Planejar alterações na infraestrutura de nuvem com Copilot

  • 8 minutos

Dica

Consulte a guia Texto e imagens para obter mais detalhes!

Suponha que uma equipe receba uma solicitação para implantar uma nova rede virtual Azure com requisitos de segurança específicos. A rede virtual precisa de três sub-redes para web, aplicativo e camadas de dados, cada uma com seu próprio grupo de segurança de rede (NSG). Antes de escrever qualquer código de infraestrutura, o engenheiro deseja um plano claro que abrange todos os componentes e seus relacionamentos.

Note

As mensagens mostradas nesta unidade ilustram como um engenheiro de operações pode interagir com o agente do plano em cada cenário. São exemplos de padrões de prompt eficazes que demonstram o tipo de contexto que o agente precisa. Não são instruções passo a passo a seguir.

Para começar, o engenheiro seleciona Plano na lista suspensa de agentes na visualização de Chat e descreve o objetivo. Um exemplo de como esse prompt pode ser estruturado:

/plan Create Bicep templates to deploy an Azure virtual network named vnet-prod-001 in the eastus region with three subnets (web, app, data), each with a dedicated network security group. The web subnet should allow inbound HTTP/HTTPS traffic, the app subnet should only accept traffic from the web subnet, and the data subnet should only accept traffic from the app subnet.

O agente de Plano examina seu espaço de trabalho em busca de arquivos, módulos ou arquivos de parâmetros do Bicep existentes. Em seguida, ele gera um plano que pode incluir:

  • Crie um main.bicep arquivo com o recurso de rede virtual e três definições de sub-rede.
  • Crie um módulo nsg-web.bicep com regras que permitem portas de entrada 80 e 443 a partir da Internet.
  • Crie um módulo nsg-app.bicep com regras que permitam tráfego de entrada somente do intervalo de endereços da sub-rede da web.
  • Crie um nsg-data.bicep módulo com regras que permitem o tráfego de entrada somente do intervalo de endereços da sub-rede do aplicativo.
  • Crie um parameters.prod.json arquivo com valores específicos do ambiente.
  • Adicione etapas de verificação para validar os modelos do Bicep com az bicep build e execute uma implantação de simulação.

Iterar no plano

Depois de revisar o plano inicial, o engenheiro percebe que ele não leva em consideração o registro de diagnósticos. Um prompt de acompanhamento para resolver este item perdido pode ter a seguinte aparência:

Add NSG flow logs for each network security group, storing them in an existing storage account. Also include a Log Analytics workspace for traffic analytics.

O agente de Plano atualiza o plano para incluir mais etapas de implementação para logs de fluxo do NSG e configuração de análise de tráfego.

Cenário: Automatizar a conformidade de tagueamento do grupo de recursos

Uma organização exige que todos os grupos de recursos possuam tags específicas para alocação de custos e responsabilidade. A equipe precisa de um Azure Policy que imponha a marcação e um script de correção para recursos não compatíveis existentes. Um exemplo de prompt para este cenário:

/plan Create an Azure Policy definition that requires 'CostCenter', 'Environment', and 'Owner' tags on all resource groups. Include a PowerShell remediation script that scans existing resource groups and applies default tags where they're missing.

O agente de plano gera um plano que abrange:

  1. Crie um arquivo JSON de definição de política com o deny efeito para tags ausentes.
  2. Crie uma atribuição de política que tenha como alvo o escopo da assinatura.
  3. Crie um script do PowerShell que use Get-AzResourceGroup para localizar grupos de recursos não conformes e Set-AzResourceGroup para aplicar tags padrão.
  4. Adicione etapas de verificação para testar a política com uma tentativa de criação de grupo de recursos não compatível.

Cenário: Planejar uma revisão de controle de acesso baseada em função

Quando uma equipe precisa auditar e atualizar as atribuições de funções no Controle de Acesso Baseado em Funções (RBAC) em várias assinaturas, o escopo das alterações pode ser significativo. Usar o modo Plano ajuda a mapear a abordagem completa antes de fazer modificações. Um exemplo de como um engenheiro pode descrever essa meta para o agente de plano:

/plan Create a PowerShell script that audits RBAC role assignments across all subscriptions in our tenant. The script should export a CSV report of all users with Owner or Contributor roles, flag any assignments to individual user accounts (versus groups), and identify role assignments that haven't been used in the last 90 days using Azure AD sign-in logs.

O plano pode incluir etapas para:

  • Crie um script que itere pelas assinaturas usando Get-AzSubscription.
  • Recupere atribuições de função com Get-AzRoleAssignment e filtre para funções de Proprietário e Colaborador.
  • Compare as atribuições com os logs de entrada do Microsoft Entra ID para identificar atribuições inativas.
  • Exporte resultados para um arquivo CSV com colunas para assinatura, nome principal, função, tipo de atribuição (usuário versus grupo) e data de última entrada.
  • Adicione tratamento de erro para assinaturas em que a identidade atual não possui acesso de leitura.

Dicas para escrever prompts de infraestrutura eficazes

Ao usar o agente de plano para tarefas de infraestrutura de nuvem, inclua estes detalhes em seus prompts:

  • ambiente Target: especifique a região Azure, o contexto da assinatura ou o grupo de recursos.
  • Convenções de nomenclatura: inclua os padrões de nomenclatura da sua organização (por exemplo, vnet-prod-001).
  • Dependências: mencione os recursos existentes que a nova infraestrutura precisa referenciar.
  • Requisitos de segurança: declarar quaisquer padrões de conformidade ou regras de segurança que se apliquem.
  • Preferências de Ferramentas: especifique se você prefere scripts Bicep, modelos ARM, Terraform ou CLI do Azure.

Dica

Se o repositório incluir um .github/copilot-instructions.md arquivo com os padrões de infraestrutura da sua organização, o agente de plano incorporará automaticamente essas instruções ao gerar planos. Isso ajuda a garantir que os planos gerados sigam as convenções de sua equipe para nomear, marcar e padrões de arquitetura.