Czym jest usługa Azure Blueprints?

Ważne

Usługa Azure Blueprints jest obecnie dostępna w wersji zapoznawczej. Strona Uzupełniające warunki używania Wersji Zapoznawczych Microsoft Azure zawiera dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Usługę Azure Blueprints można porównać do planu, który pozwala inżynierowi lub architektowi naszkicować parametry projektu. Usługa ta umożliwia architektom chmury i centralnym grupom technologii informatycznych zdefiniowanie powtarzalnego zestawu zasobów platformy Azure, który implementuje standardy, wzorce i wymagania organizacji oraz jest z nimi zgodny. Usługa Azure Blueprints umożliwia zespołom deweloperów szybkie tworzenie i uruchamianie nowych środowisk z zaufaniem, że są tworzone w ramach zgodności organizacji z zestawem wbudowanych składników, takich jak sieć, w celu przyspieszenia opracowywania i dostarczania.

Usługa Blueprints umożliwia deklaratywne organizowanie i wdrażanie różnych szablonów zasobów i innych artefaktów, takich jak:

  • Przypisania ról
  • Przypisania zasad
  • Szablony usługi Azure Resource Manager (szablony usługi ARM)
  • Grupy zasobów

Usługa Azure Blueprints jest wspierana przez globalnie dystrybuowaną usługę Azure Cosmos DB. Obiekty strategii są replikowane w wielu regionach świadczenia usługi Azure. Ta replikacja zapewnia małe opóźnienia, wysoką dostępność i spójny dostęp do obiektów strategii, niezależnie od regionu, w którym usługa Azure Blueprints wdraża zasoby.

Czym różni się od szablonów usługi ARM

Usługa została zaprojektowana w celu ułatwienia konfiguracji środowiska. Ta konfiguracja często składa się z zestawu grup zasobów, zasad, przypisań ról i wdrożeń szablonów usługi ARM. Strategia jest pakietem umożliwiającym łączenie każdego z tych typów artefaktów i umożliwienie tworzenia i wersji tego pakietu, w tym za pośrednictwem potoku ciągłej integracji i ciągłego dostarczania (CI/CD). Każdy pakiet jest ostatecznie przypisywany do subskrypcji w ramach jednej operacji, którą można poddawać inspekcji i śledzić.

Niemal wszystko, co chcesz uwzględnić do wdrożenia w usłudze Azure Blueprints, można wykonać za pomocą szablonu usługi ARM. Jednak szablon usługi ARM jest dokumentem, który nie istnieje natywnie na platformie Azure — każdy z nich jest przechowywany lokalnie lub w kontroli źródła albo w szablonach (wersja zapoznawcza). Szablon jest używany na potrzeby wdrożenia jednego lub większej liczby zasobów platformy Azure, ale po wdrożeniu tych zasobów nie ma aktywnego połączenia z wykorzystanym szablonem ani relacji z nim.

Dzięki usłudze Azure Blueprints relacja między definicją strategii (co należy wdrożyć ) i przypisaniem strategii (co zostało wdrożone) jest zachowywana. To połączenie obsługuje ulepszone śledzenie i inspekcję wdrożeń. Usługa Azure Blueprints może również uaktualnić kilka subskrypcji jednocześnie, które podlegają tej samej strategii.

Nie ma potrzeby wybierania między szablonem usługi ARM a strategią. Każda strategia może składać się z co najmniej zera artefaktów szablonu usługi ARM. Ta obsługa oznacza, że wcześniejsze wysiłki związane z opracowywaniem i konserwowanie biblioteki szablonów usługi ARM są wielokrotnego użytku w usłudze Azure Blueprints.

Czym różni się od usługi Azure Policy

Strategia to pakiet lub kontener umożliwiający tworzenie specyficznych dla kontekstu zestawów standardów, wzorców i wymagań dotyczących implementacji usług Azure Cloud Services, zabezpieczeń i projektów, które mogą zostać ponownie użyte w celu zachowania spójności i zgodności.

Zasady to system z domyślnym zezwalaniem i wyraźnym zabranianiem, który jest skoncentrowany na właściwościach wdrażanych i istniejących już zasobów. Obsługuje on zarządzanie chmurą przez weryfikowanie, czy zasoby w ramach subskrypcji są zgodne z wymaganiami i standardami.

Uwzględnienie zasad w strategii umożliwia utworzenie odpowiedniego wzorca lub projektu podczas przypisywania strategii. Dołączenie zasad gwarantuje, że w środowisku mogą być wprowadzane tylko zatwierdzone lub oczekiwane zmiany, co umożliwia ochronę stałej zgodności z intencją strategii.

