Informazioni su Azure Blueprint

Importante

Azure Blueprints è attualmente in anteprima. Le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Così come un progetto consente a un ingegnere o un architetto di tracciare i parametri di progettazione, Azure Blueprint consente agli architetti cloud e ai gruppi centrali del reparto IT di definire un set ripetibile di risorse di Azure che implementa ed è conforme a standard, criteri e requisiti di un'organizzazione. Azure Blueprints consente ai team di sviluppo di creare e realizzare rapidamente nuovi ambienti con la consapevolezza che vengono creati in conformità ai requisiti dell'organizzazione con un set di componenti incorporati, come le reti, per velocizzare lo sviluppo e la distribuzione.

I progetti costituiscono un metodo dichiarativo per orchestrare la distribuzione di vari modelli di risorse e altri artefatti, ad esempio:

  • Assegnazioni di ruoli
  • Assegnazioni di criteri
  • Modelli di Azure Resource Manager
  • Gruppi di risorse

Il servizio Azure Blueprints è supportato da Azure Cosmos DB distribuito a livello globale. Gli oggetti del progetto vengono replicati in più aree di Azure. Questa replica fornisce bassa latenza, disponibilità elevata e accesso ininterrotto agli oggetti del progetto, indipendentemente dall'area in cui Azure Blueprints distribuisce le risorse.

In cosa differisce dai modelli di Resource Manager

Il servizio è progettato per facilitare la configurazione dell'ambiente. Questa configurazione spesso è costituita da un set di gruppi di risorse, criteri, assegnazioni di ruolo e distribuzioni dei modelli di Resource Manager. Un progetto è un pacchetto che raggruppa tutti questi tipi di artefatti e consente di comporre e controllare la versione di tale pacchetto, anche tramite una pipeline di integrazione continua e distribuzione continua (CI/CD). In definitiva, ognuno viene assegnato a una sottoscrizione in una singola operazione che può essere controllata e monitorata.

Quasi tutto ciò che si vuole includere per la distribuzione in Azure Blueprints può essere eseguito con un modello di Resource Manager. Tuttavia, un modello di Gestione risorse di Azure è un documento che non esiste in modo nativo in Azure, ognuno dei quali viene archiviato in locale o nel controllo del codice sorgente o in Modelli (anteprima). Il modello viene usato per le distribuzioni di una o più risorse di Azure, ma dopo la distribuzione di tali risorse non c'è una connessione o relazione attiva con il modello.

Con Azure Blueprints, la relazione tra la definizione di progetto (cosa distribuire) e l'assegnazione di progetto (cosa è stato distribuito) viene mantenuta. Questa connessione supporta un migliore monitoraggio e controllo delle distribuzioni. Azure Blueprints può anche aggiornare più sottoscrizioni contemporaneamente regolate dallo stesso progetto.

Non è necessario scegliere tra un modello di Resource Manager e un progetto. Ogni progetto può essere costituito da zero o più artefatti dei modelli di Resource Manager. Questo significa che il lavoro richiesto in precedenza per sviluppare e gestire una libreria di modelli di Resource Manager può essere sfruttato di nuovo in Azure Blueprints.

In cosa differisce dai Criteri di Azure

Un progetto è un pacchetto o un contenitore per la composizione di specifici set di standard, criteri e requisiti correlati all'implementazione dei servizi cloud, della sicurezza e della progettazione di Azure, che può essere riusato per garantire coerenza e conformità.

I criteri costituiscono un sistema predefinito di autorizzazione e negazione esplicita che mira alle proprietà delle risorse durante la distribuzione e viene usato per le risorse già esistenti. I criteri supportano la governance cloud verificando che le risorse all'interno di una sottoscrizione siano conformi a standard e requisiti.

L'inclusione di criteri in un progetto consente non solo di creare il criterio o la progettazione corretta durante l'assegnazione del progetto, ma assicura anche che nell'ambiente vengano eseguite solo le modifiche approvate o previste, in modo da garantire la conformità continua con la finalità del progetto.

I criteri possono essere inclusi nella definizione di un progetto come i vari artefatti. In Azure Blueprint è inoltre supportato l'uso di parametri con criteri e iniziative.

