Stosy wdrażania (wersja zapoznawcza)

Stos wdrażania platformy Azure to typ zasobu platformy Azure, który umożliwia zarządzanie grupą zasobów platformy Azure jako jednostką niepodzielna. Gdy plik Bicep lub szablon JSON usługi ARM jest przesyłany do stosu wdrożenia, definiuje zasoby zarządzane przez stos. Jeśli zasób, który został wcześniej uwzględniony w szablonie, zostanie on odłączony lub usunięty na podstawie określonej akcjiOnUnmanage zachowania stosu wdrożenia. Podobnie jak w przypadku innych zasobów platformy Azure dostęp do stosu wdrażania można ograniczyć przy użyciu kontroli dostępu opartej na rolach (RBAC) platformy Azure.

Aby utworzyć i zaktualizować stos wdrożenia, możesz użyć interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell lub witryny Azure Portal wraz z plikami Bicep. Te pliki Bicep są transpilowane w szablonach JSON usługi ARM, które następnie są wdrażane jako obiekt wdrożenia przez stos. Stos wdrożenia oferuje dodatkowe możliwości poza znanymi zasobami wdrażania, które pełnią rolę nadzbioru tych możliwości.

Microsoft.Resources/deploymentStacks to typ zasobu dla stosów wdrożeń. Składa się on z głównego szablonu, który może wykonywać aktualizacje od 1 do wielu w różnych zakresach do opisanych zasobów i blokować wszelkie niepożądane zmiany w tych zasobach.

Podczas planowania wdrożenia i określania, które grupy zasobów powinny być częścią tego samego stosu, należy wziąć pod uwagę cykl życia zarządzania tych zasobów, który obejmuje tworzenie, aktualizowanie i usuwanie. Załóżmy na przykład, że musisz aprowizować niektóre testowe maszyny wirtualne dla różnych zespołów aplikacji w różnych zakresach grup zasobów. W takim przypadku można użyć stosu wdrożenia, aby utworzyć te środowiska testowe i zaktualizować konfiguracje testowej maszyny wirtualnej za pomocą kolejnych aktualizacji do stosu wdrożenia. Po ukończeniu projektu może być konieczne usunięcie lub usunięcie wszystkich utworzonych zasobów, takich jak testowe maszyny wirtualne. Korzystając ze stosu wdrożenia, zasoby zarządzane można łatwo usunąć, określając odpowiednią flagę usuwania. To usprawnione podejście pozwala zaoszczędzić czas podczas oczyszczania środowiska, ponieważ obejmuje pojedynczą aktualizację zasobu stosu, a nie pojedynczo modyfikuje lub usuwa każdą testową maszynę wirtualną w różnych zakresach grup zasobów.

Stosy wdrażania wymagają programu Azure PowerShell w wersji 10.1.0 lub nowszej lub interfejsu wiersza polecenia platformy Azure w wersji 2.50.0 lub nowszej.

Aby utworzyć pierwszy stos wdrożenia, wykonaj kroki z przewodnika Szybki start: tworzenie stosu wdrożenia.

Dlaczego warto używać stosów wdrażania?

Stosy wdrażania zapewniają następujące korzyści:

• Uproszczona aprowizacja zasobów i zarządzanie nimi w różnych zakresach jako spójna jednostka.
• Zapobieganie niepożądanym modyfikacjom zasobów zarządzanych za pomocą ustawień odmowy.
• Wydajne czyszczenie środowiska dzięki użyciu flag usuwania podczas aktualizacji stosu wdrożenia.
• Korzystanie ze standardowych szablonów, takich jak Bicep, szablony usługi ARM lub specyfikacje szablonów dla stosów wdrożeń.

Znane ograniczenia

• Niejawnie utworzone zasoby nie są zarządzane przez stos. W związku z tym nie można odmówić przypisań ani oczyszczania.
• Przypisania odmowy nie obsługują tagów.
• Przypisania odmowy nie są obsługiwane w zakresie grupy zarządzania.
• Stosy wdrażania nie mogą usuwać wpisów tajnych magazynu kluczy. Jeśli usuwasz wpisy tajne magazynu kluczy z szablonu, pamiętaj, aby również wykonać polecenie aktualizacji/usuwania stosu wdrożenia z trybem odłączania.

