Что такое Azure Blueprints (предварительная версия)?
Внимание
11 июля 2026 г. схемы (предварительная версия) будут устарели. Перенос существующих определений схемы и назначений в спецификации шаблонов и стеки развертывания. Артефакты схемы необходимо преобразовать в шаблоны JSON ARM или файлы Bicep, используемые для определения стеков развертывания. Сведения о создании артефакта в качестве ресурса ARM см. в статье:
Так же, как чертеж позволяет инженеру или архитектору набросать конструктивные параметры для проекта, схемы Azure Blueprints позволяют облачным архитекторам и центральным ИТ-группам определять воспроизводимый набор ресурсов Azure, который реализует стандарты, шаблоны и требования организации и соблюдает их. С помощью Azure Blueprints группы разработчиков могут быстро создавать и вводить в действие новые среды, зная, что они создаются в соответствии с требованиями организации и обладают рядом встроенных возможностей, таких как сетевое взаимодействие, для ускорения разработки и поставки.
Схемы — это декларативный способ оркестрации развертывания различных шаблонов ресурсов и других артефактов, таких как:
- Назначения ролей
- Назначения политик
- шаблоны Azure Resource Manager (шаблоны ARM);
- Группы ресурсов
Служба Azure Blueprint поддерживает глобально распределенную базу данных Azure Cosmos DB. Объекты схемы реплицируются в нескольких регионах Azure. Такая репликация обеспечивает низкую задержку, высокий уровень доступности и постоянный доступ к объектам схемы, независимо от того, в каком регионе служба Azure Blueprints развернула ресурсы.
Отличия от шаблонов ARM
Служба предназначена для помощи с настройкой среды. Эта настройка часто включает набор групп ресурсов, политик, назначений ролей и развертываний шаблонов ARM. Схема — это пакет, который объединяет все эти артефакты. Вы можете компоновать такие пакеты и создавать их версии, в том числе через конвейер непрерывной интеграции и непрерывной поставки (CI/CD). В конечном счете каждый из них назначается подписке за одну операцию, которую можно контролировать и отслеживать.
Почти все, что вы решите включить в схемы для развертывания в Azure Blueprints, можно реализовать с помощью шаблонов ARM. При этом шаблоны ARM — это документы, которые не существуют в Azure в исходном виде. Каждый из них хранится локально, в системе управления версиями или в службе Шаблоны (предварительная версия). Шаблон используется для развертывания одного или нескольких ресурсов Azure, но после развертывания этих ресурсов нет ни активного подключения с используемым шаблоном, ни отношения к нему.
В Azure Blueprints связь между определением схемы (тем, что должно быть развернуто) и назначением схемы (тем, что было развернуто) сохраняется. Эта связь поддерживает улучшенное отслеживание и аудит развертываний. Azure Blueprints также поддерживает одновременное обновление нескольких подписок, управляемых одной схемой.
Нет необходимости выбирать между схемой и шаблоном ARM. В каждой схеме может быть несколько артефактов шаблона ARM. Это означает, что предыдущие действия по разработке и поддержке библиотеки шаблонов ARM не будут напрасными, так как все это можно использовать в Azure Blueprints.
Отличие от Политики Azure
Схема — это пакет или контейнер для составления специальных наборов стандартов, шаблонов и требований к реализации облачных служб Azure, безопасности и разработке, которые можно использовать многократно для поддержания согласованности и соответствия требованиям.
Политика — это система разрешений по умолчанию и явных запретов, ориентированная на свойства ресурсов во время развертывания и предназначенная для уже существующих ресурсов. Она поддерживает облачное управление, проверяя соответствие ресурсов в подписке требованиям и стандартам.
Включение политики в схему позволяет создавать правильный шаблон или проект во время назначения схемы. Применение политики также гарантирует, что в среду могут вноситься только утвержденные или планируемые изменения. Это обеспечивает постоянное соответствие целям схемы.
Политику можно включать в определение схем в качестве одного из многих артефактов. Схемы также поддерживают использование параметров с политиками и инициативами.
Определение схемы
Схема состоит из артефактов. Сейчас Azure Blueprints поддерживает следующие ресурсы в качестве артефактов:
Ресурс | Параметры иерархии | Description |
---|---|---|
Группы ресурсов | Отток подписок | Создайте новую группу ресурсов для использования другими артефактами в схеме. Эти группы ресурсов-заполнителей позволяют упорядочивать ресурсы в точном соответствии с требуемой структурой и предоставляют механизм ограничения области для включенных артефактов назначения политик и ролей и шаблонов ARM. |
Шаблон ARM | Подписка, группа ресурсов | Шаблоны, включая вложенные и связанные, используются для создания сложных сред. Примеры сред: ферма SharePoint, платформа настройки состояния службы автоматизации Azure или рабочая область Log Analytics. |
Назначение политики | Подписка, группа ресурсов | Позволяет назначать политику или инициативу подписке, которой назначена схема. Эта политика или инициатива должна быть в области расположения определения схемы. Если политика или инициатива имеет параметры, эти параметры назначаются при создании схемы или во время назначения схемы. |
Назначение ролей | Подписка, группа ресурсов | Добавьте существующего пользователя или группу во встроенную роль, чтобы соответствующие пользователи всегда имели соответствующий доступ к ресурсам. Назначения ролей можно определить для всей подписки или в определенной группе ресурсов, включенной в схему. |
Примечание.
Размер каждого артефакта не должен превышать 2 МБ. Если размер артефакта превышает 2 МБ, вы получите ошибку HTTP 500 (внутренняя ошибка сервера).
