Přehled služby Azure modrotiskyOverview of the Azure Blueprints service

Stejně jako technický nákres či podrobný plán (anglicky „blueprint“) umožňuje technikovi nebo architektovi načrtnout parametry návrhu projektu, služba Azure Blueprints umožňuje cloudovým architektům a centrálním oddělením IT definovat opakovatelnou sadu prostředků Azure, která implementuje a dodržuje standardy, vzory a požadavky organizace.Just as a blueprint allows an engineer or an architect to sketch a project's design parameters, Azure Blueprints enables cloud architects and central information technology groups to define a repeatable set of Azure resources that implements and adheres to an organization's standards, patterns, and requirements. Azure Blueprints vývojářským týmům umožňuje rychle vytvářet nová prostředí s důvěrou, že je vytvářejí v souladu s předpisy organizace, a s využitím sady předdefinovaných komponent – třeba síťových – ke zrychlení vývoje a distribuce.Azure Blueprints makes it possible for development teams to rapidly build and stand up new environments with trust they're building within organizational compliance with a set of built-in components -- such as networking -- to speed up development and delivery.

Podrobné plány představují deklarativní způsob, jak orchestrovat nasazení různých šablon prostředků a dalších artefaktů jako:Blueprints are a declarative way to orchestrate the deployment of various resource templates and other artifacts such as:

  • Přiřazení rolíRole Assignments
  • Přiřazení zásadPolicy Assignments
  • Šablony Azure Resource ManageruAzure Resource Manager templates
  • Skupiny prostředkůResource Groups

Služba Azure Blueprints využívá globálně distribuovanou službu Azure Cosmos DB.The Azure Blueprints service is backed by the globally distributed Azure Cosmos DB. Objekty podrobného plánu se replikují do několika oblastí Azure.Blueprint objects are replicated to multiple Azure regions. Tato replikace zajišťuje nízkou latenci, vysokou dostupnost a konzistentní přístup k objektům podrobného plánu bez ohledu na to, do které oblasti služba Blueprints nasazuje prostředky.This replication provides low latency, high availability, and consistent access to your blueprint objects, regardless of which region Blueprints deploys your resources to.

V čem se liší od šablon Resource ManageruHow it's different from Resource Manager templates

Účelem této služby je pomáhat s nastavením prostředí.The service is designed to help with environment setup. Toto nastavení často sestává ze sady skupin prostředků, zásad, přiřazení rolí a nasazení šablon Resource Manageru.This setup often consists of a set of resource groups, policies, role assignments, and Resource Manager template deployments. Podrobný plán (anglicky „blueprint“) je balíček, který všechny tyto typy artefaktů spojuje a umožní vám balíček sestavit a vytvořit jeho verzi – včetně prostřednictvím kanálu CI/CD.A blueprint is a package to bring each of these artifact types together and allow you to compose and version that package -- including through a CI/CD pipeline. Nakonec se každý přiřadí k předplatnému v rámci jedné operace, kterou je možné auditovat a sledovat.Ultimately, each is assigned to a subscription in a single operation that can be audited and tracked.

Téměř vše, co chcete zahrnout pro nasazení v Blueprints, se dá provést pomocí šablony Resource Manageru.Nearly everything that you want to include for deployment in Blueprints can be accomplished with a Resource Manager template. Šablona Resource Manageru je ale dokument, který v Azure nativně neexistuje – každá je uložená místně nebo ve správě zdrojového kódu.However, a Resource Manager template is a document that doesn't exist natively in Azure – each is stored either locally or in source control. Šablona se používá pro nasazení jednoho nebo více prostředků Azure, ale po nasazení těchto prostředků neexistuje s šablonou žádné aktivní propojení ani relace.The template gets used for deployments of one or more Azure resources, but once those resources deploy there's no active connection or relationship to the template.

