuera en resurs med prenumerationsomfång

Slutförd

Viktigt!

Du behöver en egen Azure-prenumeration för att utföra den här övningen, och avgifter kan tillkomma. Om du inte redan har en Azure-prenumeration kan du skapa ett kostnadsfritt konto innan du börjar.

Project Teddybear är i full gång och R&D-teamet väntar på att du ska ge det åtkomst till den nya Azure-prenumerationen. Du har redan skapat prenumerationen, men innan du ger teamet åtkomst måste du se till att den endast distribuerar virtuella datorer som följer teamets principer. Teamet har sagt att de inte vill distribuera virtuella datorer i F- eller G-serien.

I den här övningen skapar du en Bicep-mall som konfigurerar prenumerationen baserat på teamets principer.

Under processen gör du följande:

  • Skapa en Bicep-mall som ska distribueras i ett prenumerationsomfång.
  • Lägg till en Azure Policy-definition och tilldelning.
  • Distribuera mallen och verifiera resultatet.

Den här övningen kräver att du har behörighet att distribuera resurser med prenumerationsomfång. Om du inte kan uppfylla det här kravet med ditt aktuella Azure-konto kan du få en kostnadsfri utvärderingsversion och skapa en ny Azure-prenumeration och klientorganisation. Du kan också hoppa över distributionsstegen i den här övningen.

Den här övningen använder Bicep-tillägget för Visual Studio Code. Installera tillägget i Visual Studio Code.

Skapa en mall med prenumerationsomfång

  1. Öppna Visual Studio Code.

  2. Skapa en ny fil med namnet main.bicep.

  3. Spara den tomma filen så att Visual Studio Code läser in Bicep-verktyget.

    Du kan antingen välja Spara som-fil> eller välja Ctrl+S i Windows (⌘+S på macOS). Kom ihåg var du har sparat filen. Du kanske till exempel vill skapa en skriptmapp för att spara den.

  4. Lägg till följande innehåll i filen main.bicep . Du kommer snart att distribuera mallen. Det är en bra idé att skriva in den manuellt i stället för att kopiera och klistra in, så att du kan se hur verktyget hjälper dig att skriva dina Bicep-filer.

    targetScope = 'subscription'
    

    Den här kodraden anger för Bicep att mallen kommer att distribueras i ett prenumerationsomfång.

Lägga till en principdefinition

  1. Lägg till följande variabeldefinition under raden som du nyss lade till:

    var policyDefinitionName = 'DenyFandGSeriesVMs'
    
  2. Lägg till följande Azure Policy-definition längst ned i filen:

    resource policyDefinition 'Microsoft.Authorization/policyDefinitions@2024-05-01' = {
      name: policyDefinitionName
      properties: {
        policyType: 'Custom'
        mode: 'All'
        parameters: {}
        policyRule: {
          if: {
            allOf: [
              {
                field: 'type'
                equals: 'Microsoft.Compute/virtualMachines'
              }
              {
                anyOf: [
                  {
                    field: 'Microsoft.Compute/virtualMachines/sku.name'
                    like: 'Standard_F*'
                  }
                  {
                    field: 'Microsoft.Compute/virtualMachines/sku.name'
                    like: 'Standard_G*'
                  }
                ]
              }
            ]
          }
          then: {
            effect: 'deny'
          }
        }
      }
    }
    

    Observera att principdefinitionen endast gäller för resurser där:

    • Resurstypen är lika med Microsoft.Compute/virtualMachines.
    • Egenskapen sku.name börjar antingen med Standard_F eller Standard_G.

    När du försöker skapa en resurs som matchar dessa villkor nekar Azure skapandet av resursen.

    Varning

    Var försiktig när du använder neka-principeffekten för dina principdefinitioner, särskilt vid breda omfång som prenumerationer och hanteringsgrupper. Om definitionen inte har skapats korrekt kan den ha oväntade effekter som kan leda till avbrott. Det är bättre att börja med granskningsprincipens effekt och sedan växla till neka-effekten först när du har sett att den fungerar bra under en viss tidsperiod.

    Du skapar principdefinitionen i prenumerationens omfång. Det innebär att när definitionen har distribuerats blir den tillgänglig i alla resursgrupper i prenumerationen.

Tilldela principen

En principdefinition har ingen effekt förrän den har tillämpats. I det här steget distribuerar du en andra resurs med prenumerationsomfång som tillämpar principdefinitionen på prenumerationen.

