Informazioni su Azure BlueprintWhat is Azure Blueprints?

Così come un progetto consente a un ingegnere o un architetto di tracciare i parametri di progettazione, Azure Blueprint consente agli architetti cloud e ai gruppi centrali del reparto IT di definire un set ripetibile di risorse di Azure che implementa ed è conforme a standard, criteri e requisiti di un'organizzazione.Just as a blueprint allows an engineer or an architect to sketch a project's design parameters, Azure Blueprints enables cloud architects and central information technology groups to define a repeatable set of Azure resources that implements and adheres to an organization's standards, patterns, and requirements. Azure Blueprint consente ai team di sviluppo di creare e realizzare rapidamente nuovi ambienti sapendo che vengono creati in conformità con l'organizzazione con un set di componenti integrati, ad esempio reti, per velocizzare lo sviluppo e il recapito.Azure Blueprints makes it possible for development teams to rapidly build and stand up new environments with trust they're building within organizational compliance with a set of built-in components -- such as networking -- to speed up development and delivery.

I progetti costituiscono un metodo dichiarativo per orchestrare la distribuzione di vari modelli di risorse e altri artefatti, ad esempio:Blueprints are a declarative way to orchestrate the deployment of various resource templates and other artifacts such as:

  • Assegnazioni di ruoliRole Assignments
  • Assegnazioni di criteriPolicy Assignments
  • Modelli di Gestione risorse di AzureAzure Resource Manager templates
  • Gruppi di risorseResource Groups

Il servizio Azure Blueprints è supportato da Azure Cosmos DB distribuito a livello globale.The Azure Blueprints service is backed by the globally distributed Azure Cosmos DB. Gli oggetti del progetto vengono replicati in più aree di Azure.Blueprint objects are replicated to multiple Azure regions. Questa replica fornisce bassa latenza, disponibilità elevata e accesso coerente agli oggetti del progetto, indipendentemente dall'area in cui Blueprints distribuisce le risorse.This replication provides low latency, high availability, and consistent access to your blueprint objects, regardless of which region Blueprints deploys your resources to.

In cosa differisce dai modelli di Resource ManagerHow it's different from Resource Manager templates

Il servizio è progettato per facilitare la configurazione dell'ambiente.The service is designed to help with environment setup. Questa configurazione spesso è costituita da un set di gruppi di risorse, criteri, assegnazioni di ruolo e distribuzioni dei modelli di Resource Manager.This setup often consists of a set of resource groups, policies, role assignments, and Resource Manager template deployments. Un progetto è un pacchetto che riunisce ognuno di questi tipi di artefatti e consente di comporre e indicare la versione di tale pacchetto, anche tramite una pipeline CI/CD.A blueprint is a package to bring each of these artifact types together and allow you to compose and version that package -- including through a CI/CD pipeline. In definitiva, ognuno viene assegnato a una sottoscrizione in una singola operazione che può essere controllata e monitorata.Ultimately, each is assigned to a subscription in a single operation that can be audited and tracked.

Quasi tutto ciò che si desidera includere per la distribuzione nei progetti può essere eseguito con un modello di Resource Manager.Nearly everything that you want to include for deployment in Blueprints can be accomplished with a Resource Manager template. Tuttavia, un modello di Resource Manager è un documento che non esiste in modo nativo in Azure: ognuno viene archiviato in locale o nel controllo del codice sorgente.However, a Resource Manager template is a document that doesn't exist natively in Azure – each is stored either locally or in source control. Il modello viene usato per le distribuzioni di una o più risorse di Azure, ma dopo la distribuzione di tali risorse non c'è una connessione o relazione attiva con il modello.The template gets used for deployments of one or more Azure resources, but once those resources deploy there's no active connection or relationship to the template.

Con i progetti, la relazione tra la definizione di progetto (cosa distribuire) e l'assegnazione di progetto (cosa è stato distribuito) viene mantenuta.With Blueprints, the relationship between the blueprint definition (what should be deployed) and the blueprint assignment (what was deployed) is preserved. Questa connessione supporta un migliore monitoraggio e controllo delle distribuzioni.This connection supports improved tracking and auditing of deployments. Blueprint può anche aggiornare più sottoscrizioni contemporaneamente regolate dallo stesso progetto.Blueprints can also upgrade several subscriptions at once that are governed by the same blueprint.

Non è necessario scegliere tra un modello di Resource Manager e un progetto.There's no need to choose between a Resource Manager template and a blueprint. Ogni progetto può essere costituito da zero o più artefatti dei modelli di Resource Manager.Each blueprint can consist of zero or more Resource Manager template artifacts. Ciò significa che il lavoro richiesto in precedenza per sviluppare e gestire una libreria di modelli di Resource Manager può essere riusato nei progetti.This support means that previous efforts to develop and maintain a library of Resource Manager templates are reusable in Blueprints.

