Dağıtım yığınları kaynağı
Dağıtım yığınları ve yaşam döngüsü yönetimi için sağladığı avantajlar hakkında bilgi edindiniz. Dağıtımlarınız için dağıtım yığınları oluşturma işlemine başlamadan önce dağıtım yığını kaynağı hakkında daha fazla bilgi edinmek istiyorsunuz.
Bu ünitede dağıtım yığınları kaynağı ve gerçekleştirebileceği bazı işlemler hakkında bilgi ediniyorsunuz.
Dağıtım yığınları kaynağı
Azure Resource Manager (ARM), Azure'da kaynakları dağıtan ve yöneten hizmettir. Resource Manager'ı kullanarak Azure aboneliğinizdeki kaynakları oluşturabilir, güncelleştirebilir ve silebilirsiniz.
Dağıtım yığını, yığın üzerinde bir bütün olarak tipik ARM işlemlerinin gerçekleştirilmesini sağlayan yerel bir Azure kaynağıdır. Dağıtım yığını bir Azure ilke atamasını, Azure rol tabanlı erişim denetimi (RBAC) atamasını ve hatta bir Bulut için Microsoft Defender güvenlik önerisini devralabilir. Dağıtım yığınının içinde, yığın tarafından yönetilen tüm kaynaklara, kaynak gruplarına ve yönetim gruplarına yönelik işaretçiler bulunur. Yığında tanımlanan yönetilen kaynaklar, dağıtım yığını kaynağında tek bir işlemle kolayca oluşturulabilir, güncelleştirilebilir veya silinebilir.
Dağıtım yığınları işlemleri
Kaynak sağlayıcısı, belirli bir Azure hizmeti için özellikleri etkinleştiren REST işlemleri koleksiyonudur. Örneğin, Azure SQL Veritabanı hizmeti adlı Microsoft.Sql bir kaynak sağlayıcısından oluşur ve tam kaynak türü şeklindedirMicrosoft.Sql/servers/databases.
Dağıtım yığınları kaynak sağlayıcısının Microsoft.Resources bir parçasıdır ve tam kaynak türü şeklindedir Microsoft.Resources/deploymentStacks. REST işlemleri arasında yeni yığın oluşturma, yığın listeleme, var olan bir yığını güncelleştirme veya bir yığını silme sayılabilir. Kaynakları için yığındaki kaynakları görüntüleyebilir, kaynak ekleyip kaldırabilir ve kaynakları silinmeye karşı koruyabilirsiniz.
Bu işlemlerin her biri, yığının davranışını denetleen birkaç anahtar özelliğe sahiptir.
Reddetme ayarları seçenekleri
Reddetme ayarları , yığın içindeki kaynaklarda değişiklik yapılmasını engeller. Bunlar, bir dağıtım yığınına ve yönetilen kaynaklarına atanan belirli bir izin türüdür. Bu reddetme ayarları, geçerli olabilecek Tüm Azure rol tabanlı erişim denetimi (RBAC) izinlerinin yerini alır.
Reddetme ayarlarını kullanırken, dağıtım yığını tarafından yönetilen kaynaklarda hangi işlemlere izin verildiğini tanımlayan bir parametre ayarlayabilirsiniz. Reddetme ayarları modu olarak bilinen bu parametre, yığın tarafından yönetildiğinde yığın içindeki kaynakların değiştirilip değiştirilebileceğini veya silinebileceğini belirler. Reddetme ayarları modunun davranış için üç olası değeri vardır: silmeyi reddetme, yazma ve silmeyi reddetme ve hiçbiri.
Silme izin verme değeri, yığın tarafından yönetilen kaynakların değiştirilmesine izin verir, ancak silinmesine izin vermez. Yazma ve silmeyi reddet değeri, kaynakların yığın tarafından yönetilen kısmını etkili bir şekilde salt okunur hale getirir. Hiçbiri değeri, yığın tarafından yönetilen kaynakların değiştirilmesine ve silinmesine izin verir.
Reddetme ayarları, ayarları alt kapsamlara ve iç içe yerleştirilmiş kaynaklara uygulamanıza da olanak sağlar. Örneğin, reddetme ayarlarına sahip bir dağıtım yığını abonelik kapsamında oluşturulursa, bu reddetme ayarları kaynak grubu kapsamına da uygulanır. Ayrıca, Bicep dosyalarında, ARM JSON şablonlarında veya şablon belirtimlerinde tanımlanan tüm iç içe kaynaklar reddetme ayarlarında tanımlanan değerleri devralır.
Belirli rol tabanlı erişim denetimi rolleri için reddetme ayarlarını geçersiz kılmak mümkündür. Reddetme ayarları modu yazma ve silmeyi reddedecek şekilde ayarlanmış bir dağıtım yığını oluşturduğunuzu varsayalım. Yığındaki yönetilen kaynaklardan biri sanal makinedir. Sanal makinenin yapılandırmasında değişiklik yapılmasını istemezsiniz, ancak yöneticilerinizin bunu açıp kapatabilmesini istersiniz. Uygun erişimi sağlamak için reddetme ayarları hariç tutulan eylemler parametresini kullanarak "Microsoft.Compute/virtualMachines/start/action" ve "Microsoft.Compute/virtualMachines/powerOff/action" eylemlerini dışlarsınız.
Mevcut olabilecek başka bir senaryo, belirli bir kullanıcı veya hizmet sorumlusu için reddetme ayarını geçersiz kılmaktır. Örneğin, dağıtım yığınlarınızı oluşturmak için kod işlem hattı olarak bir altyapı kullanıyorsanız, işlem hattını yürüten hizmet sorumlusunun yığın tarafından yönetilen kaynaklarda değişiklik yapma iznine sahip olması gerekir. Deny settings excluded principals parametresi bu davranışı denetler.
Kaynak ayırma ve silme
Artık bir dağıtım yığını tarafından yönetilmeyip izlenmemiş bir kaynak, ayrılmış kaynak olarak bilinir. Ayrılmış bir kaynak Azure'da hala var, ancak yığın artık onu izlemez. Azure'ın ayrılmış kaynakları, kaynak gruplarını ve yönetim gruplarını yönetilmeyen parametrede eylem olarak bilinen bir özellikle nasıl işlediğini denetleyebilirsiniz.
Bu parametreyi kullanırken, ayrılmış kaynakların nasıl işleneceğini belirleyen üç olası seçenek arasından seçim yapabilirsiniz:
- Kaynakları Sil - kaynakları siler ve kaynak gruplarını ve yönetim gruplarını ayırır.
- Tümünü Sil - kaynakları, kaynak gruplarını ve yönetim gruplarını siler.
- Tümünü Ayır - Kaynakları, kaynak gruplarını ve yönetim gruplarını ayırır.
Bir dağıtım yığını oluşturulurken, değiştirilirken veya silinirken yönetilmeyen parametre eylemi ayarlanabilir. Üç işlemin de, eylemin davranışını yönetilmeyen parametrede ayarlama özelliği vardır. Azure CLI'yı kullanarak bir dağıtım yığını oluşturduğunuzu ve eylemi yönetilmeyen davranışa göre ayarlayıp tümünü ayırabileceğinizi varsayalım. Yığını siler ve davranışı tümünü sil olarak belirtirseniz, bu değer öncelikli olur. Bunu özgün değerin üzerine yazılmasını düşünün.