Расположения определений схемы
При создании определения схемы вы указываете место сохранения схемы. Схемы можно сохранять только в группах управления или подписках, к которым у вас есть доступ участника. Если расположение представляет собой группу управления, схему можно назначать любой дочерней подписке этой группы управления.
Параметры схемы
Схемы могут передавать параметры в политику или инициативу либо в шаблон ARM. При добавлении в схему какого-либо артефакта автор выбирает, предоставить ли определенное значение каждому назначению схемы или разрешить предоставлять значение каждому назначению схемы во время назначения. Такая гибкость позволяет задать предопределенное значение для всех видов использования схемы или разрешить принимать это решение во время назначения.
Примечание.
Схема может иметь собственные параметры, но в настоящее время их можно создать только в том случае, если схема была создана из REST API, а не на портале.
Дополнительные сведения см. в описании параметров схемы.
Публикация схемы
Изначально, когда схема создается, она находится в режиме черновика. Когда она будет готова к назначению, ее следует опубликовать. Для публикации необходимо задать строку версия (буквы, цифры и дефисы, не более 20 символов) и при желании указать необязательные сведения об изменениях. Каждый вариант этой схемы, полученный в результате будущих изменений, имеет свою версию, и можно назначать любую версию этой схемы. Кроме того, можно также назначать разные версии одной и той же схемы одной подписке. Когда в схему вносятся дополнительные изменения, опубликованнаяверсия продолжает существовать как версия с неопубликованными изменениями. После завершения изменений обновленная схема публикуется с новой и уникальной версией, и с этого момента ее также можно назначать.
Назначение схемы
Каждую опубликованную версию схемы (с именем максимальной длины в 90 символов) можно назначить существующей группе управления или подписке. На портале схеме по умолчанию назначается версия, соответствующая версии последней опубликованной схемы. Если имеются параметры артефакта или схемы, они будут задаваться в процессе назначения.
Примечание.
Назначение определения схемы для группы управления означает, что объект назначения существует в группе управления. Развертывание артефактов все равно ориентировано на подписку. Чтобы выполнить назначение группы управления, используйте REST API создания или обновления и укажите в теле запроса значение для properties.scope
, чтобы определить целевую подписку.
Разрешения в Azure Blueprint
Чтобы использовать схемы, вам должны быть предоставлены разрешения с помощью механизма управления доступом на основе ролей Azure (Azure RBAC). Для чтения или просмотра схемы на портале Azure у вашей учетной записи должен быть доступ на чтение к области, в которой находится определение схемы.
Для создания схем ваша учетная запись должна иметь следующие разрешения:
Microsoft.Blueprint/blueprints/write
— создание определения схемыMicrosoft.Blueprint/blueprints/artifacts/write
— создание артефактов в определении схемыMicrosoft.Blueprint/blueprints/versions/write
— публикация схемы
Для удаления схем ваша учетная запись должна иметь следующие разрешения:
Microsoft.Blueprint/blueprints/delete
Microsoft.Blueprint/blueprints/artifacts/delete
Microsoft.Blueprint/blueprints/versions/delete
Примечание.
Разрешения на определение схем должны быть предоставлены или унаследованы в области группе управления или подписке, где они хранятся.
Для назначения или отмены назначения схем ваша учетная запись должна иметь следующие разрешения:
Microsoft.Blueprint/blueprintAssignments/write
— назначение схемыMicrosoft.Blueprint/blueprintAssignments/delete
— отмена назначения схемы
Примечание.
Так как назначения схем создаются в подписке, разрешения на назначение и отмену назначения схем должны быть предоставлены в области подписки или унаследованы в области подписки.
Доступны следующие встроенные роли:
Роль Azure | Description |
---|---|
Ответственное лицо | Наряду с другими разрешениями включает все разрешения, связанные с Azure Blueprints. |
Участник | Наряду с другими разрешениями позволяет создавать и удалять определения схем, но не назначать схемы. |
Участник схемы | Позволяет управлять определениями схем, но не назначать их. |
Оператор схемы | Позволяет назначать существующие опубликованные схемы, но не создавать новые определения схем. Назначение схемы нужно выполнять только с использованием управляемого удостоверения, назначаемого пользователем. |
Если эти встроенные роли не соответствуют вашим требованиям безопасности, можно создать настраиваемую роль.
Примечание.
При использовании управляемого удостоверения, назначенного системой, субъекту-службе для Azure Blueprints требуется роль владельца в назначенной подписке, чтобы включить развертывание. При использовании портала эта роль автоматически предоставляется для развертывания и отменяется после завершения развертывания. При использовании REST API эту роль необходимо предоставлять вручную, но она тоже автоматически отменяется после завершения развертывания. При использовании управляемого удостоверения, назначенного пользователем, разрешение Microsoft.Blueprint/blueprintAssignments/write
нужно только пользователю, создающему назначение схемы. Это разрешение предоставляется с ролью Владелец и Оператор схемы.
Ограничения имен
Для некоторых полей применяются следующие ограничения:
Object | Поле | Допустимые символы | Макс. Length |
---|---|---|---|
Чертеж | Имя. | буквы, цифры, дефисы и подчеркивания | 48 |
Чертеж | Версия | буквы, цифры, дефисы и точки | 20 |
Назначение схемы | Имя. | буквы, цифры, дефисы и подчеркивания | 90 |
Артефакт схемы | Имя. | буквы, цифры, дефисы и точки | 48 |
Видеообзор
Обзор Azure Blueprint из цикла видеоматериалов "Пятницы с Azure". См. видеообзор Azure Blueprint из цикла видеоматериалов "Пятницы с Azure" на канале Channel 9.