Lint 和驗證 Bicep 程式碼

已完成

現在您已了解工作流程作業的用途,可以來考慮新增至 Bicep 部署工作流程的第一組驗證步驟。 在本單元中,您將了解如何驗證 Bicep 範本。 您也會了解常用的兩個驗證活動:Lint 分析和預檢驗證。

什麼是有效的 Bicep 檔案?

有效的 Bicep 檔案不包含任何語法錯誤。 此外,您規劃部署的 Azure 資源定義是有效的。 而且,在部署檔案中定義的資源時,資源會維持在 Azure 訂用帳戶中既有的配額和限制內。

有些檢查會單獨對 Bicep 檔案執行,例如語法錯誤的檢查、有效 Azure 資源定義的檢查,以及程式碼品質的檢查。 這些步驟都是所謂 Lint 分析程序的一部分。 若要檢查其他問題,您必須要求 Azure Resource Manager 服務驗證您的範本,並將您的 Azure 環境納入考量。

有效的 Bicep 範本成功部署的機會更大。 您不需要實際部署 Bicep 範本即可取得回饋。 驗證是很好的做法,因為如果您部署的 Bicep 檔案無效,Azure 可能只會部署或變更範本中描述的資源子集而已。 部份部署可能表示您的環境狀態不一致,而可能不會以您預期的方式運作。

建立 Bicep 程式碼並執行 Lint 分析

當您部署 Bicep 檔案,Bicep 工具會先執行一些基本的驗證步驟。 這些步驟與您使用 Visual Studio Code 修改檔案時所執行的步驟相同。 這些步驟會檢查您是否已正確使用 Bicep 的語言關鍵字,且已根據每個資源類型的需求定義 Azure 資源。

此外,Bicep 會對您的檔案執行 Linter。 Lint 分析是根據一組建議檢查程式碼的程序。 Bicep Linter 會檢查您的檔案,確認您遵循可維護性、正確性、彈性和擴充性的最佳做法。

Linter 針對這些類別中的每一項都包含有預先定義的規則集。 Linter 規則的範例包括:

  • 未使用的參數。 Linter 會掃描 Bicep 檔案中任何位置皆未使用的任何參數。 透過排除未使用的參數,協助您更輕鬆地部署範本,因為您無須提供非必要的值。 當其他人嘗試使用您的 Bicep 檔案時,您也可以減少發生混淆的情形。
  • 字串插補。 Linter 會檢查您的檔案是否使用 concat() 函式取代 Bicep 字串插補。 字串插補可讓 Bicep 檔案更容易閱讀。
  • 安全參數的預設值。 如果您為標示了 @secure() 裝飾項目的參數設定預設值,Linter 會警告您。 設定安全參數的預設值是一個不正確的做法,因為它會提供安全參數一個可人工判讀的值,而在部署之前,可能不會有人去變更該值。

當您使用 Bicep 工具時,Bicep Linter 會自動執行。 每當您建立 Bicep 檔案,Linter 會根據其最佳做法檢查檔案。 當您將 Bicep 檔案部署至 Azure 時,會自動發生這項檢查。

不過,在工作流程中,您通常會先執行驗證和 Lint 分析步驟,再部署檔案。 您可以透過 Bicep CLI 手動建立 Bicep 檔案,告知 Bicep 驗證您的檔案:

az bicep build --file main.bicep
bicep build main.bicep

注意

當您執行 build 命令時,Bicep 也會將您的 Bicep 程式碼轉譯為 JSON ARM 範本。 您通常不會需要所輸出的檔案,因此您可以忽略此檔案。

由於您希望每次有任何人簽入程式碼至您的存放庫時,都對 Bicep 範本執行 lint,您可以將 lint 作業新增至您的工作流程:

圖表顯示具有 Lint 分析作業的工作流程,其中包含對檔案執行 Linter 的單一作業。

您可以在工作流程 YAML 檔案中表達此新增項目,如下所示:

jobs:
  lint:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v3
    - script: |
        az bicep build --file deploy/main.bicep

Linter 的警告和錯誤

根據預設,Linter 會在發現 Bicep 檔案違反規則時發出警告。 Bicep Linter 發出的警告不會被視為錯誤,因此不會停止工作流程執行或停止後續的作業執行。

您可以設定 Bicep 將 linter 規則違規視為錯誤而不是警告,變更此行為。 您可以將 bicepconfig.json 檔案新增至包含 Bicep 檔案的資料夾來完成此設定。 您可以決定應該將哪些 Linter 問題視為錯誤,以及哪些問題應維持為警告。 稍後於本課程模組,您將設定 Linter。

提示

bicepconfig.json 檔案也控制 Visual Studio Code 在編輯器中顯示錯誤和警告的方式。 在 Bicep 範本中,設定錯誤的組件底下會顯示紅色和黃色波浪線。 當您撰寫 Bicep 程式碼時,這些指標可讓您更快速的回應以進一步降低錯誤的機會。

將 Linter 重新設定為發出錯誤後,每當 Linter 偵測到問題,工作流程就會停止執行,不執行後續的作業。 這個設定有助於確保不會部署有問題的 Bicep 程式碼。

預檢驗證

您也應該檢查 Bicep 範本是否可能成功部署至您的 Azure 環境。 這個流程稱為預檢驗證,而其所執行的檢查需要 Azure 提供資訊。 這類檢查包括:

  • 您為 Bicep 資源指定的名稱是否有效?
  • 您為 Bicep 資源指定的名稱是否已在使用中?
  • 您要部署資源的區域是否有效?

預檢驗證需要與 Azure 通訊,但實際上不會部署任何資源。

此圖顯示具有 Lint 分析和驗證作業的工作流程,每個作業都包含單一作業。已驗證的作業會與 Azure 通訊。

若要提交 Bicep 檔案以進行預檢驗證,請使用 arm-deploy 動作,並將 deploymentMode 設定為 Validate

jobs:
  validate:
    runs-on: ubuntu-latest
    steps:
    - uses: actions/checkout@v3
    - uses: azure/login@v1
      with:
        client-id: ${{ secrets.AZURE_CLIENT_ID }}
        tenant-id: ${{ secrets.AZURE_TENANT_ID }}
        subscription-id: ${{ secrets.AZURE_SUBSCRIPTION_ID }}
    - uses: azure/arm-deploy@v1
      name: Run preflight validation
      with:
        resourceGroupName: ${{ env.AZURE_RESOURCEGROUP_NAME }}
        template: ./deploy/main.bicep
        deploymentMode: Validate

您也可以使用 Azure CLI 的 az deployment group validate 命令。

預檢驗證類似於一般部署,但是實際上不會部署任何資源。 此命令會依據範本中即將使用的資源執行額外的檢查。

例如,假設您的 Bicep 檔案包含儲存體帳戶。 預檢驗證會檢查是否有另一個儲存體帳戶已使用您選擇的名稱。 預檢驗證也會檢查您為儲存體帳戶選擇的名稱是否符合命名慣例。

預檢驗證命令也會執行 Bicep Linter。 不過,最好還是分開執行 Linter。 如此一來,如果出現任何 Linter 錯誤,您就能快速偵測到,而不需等待驗證程序完成。 驗證需要較長的時間。

重要

當您執行預檢驗證時,每個 Azure 資源提供者都會執行自己的檢查。 有些資源提供者不會執行太多檢查,有些則會。 因此,您無法依賴預檢驗證來確保您的檔案是有效的。 不過,這是一項實用的工具,值得納入您的工作流程中。

將驗證作業新增至工作流程以執行 Linter 和預檢驗證,讓您更有信心部署 Bicep 檔案。