什么是 Azure 藍(lán)圖？

正如工程師或建筑師使用藍(lán)圖勾勒出項(xiàng)目的設(shè)計(jì)參數(shù)一樣，通過Azure藍(lán)圖，云架構(gòu)師和中心信息技術(shù)組同樣可以定義一組可重復(fù)的Azure資源，這些資源實(shí)現(xiàn)并遵守組織的標(biāo)準(zhǔn)、模式和要求。通過Azure藍(lán)圖，開發(fā)團(tuán)隊(duì)可以快速生成和構(gòu)建新環(huán)境，并確信這些生成的環(huán)境符合組織規(guī)定，還可以使用一組有助于加快開發(fā)和交付過程的內(nèi)置組件（如網(wǎng)絡(luò)）。

藍(lán)圖是一種聲明性方法，用于協(xié)調(diào)各個(gè)資源模板和其他項(xiàng)目的部署，例如：

·角色分配

·策略分配

·Azure資源管理器模板（ARM模板）

·資源組

Azure藍(lán)圖服務(wù)由全球分布的Azure Cosmos DB提供支持。藍(lán)圖對象將復(fù)制到多個(gè)Azure區(qū)域。無論Azure藍(lán)圖將資源部署到哪個(gè)區(qū)域，此復(fù)制提供的對藍(lán)圖對象的訪問都具有低延遲、高可用性和一致性。

與ARM模板的不同之處

此服務(wù)旨在幫助進(jìn)行環(huán)境設(shè)置。此設(shè)置通常包括一組資源組、策略、角色分配和ARM模板部署。藍(lán)圖是將每個(gè)項(xiàng)目類型組合在一起的包，通過藍(lán)圖可編寫和版本化該包（包括通過持續(xù)集成和持續(xù)交付[CI/CD]管道）。最終可在一個(gè)可審計(jì)和跟蹤的操作中將每個(gè)藍(lán)圖分配給訂閱。

幾乎所有要包含在Azure藍(lán)圖中部署的內(nèi)容都可以使用ARM模板完成。但是，ARM模板是Azure中不以本機(jī)方式存在的文檔-每個(gè)模板均存儲在本地或源代碼管理中。該模板用于部署一個(gè)或多個(gè)Azure資源，但部署了這些資源后，資源與模板之間就不再存在有效的連接或關(guān)系。

使用Azure藍(lán)圖，藍(lán)圖定義（應(yīng)該部署的對象）和藍(lán)圖分配（已部署的對象）之間的關(guān)系仍然存在。此連接支持改進(jìn)部署的跟蹤和審核。Azure藍(lán)圖也能一次性升級由同一藍(lán)圖管理的多個(gè)訂閱。

無需在ARM模板和藍(lán)圖之間進(jìn)行選擇。每個(gè)藍(lán)圖都可以包含零個(gè)或多個(gè)ARM模板項(xiàng)目。此支持意味著可以在Azure藍(lán)圖中重復(fù)使用以前開發(fā)和維護(hù)ARM模板庫的工作成果。

與Azure Policy的不同之處

藍(lán)圖是一個(gè)包或容器，用于組合與Azure云服務(wù)、安全性和設(shè)計(jì)的實(shí)現(xiàn)相關(guān)的一組針對目標(biāo)的標(biāo)準(zhǔn)、模式和要求，這些標(biāo)準(zhǔn)、模式和要求可以重復(fù)使用以確保一致性和符合性。

策略是默認(rèn)允許和顯式拒絕系統(tǒng)，側(cè)重于部署期間的資源屬性，用于現(xiàn)有資源。它會驗(yàn)證訂閱中的資源是否符合要求和標(biāo)準(zhǔn)，以此為云治理提供支持。

如果在藍(lán)圖中包含策略，則可以在分配藍(lán)圖期間創(chuàng)建適當(dāng)?shù)哪Ｊ交蛟O(shè)計(jì)。包含策略可確保只對環(huán)境進(jìn)行批準(zhǔn)或預(yù)期的更改，以確保持續(xù)符合藍(lán)圖意向。

策略可作為眾多項(xiàng)目中的一項(xiàng)包含在藍(lán)圖定義中。藍(lán)圖還支持在策略和計(jì)劃中使用參數(shù)。

藍(lán)圖定義

藍(lán)圖由項(xiàng)目組成。Azure藍(lán)圖目前支持以下資源作為項(xiàng)目：

藍(lán)圖定義位置

創(chuàng)建藍(lán)圖定義時(shí)，將定義藍(lán)圖的保存位置。藍(lán)圖可以保存到你有參與者訪問權(quán)限的管理組或訂閱。如果位置是一個(gè)管理組，則藍(lán)圖可以分配給該管理組的任何子級訂閱。

藍(lán)圖參數(shù)