Znane problemy

• Usuwanie grup zasobów obecnie pomija przypisania odmowy. Podczas tworzenia stosu wdrożenia w zakresie grupy zasobów plik Bicep nie zawiera definicji grupy zasobów. Pomimo ustawienia przypisania odmowy można usunąć grupę zasobów i jej zawarty stos. Jeśli jednak blokada jest aktywna w dowolnym zasobie w grupie, operacja usuwania zakończy się niepowodzeniem.
• Co-jeżeli nie jest dostępne w wersji zapoznawczej.
• Stos o zakresie grupy zarządzania jest ograniczony do wdrażania w innej grupie zarządzania. Można go wdrożyć tylko w grupie zarządzania samego stosu lub w subskrypcji podrzędnej.

Tworzenie stosów wdrożenia

Zasób stosu wdrożenia można utworzyć w zakresie grupy zasobów, subskrypcji lub grupy zarządzania. Szablon przekazany do stosu wdrożenia definiuje zasoby, które mają zostać utworzone lub zaktualizowane w zakresie docelowym określonym dla wdrożenia szablonu.

• Stos w zakresie grupy zasobów może wdrożyć szablon przekazany do tego samego zakresu grupy zasobów, w którym istnieje stos wdrożenia.
• Stos w zakresie subskrypcji może wdrożyć szablon przekazany do zakresu grupy zasobów (jeśli określono) lub ten sam zakres subskrypcji, w którym istnieje stos wdrożenia.
• Stos w zakresie grupy zarządzania może wdrożyć szablon przekazany do określonego zakresu subskrypcji.

Należy pamiętać, że w przypadku, gdy istnieje stos wdrożenia, dlatego przypisanie odmowy utworzone za pomocą możliwości ustawienia odmowy. Na przykład przez utworzenie stosu wdrożenia w zakresie subskrypcji, który wdraża szablon w zakresie grupy zasobów i z trybem DenyDeleteustawienia odmowy, można łatwo aprowizować zarządzane zasoby do określonej grupy zasobów i blokować próby usunięcia tych zasobów. Korzystając z tego podejścia, można również zwiększyć bezpieczeństwo stosu wdrożenia, oddzielając go na poziomie subskrypcji, w przeciwieństwie do poziomu grupy zasobów. Ta separacja gwarantuje, że zespoły deweloperów współpracujące z zaaprowizowanymi zasobami mają dostęp tylko do wglądu i zapisu w grupach zasobów, podczas gdy stos wdrożenia pozostaje odizolowany na wyższym poziomie. Minimalizuje to liczbę użytkowników, którzy mogą edytować stos wdrożenia i wprowadzać zmiany w przypisaniu odmowy. Aby uzyskać więcej informacji, zobacz Ochrona zarządzanego zasobu przed usunięciem.

Polecenia create-stack mogą być również używane do aktualizowania stosów wdrażania.

Aby utworzyć stos wdrożenia w zakresie grupy zasobów:

Program PowerShell

New-AzResourceGroupDeploymentStack `
  -Name "<deployment-stack-name>" `
  -ResourceGroupName "<resource-group-name>" `
  -TemplateFile "<bicep-file-name>" `
  -DenySettingsMode "none"

Interfejs wiersza polecenia

az stack group create \
  --name '<deployment-stack-name>' \
  --resource-group '<resource-group-name>' \
  --template-file '<bicep-file-name>' \
  --deny-settings-mode 'none'

Portal

Obecnie nie zaimplementowana.

