Руководство по Создание среды из образца схемы
Важно!
11 июля 2026 г. blueprints (предварительная версия) будет считаться нерекомендуемой. Перенесите существующие определения и назначения схем в спецификации шаблонов и стеки развертывания. Артефакты схемы необходимо преобразовать в шаблоны JSON ARM или файлы Bicep, используемые для определения стеков развертывания. Чтобы узнать, как создать артефакт в качестве ресурса ARM, см. следующие статьи:
Образцы схем приведены как примеры того, что можно сделать с помощью Azure Blueprints. Каждый образец содержит определенное намерение или цель, но самостоятельно не создает полную среду. Он предназначен в качестве отправной точки для изучения с помощью Azure Blueprints с различными сочетаниями включенных артефактов, макетов и параметров.
В следующем руководстве используется образец схемы Группы ресурсов с RBAC для демонстрации различных аспектов службы Azure Blueprints. В этой статье рассматриваются следующие этапы:
- создание определения схемы на основе образца;
- установка метки копии образца Опубликовано;
- назначение копии схемы существующей подписке;
- просмотр ресурсов, развернутых для назначения;
- отмена назначения схемы для удаления блокировок.
Предварительные требования
Для работы с этим руководством вам потребуется подписка Azure. Если у вас еще нет подписки Azure, создайте бесплатную учетную запись, прежде чем начинать работу.
Создание определения схемы на основе образца
Сначала реализуйте образец схемы. При импорте в вашей среде создается новая схема на основе образца.
Выберите Все службы в левой области. Найдите и выберите пункт Схемы.
На странице Начало работы с левой стороны в разделе Создание схемы щелкните кнопку Создать.
В разделе Другие образцы найдите образец схемы Группы ресурсов с RBAC и выберите его.
Введите основные данные образца схемы.
- Имя схемы. Укажите имя для копии образца схемы. В этом руководстве мы будем использовать имя two-rgs-with-role-assignments.
- Расположение определения. Используйте кнопку с многоточием и выберите группу управления или подписку, в которой необходимо сохранить копию образца.
В верхней части страницы выберите вкладку Артефакты или внизу страницы щелкните Далее: Артефакты.
Просмотрите список артефактов, из которых состоит образец схемы. Этот образец определяет две группы ресурсов с отображаемыми именами ProdRG и PreProdRG. Окончательное имя и расположение каждой группы ресурсов задаются во время назначения схемы. Группе ресурсов ProdRG назначается роль Участник, а группе PreProdRG — роли Владелец и Читатели. Роли, назначенные в определении, являются статическими, но пользователь, приложение или группа, которым назначена роль, устанавливаются во время назначения схемы.
После завершения просмотра образца схемы выберите Сохранить черновик.
На этом шаге в выбранной группе управления или подписке создается копия образца определения схемы. Управление сохраненным определением схемы осуществляется так же, как и любой другой схемой, созданной с нуля. Вы можете сохранять образец в группу управления или подписку любое количество раз. Однако, каждая копия должна обладать уникальным именем.
Когда появится уведомление портала Определение схемы успешно сохранено, перейдите к следующему шагу.
Публикации копии образца
Теперь в вашей среде создана копия образца схемы. Она создана в режиме Черновик, и прежде чем назначить и развернуть эту копию, ее необходимо опубликовать. Копию образца схемы можно настроить согласно вашей среде и потребностям. В этом руководстве мы ничего не изменяем.
Выберите Все службы в левой области. Найдите и выберите пункт Схемы.
В меню слева выберите страницу Определения схем. Используйте фильтры, чтобы найти определение схемы two-rgs-with-role-assignments, а затем выберите его.
В верхней части страницы выберите Опубликовать схему. В правой части новой панели задайте параметру Версия вашей копии образца схемы значение 1.0. Это свойство позволяет вносить изменения позднее. Укажите заметки об изменениях, например «Первая версия, опубликованная из образца схемы группы ресурсов с RBAC». Затем в нижней части страницы выберите Опубликовать.
На этом шаге можно назначить схему подписке. Вносить изменения можно и после публикации. Дополнительные изменения необходимо опубликовать с новым значением параметра Версия, чтобы отслеживать различия между разными версиями одного определения схемы.
