خطط لتغييرات البنية التحتية السحابية مع Copilot

  • 8 دقائق

افترض أن فريقا يتلقى طلبا لنشر شبكة افتراضية جديدة من Azure بمتطلبات أمان محددة. تحتاج الشبكة الافتراضية إلى ثلاث شبكات فرعية لمستويات الويب والتطبيقات والبيانات، لكل منها مجموعة أمن الشبكة (NSG) الخاصة بها. قبل كتابة أي كود بنية تحتية، يريد المهندس خطة واضحة تغطي جميع المكونات وعلاقاتها.

ملحوظة

توضح التعليمات المعروضة في هذه الوحدة كيف يمكن لمهندس العمليات التفاعل مع وكيل الخطة لكل سيناريو. هي أمثلة على أنماط التوجيه الفعالة التي توضح نوع السياق الذي يحتاجه الوكيل. ليست تعليمات خطوة بخطوة يجب اتباعها.

للبدء، يختار المهندس خطة من قائمة الوكلاء المنسدلة في عرض الدردشة ويصف الهدف. مثال على كيفية هيكلة هذا الطلب:

/plan Create Bicep templates to deploy an Azure virtual network named vnet-prod-001 in the eastus region with three subnets (web, app, data), each with a dedicated network security group. The web subnet should allow inbound HTTP/HTTPS traffic, the app subnet should only accept traffic from the web subnet, and the data subnet should only accept traffic from the app subnet.

يقوم وكيل Plan بفحص مساحة العمل الخاصة بك بحثا عن ملفات Bicep أو وحدات أو ملفات معلمات موجودة. ثم ينشئ خطة قد تشمل:

  • أنشئ ملفا main.bicep يحتوي على مورد الشبكة الافتراضية وثلاثة تعريفات للشبكة الفرعية.
  • أنشئ nsg-web.bicep وحدة بقواعد تسمح بالمنافذ الواردة 80 و443 من الإنترنت.
  • أنشئ nsg-app.bicep وحدة بقواعد تسمح فقط بحركة المرور الواردة من نطاق عناوين شبكة الويب الفرعية.
  • أنشئ وحدة nsg-data.bicep بقواعد تسمح فقط بحركة المرور الواردة من نطاق عناوين الشبكة الفرعية للتطبيق.
  • أنشئ parameters.prod.json ملفا بقيم خاصة بالبيئة.
  • أضف خطوات تحقق للتحقق من صحة قوالب Bicep باستخدام az bicep build وشغل نشر "ماذا لو".

كرر الخطة

بعد مراجعة الخطة الأولية، لاحظ المهندس أنها لا تأخذ في الاعتبار تسجيل التشخيصات. قد يبدو أن السؤال الإضافي لمعالجة هذا العنصر المفقود قد يكون كما يلي:

Add NSG flow logs for each network security group, storing them in an existing storage account. Also include a Log Analytics workspace for traffic analytics.

يقوم وكيل الخطة بتحديث الخطة ليشمل المزيد من خطوات التنفيذ لسجلات تدفق NSG وتكوين تحليلات حركة المرور.

السيناريو: أتمتة الامتثال لمجموعات الموارد

تتطلب المنظمة أن تحمل جميع مجموعات الموارد علامات محددة لتخصيص التكاليف والملكية. يحتاج الفريق إلى نهج Azure يفرض الوسم وسكريبت معالجة للموارد غير المتوافقة الموجودة. مثال على هذا السيناريو:

/plan Create an Azure Policy definition that requires 'CostCenter', 'Environment', and 'Owner' tags on all resource groups. Include a PowerShell remediation script that scans existing resource groups and applies default tags where they're missing.

يقوم وكيل الخطة بإنشاء خطة تغطي:

  1. أنشئ ملف JSON لتعريف السياسات مع deny تأثير الوسوم المفقودة.
  2. أنشئ تعيين سياسة يستهدف نطاق الاشتراك.
  3. أنشئ سكريبت PowerShell يستخدم Get-AzResourceGroup للعثور على مجموعات الموارد غير المتوافقة وتطبيق Set-AzResourceGroup العلامات الافتراضية.
  4. أضف خطوات تحقق لاختبار السياسة مع محاولة إنشاء مجموعة موارد غير متوافقة.

السيناريو: تخطيط مراجعة للتحكم في الوصول القائمة على الأدوار

عندما يحتاج الفريق إلى تدقيق وتحديث تعيينات الأدوار Role-Based Access Control (RBAC) عبر عدة اشتراكات، يمكن أن يكون نطاق التغييرات كبيرا. استخدام وضع الخطة يساعد في رسم خريطة النهج الكامل قبل إجراء أي تعديلات. مثال على كيفية وصف المهندس لهذا الهدف لوكيل الخطة:

/plan Create a PowerShell script that audits RBAC role assignments across all subscriptions in our tenant. The script should export a CSV report of all users with Owner or Contributor roles, flag any assignments to individual user accounts (versus groups), and identify role assignments that haven't been used in the last 90 days using Azure AD sign-in logs.

قد تتضمن الخطة خطوات ل:

  • أنشئ سكريبت يكرر عبر الاشتراكات باستخدام Get-AzSubscription.
  • استرجاع تعيينات الأدوار مع Get-AzRoleAssignment أدوار المالك والمساهم وتصفيتها.
  • تداخل التعيينات مع سجلات تسجيل الدخول في Microsoft Entra ID لتحديد التعيينات غير النشطة.
  • تصدير النتائج إلى ملف CSV يحتوي على أعمدة للاشتراك، اسم المشروع، الدور، نوع التعيين (المستخدم مقابل المجموعة)، وتاريخ تسجيل الدخول.
  • أضف معالجة الأخطاء للاشتراكات التي تفتقر فيها الهوية الحالية إلى الوصول إلى القراءة.

نصائح لكتابة تنبيهات البنية التحتية الفعالة

عند استخدام وكيل Plan لمهام البنية التحتية السحابية، قم بتضمين هذه التفاصيل في التوجيهات:

  • Target environment: حدد المنطقة Azure، سياق الاشتراك، أو مجموعة الموارد.
  • قواعد التسمية: أدرج معايير التسمية لمنظمتك (على سبيل المثال، vnet-prod-001).
  • التبعيات: اذكر الموارد الموجودة التي تحتاج البنية التحتية الجديدة للرجوع إليها.
  • متطلبات الأمان: حدد أي معايير امتثال أو قواعد أمنية تنطبق.
  • Tooling preferences: حدد ما إذا كنت تفضل سكريبتات Bicep، أو قوالب ARM، أو Terraform، أو Azure CLI.

نصيحة

إذا كان مستودعك يتضمن .github/copilot-instructions.md ملفا يحتوي على معايير البنية التحتية لمنظمتك، يقوم وكيل الخطة تلقائيا بدمج تلك التعليمات عند إنشاء الخطط. يساعد ذلك في ضمان أن الخطط المولدة تتبع قواعد فريقك في التسمية والوسم وأنماط البنية.