Definizione di progetto

Un progetto è costituito da artefatti. Azure Blueprints supporta attualmente le risorse seguenti come artefatti:

Risorsa Opzioni della gerarchia Descrizione
Gruppi di risorse Subscription Creare un nuovo gruppo di risorse per l'uso da parte di altri artefatti nel progetto. Questi gruppi di risorse segnaposto consentono di organizzare le risorse strutturandole esattamente nel modo desiderato e forniscono un limitatore di ambito per i criteri e gli artefatti di assegnazione dei ruoli inclusi, nonché per i modelli di Resource Manager.
Modello ARM Sottoscrizione, gruppo di risorse Vengono usati modelli, inclusi quelli annidati e collegati, per comporre ambienti complessi. Esempi di ambienti complessi sono: una farm di SharePoint, la configurazione dello stato di Automazione di Azure o un'area di lavoro Log Analytics.
Assegnazione dei criteri Sottoscrizione, gruppo di risorse Consente di assegnare criteri o iniziative alla sottoscrizione a cui è assegnato il progetto. I criteri o le iniziative devono trovarsi nell'ambito della posizione della definizione di progetto. Se i criteri o le iniziative includono dei parametri, questi vengono assegnati al momento della creazione del progetto o durante l'assegnazione dello stesso.
Assegnazione di ruolo Sottoscrizione, gruppo di risorse Aggiungere un utente o gruppo esistente a un ruolo predefinito per assicurarsi che gli utenti corretti possano sempre accedere correttamente alle risorse. Le assegnazioni di ruolo possono essere definite per l'intera sottoscrizione o annidate in un gruppo di risorse specifiche incluso nel progetto.

Posizioni delle definizioni di progetto

Durante la creazione di una definizione di progetto, viene definita la posizione di salvataggio del progetto. I progetti possono essere salvati in un gruppo di gestione o una sottoscrizione a cui si ha accesso come collaboratore. Se la posizione è un gruppo di gestione, il progetto è assegnabile a qualsiasi sottoscrizione figlio di tale gruppo di gestione.

Parametri di progetto

Azure Blueprint può passare i parametri a criteri o iniziative oppure a un modello di Azure Resource Manager. Quando si aggiunge un artefatto a un progetto, l'autore decide se fornire un valore definito per ogni assegnazione di progetto o se consentire a ogni assegnazione di progetto di fornire un valore in fase di assegnazione. Questa flessibilità consente di definire un valore predeterminato per tutti gli usi del progetto o per consentire che tale decisione venga presa al momento dell'assegnazione.

Nota

Un progetto può avere i propri parametri, ma al momento questi possono essere creati solo se un progetto è generato dall'API REST anziché tramite il portale.

Per altre informazioni, vedere Parametri di progetto.

Pubblicazione di progetti

Quando si crea un progetto per la prima volta, questo viene considerato in modalità bozza. Quando è pronto per l'assegnazione, deve essere pubblicato. La pubblicazione richiede la definizione di una stringa versione (lettere, numeri e trattini con una lunghezza massima di 20 caratteri) insieme a note di modifica facoltative. La stringa versione consente di distinguere il progetto dalle modifiche future apportate allo stesso e di assegnare ciascuna versione. Questo controllo delle versioni significa anche che è possibile assegnare diverse versioni dello stesso progetto alla stessa sottoscrizione. Quando al progetto vengono apportate altre modifiche, la versione pubblicata è ancora presente, così come le modifiche non pubblicate. Una volta ultimate le modifiche, il progetto aggiornato viene pubblicato con una nuova versione univoca e può essere ora assegnato.

Assegnazione progetto

Ogni versione pubblicata di un progetto può essere assegnata (con un nome contenente al massimo 90 caratteri) a un gruppo di gestione o a una sottoscrizione esistente. Nel portale il progetto imposta la versione pubblicata più di recente come predefinita. Se sono presenti parametri di artefatto o parametri di progetto, questi vengono definiti durante il processo di assegnazione.

