Краткое руководство. Создание и публикация определения управляемого приложения Azure

Это краткое руководство содержит общие сведения о работе со службой "Управляемые приложения Azure". Вы создаете и публикуете определение управляемого приложения, которое хранится в каталоге служб и предназначено для членов вашей организации.

Ниже представлен порядок публикации управляемого приложения в каталоге услуг.

• Создайте шаблон Azure Resource Manager (шаблон ARM), определяющий ресурсы для развертывания с помощью управляемого приложения.
• Определите элементы пользовательского интерфейса для портала при развертывании управляемого приложения.
• Создайте ZIP-пакет, содержащий необходимые JSON-файлы. Размер ZIP-файла пакета для определения управляемого приложения каталога услуг не должен превышать 120 МБ.
• Опубликуйте определение управляемого приложения, чтобы оно было доступно в каталоге служб.

Если определение управляемого приложения превышает 120 МБ или если вы хотите использовать собственную учетную запись хранения по соображениям соответствия вашей организации, перейдите в краткое руководство. Создание и публикация определения управляемого приложения Azure.

Вы можете использовать Bicep для разработки определения управляемого приложения, но его необходимо преобразовать в json шаблона ARM, прежде чем опубликовать определение в Azure. Дополнительные сведения см. в кратком руководстве. Использование Bicep для создания и публикации определения управляемого приложения Azure.

Вы также можете использовать Bicep для развертывания определения управляемого приложения из каталога служб. Дополнительные сведения см. в кратком руководстве. Использование Bicep для развертывания определения управляемого приложения Azure.

Необходимые компоненты

Для работы с этим кратким руководством вам потребуется следующее:

• Учетная запись Azure с активной подпиской и разрешениями для ресурсов Microsoft Entra, таких как пользователи, группы или субъекты-службы. Если у вас нет учетной записи, создайте бесплатную учетную запись, прежде чем начинать работу.
• Visual Studio Code с последней версией расширения средств Resource Manager. Для файлов Bicep установите расширение Bicep для Visual Studio Code.
• Установите последнюю версию Azure PowerShell или Azure CLI.

Создание шаблона ARM

В каждом определении управляемого приложения указан файл с именем mainTemplate.json. Шаблон определяет ресурсы Azure для развертывания и не отличается от обычного шаблона ARM.

Откройте Visual Studio Code, создайте файл с именем mainTemplate.json (с учетом регистра) и сохраните его.

Добавьте следующие данные JSON и сохраните файл. Он определяет ресурсы для развертывания Служба приложений, плана Служба приложений и учетной записи хранения для приложения. Эта учетная запись хранения не используется для хранения определения управляемого приложения.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]"
    },
    "appServicePlanName": {
      "type": "string",
      "maxLength": 40,
      "metadata": {
        "description": "App Service plan name."
      }
    },
    "appServiceNamePrefix": {
      "type": "string",
      "maxLength": 47,
      "metadata": {
        "description": "App Service name prefix."
      }
    },
    "storageAccountNamePrefix": {
      "type": "string",
      "maxLength": 11,
      "metadata": {
        "description": "Storage account name prefix."
      }
    },
    "storageAccountType": {
      "type": "string",
      "allowedValues": [
        "Premium_LRS",
        "Standard_LRS",
        "Standard_GRS"
      ],
      "metadata": {
        "description": "Storage account type allowed values"
      }
    }
  },
  "variables": {
    "appServicePlanSku": "F1",
    "appServicePlanCapacity": 1,
    "appServiceName": "[format('{0}{1}', parameters('appServiceNamePrefix'), uniqueString(resourceGroup().id))]",
    "storageAccountName": "[format('{0}{1}', parameters('storageAccountNamePrefix'), uniqueString(resourceGroup().id))]"
  },
  "resources": [
    {
      "type": "Microsoft.Web/serverfarms",
      "apiVersion": "2022-03-01",
      "name": "[parameters('appServicePlanName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[variables('appServicePlanSku')]",
        "capacity": "[variables('appServicePlanCapacity')]"
      }
    },
    {
      "type": "Microsoft.Web/sites",
      "apiVersion": "2022-03-01",
      "name": "[variables('appServiceName')]",
      "location": "[parameters('location')]",
      "properties": {
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', parameters('appServicePlanName'))]",
        "httpsOnly": true,
        "siteConfig": {
          "appSettings": [
            {
              "name": "AppServiceStorageConnectionString",
              "value": "[format('DefaultEndpointsProtocol=https;AccountName={0};EndpointSuffix={1};Key={2}', variables('storageAccountName'), environment().suffixes.storage, listKeys(resourceId('Microsoft.Storage/storageAccounts', variables('storageAccountName')), '2022-09-01').keys[0].value)]"
            }
          ]
        }
      },
      "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', parameters('appServicePlanName'))]",
        "[resourceId('Microsoft.Storage/storageAccounts', variables('storageAccountName'))]"
      ]
    },
    {
      "type": "Microsoft.Storage/storageAccounts",
      "apiVersion": "2022-09-01",
      "name": "[variables('storageAccountName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "[parameters('storageAccountType')]"
      },
      "kind": "StorageV2",
      "properties": {
        "accessTier": "Hot"
      }
    }
  ],
  "outputs": {
    "appServicePlan": {
      "type": "string",
      "value": "[parameters('appServicePlanName')]"
    },
    "appServiceApp": {
      "type": "string",
      "value": "[reference(resourceId('Microsoft.Web/sites', variables('appServiceName')), '2022-03-01').defaultHostName]"
    },
    "storageAccount": {
      "type": "string",
      "value": "[reference(resourceId('Microsoft.Storage/storageAccounts', variables('storageAccountName')), '2022-09-01').primaryEndpoints.blob]"
    }
  }
}

