Resursen för distributionsstackar

  • 7 minuter

Du har utvecklat en förståelse för distributionsstackar och fördelarna med livscykelhantering. Innan du börjar skapa distributionsstackar för dina distributioner vill du lära dig mer om distributionsstackens resurs.

I den här lektionen får du lära dig mer om resursen för distributionsstackar och några av de åtgärder som den kan utföra.

Resursen för distributionsstackar

Azure Resource Manager (ARM) är den tjänst som distribuerar och hanterar resurser i Azure. Du kan använda Resource Manager för att skapa, uppdatera och ta bort resurser i din Azure-prenumeration.

En distributionsstack är en intern Azure-resurs som gör att vanliga ARM-åtgärder kan utföras på stacken som helhet. En distributionsstack kan ärva en Azure-principtilldelning och rollbaserad åtkomstkontrolltilldelning (RBAC) i Azure, eller till och med en Microsoft Defender för molnet säkerhetsrekommendations. I en distributionsstack finns pekare till alla resurser, resursgrupper och hanteringsgrupper som hanteras av stacken. De hanterade resurser som definierats i stacken kan enkelt skapas, uppdateras eller tas bort med en enda åtgärd på distributionsstackens resurs.

Ett diagram som representerar ett programs resurser som hanteras av en distributionsstack och distribueras till flera resursgrupper.

Åtgärder för distributionsstackar

En resursprovider är en samling REST-åtgärder som aktiverar funktioner för en viss Azure-tjänst. Azure SQL Database-tjänsten består till exempel av en resursprovider med namnet Microsoft.Sql och dess fullständiga resurstyp är Microsoft.Sql/servers/databases.

Distributionsstackar är en del av Microsoft.Resources resursprovidern och dess fullständiga resurstyp är Microsoft.Resources/deploymentStacks. Rest-åtgärderna omfattar att skapa en ny stack, visa en stack, uppdatera en befintlig stack eller ta bort en stack. För dess resurser kan du visa resurserna i stacken, lägga till och ta bort resurser och skydda resurser från borttagning.

Var och en av dessa åtgärder har några viktiga egenskaper som styr stackens beteende.

Alternativ för neka-inställningar

Neka inställningar förhindrar ändringar i resurserna i en stack. De är en specifik typ av behörighet som tilldelas till en distributionsstack och dess hanterade resurser. De här neka-inställningarna ersätter eventuella RbAC-behörigheter (Rollbaserad åtkomstkontroll) i Azure som kan finnas på plats.

När du använder neka-inställningar kan du ange en parameter som definierar vilka åtgärder som tillåts för resurser som hanteras av distributionsstacken. Den här parametern, som kallas läget för neka-inställningar, avgör om resurser i stacken kan ändras eller tas bort när de hanteras av stacken. Läget neka inställningar har tre möjliga värden för beteende: neka borttagning, neka skrivning och borttagning och ingen.

Värdet neka borttagning tillåter att resurser som hanteras av stacken ändras men inte tas bort. Värdet neka skrivning och borttagning gör effektivt resurserna som hanteras av stacken skrivskyddade. Värdet none tillåter att resurser som hanteras av stacken ändras och tas bort.

Med neka-inställningar kan du också tillämpa inställningarna på underordnade omfång och kapslade resurser. Om till exempel en distributionsstack, med neka-inställningar, skapas i prenumerationsomfånget, gäller även de nekandeinställningarna för resursgruppens omfång. Dessutom ärver alla kapslade resurser som definierats i Bicep-filer, ARM JSON-mallar eller mallspecifikationer de värden som definierats i neka-inställningarna.

Det går att åsidosätta neka-inställningarna för specifika rollbaserade åtkomstkontrollroller. Anta att du skapar en distributionsstack med läget neka inställningar inställt på att neka skrivning och borttagning. En av de hanterade resurserna i stacken är en virtuell dator. Du vill inte att ändringar ska göras i konfigurationen av den virtuella datorn, men du vill att administratörerna ska kunna aktivera och inaktivera den. För att ge lämplig åtkomst undantar du åtgärderna "Microsoft.Compute/virtualMachines/start/action" och "Microsoft.Compute/virtualMachines/powerOff/action" med parametern neka-inställningar undantagna åtgärder .

Ett annat scenario som kan finnas är att åsidosätta neka-inställningen för en viss användare eller tjänstens huvudnamn. Om du till exempel använder en infrastruktur som kodpipeline för att skapa dina distributionsstackar måste tjänstens huvudnamn som kör pipelinen ha behörighet att göra ändringar i de resurser som hanteras av stacken. Parametern Neka undantagna huvudnamn styr det här beteendet.

Resursavskildhet och borttagning

En resurs som inte längre hanteras eller spåras av en distributionsstack kallas för en frånkopplad resurs. Det finns fortfarande en frånkopplad resurs i Azure, men stacken spårar den inte längre. Du kan styra hur Azure hanterar frånkopplade resurser, resursgrupper och hanteringsgrupper med en egenskap som kallas åtgärden för ohanterade parametrar.

När du använder den här parametern väljer du bland tre möjliga alternativ som avgör hur fristående resurser hanteras:

  • Ta bort resurser – tar bort resurser och kopplar från resursgrupper och hanteringsgrupper.
  • Ta bort alla – tar bort resurser, resursgrupper och hanteringsgrupper.
  • Koppla från alla – kopplar från resurser, resursgrupper och hanteringsgrupper.

Åtgärden för ohanterad parameter kan anges när du skapar, ändrar eller tar bort en distributionsstack. Alla tre åtgärderna har möjlighet att ange beteendet för åtgärden på ohanterad parameter. Anta att du skapar en distributionsstack med Hjälp av Azure CLI och anger åtgärden för ohanterat beteende för att koppla från alla. Om du tar bort stacken och anger beteendet som ta bort alla, har det värdet företräde. Betrakta det som en överskrivning av det ursprungliga värdet.