V případě Blueprints se relace mezi definicí podrobného plánu (co se má nasadit) a přiřazením podrobného plánu (co bylo nasazeno) zachová.With Blueprints, the relationship between the blueprint definition (what should be deployed) and the blueprint assignment (what was deployed) is preserved. Toto připojení podporuje vylepšené sledování a auditování nasazení.This connection supports improved tracking and auditing of deployments. Blueprints dokáže také upgradovat najednou několik předplatných, která se řídí stejným podrobným plánem.Blueprints can also upgrade several subscriptions at once that are governed by the same blueprint.

Není nutné volit mezi šablonou Resource Manageru a podrobným plánem.There's no need to choose between a Resource Manager template and a blueprint. Každý podrobný plán se může skládat z nula nebo více artefaktů šablon Resource Manageru.Each blueprint can consist of zero or more Resource Manager template artifacts. Tato podpora znamená, že v Blueprints je možné znovu využít předchozí snahy o vývoj a údržbu knihovny šablon Resource Manageru.This support means that previous efforts to develop and maintain a library of Resource Manager templates are reusable in Blueprints.

V čem se liší od Azure PolicyHow it's different from Azure Policy

Podrobný plán je balíček nebo kontejner pro sestavování sad standardů, vzorů a požadavků týkajících se implementace cloudových služeb, zabezpečení a návrhu Azure, které je možné opětovně použít k udržení konzistence a dodržování předpisů.A blueprint is a package or container for composing focus-specific sets of standards, patterns, and requirements related to the implementation of Azure cloud services, security, and design that can be reused to maintain consistency and compliance.

Zásady jsou systémem výchozích povolení a explicitních zamítnutí, který se zaměřuje na vlastnosti prostředků během nasazení a pro už existující prostředky.A policy is a default allow and explicit deny system focused on resource properties during deployment and for already existing resources. Podporují zásady správného řízení cloudu tím, že ověřují, jestli prostředky v rámci předplatného dodržují požadavky a standardy.It supports cloud governance by validating that resources within a subscription adhere to requirements and standards.

Zahrnutí zásad do podrobného plánu umožňuje vytvořit správný vzor nebo návrh při přiřazování podrobného plánu.Including a policy in a blueprint enables the creation of the right pattern or design during assignment of the blueprint. Zahrnutí zásad zajišťuje, že je možné provést jenom schválené nebo očekáváné změny prostředí, aby se zajistila ochrana trvalého dodržování záměru podrobného plánu.The policy inclusion makes sure that only approved or expected changes can be made to the environment to protect ongoing compliance to the intent of the blueprint.

V definici podrobného plánu může být zásada obsažena jako jeden z mnoha artefaktů .A policy can be included as one of many artifacts in a blueprint definition. Podrobné plány podporují také používání parametrů se zásadami a iniciativami.Blueprints also support using parameters with policies and initiatives.

Definice podrobného plánuBlueprint definition

Podrobný plán se skládá z artefaktů.A blueprint is made up of artifacts. Podrobné plány aktuálně jako artefakty podporují tyto prostředky:Blueprints currently support the following resources as artifacts:

ProstředekResource Možnosti hierarchieHierarchy options PopisDescription
Skupiny prostředkůResource Groups PředplatnéSubscription Vytvořte novou skupinu prostředků pro použití jinými artefakty v rámci podrobného plánu.Create a new resource group for use by other artifacts within the blueprint. Tyto zástupné skupiny prostředků vám umožní uspořádat prostředky přesně tak, jak je chcete mít strukturované, a poskytují omezovač oboru pro zahrnuté artefakty zásad a přiřazení rolí a šablony Azure Resource Manageru.These placeholder resource groups enable you to organize resources exactly the way you want them structured and provides a scope limiter for included policy and role assignment artifacts and Azure Resource Manager templates.
Šablona Azure Resource ManageruAzure Resource Manager template Předplatné, skupina prostředkůSubscription, Resource Group Šablony, včetně vnořených a propojených šablon, slouží k vytváření složitých prostředí.Templates, including nested and linked templates, are used to compose complex environments. Příklady prostředí: farma SharePointu, konfigurace stavu Azure Automation nebo pracovní prostor služby Log Analytics.Example environments: a SharePoint farm, Azure Automation State Configuration, or a Log Analytics workspace.
Přiřazení zásadPolicy Assignment Předplatné, skupina prostředkůSubscription, Resource Group Umožňuje přiřazení zásady nebo iniciativy k předplatnému, ke kterému je podrobný plán přiřazený.Allows assignment of a policy or initiative to the subscription the blueprint is assigned to. Zásada nebo iniciativa musí být v rozsahu umístění definice podrobného plánu.The policy or initiative must be within the scope of the blueprint definition location. Pokud zásady nebo iniciativa obsahuje parametry, tyto parametry se přiřadí při vytvoření podrobného plánu nebo během přiřazení podrobného plánu.If the policy or initiative has parameters, these parameters are assigned at creation of the blueprint or during blueprint assignment.
Přiřazení roleRole Assignment Předplatné, skupina prostředkůSubscription, Resource Group Přidejte existujícího uživatele nebo skupinu k předdefinované roli, aby se zajistilo, že k vašim prostředkům budou mít vždy správný přístup správní lidé.Add an existing user or group to a built-in role to make sure the right people always have the right access to your resources. Přiřazení rolí se dá definovat pro celé předplatné nebo vnořit do konkrétní skupiny prostředků, která je součástí podrobného plánu.Role assignments can be defined for the entire subscription or nested to a specific resource group included in the blueprint.

Umístění definic podrobného plánuBlueprint definition locations

Při vytváření definice podrobného plánu definujete, kam se podrobný plán uloží.When creating a blueprint definition, you'll define where the blueprint is saved. Plány lze uložit do skupiny pro správu nebo předplatného, ke kterému máte přístup přispěvatele .Blueprints can be saved to a management group or subscription that you have Contributor access to. Pokud se jedná o skupinu pro správu, je plán k dispozici pro přiřazení k libovolnému podřízenému předplatnému této skupiny pro správu.If the location is a management group, the blueprint is available to assign to any child subscription of that management group.

Parametry podrobného plánuBlueprint parameters

Podrobné plány můžou předávat parametry zásadám/iniciativě nebo šabloně Azure Resource Manageru.Blueprints can pass parameters to either a policy/initiative or an Azure Resource Manager template. Když se do podrobného plánu přidá kterýkoli z artefaktů, může se autor rozhodnout, jestli zadá definovanou hodnotu pro každé přiřazení podrobného plánu, nebo umožní, aby jednotlivá přiřazení podrobného plánu zadala hodnotu v době přiřazení.When adding either artifact to a blueprint, the author decides to provide a defined value for each blueprint assignment or to allow each blueprint assignment to provide a value at assignment time. Tato flexibilita umožňuje definovat předem určenou hodnotu pro všechna použití podrobného plánu, nebo umožnit, aby se o tom rozhodlo v době přiřazení.This flexibility provides the option to define a pre-determined value for all uses of the blueprint or to enable that decision to be made at the time of assignment.

Poznámka

Podrobný plán může mít vlastní parametry, ale ty momentálně můžou být vytvořené jenom v případě, že je podrobný plán vygenerovaný z rozhraní REST API a ne prostřednictvím portálu.A blueprint can have its own parameters, but these can currently only be created if a blueprint is generated from REST API instead of through the Portal.

Další informace najdete v parametrech podrobného plánu.For more information, see blueprint parameters.