Определение интерфейса портала

В качестве издателя вы определяете интерфейс портала для создания управляемого приложения. Файл createUiDefinition.json создает пользовательский интерфейс портала. Вы определяете, как пользователи предоставляют входные данные для каждого параметра с помощью элементов управления, таких как раскрывающийся список и текстовые поля.

В этом примере пользовательский интерфейс предложит ввести префикс имени Служба приложений, имя плана Служба приложений, префикс учетной записи хранения и тип учетной записи хранения. Во время развертывания переменные в mainTemplate.json используют uniqueString функцию, чтобы добавить 13-символьную строку к префиксам имени, чтобы имена были глобально уникальными в Azure.

Откройте Visual Studio Code, создайте файл с именем createUiDefinition.json (с учетом регистра) и сохраните его.

Добавьте следующий код JSON в файл и сохраните его.

{
  "$schema": "https://schema.management.azure.com/schemas/0.1.2-preview/CreateUIDefinition.MultiVm.json#",
  "handler": "Microsoft.Azure.CreateUIDef",
  "version": "0.1.2-preview",
  "parameters": {
    "basics": [
      {}
    ],
    "steps": [
      {
        "name": "webAppSettings",
        "label": "Web App settings",
        "subLabel": {
          "preValidation": "Configure the web app settings",
          "postValidation": "Completed"
        },
        "elements": [
          {
            "name": "appServicePlanName",
            "type": "Microsoft.Common.TextBox",
            "label": "App Service plan name",
            "placeholder": "App Service plan name",
            "defaultValue": "",
            "toolTip": "Use alphanumeric characters or hyphens with a maximum of 40 characters.",
            "constraints": {
              "required": true,
              "regex": "^[a-z0-9A-Z-]{1,40}$",
              "validationMessage": "Only alphanumeric characters or hyphens are allowed, with a maximum of 40 characters."
            },
            "visible": true
          },
          {
            "name": "appServiceName",
            "type": "Microsoft.Common.TextBox",
            "label": "App Service name prefix",
            "placeholder": "App Service name prefix",
            "defaultValue": "",
            "toolTip": "Use alphanumeric characters or hyphens with minimum of 2 characters and maximum of 47 characters.",
            "constraints": {
              "required": true,
              "regex": "^[a-z0-9A-Z-]{2,47}$",
              "validationMessage": "Only alphanumeric characters or hyphens are allowed, with a minimum of 2 characters and maximum of 47 characters."
            },
            "visible": true
          }
        ]
      },
      {
        "name": "storageConfig",
        "label": "Storage settings",
        "subLabel": {
          "preValidation": "Configure the storage settings",
          "postValidation": "Completed"
        },
        "elements": [
          {
            "name": "storageAccounts",
            "type": "Microsoft.Storage.MultiStorageAccountCombo",
            "label": {
              "prefix": "Storage account name prefix",
              "type": "Storage account type"
            },
            "toolTip": {
              "prefix": "Enter maximum of 11 lowercase letters or numbers.",
              "type": "Available choices are Standard_LRS, Standard_GRS, and Premium_LRS."
            },
            "defaultValue": {
              "type": "Standard_LRS"
            },
            "constraints": {
              "allowedTypes": [
                "Premium_LRS",
                "Standard_LRS",
                "Standard_GRS"
              ]
            },
            "visible": true
          }
        ]
      }
    ],
    "outputs": {
      "location": "[location()]",
      "appServicePlanName": "[steps('webAppSettings').appServicePlanName]",
      "appServiceNamePrefix": "[steps('webAppSettings').appServiceName]",
      "storageAccountNamePrefix": "[steps('storageConfig').storageAccounts.prefix]",
      "storageAccountType": "[steps('storageConfig').storageAccounts.type]"
    }
  }
}