Aby utworzyć stos wdrożenia w zakresie subskrypcji:

Program PowerShell

New-AzSubscriptionDeploymentStack `
  -Name "<deployment-stack-name>" `
  -Location "<location>" `
  -TemplateFile "<bicep-file-name>" `
  -DeploymentResourceGroupName "<resource-group-name>" `
  -DenySettingsMode "none"

Parametr DeploymentResourceGroupName określa grupę zasobów używaną do przechowywania zasobów zarządzanych. Jeśli parametr nie zostanie określony, zasoby zarządzane są przechowywane w zakresie subskrypcji.

Interfejs wiersza polecenia

az stack sub create \
  --name '<deployment-stack-name>' \
  --location '<location>' \
  --template-file '<bicep-file-name>' \
  --deployment-resource-group' <resource-group-name>' \
  --deny-settings-mode 'none'

Parametr deployment-resource-group określa grupę zasobów używaną do przechowywania zasobów zarządzanych. Jeśli parametr nie zostanie określony, zasoby zarządzane są przechowywane w zakresie subskrypcji.

Portal

Obecnie nie zaimplementowana.

Aby utworzyć stos wdrożenia w zakresie grupy zarządzania:

Program PowerShell

New-AzManagmentGroupDeploymentStack `
  -Name "<deployment-stack-name>" `
  -Location "<location>" `
  -TemplateFile "<bicep-file-name>" `
  -DeploymentSubscriptionId "<subscription-id>" `
  -DenySettingsMode "none"

Parametr deploymentSubscriptionId określa subskrypcję używaną do przechowywania zasobów zarządzanych. Jeśli parametr nie zostanie określony, zasoby zarządzane są przechowywane w zakresie grupy zarządzania.

Interfejs wiersza polecenia

az stack mg create \
  --name '<deployment-stack-name>' \
  --location '<location>' \
  --template-file '<bicep-file-name>' \
  --deployment-subscription '<subscription-id>' \
  --deny-settings-mode 'none'

Parametr deployment-subscription określa subskrypcję używaną do przechowywania zasobów zarządzanych. Jeśli parametr nie zostanie określony, zasoby zarządzane są przechowywane w zakresie grupy zarządzania.

Portal

Obecnie nie zaimplementowana.

Wyświetlanie listy stosów wdrożeń

Aby wyświetlić listę zasobów stosu wdrożenia w zakresie grupy zasobów:

Program PowerShell

Get-AzResourceGroupDeploymentStack `
  -ResourceGroupName "<resource-group-name>"

Interfejs wiersza polecenia

az stack group list \
  --resource-group '<resource-group-name>'

Portal

1. W witrynie Azure Portal otwórz grupę zasobów zawierającą stosy wdrożenia.

2. W menu po lewej stronie wybierz Deployment stacks pozycję , aby wyświetlić listę stosów wdrożonych w grupie zasobów.

   

Aby wyświetlić listę zasobów stosu wdrożenia w zakresie subskrypcji:

Program PowerShell

Get-AzSubscriptionDeploymentStack

Interfejs wiersza polecenia

az stack sub list

Portal

1. W witrynie Azure Portal otwórz subskrypcję zawierającą stosy wdrożenia.

2. W menu po lewej stronie wybierz Deployment stacks pozycję , aby wyświetlić listę stosów wdrożonych w ramach subskrypcji.

   

Aby wyświetlić listę zasobów stosu wdrożenia w zakresie grupy zarządzania:

Program PowerShell

Get-AzManagementGroupDeploymentStack `
  -ManagementGroupId "<management-group-id>"

Interfejs wiersza polecenia

az stack mg list \
  --management-group-id '<management-group-id>'

Portal

Obecnie nie zaimplementowana.

Aktualizowanie stosów wdrożeń

Aby zaktualizować stos wdrożenia, który może obejmować dodawanie lub usuwanie zarządzanego zasobu, należy wprowadzić zmiany w źródłowych plikach Bicep. Po wprowadzeniu modyfikacji dostępne są dwie opcje aktualizacji stosu wdrożenia: uruchom polecenie aktualizacji lub uruchom ponownie polecenie create.

Lista zasobów zarządzanych może być w pełni kontrolowana za pomocą wzorca projektowego infrastruktury jako kodu (IaC).