Publikování podrobného plánuBlueprint publishing

Při prvním vytvoření podrobného plánu se přepokládá, že je v režimu konceptu.When a blueprint is first created, it's considered to be in Draft mode. Když je připravený k přiřazení, musí být Publikovaný.When it's ready to be assigned, it needs to be Published. Publikování vyžaduje definování řetězce Verze (písmena, číslice a spojovníky s maximální délkou 20 znaků) spolu s volitelnými Poznámkami ke změnám.Publishing requires defining a Version string (letters, numbers, and hyphens with a max length of 20 characters) along with optional Change notes. Verze ho odlišuje od budoucích změn stejného podrobného plánu a umožňuje přiřazovat jednotlivé verze.The Version differentiates it from future changes to the same blueprint and allows each version to be assigned. Tato správa verzí také znamená, že různé verze stejného podrobného plánu je možné přiřadit ke stejnému předplatnému.This versioning also means different Versions of the same blueprint can be assigned to the same subscription. Při provedení dalších změn podrobného plánu kromě Nepublikovaných změn stále existuje publikovaná verze.When additional changes are made to the blueprint, the Published Version still exists, as do the Unpublished changes. Po dokončení změn se aktualizovaný podrobný plán publikuje pomocí nové a jedinečné verze a je teď možné ho taky přiřadit.Once the changes are complete, the updated blueprint is Published with a new and unique Version and can now also be assigned.

Přiřazení podrobného plánuBlueprint assignment

K existujícímu předplatnému se dá přiřadit každá publikovaná verze podrobného plánu (s maximální délkou 90 znaků).Each Published Version of a blueprint can be assigned (with a max name length of 90 characters) to an existing subscription. Na portálu bude jako výchozí verze podrobného plánu ta, která se publikovala jako poslední.In the portal, the blueprint defaults the Version to the one Published most recently. Pokud existují parametry artefaktu (nebo parametry podrobného plánu), pak se parametry definují během přiřazení.If there are artifact parameters (or blueprint parameters), then the parameters are defined during the assignment process.

Oprávnění v Azure BlueprintsPermissions in Azure Blueprints

Pokud chcete použít podrobné plány, musíte mít udělená oprávnění prostřednictvím řízení přístupu na základě role.To use blueprints, you must be granted permissions through Role-based access control (RBAC). Abyste mohli podrobné plány vytvářet, váš účet potřebuje tato oprávnění:To create blueprints, your account needs the following permissions:

  • Microsoft.Blueprint/blueprints/write – vytvořit definici podrobného plánuMicrosoft.Blueprint/blueprints/write - Create a blueprint definition
  • Microsoft.Blueprint/blueprints/artifacts/write – vytvořit artefakty v definici podrobného plánuMicrosoft.Blueprint/blueprints/artifacts/write - Create artifacts on a blueprint definition
  • Microsoft.Blueprint/blueprints/versions/write – publikovat podrobný plánMicrosoft.Blueprint/blueprints/versions/write - Publish a blueprint

Pokud chcete podrobné plány odstranit, váš účet potřebuje tato oprávnění:To delete blueprints, your account needs the following permissions:

  • Microsoft.Blueprint/blueprints/delete
  • Microsoft.Blueprint/blueprints/artifacts/delete
  • Microsoft.Blueprint/blueprints/versions/delete

Poznámka

Oprávnění definice podrobného plánu musí být udělená nebo zděděná ve skupině pro správu nebo v oboru předplatného, kde je uložená.The blueprint definition permissions must be granted or inherited on the management group or subscription scope where it is saved.

Pokud chcete podrobný plán přiřadit nebo zrušit jeho přiřazení, váš účet potřebuje tato oprávnění:To assign or unassign a blueprint, your account needs the following permissions:

  • Microsoft.Blueprint/blueprintAssignments/write – přiřadit podrobný plánMicrosoft.Blueprint/blueprintAssignments/write - Assign a blueprint
  • Microsoft.Blueprint/blueprintAssignments/delete – zrušit přiřazení podrobného plánuMicrosoft.Blueprint/blueprintAssignments/delete - Unassign a blueprint

Poznámka

Protože se přiřazení podrobného plánu vytvářejí v předplatném, musí se oprávnění pro přiřazení a zrušení přiřazení podrobného plánu udělit v oboru předplatného nebo do oboru předplatného zdědit.As blueprint assignments are created on a subscription, the blueprint assign and unassign permissions must be granted on a subscription scope or be inherited onto a subscription scope.