Дополнительные сведения см. в статье CreateUiDefitinion.json for Azure managed application's create experience (Файл CreateUiDefitinion.json для создания интерфейсов управляемых приложений Azure).

Упаковка файлов

Добавьте два файла в файл пакета с именем app.zip. Приведенные выше два файла должны быть расположены на корневом уровне ZIP-файла. Если файлы находятся в папке, при создании определения управляемого приложения вы получите сообщение об ошибке, которое указывает, что необходимые файлы отсутствуют.

Отправьте app.zip в учетную запись хранения Azure, чтобы ее можно было использовать при развертывании определения управляемого приложения. Имя учетной записи хранения должно быть глобально уникальным в Azure, а его длина должна составлять 3–24 символа (допускаются только строчные буквы и цифры). В команде замените заполнитель <demostorageaccount> , включая угловые скобки (<>), на имя уникальной учетной записи хранения.

PowerShell

В Visual Studio Code откройте новый терминал PowerShell и войдите в подписку Azure.

Connect-AzAccount

Команда открывает браузер по умолчанию и запрашивает вход в Azure. Дополнительные сведения см. в разделе "Вход с помощью Azure PowerShell".

New-AzResourceGroup -Name packageStorageGroup -Location westus3

$storageAccount = New-AzStorageAccount `
  -ResourceGroupName packageStorageGroup `
  -Name "<demostorageaccount>" `
  -Location westus3 `
  -SkuName Standard_LRS `
  -Kind StorageV2

$ctx = $storageAccount.Context

New-AzStorageContainer -Name appcontainer -Context $ctx -Permission blob

Set-AzStorageBlobContent `
  -File "app.zip" `
  -Container appcontainer `
  -Blob "app.zip" `
  -Context $ctx

Azure CLI

В Visual Studio Code откройте новый сеанс терминала Bash и войдите в подписку Azure. Если вы установили Git, выберите Git Bash.

az login

Команда открывает браузер по умолчанию и запрашивает вход в Azure. Дополнительные сведения см. в разделе "Вход с помощью Azure CLI".

az group create --name packageStorageGroup --location westus3

az storage account create \
    --name <demostorageaccount> \
    --resource-group packageStorageGroup \
    --location westus3 \
    --sku Standard_LRS \
    --kind StorageV2

После создания учетной записи хранения добавьте назначение роли служба хранилища участник данных BLOB-объектов в учетную запись хранения область. Назначьте доступ к учетной записи пользователя Microsoft Entra. В зависимости от уровня доступа в Azure может потребоваться другие разрешения, назначенные администратором. Дополнительные сведения см. в статье Назначение роли Azure для доступа к данным BLOB-объектов.