Użyj polecenia Ustaw

Aby zaktualizować stos wdrożenia w zakresie grupy zasobów:

Program PowerShell

Set-AzResourceGroupDeploymentStack `
  -Name "<deployment-stack-name>" `
  -ResourceGroupName "<resource-group-name>" `
  -TemplateFile "<bicep-file-name>" `
  -DenySettingsMode "none"

Interfejs wiersza polecenia

az stack group create \
  --name '<deployment-stack-name>' \
  --resource-group '<resource-group-name>' \
  --template-file '<bicep-file-name>' \
  --deny-settings-mode 'none'

Uwaga

Interfejs wiersza polecenia platformy Azure nie ma polecenia zestawu stosów wdrażania. Zamiast tego użyj polecenia Nowy.

Portal

Obecnie nie zaimplementowana.

Aby zaktualizować stos wdrożenia w zakresie subskrypcji:

Program PowerShell

Set-AzSubscriptionDeploymentStack `
   -Name "<deployment-stack-name>" `
   -Location "<location>" `
   -TemplateFile "<bicep-file-name>" `
   -DeploymentResourceGroupName "<resource-group-name>" `
  -DenySettingsMode "none"

Parametr DeploymentResourceGroupName określa grupę zasobów używaną do przechowywania zasobów stosu wdrożenia. Jeśli nie określisz nazwy grupy zasobów, usługa stosu wdrożenia utworzy nową grupę zasobów.

Interfejs wiersza polecenia

az stack sub create \
  --name '<deployment-stack-name>' \
  --location '<location>' \
  --template-file '<bicep-file-name>' \
  --deployment-resource-group '<resource-group-name>' \
  --deny-settings-mode 'none'

Portal

Obecnie nie zaimplementowana.

Aby zaktualizować stos wdrożenia w zakresie grupy zarządzania:

Program PowerShell

Set-AzManagmentGroupDeploymentStack `
  -Name "<deployment-stack-name>" `
  -Location "<location>" `
  -TemplateFile "<bicep-file-name>" `
  -DeploymentSubscriptionId "<subscription-id>" `
  -DenySettingsMode "none"

Interfejs wiersza polecenia

az stack mg create \
  --name '<deployment-stack-name>' \
  --location '<location>' \
  --template-file '<bicep-file-name>' \
  --deployment-subscription '<subscription-id>' \
  --deny-settings-mode 'none'

Portal

Obecnie nie zaimplementowana.

Użyj nowego polecenia

Zostanie wyświetlone ostrzeżenie podobne do następującego:

The deployment stack 'myStack' you're trying to create already exists in the current subscription/management group/resource group. Do you want to overwrite it? Detaching: resources, resourceGroups (Y/N)

Aby uzyskać więcej informacji, zobacz Tworzenie stosów wdrażania.

Sterowanie odłączeniem i usuwaniem

Zasób odłączony (lub zasób niezarządzany) odnosi się do zasobu, który nie jest śledzony ani zarządzany przez stos wdrożenia, ale nadal istnieje na platformie Azure.

Aby poinstruować platformę Azure o usunięcie niezarządzanych zasobów, zaktualizuj stos za pomocą polecenia create stack za pomocą jednej z następujących flag usuwania. Aby uzyskać więcej informacji, zobacz Tworzenie stosu wdrożenia.

Program PowerShell

• DeleteAll: należy używać funkcji usuwania, a nie odłączać zasobów zarządzanych i grup zasobów.
• DeleteResources: użyj opcji usuń, a nie odłączaj tylko dla zasobów zarządzanych.
• DeleteResourceGroups: użyj opcji usuń, a nie odłączaj tylko dla zarządzanych grup zasobów. Jest ono nieprawidłowe do użycia samodzielnie DeleteResourceGroups . DeleteResourceGroups należy używać razem z DeleteResources.