藍(lán)圖可以將參數(shù)傳遞給策略/計(jì)劃或ARM模板。將任意項(xiàng)目添加到藍(lán)圖時(shí)，由創(chuàng)建者決定為每個(gè)藍(lán)圖分配提供定義的值，或者讓每個(gè)藍(lán)圖分配在分配時(shí)提供一個(gè)值。這種靈活性讓創(chuàng)建者可以為藍(lán)圖的所有使用定義預(yù)定值或者在分配時(shí)做出該決定。

備注

藍(lán)圖可以有自己的參數(shù)，但目前只能為從REST API而不是從門戶生成的藍(lán)圖創(chuàng)建這些參數(shù)。

有關(guān)更多信息，請參閱藍(lán)圖參數(shù)。

藍(lán)圖發(fā)布

首次創(chuàng)建藍(lán)圖時(shí)，將視其為處于“草稿”模式。準(zhǔn)備分配藍(lán)圖時(shí)，它必須處于“已發(fā)布”模式。發(fā)布需要定義“版本”字符串（字母、數(shù)字和連字符，最大長度為20個(gè)字符）以及可選的“更改注釋”。該版本將其與針對同一藍(lán)圖的未來更改進(jìn)行區(qū)別，并允許分配每個(gè)版本。此版本控制也意味著可將同一藍(lán)圖的不同版本分配給同一訂閱。對藍(lán)圖進(jìn)行其他更改時(shí)，除未發(fā)布的更改外，已發(fā)布版本仍然存在。更改完成后，更新的藍(lán)圖是使用新的唯一版本發(fā)布的，現(xiàn)也可進(jìn)行分配。

藍(lán)圖分配

可將藍(lán)圖的每個(gè)已發(fā)布的版本（最大名稱長度為90個(gè)字符）分配給現(xiàn)有管理組或訂閱。在門戶中，該藍(lán)圖默認(rèn)使用最新發(fā)布的版本。如果存在項(xiàng)目參數(shù)或藍(lán)圖參數(shù)，則在分配過程中定義參數(shù)。

備注

將藍(lán)圖定義分配給管理組意味著該管理組中存在分配對象。項(xiàng)目部署的目標(biāo)仍然是訂閱。若要執(zhí)行管理組分配，必須按照創(chuàng)建或更新REST API進(jìn)行操作，而且請求正文必須包含properties.scope的值才能定義目標(biāo)訂閱。

Azure藍(lán)圖中的權(quán)限

若要使用藍(lán)圖，必須通過Azure基于角色的訪問控制(Azure RBAC)獲得授權(quán)。若要在Azure門戶中讀取或查看藍(lán)圖，你的帳戶必須對藍(lán)圖定義所在范圍具有讀取訪問權(quán)限。

要創(chuàng)建藍(lán)圖，帳戶需要以下權(quán)限：

·Microsoft.Blueprint/blueprints/write-創(chuàng)建藍(lán)圖定義

·Microsoft.Blueprint/blueprints/artifacts/write-在藍(lán)圖定義上創(chuàng)建項(xiàng)目

·Microsoft.Blueprint/blueprints/versions/write-發(fā)布藍(lán)圖

要刪除藍(lán)圖，帳戶需要以下權(quán)限：

·Microsoft.Blueprint/blueprints/delete

·Microsoft.Blueprint/blueprints/artifacts/delete

·Microsoft.Blueprint/blueprints/versions/delete

備注

必須在保存藍(lán)圖定義的管理組或訂閱范圍上授予或繼承藍(lán)圖定義權(quán)限。

要分配或取消分配藍(lán)圖，帳戶需要以下權(quán)限：

·Microsoft.Blueprint/blueprintAssignments/write-分配藍(lán)圖

·Microsoft.Blueprint/blueprintAssignments/delete-取消分配藍(lán)圖

備注

由于在訂閱上創(chuàng)建了藍(lán)圖分配，因此必須在訂閱范圍授予藍(lán)圖分配和取消分配權(quán)限，或者將其繼承到訂閱范圍。

以下內(nèi)置角色可用：

若這些內(nèi)置角色不適合安全需求，請考慮創(chuàng)建自定義角色。

備注

如果使用系統(tǒng)分配的托管標(biāo)識，則Azure藍(lán)圖的服務(wù)主體需要在分配的訂閱上具有所有者角色才能啟用部署。若使用門戶，則會自動為部署授予和撤消此角色。若使用REST API，則必須手動授予此角色，但在部署完成后仍會自動撤消此角色。如果使用用戶分配的托管標(biāo)識，則僅創(chuàng)建藍(lán)圖分配的用戶需要Microsoft.Blueprint/blueprintAssignments/write的權(quán)限，該權(quán)限包括在“所有者”和“藍(lán)圖運(yùn)算符”內(nèi)置角色中。

命名限制

某些字段存在以下限制：