После добавления роли в учетную запись хранения потребуется несколько минут, чтобы стать активным в Azure. Затем можно использовать параметр --auth-mode login в командах для создания контейнера и отправки файла.

az storage container create \
    --account-name <demostorageaccount> \
    --name appcontainer \
    --auth-mode login \
    --public-access blob

az storage blob upload \
    --account-name <demostorageaccount> \
    --container-name appcontainer \
    --auth-mode login \
    --name "app.zip" \
    --file "app.zip"

Дополнительные сведения о проверке подлинности хранилища см. в статье "Выбор авторизации доступа к данным BLOB-объектов с помощью Azure CLI".

Портал

Создайте учетную запись хранения в новой группе ресурсов:

1. Войдите на портал Azure.

2. Выберите "Создать ресурс" на домашней странице портала.

   

3. Найдите учетную запись хранения и выберите ее из доступных параметров.

4. Выберите "Создать" на странице служба хранилища учетных записей.

   

5. На вкладке Базовые введите необходимые данные.

   

   • Группа ресурсов: выберите "Создать", чтобы создать пакет служба хранилища Группа ресурсов.
   • служба хранилища имя учетной записи: введите уникальное имя учетной записи хранения. Имя учетной записи хранения должно быть глобально уникальным в Azure, а его длина должна составлять 3–24 символа (допускаются только строчные буквы и цифры).
   • Регион: западная часть США3
   • Производительность: стандартная
   • Избыточность: локально избыточное хранилище (LRS).

6. Примите значения по умолчанию на других вкладках.

7. Выберите "Рецензирование " и нажмите кнопку "Создать".

8. Выберите "Перейти к ресурсу ", чтобы перейти к учетной записи хранения.

Создайте контейнер и отправьте zip-файл app.zip :

1. Перейдите в хранилище данных и выберите контейнеры.

   

2. Настройте свойства контейнера и нажмите кнопку "Создать".

   

   • Имя: appcontainer.
   • Уровень общедоступного доступа: выберите большой двоичный объект.

3. Выберите appcontainer.

4. Нажмите кнопку "Отправить " и следуйте инструкциям по отправке файла app.zip в контейнер.

   

   Вы можете перетащить файл на портал или перейти к расположению файла на компьютере.

5. После отправки файла выберите app.zip в контейнере.

6. Скопируйте URL-адрес файла app.zip из URL-адреса обзора>.

   

Запишите URL-адрес zip-файла app.zip , так как он необходим для создания определения управляемого приложения.

Создание определения управляемого приложения

В этом разделе вы получите сведения об удостоверениях из идентификатора Microsoft Entra ID, создайте группу ресурсов и разверните определение управляемого приложения.

Получение идентификатора группы и идентификатора определения роли

Следующим шагом является выбор пользователя, группы безопасности или приложения для управления ресурсами для клиента. Это удостоверение имеет разрешения для управляемой группы ресурсов в соответствии с назначенной ролью. Это может быть любая встроенная роль Azure, например "Владелец" или "Участник".

PowerShell

В этом примере используется группа безопасности, а учетная запись Microsoft Entra должна быть членом группы. Чтобы получить идентификатор объекта группы, замените заполнитель <managedAppDemo> , включая угловые скобки (<>), именем группы. Значение этой переменной используется при развертывании определения управляемого приложения.

Чтобы создать новую группу Microsoft Entra, перейдите к разделу "Управление группами Microsoft Entra" и членством в группах.

$principalid=(Get-AzADGroup -DisplayName <managedAppDemo>).Id

Затем получите идентификатор определения роли встроенной роли Azure, которую вы хотите предоставить пользователю, группе или приложению. Значение этой переменной используется при развертывании определения управляемого приложения.

$roleid=(Get-AzRoleDefinition -Name Owner).Id

Azure CLI

В этом примере используется группа безопасности, а учетная запись Microsoft Entra должна быть членом группы. Чтобы получить идентификатор объекта группы, замените заполнитель <managedAppDemo> , включая угловые скобки (<>), именем группы. Значение этой переменной используется при развертывании определения управляемого приложения.