Zasady mogą być dołączane jako jeden z wielu artefaktów w definicji strategii. Strategie obsługują również używanie parametrów z zasadami i inicjatywami.

Definicja strategii

Strategia składa się z artefaktów. Usługa Azure Blueprints obecnie obsługuje następujące zasoby jako artefakty:

Zasób Opcje hierarchii Opis
Grupy zasobów Subskrypcja Umożliwia utworzenie nowej grupy zasobów do użytku przez inne artefakty w ramach strategii. Te zastępcze grupy zasobów umożliwiają organizowanie zasobów w dokładnie taki sposób, w jaki mają być ustrukturyzowane, oraz zapewnia ogranicznik zakresu dla uwzględnionych artefaktów zasad i przypisań ról oraz szablonów usługi ARM.
Szablon ARM Subskrypcja, grupa zasobów Szablony, w tym szablony zagnieżdżone i połączone, są używane do tworzenia złożonych środowisk. Przykładowe środowiska: farma programu SharePoint, konfiguracja stanu usługi Azure Automation lub obszar roboczy usługi Log Analytics.
Przypisanie zasad Subskrypcja, grupa zasobów Umożliwia przypisanie zasad lub inicjatywy do subskrypcji, do której przypisano strategię. Zasady lub inicjatywa muszą znajdować się w zakresie lokalizacji definicji strategii. Jeśli zasady lub inicjatywa mają parametry, są one przypisywane podczas tworzenia strategii bądź podczas jej przypisywania.
Przypisanie roli Subskrypcja, grupa zasobów Dodawanie istniejącego użytkownika lub grupy do wbudowanej roli w celu zagwarantowania, że odpowiednie osoby zawsze będą mieć odpowiedni dostęp do zasobów. Przypisania ról mogą być definiowane dla całej subskrypcji lub mogą być zagnieżdżone w konkretnej grupie zasobów uwzględnionej w strategii.

Uwaga

Każdy artefakt musi mieć co najmniej 2 MB. Jeśli artefakt przekracza 2 MB, zostanie wyświetlony błąd HTTP 500 (wewnętrzny błąd serwera).

Lokalizacje definicji strategii

Podczas tworzenia definicji strategii należy zdefiniować miejsce, w którym strategia zostanie zapisana. Strategie można zapisywać tylko w grupie zarządzania lub subskrypcji, do której użytkownik ma dostęp jako Współautor. Jeśli lokalizacja znajduje się w grupie zarządzania, strategię można przypisać do dowolnej subskrypcji podrzędnej tej grupy zarządzania.

Parametry strategii

Strategie mogą przekazywać parametry do zasad/inicjatywy lub szablonu usługi ARM. Podczas dodawania dowolnego artefaktu do strategii autor decyduje o udostępnieniu zdefiniowanej wartości dla każdego przypisania strategii lub zezwoleniu, aby każde przypisanie strategii udostępniało wartość w czasie przypisywania. Dzięki tej elastyczności można zdefiniować wstępnie ustaloną wartość dla wszystkich zastosowań strategii lub umożliwić podjęcie decyzji w czasie przypisywania.

Uwaga

Strategia może mieć własne parametry, ale obecnie można je tworzyć tylko w przypadku, kiedy strategia jest generowana w interfejsie API REST, a nie za pomocą portalu.

Aby uzyskać więcej informacji, zobacz parametry strategii.

Publikowanie strategii

Kiedy strategia jest tworzona po raz pierwszy, przyjmuje się, że jest w trybie wersji roboczej. Kiedy jest gotowa do przypisania, należy ją opublikować. Publikowanie wymaga zdefiniowania ciągu wersji (liter, cyfr i łączników o maksymalnej długości 20 znaków) wraz z opcjonalnymi uwagami dotyczącymi zmian. Dzięki zastosowaniu wersji przyszłe zmiany wprowadzone w strategii mogą być traktowane jako osobne wersje z możliwością ich przypisania. Obsługa wersji oznacza również, że różne wersje tej samej strategii można przypisać do jednej subskrypcji. Jeśli w strategii zostaną dokonane dodatkowe zmiany, opublikowanawersja będzie nadal istniała, podobnie jak nieopublikowane zmiany. Po zakończeniu wprowadzania zmian zaktualizowana strategia jest publikowana jako nowa unikatowa wersja, którą teraz również można przypisać.

Przypisywanie strategii

Do istniejącej grupy zarządzania lub subskrypcji można przypisać każdą opublikowanąwersję strategii (z maksymalną długością nazwy 90 znaków). W portalu domyślną wersją strategii jest ta, która została opublikowana jako ostatnia. Jeśli istnieją parametry artefaktu lub parametry strategii, parametry są definiowane podczas procesu przypisywania.