Na przykład:

New-AzSubscriptionDeploymentStack `
  -Name "<deployment-stack-name" `
  -TemplateFile "<bicep-file-name>" `
  -DenySettingsMode "none" `
  -DeleteResourceGroups `
  -DeleteResources

Interfejs wiersza polecenia

• delete-all: należy używać funkcji usuwania, a nie odłączać zasobów zarządzanych i grup zasobów.
• delete-resources: użyj opcji usuń, a nie odłączaj tylko dla zasobów zarządzanych.
• delete-resource-groups: użyj opcji usuń, a nie odłączaj tylko dla zarządzanych grup zasobów. Jest ono nieprawidłowe do użycia delete-resource-groups samodzielnie. delete-resource-groups należy używać razem z delete-resources.

Na przykład:

az stack sub create `
  --name '<deployment-stack-name>' `
  --location '<location>' `
  --template-file '<bicep-file-name>' `
  --deny-settings-mode 'none' `
  --delete-resource-groups `
  --delete-resources

Portal

Obecnie nie zaimplementowana.

Ostrzeżenie

Podczas usuwania grup zasobów z właściwościami DeleteAll lub DeleteResourceGroups zarządzane grupy zasobów i wszystkie zawarte w nich zasoby również zostaną usunięte.

Usuwanie stosów wdrożeń

Program PowerShell

Jeśli uruchomisz polecenia usuwania bez flag usuwania, niezarządzane zasoby zostaną odłączone, ale nie zostaną usunięte. Aby usunąć niezarządzane zasoby, użyj następujących przełączników:

• DeleteAll: Usuń zarówno zasoby, jak i grupy zasobów.
• DeleteResources: Usuń tylko zasoby.
• DeleteResourceGroups: Usuń tylko grupy zasobów.

Interfejs wiersza polecenia

Jeśli uruchomisz polecenia usuwania bez flag usuwania, niezarządzane zasoby zostaną odłączone, ale nie zostaną usunięte. Aby usunąć niezarządzane zasoby, użyj następujących przełączników:

• delete-all: Usuń zarówno zasoby, jak i grupy zasobów.
• delete-resources: Usuń tylko zasoby.
• delete-resource-groups: Usuń tylko grupy zasobów.

Portal

Po usunięciu stosu wdrożenia wybierz jedną z flag usuwania.

Nawet jeśli określisz usunięcie całego przełącznika, jeśli w grupie zasobów znajdują się zasoby niezarządzane, zarówno zasób niezarządzany, jak i sama grupa zasobów nie zostaną usunięte.

Aby usunąć zasoby stosu wdrożenia w zakresie grupy zasobów:

Program PowerShell

Remove-AzResourceGroupDeploymentStack `
  -name "<deployment-stack-name>" `
  -ResourceGroupName "<resource-group-name>" `
  [-DeleteAll/-DeleteResourceGroups/-DeleteResources]

Interfejs wiersza polecenia

az stack group delete \
  --name '<deployment-stack-name>' \
  --resource-group '<resource-group-name>' \
  [--delete-all/--delete-resource-groups/--delete-resources]

Portal

1. W witrynie Azure Portal otwórz grupę zasobów zawierającą stosy wdrożenia.

2. W menu po lewej stronie wybierz pozycję Deployment stacks, wybierz stos wdrożenia do usunięcia, a następnie wybierz pozycję Delete stack.

   

3. Wybierz element Update behavior, a następnie wybierz pozycję Next.

   

Aby usunąć zasoby stosu wdrożenia w zakresie subskrypcji:

Program PowerShell

Remove-AzSubscriptionDeploymentStack `
  -Name "<deployment-stack-name>" `
  [-DeleteAll/-DeleteResourceGroups/-DeleteResources]

Interfejs wiersza polecenia

az stack sub delete \
  --name '<deployment-stack-name>' \
  [--delete-all/--delete-resource-groups/--delete-resources]

Portal

1. W witrynie Azure Portal otwórz subskrypcję zawierającą stosy wdrożenia.

2. W menu po lewej stronie wybierz pozycję Deployment stacks, wybierz stos wdrożenia do usunięcia, a następnie wybierz pozycję Delete stack.