Чтобы создать новую группу Microsoft Entra, перейдите к разделу "Управление группами Microsoft Entra" и членством в группах.

principalid=$(az ad group show --group <managedAppDemo> --query id --output tsv)

Затем получите идентификатор определения роли встроенной роли Azure, которую вы хотите предоставить пользователю, группе или приложению. Значение этой переменной используется при развертывании определения управляемого приложения.

roleid=$(az role definition list --name Owner --query [].name --output tsv)

Портал

На портале идентификатор группы и идентификатор роли настраиваются при публикации определения управляемого приложения.

Публикация определения управляемого приложения

PowerShell

Создайте группу ресурсов для определения управляемого приложения.

New-AzResourceGroup -Name appDefinitionGroup -Location westus3

Команда blob создает переменную для хранения URL-адреса для ZIP-файла пакета. Эта переменная используется в команде, которая создает определение управляемого приложения.

$blob = Get-AzStorageBlob -Container appcontainer -Blob app.zip -Context $ctx

New-AzManagedApplicationDefinition `
  -Name "sampleManagedApplication" `
  -Location "westus3" `
  -ResourceGroupName appDefinitionGroup `
  -LockLevel ReadOnly `
  -DisplayName "Sample managed application" `
  -Description "Sample managed application that deploys web resources" `
  -Authorization "${principalid}:$roleid" `
  -PackageFileUri $blob.ICloudBlob.StorageUri.PrimaryUri.AbsoluteUri

После выполнения команды в вашей группе ресурсов будет определение управляемого приложения.

Далее приведены некоторые параметры, которые использовались в предыдущем примере:

• ResourceGroupName: имя группы ресурсов, в которой создается определение управляемого приложения.
• LockLevel: в lockLevel управляемой группе ресурсов клиент не может выполнять нежелательные операции с этой группой ресурсов. В настоящее время поддерживается только тип блокировки ReadOnly. ReadOnly указывает, что клиент может только считывать ресурсы, присутствующих в управляемой группе ресурсов. Удостоверения издателя, которым предоставлен доступ к управляемой группе ресурсов, освобождаются от уровня блокировки.
• Authorization: описывает идентификатор субъекта и идентификатор определения роли, которые используются для предоставления разрешения управляемой группе ресурсов.
  • "${principalid}:$roleid" или вы можете использовать фигурные скобки для каждой переменной "${principalid}:${roleid}".
  • Разделяйте значения запятыми: "${principalid1}:$roleid1", "${principalid2}:$roleid2".
• PackageFileUri: расположение ZIP-пакета , содержащего необходимые файлы.

Azure CLI

Создайте группу ресурсов для определения управляемого приложения.

az group create --name appDefinitionGroup --location westus3

В параметре blob команды account-name замените заполнитель <demostorageaccount> , включая угловые скобки (<>), на имя уникальной учетной записи хранения. Команда blob создает переменную для хранения URL-адреса для ZIP-файла пакета. Эта переменная используется в команде, которая создает определение управляемого приложения.

blob=$(az storage blob url \
  --account-name <demostorageaccount> \
  --container-name appcontainer \
  --auth-mode login \
  --name app.zip --output tsv)

az managedapp definition create \
  --name "sampleManagedApplication" \
  --location "westus3" \
  --resource-group appDefinitionGroup \
  --lock-level ReadOnly \
  --display-name "Sample managed application" \
  --description "Sample managed application that deploys web resources" \
  --authorizations "$principalid:$roleid" \
  --package-file-uri "$blob"

После выполнения команды в вашей группе ресурсов будет определение управляемого приложения.

Далее приведены некоторые параметры, которые использовались в предыдущем примере:

• resource-group: имя группы ресурсов, в которой создается определение управляемого приложения.
• lock-level: в lockLevel управляемой группе ресурсов клиент не может выполнять нежелательные операции с этой группой ресурсов. В настоящее время поддерживается только тип блокировки ReadOnly. ReadOnly указывает, что клиент может только считывать ресурсы, присутствующих в управляемой группе ресурсов. Удостоверения издателя, которым предоставлен доступ к управляемой группе ресурсов, освобождаются от уровня блокировки.
• authorizations: описывает идентификатор субъекта и идентификатор определения роли, которые используются для предоставления разрешения управляемой группе ресурсов.
  • "$principalid:$roleid" или вы можете использовать фигурные скобки, например "${principalid}:${roleid}".
  • Для разделения значений используйте пробел: "$principalid1:$roleid1" "$principalid2:$roleid2".
• package-file-uri: расположение ZIP-пакета , содержащего необходимые файлы.