Когда появится уведомление портала Определение схемы опубликовано, перейдите к следующему шагу.
Назначение копии образца
После успешной публикации копию образца схемы можно назначить подписке в группе управления, в которой ее сохранили. На этом шаге указывают параметры, которые позволяют сделать каждое развертывание образца схемы уникальным.
Выберите Все службы в левой области. Найдите и выберите пункт Схемы.
В меню слева выберите страницу Определения схем. Используйте фильтры, чтобы найти определение схемы two-rgs-with-role-assignments, а затем выберите его.
В верхней части страницы определения схемы выберите Назначить схему.
Укажите значения параметра для назначения схемы.
Основы
- Подписки. Выберите одну или несколько подписок, которые находятся в группе управления, в которой вы сохранили копию образца схемы. Если вы выберите более одной подписки, для каждой из них будет создано назначение с использованием введенных параметров.
- Имя назначения. Имя предварительно заполняется на основе имени определения схемы.
- Расположение. Выберите регион, в котором будет создано управляемое удостоверение. Azure Blueprints использует это управляемое удостоверение для развертывания всех артефактов в назначенной схеме. Дополнительные сведения см. в статье Управляемые удостоверения для ресурсов Azure. Для этого руководства выберите регион Восточная часть США 2.
- Версия определения схемы. Выберите опубликованную версию 1.0 образца определения схемы.
Блокировка назначения
Выберите режим блокировки схемы Только для чтения. Дополнительные сведения см. в разделе Блокировка ресурсов схем.
Управляемое удостоверение
Оставьте параметр по умолчанию Назначено системой. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure?
Параметры артефакта
Параметры, определенные в этом разделе, применяются к артефакту, под которым они определены. Поскольку эти параметры определяются во время назначения схемы, они являются динамическими. Для каждого артефакта задайте значение параметра, определенное в столбце Значение. Выберите учетную запись пользователя Azure для
{Your ID}
.Имя артефакта Тип артефакта Имя параметра Значение Описание Группа ресурсов ProdRG Группа ресурсов Имя ProductionRG Определяет имя первой группы ресурсов. Группа ресурсов ProdRG Группа ресурсов Расположение западная часть США 2 Задает расположение первой группы ресурсов. Участник Назначение роли Пользователь или группа {Ваш ИД} Определяет, какому пользователю или группе предоставить назначение роли Участник в пределах первой группы ресурсов. Группа ресурсов PreProdRG Группа ресурсов Имя PreProductionRG Определяет имя второй группы ресурсов. Группа ресурсов PreProdRG Группа ресурсов Расположение западная часть США Задает расположение второй группы ресурсов. Владелец Назначение роли Пользователь или группа {Ваш ИД} Определяет, какому пользователю или группе предоставить назначение роли Владелец в пределах второй группы ресурсов. читатели; Назначение роли Пользователь или группа {Ваш ИД} Определяет, какому пользователю или группе предоставить назначение роли Читатель в пределах второй группы ресурсов.
После ввода всех параметров в нижней части страницы выберите Назначить.
На этом шаге происходит развертывание определенных ресурсов и настройка выбранного назначения блокировки. Для применения блокировок схемы понадобится до 30 минут.
Когда появится уведомление портала Определение схемы назначено, перейдите к следующему шагу.
Просмотр ресурсов, развернутых назначением
Назначение схемы создает и отслеживает артефакты, заданные в определении схемы. Состояние ресурсов можно увидеть на странице назначения схемы и непосредственно в ресурсах.
Выберите Все службы в левой области. Найдите и выберите пункт Схемы.
Слева выберите страницу Назначенные схемы. Используйте фильтры, чтобы найти назначение схемы Assignment-two-rgs-with-role-assignments, а затем выберите его.
На этой странице отображаются успешно развернутое назначение и список созданных ресурсов с состоянием блокировки схемы. При обновлении назначения в раскрывающемся списке Операция назначения отображаются сведения о развертывании каждой версии определения. При выборе созданного ресурса, который указан в списке, откроется страница его свойств.
Выберите группу ресурсов ProductionRG.