Uwaga

Przypisanie definicji strategii do grupy zarządzania oznacza, że obiekt przypisania istnieje w grupie zarządzania. Wdrażanie artefaktów nadal jest przeznaczone dla subskrypcji. Aby można było wykonać przypisanie grupy zarządzania, należy użyć interfejsu API REST tworzenia lub aktualizowania , a treść żądania musi zawierać wartość, properties.scope aby zdefiniować subskrypcję docelową.

Uprawnienia w usłudze Azure Blueprints

Aby korzystać z strategii, musisz mieć przyznane uprawnienia za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure. Aby odczytać lub wyświetlić strategię w witrynie Azure Portal, twoje konto musi mieć dostęp do odczytu do zakresu, w którym znajduje się definicja strategii.

Aby użytkownik mógł tworzyć strategie, jego konto musi mieć następujące uprawnienia:

  • Microsoft.Blueprint/blueprints/write — tworzenie definicji strategii
  • Microsoft.Blueprint/blueprints/artifacts/write — tworzenie artefaktów w definicji strategii
  • Microsoft.Blueprint/blueprints/versions/write — publikowanie strategii

Aby użytkownik mógł usuwać strategie, jego konto musi mieć następujące uprawnienia:

  • Microsoft.Blueprint/blueprints/delete
  • Microsoft.Blueprint/blueprints/artifacts/delete
  • Microsoft.Blueprint/blueprints/versions/delete

Uwaga

Uprawnienia definicji strategii muszą zostać nadane lub odziedziczone w grupie zarządzania lub w zakresie subskrypcji, w których zostały zapisane.

Aby użytkownik mógł przypisywać strategie lub anulować ich przypisanie, jego konto musi mieć następujące uprawnienia:

  • Microsoft.Blueprint/blueprintAssignments/write — przypisywanie strategii
  • Microsoft.Blueprint/blueprintAssignments/delete — anulowanie przypisania strategii

Uwaga

Przypisania strategii są tworzone w ramach subskrypcji, dlatego uprawnienia przypisywania strategii lub anulowania takiego przypisania muszą zostać przyznane w zakresie subskrypcji bądź muszą być dziedziczone w zakresie subskrypcji.

Dostępne są następujące wbudowane role:

Rola na platformie Azure Opis
Właściciel Oprócz innych uprawnień obejmuje wszystkie uprawnienia powiązane z usługą Azure Blueprints.
Współautor Oprócz innych uprawnień można tworzyć i usuwać definicje strategii, ale nie ma uprawnień do przypisywania strategii.
Współautor strategii Może zarządzać definicjami strategii, ale nie przypisywać ich.
Operator strategii Można przypisać istniejące opublikowane strategie, ale nie może tworzyć nowych definicji strategii. Przypisanie strategii działa tylko wtedy, gdy przypisanie jest wykonywane z tożsamością zarządzaną przypisaną przez użytkownika.

Jeśli te wbudowane role nie spełniają wymagań dotyczących zabezpieczeń, należy rozważyć utworzenie roli niestandardowej.

Uwaga

W przypadku korzystania z tożsamości zarządzanej przypisanej przez system jednostka usługi dla usługi Azure Blueprints wymaga roli właściciel w przypisanej subskrypcji w celu włączenia wdrożenia. W przypadku korzystania z portalu ta rola jest automatycznie przyznawana i odwoływana dla wdrożenia. W przypadku korzystania z interfejsu API REST ta rola musi zostać ręcznie przyznana, ale jest automatycznie odwoływana po zakończeniu wdrożenia. Jeśli korzystasz z tożsamości zarządzanej przypisanej przez użytkownika, tylko użytkownik tworzący przypisanie strategii potrzebuje Microsoft.Blueprint/blueprintAssignments/write uprawnień, które jest uwzględniane zarówno we wbudowanych rolach właściciela , jak i operatora strategii .

Limity nazewnictwa

Istnieją następujące ograniczenia dotyczące niektórych pól:

Obiekt Pole Dozwolone znaki Maksymalnie z Długość
Blueprint Nazwa litery, cyfry, łączniki i podkreślenia 48
Blueprint Wersja litery, cyfry, łączniki i kropki 20
Przypisywanie strategii Nazwa litery, cyfry, łączniki i podkreślenia 90
Artefakt strategii Nazwa litery, cyfry, łączniki i kropki 48

Omówienie wideo

Poniższy omówienie usługi Azure Blueprints pochodzi z witryny Azure Fridays. Aby pobrać wideo, odwiedź stronę Azure Fridays - An overview of Azure Blueprints (Azure Fridays — omówienie usługi Azure Blueprints) w witrynie Channel 9.

Następne kroki