In cosa differisce dai Criteri di AzureHow it's different from Azure Policy

Un progetto è un pacchetto o un contenitore per la composizione di specifici set di standard, criteri e requisiti correlati all'implementazione dei servizi cloud, della sicurezza e della progettazione di Azure, che può essere riusato per garantire coerenza e conformità.A blueprint is a package or container for composing focus-specific sets of standards, patterns, and requirements related to the implementation of Azure cloud services, security, and design that can be reused to maintain consistency and compliance.

I criteri costituiscono un sistema predefinito di autorizzazione e negazione esplicita che mira alle proprietà delle risorse durante la distribuzione e viene usato per le risorse già esistenti.A policy is a default allow and explicit deny system focused on resource properties during deployment and for already existing resources. I criteri supportano la governance cloud verificando che le risorse all'interno di una sottoscrizione siano conformi a standard e requisiti.It supports cloud governance by validating that resources within a subscription adhere to requirements and standards.

L'inclusione di criteri in un progetto consente non solo di creare il criterio o la progettazione corretta durante l'assegnazione del progetto,Including a policy in a blueprint enables the creation of the right pattern or design during assignment of the blueprint. ma assicura anche che nell'ambiente vengano eseguite solo le modifiche approvate o previste, in modo da garantire la conformità continua con la finalità del progetto.The policy inclusion makes sure that only approved or expected changes can be made to the environment to protect ongoing compliance to the intent of the blueprint.

I criteri possono essere inclusi nella definizione di un progetto come i vari artefatti.A policy can be included as one of many artifacts in a blueprint definition. In Azure Blueprint è inoltre supportato l'uso di parametri con criteri e iniziative.Blueprints also support using parameters with policies and initiatives.

Definizione di progettoBlueprint definition

Un progetto è costituito da artefatti.A blueprint is made up of artifacts. Azure Blueprint supporta attualmente le seguenti risorse come artefatti:Blueprints currently support the following resources as artifacts:

RisorsaResource Opzioni della gerarchiaHierarchy options DESCRIZIONEDescription
Gruppi di risorseResource Groups SubscriptionSubscription Creare un nuovo gruppo di risorse per l'uso da parte di altri artefatti nel progetto.Create a new resource group for use by other artifacts within the blueprint. Questi gruppi di risorse segnaposto consentono di organizzare le risorse strutturandole esattamente nel modo desiderato e forniscono un limitatore di ambito per i criteri e gli artefatti di assegnazione dei ruoli inclusi, nonché per i modelli di Azure Resource Manager.These placeholder resource groups enable you to organize resources exactly the way you want them structured and provides a scope limiter for included policy and role assignment artifacts and Azure Resource Manager templates.
Modello di Azure Resource ManagerAzure Resource Manager template Sottoscrizione, gruppo di risorseSubscription, Resource Group Vengono usati modelli, inclusi quelli annidati e collegati, per comporre ambienti complessi.Templates, including nested and linked templates, are used to compose complex environments. Esempi di ambienti complessi sono: una farm di SharePoint, la configurazione dello stato di Automazione di Azure o un'area di lavoro Log Analytics.Example environments: a SharePoint farm, Azure Automation State Configuration, or a Log Analytics workspace.
Assegnazione dei criteriPolicy Assignment Sottoscrizione, gruppo di risorseSubscription, Resource Group Consente di assegnare criteri o iniziative alla sottoscrizione a cui è assegnato il progetto.Allows assignment of a policy or initiative to the subscription the blueprint is assigned to. I criteri o le iniziative devono trovarsi nell'ambito della posizione della definizione di progetto.The policy or initiative must be within the scope of the blueprint definition location. Se i criteri o le iniziative includono dei parametri, questi vengono assegnati al momento della creazione del progetto o durante l'assegnazione dello stesso.If the policy or initiative has parameters, these parameters are assigned at creation of the blueprint or during blueprint assignment.
Assegnazione di ruoloRole Assignment Sottoscrizione, gruppo di risorseSubscription, Resource Group Aggiungere un utente o gruppo esistente a un ruolo predefinito per assicurarsi che gli utenti corretti possano sempre accedere correttamente alle risorse.Add an existing user or group to a built-in role to make sure the right people always have the right access to your resources. Le assegnazioni di ruolo possono essere definite per l'intera sottoscrizione o annidate in un gruppo di risorse specifiche incluso nel progetto.Role assignments can be defined for the entire subscription or nested to a specific resource group included in the blueprint.

Posizioni delle definizioni di progettoBlueprint definition locations

Durante la creazione di una definizione di progetto, viene definita la posizione di salvataggio del progetto.When creating a blueprint definition, you'll define where the blueprint is saved. I progetti possono essere salvati in un gruppo di gestione o una sottoscrizione a cui si ha accesso come collaboratore.Blueprints can be saved to a management group or subscription that you have Contributor access to. Se la posizione è un gruppo di gestione, il progetto è assegnabile a qualsiasi sottoscrizione figlio di tale gruppo di gestione.If the location is a management group, the blueprint is available to assign to any child subscription of that management group.