Мы видим, что имя группы ресурсов — ProductionRG, а не отображаемое имя артефакта ProdRG. Это имя совпадает со значением, которое задается во время назначения схемы.
В меню слева выберите страницу Управление доступом (IAM) и перейдите на вкладку Назначения ролей.
Здесь мы видим, что в области Этот ресурс вашей учетной записи присвоена роль Участник. Назначению схемы Assignment-two-rgs-with-role-assignments принадлежит роль Владелец, так как оно использовалось для создания группы ресурсов. Эти разрешения также используются для управления ресурсами с настроенными блокировками схемы.
В элементе навигации портала Azure выберите Assignment-two-rgs-with-role-assignments, чтобы вернуться на одну страницу назад, а затем выберите группу ресурсов PreProductionRG.
В меню слева выберите страницу Управление доступом (IAM) и перейдите на вкладку Назначения ролей.
Здесь мы видим, что в области Этот ресурс вашей учетной записи присвоены роли Владелец и Читатель. Назначению схемы, также как и первой группе ресурсов, принадлежит роль Владелец.
Выберите вкладку Запрет назначений.
В развернутой группе ресурсов назначение схемы создало запрет назначения, чтобы принудительно применить режим блокировки схемы Только для чтения. Запрет назначения не дает пользователю с соответствующими правами выполнять определенные действия на вкладке Назначения ролей. Запрет назначения влияет на все субъекты.
Выберите запрет назначения, а затем перейдите на страницу Отклоненные разрешения слева.
Назначение запрета блокирует все операции с конфигурацией * и Действие, но разрешает доступ на чтение, исключая */read через NotActions.
В элементе навигации портала Azure выберите PreProductionRG — Управление доступом (IAM) . Затем в левом меню перейдите на страницу Обзор и щелкните кнопку Удалить группу ресурсов. Чтобы подтвердить удаление, введите имя PreProductionRG и в нижней части панели выберите Удалить.
Отобразится уведомление портала Удаление группы ресурсов PreProductionRG завершилось сбоем. Ошибка указывает на то, что хоть в вашей учетной записи есть разрешение на удаление группы ресурсов, назначение схемы запрещает доступ к ней. Помните, что при назначении схемы мы выбрали режим блокировки схемы Только для чтения. Блокировка схемы предотвращает удаление ресурсов учетной записью с разрешением (даже с ролью Владелец). Дополнительные сведения см. в разделе Блокировка ресурсов схем.
Согласно этим действиям, ресурсы были созданы определенным образом, а блокировки схемы не позволяли нежелательные удаления даже из учетной записи с разрешением.
Отмена назначения схемы
Последнее, что нужно сделать, — удалить назначение схемы и развернутые им ресурсы. Удаление назначения не удаляет развернутые артефакты.
Выберите Все службы в левой области. Найдите и выберите пункт Схемы.
Слева выберите страницу Назначенные схемы. Используйте фильтры, чтобы найти назначение схемы Assignment-two-rgs-with-role-assignments, а затем выберите его.
В верхней части страницы нажмите кнопку Отменить назначение схемы. Прочтите предупреждение в диалоговом окне подтверждения, а затем щелкните ОК.
Блокировки схемы удаляются вместе с назначением схемы. Удаление созданных ресурсов из учетных записей с разрешениями снова возможно.
В меню Azure выберите Группы ресурсов, а затем щелкните ProductionRG.
В меню слева выберите страницу Управление доступом (IAM) и перейдите на вкладку Назначения ролей.
Параметры безопасности каждой группы ресурсов по-прежнему содержат развернутые назначения ролей, но назначение схемы больше не имеет доступа уровня Владелец.
Когда появится уведомление портала Назначение схемы удалено, перейдите к следующему шагу.
Очистка ресурсов
После работы с этим руководством удалите следующие ресурсы:
- группу ресурсов ProductionRG;
- группу ресурсов PreProductionRG;
- определение схемы two-rgs-with-role-assignments.
Дальнейшие действия
В этом учебнике вы узнали, как создать схему на основе примера определения. Чтобы узнать больше о схемах Azure, перейдите к статье о жизненном цикле схемы.