Bereitstellungsstapelressource

  • 7 Minuten

Sie haben ein Verständnis über Bereitstellungsstapel und den Nutzen für die Lebenszyklusverwaltung entwickelt. Bevor Sie mit dem Erstellen von Bereitstellungsstapeln für Ihre Bereitstellungen beginnen, sollten Sie mehr über die Bereitstellungsstapelressource erfahren.

In dieser Lerneinheit erfahren Sie mehr über die Bereitstellungsstapelressource und einige der Vorgänge, die sie ausführen kann.

Bereitstellungsstapelressource

Azure Resource Manager (ARM) ist der Dienst, der Ressourcen in Azure bereitstellt und verwaltet. Sie können mit Resource Manager Ressourcen in Ihrem Azure-Abonnement erstellen, aktualisieren und löschen.

Ein Bereitstellungsstapel ist eine native Azure-Ressource, mit der typische ARM-Vorgänge im gesamten Stapel ausgeführt werden können. Ein Bereitstellungsstapel kann eine Azure-Richtlinienzuweisung und eine rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) oder selbst eine Sicherheitsempfehlung von Microsoft Defender for Cloud erben. Innerhalb eines Bereitstellungsstapels befinden sich Verweise auf alle Ressourcen sowie Ressourcen- und Verwaltungsgruppen, die vom Stapel verwaltet werden. Die im Stapel definierten verwalteten Ressourcen können mühelos mit einem einzelnen Vorgang in der Bereitstellungsstapelressource erstellt, aktualisiert oder gelöscht werden.

Diagramm, das die Ressourcen einer Anwendung darstellt, die von einem Bereitstellungsstapel verwaltet und in mehreren Ressourcengruppen bereitgestellt werden

Bereitstellungsstapelvorgänge

Ein Ressourcenanbieter ist eine Sammlung von REST-Vorgängen, die Features für einen bestimmten Azure-Dienst aktivieren. Der Dienst der Azure SQL-Datenbank besteht beispielsweise aus einem Ressourcenanbieter mit dem Namen Microsoft.Sql, und der vollständige Ressourcentyp lautet Microsoft.Sql/servers/databases.

Bereitstellungsstapel sind Teil des Ressourcenanbieters Microsoft.Resources, und der vollständige Ressourcentyp lautet Microsoft.Resources/deploymentStacks. Die REST-Vorgänge schließen das Erstellen eines neuen Stapels, das Auflisten eines Stapels, das Aktualisieren eines vorhandenen Stapels oder das Löschen eines Stapels ein. Sie können die Ressourcen im Stapel anzeigen, Ressourcen hinzufügen und entfernen und Ressourcen vor einer Löschung schützen.

Jeder dieser Vorgänge verfügt über einige wichtige Eigenschaften, die das Verhalten des Stapels steuern.

Optionen für Verweigerungseinstellungen

Verweigerungseinstellungen verhindern Änderungen an den Ressourcen innerhalb eines Stapels. Sie sind eine bestimmte Art von Berechtigung, die einem Bereitstellungsstapel und den verwalteten Ressourcen zugewiesen ist. Diese Verweigerungseinstellungen haben Vorrang vor allen möglicherweise vorhandenen Berechtigungen für die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC).

Bei Verwendung der Verweigerungseinstellungen können Sie einen Parameter festlegen, der definiert, welche Vorgänge für Ressourcen zulässig sind, die vom Bereitstellungsstapel verwaltet werden. Dieser als Verweigerungseinstellungsmodus bezeichnete Parameter bestimmt, ob Ressourcen innerhalb des Stapels geändert oder gelöscht werden können, wenn sie vom Stapel verwaltet werden. Der Verweigerungseinstellungsmodus weist drei mögliche Werte für das Verhalten auf: „Löschen verweigern“, „Schreiben und Löschen verweigern“ und „Keine“.

Mit dem Wert Löschen verweigern können vom Stapel verwaltete Ressourcen geändert, jedoch nicht gelöscht werden. Durch den Wert Schreiben und Löschen verweigern werden die vom Stapel verwalteten Ressourcen schreibgeschützt. Der Wert Keine ermöglicht das Ändern und Löschen der vom Stapel verwalteten Ressourcen.