  1. policyDefinitionName Lägg till följande variabeldefinition under variabeldefinitionen:

    var policyAssignmentName = 'DenyFandGSeriesVMs'
    
  2. Lägg till följande principtilldelning under principdefinitionsresursen längst ned i filen:

    resource policyAssignment 'Microsoft.Authorization/policyAssignments@2024-05-01' = {
      name: policyAssignmentName
      properties: {
        policyDefinitionId: policyDefinition.id
      }
    }
    

    Observera att du inte uttryckligen konfigurerar principtilldelningen så att den gäller för hela prenumerationen. Bicep förstår detta eftersom mallen kommer att distribueras i prenumerationsomfånget.

  3. Spara ändringarna i filen.

Verifiera mallen

Mallen bör se ut så här:

targetScope = 'subscription'

var policyDefinitionName = 'DenyFandGSeriesVMs'
var policyAssignmentName = 'DenyFandGSeriesVMs'

resource policyDefinition 'Microsoft.Authorization/policyDefinitions@2024-05-01' = {
  name: policyDefinitionName
  properties: {
    policyType: 'Custom'
    mode: 'All'
    parameters: {}
    policyRule: {
      if: {
        allOf: [
          {
            field: 'type'
            equals: 'Microsoft.Compute/virtualMachines'
          }
          {
            anyOf: [
              {
                field: 'Microsoft.Compute/virtualMachines/sku.name'
                like: 'Standard_F*'
              }
              {
                field: 'Microsoft.Compute/virtualMachines/sku.name'
                like: 'Standard_G*'
              }
            ]
          }
        ]
      }
      then: {
        effect: 'deny'
      }
    }
  }
}

resource policyAssignment 'Microsoft.Authorization/policyAssignments@2024-05-01' = {
  name: policyAssignmentName
  properties: {
    policyDefinitionId: policyDefinition.id
  }
}

Om den inte gör det kopierar du antingen exemplet eller justerar mallen så att den matchar exemplet.

Distribuera mallen

För att distribuera mallen till Azure behöver du logga in på ditt Azure-konto från Visual Studio Code-terminalen. Se till att du har installerat Azure CLI-verktygen.

  1. I menyn Terminal väljer du Ny terminal. Terminalfönstret öppnas vanligtvis på den nedre halvan av skärmen.

  2. Om terminalfönstret visar bash på höger sida innebär det att rätt gränssnitt redan är öppet. Om du ser en bash shell-ikon till höger kan du välja den för att starta gränssnittet.

    Skärmbild av terminalfönstret i Visual Studio Code, där bash-alternativet visas.

    Om ett annat gränssnitt än bash visas väljer du listrutepilen för gränssnittet och väljer sedan Git Bash.

    Skärmbild av terminalfönstret i Visual Studio Code, där listrutan terminalgränssnitt visas och Git Bash Default har valts.

  3. I terminalen går du till katalogen där du sparade mallen. Om du till exempel har sparat mallen i mallmappen kan du använda det här kommandot:

    cd templates
    

Installera Bicep

Kör följande kommando för att se till att du har den senaste versionen av Bicep:

az bicep install && az bicep upgrade

Logga in på Azure med hjälp av Azure CLI

  1. Logga in på Azure i Visual Studio Code-terminalen genom att köra följande kommando:

    az login
    
  2. Logga in på ditt Azure-konto i webbläsaren som öppnas.

    Visual Studio Code-terminalen visar en lista över de prenumerationer som är associerade med det här kontot.

  3. Leta upp den prenumeration som du vill använda för den här övningen i listan.

    Om du missade listan från inloggningen kan du använda följande kodfragment för att lista dina prenumerationer igen.

    az account list --output table
    
  4. Ange standardprenumerationen för alla Azure CLI-kommandon som du kör i den här sessionen.

    az account set --subscription "Your Subscription Name or ID"
    

Om du vill distribuera den här mallen till Azure loggar du in på ditt Azure-konto från Visual Studio Code-terminalen. Kontrollera att du har installerat Azure PowerShell.

  1. I menyn Terminal väljer du Ny terminal. Terminalfönstret öppnas vanligtvis på den nedre halvan av skärmen.

  2. Om terminalfönstret visar pwsh eller powershell till höger betyder det att rätt gränssnitt redan är öppet. Om du ser en PowerShell-gränssnittsikon till höger kan du också välja den för att starta gränssnittet.

    Skärmbild av terminalfönstret i Visual Studio Code med pwsh-alternativet som visas i listrutan shell.

    Om ett annat gränssnitt än pwsh eller powershell visas väljer du listrutepilen shell och väljer sedan PowerShell.

    Skärmbild av Terminalfönstret i Visual Studio Code, med listrutan terminalgränssnitt som visas och PowerShell valt.