   

3. Wybierz flagę (usuń flagę Update behavior ), a następnie wybierz pozycję Next.

   

Aby usunąć zasoby stosu wdrożenia w zakresie grupy zarządzania:

Program PowerShell

Remove-AzManagementGroupDeploymentStack `
  -Name "<deployment-stack-name>" `
  -ManagementGroupId "<management-group-id>" `
  [-DeleteAll/-DeleteResourceGroups/-DeleteResources]

Interfejs wiersza polecenia

az stack mg delete \
  --name '<deployment-stack-name>' \
  --management-group-id '<management-group-id>' \
  [--delete-all/--delete-resource-groups/--delete-resources]

Portal

Obecnie nie zaimplementowana.

Wyświetlanie zasobów zarządzanych w stosie wdrażania

W publicznej wersji zapoznawczej usługa stosu wdrożenia nie ma jeszcze graficznego interfejsu użytkownika (GUI) witryny Azure Portal. Aby wyświetlić zasoby zarządzane wewnątrz stosu wdrożenia, użyj następujących poleceń programu Azure PowerShell/interfejsu wiersza polecenia platformy Azure:

Aby wyświetlić zasoby zarządzane w zakresie grupy zasobów:

Program PowerShell

(Get-AzResourceGroupDeploymentStack -Name "<deployment-stack-name>" -ResourceGroupName "<resource-group-name>").Resources

Interfejs wiersza polecenia

az stack group list \
  --name '<deployment-stack-name>' \
  --resource-group '<resource-group-name>' \
  --output 'json'

Portal

1. W witrynie Azure Portal otwórz grupę zasobów zawierającą stosy wdrożenia.

2. W menu po lewej stronie wybierz pozycję Deployment stacks.

   

3. Wybierz jeden ze stosów wdrażania, aby wyświetlić zarządzane zasoby stosu wdrożenia.

Aby wyświetlić zasoby zarządzane w zakresie subskrypcji:

Program PowerShell

(Get-AzSubscriptionDeploymentStack -Name "<deployment-stack-name>").Resources

Interfejs wiersza polecenia

az stack sub show \
  --name '<deployment-stack-name>' \
  --output 'json'

Portal

1. W witrynie Azure Portal otwórz subskrypcję zawierającą stosy wdrożenia.

2. W menu po lewej stronie wybierz Deployment stacks pozycję , aby wyświetlić listę stosów wdrożonych w ramach subskrypcji.

   

3. Wybierz stos wdrożenia, aby wyświetlić listę zarządzanych zasobów.

Aby wyświetlić zasoby zarządzane w zakresie grupy zarządzania:

Program PowerShell

(Get-AzManagementGroupDeploymentStack -Name "<deployment-stack-name>" -ManagementGroupId "<management-group-id>").Resources

Interfejs wiersza polecenia

az stack mg show \
  --name '<deployment-stack-name>' \
  --management-group-id '<management-group-id>' \
  --output 'json'

Portal

Obecnie nie zaimplementowana.

Dodawanie zasobów do stosu wdrożenia

Aby dodać zasób zarządzany, dodaj definicję zasobu do bazowych plików Bicep, a następnie uruchom polecenie update lub uruchom ponownie polecenie create. Aby uzyskać więcej informacji, zobacz Update deployment stacks (Stosy wdrażania aktualizacji).

Usuwanie zasobów zarządzanych ze stosu wdrożenia

Aby usunąć zasób zarządzany, usuń definicję zasobu z bazowych plików Bicep, a następnie uruchom polecenie update lub uruchom ponownie polecenie create. Aby uzyskać więcej informacji, zobacz Update deployment stacks (Stosy wdrażania aktualizacji).

Ochrona zasobów zarządzanych przed usunięciem

Podczas tworzenia stosu wdrożenia można przypisać określony typ uprawnień do zarządzanych zasobów, co uniemożliwia usunięcie ich przez nieautoryzowanych podmiotów zabezpieczeń. Te ustawienia są określane jako ustawienia odmowy. Chcesz przechowywać stos w zakresie nadrzędnym.