K dispozici jsou následující předdefinované role:The following built-in roles are available:

Role RBACRBAC Role PopisDescription
VlastníkOwner Kromě dalších oprávnění zahrnuje všechna Azure Blueprint související oprávnění.In addition to other permissions, includes all Azure Blueprint related permissions.
PřispěvatelContributor Kromě dalších oprávnění může vytvořit a odstranit definice podrobného plánu, ale nemá oprávnění k přiřazení podrobného plánu.In addition to other permissions, can create and delete blueprint definitions, but doesn't have blueprint assignment permissions.
Přispěvatel podrobného plánuBlueprint Contributor Může spravovat definice podrobného plánu, ale nepřiřazovat je.Can manage blueprint definitions, but not assign them.
Operátor podrobného plánuBlueprint Operator Může přiřadit existující publikované modrotisky, ale nemůže vytvářet nové definice podrobného plánu.Can assign existing published blueprints, but can't create new blueprint definitions. Přiřazení podrobného plánu funguje pouze v případě, že je přiřazení provedeno pomocí uživatelem přiřazené spravované identity.Blueprint assignment only works if the assignment is done with a user-assigned managed identity.

Pokud tyto předdefinované role nevyhovují vašim požadavkům na zabezpečení, zvažte vytvoření vlastní role.If these built-in roles don't fit your security needs, consider creating a custom role.

Poznámka

Pokud používáte spravovanou identitu přiřazenou systémem, musí instanční objekt pro plány Azure pro povolení nasazení vyžadovat roli vlastníka v přiřazeném předplatném.If using a system-assigned managed identity, the service principal for Azure Blueprints requires the Owner role on the assigned subscription in order to enable deployment. Pokud používáte portál, tato role se pro nasazení uděluje a ruší automaticky.If using the portal, this role is automatically granted and revoked for the deployment. Pokud používáte rozhraní REST API, tato role se musí udělit ručně, ale po dokončení nasazení se zruší automaticky.If using the REST API, this role must be manually granted, but is still automatically revoked after the deployment completes. Při použití spravované identity přiřazené uživatelem Microsoft.Blueprint/blueprintAssignments/write potřebuje pouze uživatel vytvářející přiřazení podrobného plánu, který je zahrnutý jak v předdefinovaných rolích Owner a detailed .If using a user-assigned managed identity, only the user creating the blueprint assignment needs the Microsoft.Blueprint/blueprintAssignments/write permission, which is included in both the Owner and Blueprint Operator built-in roles.

Omezení pojmenováníNaming limits

Pro určitá pole existují následující omezení:The following limitations exist for certain fields:

ObjektObject PoleField Povolené znakyAllowed Characters Max.Max. DélkaLength
Podrobného plánuBlueprint NázevName písmena, číslice, spojovníky a tečkyletters, numbers, hyphens, and periods 4848
Podrobného plánuBlueprint VersionVersion písmena, číslice, spojovníky a tečkyletters, numbers, hyphens, and periods 2020
Přiřazení podrobného plánuBlueprint assignment NázevName písmena, číslice, spojovníky a tečkyletters, numbers, hyphens, and periods 9090
Artefakt podrobného plánuBlueprint artifact NázevName písmena, číslice, spojovníky a tečkyletters, numbers, hyphens, and periods 4848

Video – přehledVideo overview

Následující přehled Azure modrotisky je od Azure pátek.The following overview of Azure Blueprints is from Azure Fridays. Pro stažení videa přejděte na Azure pátek – Přehled plánů Azure na webu Channel 9.For video download, visit Azure Fridays - An overview of Azure Blueprints on Channel 9.

Další krokyNext steps