Портал

Чтобы опубликовать определение управляемого приложения из портал Azure, выполните следующие действия.

1. Выберите "Создать ресурс" на домашней странице портала.

2. Найдите определение управляемого приложения каталога служб и выберите его из доступных параметров.

3. Выберите "Создать" на странице "Определение управляемого приложения каталога служб".

   

4. На вкладке "Основные сведения" введите следующие сведения и нажмите кнопку "Далее".

   

   • Сведения о проекте:
     • Выберите имя своей подписки.
     • Создайте группу ресурсов с именем appDefinitionGroup.
   • Сведения об экземпляре:
     • Имя: введите имя, например имя экземпляра. Имя не используется в определении, но для формы требуется запись.
     • Регион: западная часть США3
   • Сведения о приложении:
     • Имя: sampleManagedApplication
     • Отображаемое имя: пример управляемого приложения
     • Описание. Пример управляемого приложения, которое развертывает веб-ресурсы

5. На вкладке "Пакет" введите URI файла пакета для файла app.zip.

6. Пропустить вкладку "Параметры управления".

7. На вкладке "Проверка подлинности и уровень блокировки" введите следующие сведения, а затем нажмите кнопку "Проверить и создать".

   

   • Уровень блокировки: выбор только для чтения.

   • Выберите Добавить участников.

     • Роли: выбор владельца.
     • Выберите субъекты: выберите имя группы, например managedAppDemo.

     Уровень блокировки в управляемой группе ресурсов запрещает клиенту выполнять нежелательные операции с этой группой ресурсов. В настоящее время поддерживается только тип блокировки Read Only. Read Only указывает, что клиент может только считывать ресурсы, присутствующих в управляемой группе ресурсов. Удостоверения издателя, которым предоставлен доступ к управляемой группе ресурсов, освобождаются от уровня блокировки.

8. После отображения прохождения проверки нажмите кнопку "Создать".

   

По завершении развертывания у вас есть определение управляемого приложения в группе ресурсов.

Убедитесь, что пользователи могут видеть ваше определение.

У вас есть доступ к определению управляемого приложения, но вы хотите, чтобы другие пользователи в вашей организации могли получить к нему доступ. Предоставьте им роль читателя в определении. Они могут унаследовать этот уровень доступа из группы подписки или ресурса. Сведения о том, как проверить, кто имеет доступ к определению, и добавить пользователей или группы, см. в статье Назначение ролей Azure с помощью портала Azure.

Очистка ресурсов

Если вы собираетесь развернуть определение, перейдите к разделу "Дальнейшие действия ", который ссылается на статью для развертывания определения.

Если вы закончите работу с определением управляемого приложения, можно удалить группы ресурсов, созданные с именем пакета служба хранилища Group и appDefinitionGroup.

PowerShell

В командной строке вы убедитесь, что вы хотите удалить группу ресурсов.

Remove-AzResourceGroup -Name packageStorageGroup

Remove-AzResourceGroup -Name appDefinitionGroup

Azure CLI

Командные строки для подтверждения, а затем возвращают командную строку во время удаления ресурсов.

az group delete --resource-group packageStorageGroup --no-wait

az group delete --resource-group appDefinitionGroup --no-wait

Портал

1. В поле поиска на странице Главная портала Azure введите группы ресурсов.
2. Выберите элемент Группы ресурсов.
3. Выберите пакет служба хранилища Group и удалить группу ресурсов.
4. Чтобы подтвердить удаление, введите имя ресурса и выберите Удалить.

Используйте те же действия, чтобы удалить appDefinitionGroup.

Следующие шаги

Вы опубликовали определение управляемого приложения. Следующий шаг — узнать, как развернуть экземпляр этого определения.

Краткое руководство. Развертывание управляемого приложения каталога служб