Program PowerShell

Program Azure PowerShell zawiera następujące parametry, aby dostosować przypisanie odmowy:

• DenySettingsMode: definiuje operacje, które są zabronione dla zarządzanych zasobów w celu ochrony przed nieautoryzowanymi podmiotami zabezpieczeń próbującymi je usunąć lub zaktualizować. To ograniczenie dotyczy wszystkich, chyba że jawnie udzielono dostępu. Wartości obejmują: None, DenyDeletei DenyWriteAndDelete.
• DenySettingsApplyToChildScopes: Ustawienia odmowy są stosowane do zasobów zagnieżdżonych w ramach zasobów zarządzanych.
• DenySettingsExcludedAction: Lista operacji zarządzania opartych na rolach, które są wykluczone z ustawień odmowy. Dozwolone są maksymalnie 200 akcji.
• DenySettingsExcludedPrincipal: Lista identyfikatorów podmiotów zabezpieczeń firmy Microsoft wykluczonych z blokady. Dozwolone są maksymalnie pięć podmiotów zabezpieczeń.

Interfejs wiersza polecenia

Interfejs wiersza polecenia platformy Azure zawiera następujące parametry, aby dostosować przypisanie odmowy:

• deny-settings-mode: definiuje operacje, które są zabronione dla zarządzanych zasobów w celu ochrony przed nieautoryzowanymi podmiotami zabezpieczeń próbującymi je usunąć lub zaktualizować. To ograniczenie dotyczy wszystkich, chyba że jawnie udzielono dostępu. Wartości obejmują: none, denyDeletei denyWriteAndDelete.
• deny-settings-apply-to-child-scopes: Ustawienia odmowy są stosowane do zasobów zagnieżdżonych w ramach zasobów zarządzanych.
• deny-settings-excluded-actions: Lista operacji zarządzania kontroli dostępu na podstawie ról (RBAC) wykluczonych z ustawień odmowy. Dozwolone są maksymalnie 200 akcji.
• deny-settings-excluded-principals: Lista identyfikatorów podmiotów zabezpieczeń firmy Microsoft wykluczonych z blokady. Dozwolone są maksymalnie pięć podmiotów zabezpieczeń.

Portal

Obecnie nie zaimplementowana.

Aby zastosować ustawienia odmowy w zakresie grupy zasobów:

Program PowerShell

New-AzResourceGroupDeploymentStack `
  -Name "<deployment-stack-name>" `
  -ResourceGroupName "<resource-group-name>" `
  -TemplateFile "<bicep-file-name>" `
  -DenySettingsMode "DenyDelete" `
  -DenySettingsExcludedAction "Microsoft.Compute/virtualMachines/write Microsoft.StorageAccounts/delete" `
  -DenySettingsExcludedPrincipal "<object-id>,<object-id>"

Interfejs wiersza polecenia

az stack group create \
  --name '<deployment-stack-name>' \
  --resource-group '<resource-group-name>' \
  --template-file '<bicep-file-name>' \
  --deny-settings-mode 'denyDelete' \
  --deny-settings-excluded-actions 'Microsoft.Compute/virtualMachines/write Microsoft.StorageAccounts/delete' \
  --deny-settings-excluded-principals '<object-id> <object-id>'

Portal

Obecnie nie zaimplementowana.

Aby zastosować ustawienia odmowy w zakresie subskrypcji:

Program PowerShell

New-AzSubscriptionDeploymentStack `
  -Name "<deployment-stack-name>" `
  -Location "<location>" `
  -TemplateFile "<bicep-file-name>" `
  -DenySettingsMode "DenyDelete" `
  -DenySettingsExcludedAction "Microsoft.Compute/virtualMachines/write Microsoft.StorageAccounts/delete" `
  -DenySettingsExcludedPrincipal "<object-id>,<object-id>"

Użyj parametru , DeploymentResourceGroupName aby określić nazwę grupy zasobów, w której jest tworzony stos wdrożenia. Jeśli zakres nie jest określony, używa zakresu stosu wdrożenia.