Nota

L'assegnazione di una definizione di progetto a un gruppo di gestione indica l'esistenza dell'oggetto di assegnazione nel gruppo di gestione. La distribuzione di artefatti è ancora destinata a una sottoscrizione. Per eseguire un'assegnazione di un gruppo di gestione, è necessario usare l'API REST Create o Update e il corpo della richiesta deve includere un valore per properties.scope per definire la sottoscrizione di destinazione.

Autorizzazioni in Azure Blueprint

Per usare i progetti è necessario che siano state concesse le autorizzazioni tramite il controllo degli accessi in base al ruolo di Azure. Per eseguire la lettura di un progetto o visualizzarlo nel portale di Azure, è necessario che l'account disponga dell'accesso in lettura all'ambito in cui si trova la definizione del progetto.

Per creare i progetti l'account necessita delle seguenti autorizzazioni:

  • Microsoft.Blueprint/blueprints/write - Creare una definizione di progetto
  • Microsoft.Blueprint/blueprints/artifacts/write - Creare artefatti su una definizione di progetto
  • Microsoft.Blueprint/blueprints/versions/write - Pubblicare un progetto

Per eliminare i progetti l'account necessita delle seguenti autorizzazioni:

  • Microsoft.Blueprint/blueprints/delete
  • Microsoft.Blueprint/blueprints/artifacts/delete
  • Microsoft.Blueprint/blueprints/versions/delete

Nota

Le autorizzazioni per la definizione di progetto devono essere concesse o ereditate nell'ambito del gruppo di gestione o della sottoscrizione in cui è stato eseguito il salvataggio.

Per assegnare o annullare l'assegnazione di un progetto l'account necessita delle seguenti autorizzazioni:

  • Microsoft.Blueprint/blueprintAssignments/write - Assegnare un progetto
  • Microsoft.Blueprint/blueprintAssignments/delete - Annullare l'assegnazione di un progetto

Nota

Dato che le assegnazioni di progetto vengono create in una sottoscrizione, le autorizzazioni per assegnare o annullare l'assegnazione devono essere concesse nell'ambito della sottoscrizione o essere ereditate nell'ambito della sottoscrizione.

Sono disponibili i ruoli predefiniti seguenti:

Ruolo di Azure Descrizione
Proprietario Oltre ad altre autorizzazioni, include tutte le autorizzazioni Azure Blueprints correlate.
Collaboratore Oltre ad altre autorizzazioni, può creare ed eliminare definizioni di progetto, ma non ha le autorizzazioni per l'assegnazione di progetti.
Collaboratore di progetto Può gestire le definizioni di progetto, ma non assegnarle.
Operatore di progetto Può assegnare i progetti pubblicati esistenti, ma non può creare nuove definizioni di progetto. L'assegnazione di progetti funziona solo se viene eseguita con un'identità gestita assegnata dall'utente.

Se questi ruoli predefiniti non soddisfano specifiche esigenze di sicurezza, provare a creare un ruolo personalizzato.

Nota

Se si utilizza un'identità gestita assegnata al sistema, per poter abilitare la distribuzione l'entità servizio per Azure Blueprint richiede il ruolo proprietario nella sottoscrizione assegnata. Se si usa il portale, questo ruolo viene automaticamente concesso e revocato per la distribuzione. Se si usa l'API REST, questo ruolo deve essere concesso manualmente, ma viene comunque revocato automaticamente al termine della distribuzione. Se si usa un'identità gestita assegnata dall'utente, solo l'utente che crea l'assegnazione del progetto necessita dell'autorizzazione Microsoft.Blueprint/blueprintAssignments/write, inclusa nei ruoli predefiniti Proprietario e Operatore di progetto.

Limiti di denominazione

Per determinati campi, esistono le limitazioni seguenti:

Oggetto Campo Caratteri consentiti Max. Length
Progetto Nome lettere, numeri, trattini e punti 48
Progetto Versione lettere, numeri, trattini e punti 20
Assegnazione progetto Nome lettere, numeri, trattini e punti 90
Artefatto del progetto Nome lettere, numeri, trattini e punti 48

Video introduttivo

La panoramica seguente di Azure Blueprints deriva da Azure Fridays. Per il download del video, visitare Azure Fridays - Panoramica di Azure Blueprints su Channel 9.

Passaggi successivi