Parametri di progettoBlueprint parameters

Azure Blueprint può passare i parametri a criteri o iniziative oppure a un modello di Azure Resource Manager.Blueprints can pass parameters to either a policy/initiative or an Azure Resource Manager template. Quando si aggiunge un artefatto a un progetto, l'autore decide se fornire un valore definito per ogni assegnazione di progetto o se consentire a ogni assegnazione di progetto di fornire un valore in fase di assegnazione.When adding either artifact to a blueprint, the author decides to provide a defined value for each blueprint assignment or to allow each blueprint assignment to provide a value at assignment time. Questa flessibilità consente di definire un valore predeterminato per tutti gli usi del progetto o per consentire che tale decisione venga presa al momento dell'assegnazione.This flexibility provides the option to define a pre-determined value for all uses of the blueprint or to enable that decision to be made at the time of assignment.

Nota

Un progetto può avere i propri parametri, ma al momento questi possono essere creati solo se un progetto è generato dall'API REST anziché tramite il portale.A blueprint can have its own parameters, but these can currently only be created if a blueprint is generated from REST API instead of through the Portal.

Per altre informazioni, vedere Parametri di progetto.For more information, see blueprint parameters.

Pubblicazione di progettiBlueprint publishing

Quando si crea un progetto per la prima volta, questo viene considerato in modalità bozza.When a blueprint is first created, it's considered to be in Draft mode. Quando è pronto per l'assegnazione, deve essere pubblicato.When it's ready to be assigned, it needs to be Published. La pubblicazione richiede la definizione di una stringa versione (lettere, numeri e trattini con una lunghezza massima di 20 caratteri) insieme a note di modifica facoltative.Publishing requires defining a Version string (letters, numbers, and hyphens with a max length of 20 characters) along with optional Change notes. La stringa versione consente di distinguere il progetto dalle modifiche future apportate allo stesso e di assegnare ciascuna versione.The Version differentiates it from future changes to the same blueprint and allows each version to be assigned. Questo controllo delle versioni significa anche che è possibile assegnare diverse versioni dello stesso progetto alla stessa sottoscrizione.This versioning also means different Versions of the same blueprint can be assigned to the same subscription. Quando al progetto vengono apportate altre modifiche, la versione pubblicata è ancora presente, così come le modifiche non pubblicate.When additional changes are made to the blueprint, the Published Version still exists, as do the Unpublished changes. Una volta ultimate le modifiche, il progetto aggiornato viene pubblicato con una nuova versione univoca e può essere ora assegnato.Once the changes are complete, the updated blueprint is Published with a new and unique Version and can now also be assigned.

Assegnazione progettoBlueprint assignment

Ogni Versione pubblicata di un progetto può essere assegnata (con un nome di lunghezza massima di 90 caratteri) a una sottoscrizione esistente.Each Published Version of a blueprint can be assigned (with a max name length of 90 characters) to an existing subscription. Nel portale il progetto imposta la versione pubblicata più di recente come predefinita.In the portal, the blueprint defaults the Version to the one Published most recently. Se sono presenti parametri dell'artefatto (o parametri di progetto), questi vengono definiti durante il processo di assegnazione.If there are artifact parameters (or blueprint parameters), then the parameters are defined during the assignment process.

Autorizzazioni in Azure BlueprintPermissions in Azure Blueprints

Per usare i progetti è necessario essere autorizzati tramite il controllo degli accessi in base al ruolo.To use blueprints, you must be granted permissions through Role-based access control (RBAC). Per creare i progetti l'account necessita delle seguenti autorizzazioni:To create blueprints, your account needs the following permissions:

  • Microsoft.Blueprint/blueprints/write - Creare una definizione di progettoMicrosoft.Blueprint/blueprints/write - Create a blueprint definition
  • Microsoft.Blueprint/blueprints/artifacts/write - Creare artefatti su una definizione di progettoMicrosoft.Blueprint/blueprints/artifacts/write - Create artifacts on a blueprint definition
  • Microsoft.Blueprint/blueprints/versions/write - Pubblicare un progettoMicrosoft.Blueprint/blueprints/versions/write - Publish a blueprint

Per eliminare i progetti l'account necessita delle seguenti autorizzazioni:To delete blueprints, your account needs the following permissions:

  • Microsoft.Blueprint/blueprints/delete
  • Microsoft.Blueprint/blueprints/artifacts/delete
  • Microsoft.Blueprint/blueprints/versions/delete

Nota

Le autorizzazioni per la definizione di progetto devono essere concesse o ereditate nell'ambito del gruppo di gestione o della sottoscrizione in cui è stato eseguito il salvataggio.The blueprint definition permissions must be granted or inherited on the management group or subscription scope where it is saved.