Interfejs wiersza polecenia

az stack sub create \
  --name '<deployment-stack-name>' \
  --location '<location>' \
  --template-file '<bicep-file-name>' \
  --deny-settings-mode 'denyDelete' \
  --deny-settings-excluded-actions 'Microsoft.Compute/virtualMachines/write Microsoft.StorageAccounts/delete' \
  --deny-settings-excluded-principals '<object-id> <object-id>'

Użyj parametru deployment-resource-group , aby określić grupę zasobów, w której jest tworzony stos wdrożenia. Jeśli zakres nie jest określony, używa zakresu stosu wdrożenia.

Portal

Obecnie nie zaimplementowana.

Aby zastosować ustawienia odmowy w zakresie grupy zarządzania:

Program PowerShell

New-AzManagmentGroupDeploymentStack `
  -Name "<deployment-stack-name>" `
  -Location "<location>" `
  -TemplateFile "<bicep-file-name>" `
  -DenySettingsMode "DenyDelete" `
  -DenySettingsExcludedActions "Microsoft.Compute/virtualMachines/write Microsoft.StorageAccounts/delete" `
  -DenySettingsExcludedPrincipal "<object-id>,<object-id>"

Użyj parametru , DeploymentSubscriptionId aby określić identyfikator subskrypcji, w której jest tworzony stos wdrożenia. Jeśli zakres nie jest określony, używa zakresu stosu wdrożenia.

Interfejs wiersza polecenia

az stack mg create \
  --name '<deployment-stack-name>' \
  --location '<location>' \
  --template-file '<bicep-file-name>' \
  --deny-settings-mode 'denyDelete' \
  --deny-settings-excluded-actions 'Microsoft.Compute/virtualMachines/write Microsoft.StorageAccounts/delete' \
  --deny-settings-excluded-principals '<object-id> <object-id>'

Użyj parametru , deployment-subscription aby określić identyfikator subskrypcji, w której jest tworzony stos wdrożenia. Jeśli zakres nie jest określony, używa zakresu stosu wdrożenia.

Portal

Obecnie nie zaimplementowana.

Odłączanie zarządzanych zasobów od stosu wdrożenia

Domyślnie stosy wdrażania odłączają i nie usuwają niezarządzanych zasobów, gdy nie są już zawarte w zakresie zarządzania stosu. Aby uzyskać więcej informacji, zobacz Update deployment stacks (Stosy wdrażania aktualizacji).

Eksportowanie szablonów z stosów wdrażania

Zasoby można wyeksportować ze stosu wdrożenia do danych wyjściowych JSON. Dane wyjściowe można przesyłać potokiem do pliku.

Aby wyeksportować stos wdrożenia w zakresie grupy zasobów:

Program PowerShell

Save-AzResourceGroupDeploymentStack `
   -Name '<deployment-stack-name>' `
   -ResourceGroupName '<resource-group-name>' `

Interfejs wiersza polecenia

az stack group export \
  --name '<deployment-stack-name>' \
  --resource-group '<resource-group-name>'

Portal

Obecnie nie zaimplementowana.

Aby wyeksportować stos wdrożenia w zakresie subskrypcji:

Program PowerShell

Save-AzSubscriptionDeploymentStack `
  -name '<deployment-stack-name>'

Interfejs wiersza polecenia

az stack sub export \
  --name '<deployment-stack-name>'

Portal

Obecnie nie zaimplementowana.

Aby wyeksportować stos wdrożenia w zakresie grupy zarządzania:

Program PowerShell

Save-AzManagmentGroupDeploymentStack `
  -Name '<deployment-stack-name>' `
  -ManagementGroupId '<management-group-id>'

Interfejs wiersza polecenia

az stack mg export \
  --name '<deployment-stack-name>' \
  --management-group-id '<management-group-id>'

Portal

Obecnie nie zaimplementowana.

Następne kroki

Aby zapoznać się z przewodnikiem Szybki start, zobacz Szybki start: tworzenie stosu wdrożenia.