  3. I terminalen går du till katalogen där du sparade mallen. Om du till exempel har sparat mallen i mallmappen kan du använda det här kommandot:

    Set-Location -Path templates
    

Installera Bicep CLI

Om du vill använda Bicep från Azure PowerShell installerar du Bicep CLI.

Logga in i Azure med Azure PowerShell

  1. Logga in på Azure i Visual Studio Code-terminalen genom att köra följande kommando:

    Connect-AzAccount
    
  2. Logga in på ditt Azure-konto i webbläsaren som öppnas.

  3. Hämta ID:t för den prenumeration som du vill använda för den här övningen genom att köra följande kommando:

    Get-AzSubscription
    

    Prenumerations-ID är den andra kolumnen. Kopiera den andra kolumnen. Det ser ut ungefär som aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e.

  4. Ange standardprenumerationen för alla Azure PowerShell-kommandon som du kör i den här sessionen.

    Set-AzContext -SubscriptionId {Your subscription ID}
    

Distribuera mallen till Azure

Distribuera mallen i Visual Studio Code-terminalen med hjälp av följande Azure CLI-kommandon:

templateFile="main.bicep"
today=$(date +"%d-%b-%Y")
deploymentName="sub-scope-"$today

az deployment sub create \
    --name $deploymentName \
    --location westus \
    --template-file $templateFile

Observera att du skapar en prenumerationsomfångsdistribution med hjälp az deployment sub create av kommandot i stället för det az deployment group create kommando som du kan vara van vid.

Distribuera mallen i Visual Studio Code-terminalen med hjälp av följande Azure PowerShell-kommandon:

$templateFile = 'main.bicep'
$today = Get-Date -Format 'MM-dd-yyyy'
$deploymentName = "sub-scope-$today"

New-AzSubscriptionDeployment `
  -Name $deploymentName `
  -Location westus `
  -TemplateFile $templateFile

Observera att du skapar en prenumerationsomfångsdistribution med hjälp av cmdleten New-AzSubscriptionDeployment i stället för den New-AzResourceGroupDeployment cmdlet som du kan vara van vid.

Observera också att du uttryckligen anger ett namn och en plats för distributionen. Azure använder den här informationen för att lagra distributionsmetadata.

Dricks

Distributionsnamnet innehåller dagens datum. Detta gör det mindre troligt att du av misstag använder samma namn som en annan distribution.

Distributionen kan ta en minut eller två att slutföra och sedan visas en lyckad distribution.

Kommentar

Om du får ett felmeddelande med koden AuthorizationFailed har du förmodligen inte behörighet att distribuera resurser med prenumerationsomfång. Be Azure-administratören att ge dig behörigheter. Om du inte kan uppfylla det här kravet med ditt aktuella Azure-konto kan du också få en kostnadsfri utvärderingsversion och skapa en ny Azure-prenumeration och klientorganisation.

Verifiera distributionen

Du kan visa distributioner med prenumerationsomfång i Azure Portal. Detta kan vara användbart för att kontrollera att distributionen har slutförts och för att granska resultaten.

  1. Gå till Azure-portalen.

  2. Välj Prenumerationer i den vänstra rutan.

  3. Välj din prenumeration.

  4. I rutan Sök anger du Distributioner och väljer sedan menyalternativet Distributioner .

    Skärmbild av rutan Azure Portal Sök och menyalternativet Distributioner.

  5. I kolumnen Distributionsnamn väljer du distributionen som börjar med underomfånget för att se vilka resurser som har distribuerats.

    Skärmbild av Azure Portal-gränssnittet som visar listan över distributioner.

  6. Välj Distributionsinformation för att expandera den. I det här fallet visas de två Azure Policy-resurserna.

    Skärmbild av fönstret Azure Portal översikt för den valda distributionen.

Rensa resurserna

Du har distribuerat resurser med prenumerationsomfång. Du kan ta bort de principresurser som du har skapat genom att köra följande kommandon:

subscriptionId=$(az account show --query 'id' --output tsv)

az policy assignment delete --name 'DenyFandGSeriesVMs' --scope "/subscriptions/$subscriptionId"
az policy definition delete --name 'DenyFandGSeriesVMs' --subscription $subscriptionId
$subscriptionId = (Get-AzContext).Subscription.Id

Remove-AzPolicyAssignment -Name 'DenyFandGSeriesVMs' -Scope "/subscriptions/$subscriptionId"
Remove-AzPolicyDefinition -Name 'DenyFandGSeriesVMs' -SubscriptionId $subscriptionId

I nästa övningsenhet distribuerar du om samma principresurser. De kommer att återskapas, men du kan rensa dem igen efteråt.