Per assegnare o annullare l'assegnazione di un progetto l'account necessita delle seguenti autorizzazioni:To assign or unassign a blueprint, your account needs the following permissions:

  • Microsoft.Blueprint/blueprintAssignments/write - Assegnare un progettoMicrosoft.Blueprint/blueprintAssignments/write - Assign a blueprint
  • Microsoft.Blueprint/blueprintAssignments/delete - Annullare l'assegnazione di un progettoMicrosoft.Blueprint/blueprintAssignments/delete - Unassign a blueprint

Nota

Dato che le assegnazioni di progetto vengono create in una sottoscrizione, le autorizzazioni per assegnare o annullare l'assegnazione devono essere concesse nell'ambito della sottoscrizione o essere ereditate nell'ambito della sottoscrizione.As blueprint assignments are created on a subscription, the blueprint assign and unassign permissions must be granted on a subscription scope or be inherited onto a subscription scope.

Sono disponibili i ruoli predefiniti seguenti:The following built-in roles are available:

Ruolo Controllo degli accessi in base al ruoloRBAC Role DESCRIZIONEDescription
ProprietarioOwner Oltre ad altre autorizzazioni, include tutte le autorizzazioni correlate ad Azure Blueprint.In addition to other permissions, includes all Azure Blueprint related permissions.
CollaboratoreContributor Oltre ad altre autorizzazioni, può creare ed eliminare definizioni di progetto, ma non ha le autorizzazioni per l'assegnazione di progetti.In addition to other permissions, can create and delete blueprint definitions, but doesn't have blueprint assignment permissions.
Collaboratore di progettoBlueprint Contributor Può gestire le definizioni di progetto, ma non assegnarle.Can manage blueprint definitions, but not assign them.
Operatore di progettoBlueprint Operator Può assegnare i progetti pubblicati esistenti, ma non può creare nuove definizioni di progetto.Can assign existing published blueprints, but can't create new blueprint definitions. L'assegnazione di progetti funziona solo se viene eseguita con un'identità gestita assegnata dall'utente.Blueprint assignment only works if the assignment is done with a user-assigned managed identity.

Se questi ruoli predefiniti non soddisfano specifiche esigenze di sicurezza, provare a creare un ruolo personalizzato.If these built-in roles don't fit your security needs, consider creating a custom role.

Nota

Se si utilizza un'identità gestita assegnata al sistema, per poter abilitare la distribuzione l'entità servizio per Azure Blueprint richiede il ruolo proprietario nella sottoscrizione assegnata.If using a system-assigned managed identity, the service principal for Azure Blueprints requires the Owner role on the assigned subscription in order to enable deployment. Se si usa il portale, questo ruolo viene automaticamente concesso e revocato per la distribuzione.If using the portal, this role is automatically granted and revoked for the deployment. Se si usa l'API REST, questo ruolo deve essere concesso manualmente, ma viene comunque revocato automaticamente al termine della distribuzione.If using the REST API, this role must be manually granted, but is still automatically revoked after the deployment completes. Se si usa un'identità gestita assegnata dall'utente, solo l'utente che crea l'assegnazione del progetto necessita dell'autorizzazione Microsoft.Blueprint/blueprintAssignments/write, inclusa nei ruoli predefiniti Proprietario e Operatore di progetto.If using a user-assigned managed identity, only the user creating the blueprint assignment needs the Microsoft.Blueprint/blueprintAssignments/write permission, which is included in both the Owner and Blueprint Operator built-in roles.

Limiti di denominazioneNaming limits

Per determinati campi, esistono le limitazioni seguenti:The following limitations exist for certain fields:

OggettoObject CampoField Caratteri consentitiAllowed Characters Max.Max. LengthLength
ProgettoBlueprint NOMEName lettere, numeri, trattini e puntiletters, numbers, hyphens, and periods 4848
ProgettoBlueprint VersioneVersion lettere, numeri, trattini e puntiletters, numbers, hyphens, and periods 2020
Assegnazione progettoBlueprint assignment NOMEName lettere, numeri, trattini e puntiletters, numbers, hyphens, and periods 9090
Artefatto del progettoBlueprint artifact NOMEName lettere, numeri, trattini e puntiletters, numbers, hyphens, and periods 4848

Video introduttivoVideo overview

La panoramica seguente di Azure Blueprints deriva da Azure Fridays.The following overview of Azure Blueprints is from Azure Fridays. Per il download del video, visitare Azure Fridays - Panoramica di Azure Blueprints su Channel 9.For video download, visit Azure Fridays - An overview of Azure Blueprints on Channel 9.

Passaggi successiviNext steps