Mit Verweigerungseinstellungen können Sie außerdem die Einstellungen auf untergeordnete Bereiche und geschachtelte Ressourcen anwenden. Beispiel: Wenn ein Bereitstellungsstapel mit Verweigerungseinstellungen im Abonnementbereich erstellt wird, gelten diese Verweigerungseinstellungen ebenfalls für den Ressourcengruppenbereich. Darüber hinaus erben alle in Bicep-Dateien, ARM-JSON-Vorlagen oder Vorlagenspezifikationen definierten geschachtelten Ressourcen die in den Verweigerungseinstellungen definierten Werte.

Es ist möglich, die Verweigerungseinstellungen für bestimmte Rollen der rollenbasierten Zugriffssteuerung außer Kraft zu setzen. Angenommen, Sie erstellen einen Bereitstellungsstapel, für den der Verweigerungseinstellungsmodus auf „Schreiben und Löschen verweigern“ festgelegt ist. Eine der verwalteten Ressourcen im Stapel ist eine VM. Sie möchten nicht, dass Änderungen an der VM-Konfiguration vorgenommen werden. Sie möchten jedoch, dass Ihre Administratoren diese ein- und ausschalten können. Um den entsprechenden Zugriff bereitzustellen, schließen Sie die folgenden Aktionen mithilfe des Parameters Von Verweigerungseinstellungen ausgeschlossene Aktionen aus: „Microsoft.Compute/virtualMachines/start/action“ und „Microsoft.Compute/virtualMachines/powerOff/action“.

Ein weiteres möglicherweise auftretendes Szenario besteht darin, die Verweigerungseinstellungen für einen bestimmten Benutzer oder Dienstprinzipal außer Kraft zu setzen. Beispiel: Wenn Sie eine Infrastruktur als Codepipeline verwenden, um Ihre Bereitstellungsstapel zu erstellen, muss der Dienstprinzipal, der die Pipeline ausführt, über die Berechtigung verfügen, Änderungen an den vom Stapel verwalteten Ressourcen vorzunehmen. Der Parameter Von Verweigerungseinstellungen ausgeschlossene Prinzipale steuert dieses Verhalten.

Trennen und Löschen von Ressourcen

Eine Ressource, die nicht mehr von einem Bereitstellungsstapel verwaltet oder nachverfolgt wird, wird als getrennte Ressource bezeichnet. Eine getrennte Ressource ist weiterhin in Azure vorhanden, allerdings wird sie vom Stapel nicht mehr nachverfolgt. Sie können steuern, wie Azure getrennte Ressourcen sowie Ressourcen- und Verwaltungsgruppen mit einer Eigenschaft verarbeitet, die als Parameter Aktion bei Nichtverwalten bezeichnet wird.

Wenn Sie diesen Parameter verwenden, wählen Sie aus drei möglichen Optionen aus, die bestimmen, wie getrennte Ressourcen verarbeitet werden:

  • Ressourcen löschen: Löscht Ressourcen und trennt Ressourcen- und Verwaltungsgruppen
  • Alle löschen: Löscht Ressourcen sowie Ressourcen- und Verwaltungsgruppen
  • Alle trennen: Trennt Ressourcen sowie Ressourcen- und Verwaltungsgruppen

Der Parameter „Aktion bei Nichtverwalten“ kann beim Erstellen, Ändern oder Löschen eines Bereitstellungsstapels festgelegt werden. Alle drei Vorgänge haben die Möglichkeit, das Verhalten des Parameters „Aktion bei Nichtverwalten“ festzulegen. Angenommen, Sie erstellen mithilfe der Azure CLI einen Bereitstellungsstapel und legen das Verhalten für „Aktion bei Nichtverwalten“ auf „Alle trennen“ fest. Wenn Sie den Stapel löschen und das Verhalten als „Alle löschen“ angeben, hat dieser Wert Vorrang. Betrachten Sie das als Außerkraftsetzung des ursprünglichen Werts.