O que é o Azure Blueprints?What is Azure Blueprints?

Da mesma forma que um esquema permite que um engenheiro ou um arquiteto crie um esboço dos parâmetros de design de um projeto, o Azure Blueprints permite que os arquitetos da cloud e os grupos de tecnologias de informação definam um conjunto repetível de recursos do Azure que implemente e adira às normas, padrões e requisitos de uma organização.Just as a blueprint allows an engineer or an architect to sketch a project's design parameters, Azure Blueprints enables cloud architects and central information technology groups to define a repeatable set of Azure resources that implements and adheres to an organization's standards, patterns, and requirements. A Azure Blueprints permite que as equipas de desenvolvimento construam e suportem rapidamente novos ambientes com confiança que estão a construir no âmbito do cumprimento organizacional de um conjunto de componentes incorporados, como o networking, para acelerar o desenvolvimento e a entrega.Azure Blueprints makes it possible for development teams to rapidly build and stand up new environments with trust they're building within organizational compliance with a set of built-in components, such as networking, to speed up development and delivery.

Os esquemas são uma forma declarativa de orquestrar a implementação de vários modelos de recursos e de outros artefactos, tais como:Blueprints are a declarative way to orchestrate the deployment of various resource templates and other artifacts such as:

  • Atribuições de FunçõesRole Assignments
  • Atribuições de PolíticaPolicy Assignments
  • Modelos de gestor de recursos Azure (modelos ARM)Azure Resource Manager templates (ARM templates)
  • Grupos de RecursosResource Groups

O serviço do Azure Blueprints é apoiado pelo Azure Cosmos DB globalmente distribuído.The Azure Blueprints service is backed by the globally distributed Azure Cosmos DB. Os objetos do Blueprint são replicados para várias regiões do Azure.Blueprint objects are replicated to multiple Azure regions. Esta replicação proporciona baixa latência, alta disponibilidade e acesso consistente aos seus objetos de planta, independentemente da região para onde a Azure Blueprints implementa os seus recursos.This replication provides low latency, high availability, and consistent access to your blueprint objects, regardless of which region Azure Blueprints deploys your resources to.

Como é diferente dos modelos ARMHow it's different from ARM templates

O serviço foi concebido para ajudar na configuração do ambiente.The service is designed to help with environment setup. Esta configuração consiste frequentemente num conjunto de grupos de recursos, políticas, atribuições de funções e implementações de modelos ARM.This setup often consists of a set of resource groups, policies, role assignments, and ARM template deployments. Uma planta é um pacote para juntar cada um destes tipos de artefactos e permitir-lhe compor e ver esse pacote, incluindo através de um pipeline de integração contínua e entrega contínua (CI/CD).A blueprint is a package to bring each of these artifact types together and allow you to compose and version that package, including through a continuous integration and continuous delivery (CI/CD) pipeline. Por fim, cada um deles é atribuído a uma subscrição numa única operação que pode ser auditada e controlada.Ultimately, each is assigned to a subscription in a single operation that can be audited and tracked.

Quase tudo o que pretende incluir para implantação em Azure Blueprints pode ser realizado com um modelo ARM.Nearly everything that you want to include for deployment in Azure Blueprints can be accomplished with an ARM template. No entanto, um modelo ARM é um documento que não existe de forma nativa no Azure – cada um é armazenado localmente ou em controlo de origem.However, an ARM template is a document that doesn't exist natively in Azure – each is stored either locally or in source control. O modelo é utilizado para implementações de um ou mais recursos do Azure, mas assim que esses recursos são implementados, deixam de existir ligações ou relações ativas com o modelo.The template gets used for deployments of one or more Azure resources, but once those resources deploy there's no active connection or relationship to the template.

Com a Azure Blueprints, a relação entre a definição de planta (o que deve ser implementada) e a atribuição do projeto (que foi implantado) é preservada.With Azure Blueprints, the relationship between the blueprint definition (what should be deployed) and the blueprint assignment (what was deployed) is preserved. Esta ligação suporta procedimentos melhorados de controlo e auditoria para implementações.This connection supports improved tracking and auditing of deployments. O Azure Blueprints também pode atualizar várias subscrições ao mesmo tempo que são regidas pelo mesmo plano.Azure Blueprints can also upgrade several subscriptions at once that are governed by the same blueprint.

Não há necessidade de escolher entre um modelo ARM e uma planta.There's no need to choose between an ARM template and a blueprint. Cada planta pode consistir em _artefactos_de modelo de arma zero ou mais.Each blueprint can consist of zero or more ARM template artifacts. Este suporte significa que os esforços anteriores para desenvolver e manter uma biblioteca de modelos ARM são reutilizáveis em Azure Blueprints.This support means that previous efforts to develop and maintain a library of ARM templates are reusable in Azure Blueprints.

Como difere do Azure PolicyHow it's different from Azure Policy

Um esquema é um pacote ou contentor que compõe conjuntos específicos de foco de normas, padrões e requisitos relacionados com a implementação de design, segurança e serviços cloud do Azure, que podem ser reutilizados para manter a consistência e a conformidade.A blueprint is a package or container for composing focus-specific sets of standards, patterns, and requirements related to the implementation of Azure cloud services, security, and design that can be reused to maintain consistency and compliance.

Uma política é um sistema de negação explícita e permissão predefinida focado nas propriedades dos recursos durante a implementação e nos recursos já existentes.A policy is a default allow and explicit deny system focused on resource properties during deployment and for already existing resources. Suporta a governação da cloud ao confirmar que os recursos numa subscrição cumprem requisitos e normas.It supports cloud governance by validating that resources within a subscription adhere to requirements and standards.

A inclusão de uma política num esquema permite a criação do padrão ou design certo durante a atribuição do esquema.Including a policy in a blueprint enables the creation of the right pattern or design during assignment of the blueprint. A inclusão da política assegura que apenas as alterações aprovadas ou esperadas podem ser efetuadas ao ambiente para proteger a conformidade contínua com o objetivo do esquema.The policy inclusion makes sure that only approved or expected changes can be made to the environment to protect ongoing compliance to the intent of the blueprint.

Uma política pode ser incluída como um dos muitos artefactos numa definição de planta.A policy can be included as one of many artifacts in a blueprint definition. Os esquemas também suportam a utilização de parâmetros com políticas e iniciativas.Blueprints also support using parameters with policies and initiatives.

Definição de esquemaBlueprint definition

Uma planta é composta por artefactos.A blueprint is composed of artifacts. A Azure Blueprints suporta atualmente os seguintes recursos como artefactos:Azure Blueprints currently supports the following resources as artifacts:

RecursoResource Opções de hierarquiaHierarchy options DescriçãoDescription
Grupos de RecursosResource Groups SubscriçãoSubscription Crie um novo grupo de recursos para utilização por outros artefactos no esquema.Create a new resource group for use by other artifacts within the blueprint. Estes grupos de recursos de espaço reservado permitem-lhe organizar recursos exatamente da forma como os quer estruturados e fornece um limitador de âmbito para artefactos de design de política e função incluídos e modelos ARM.These placeholder resource groups enable you to organize resources exactly the way you want them structured and provides a scope limiter for included policy and role assignment artifacts and ARM templates.
Modelo ARMARM template Subscrição, Grupo de RecursosSubscription, Resource Group Modelos, incluindo modelos aninhados e ligados, são usados para compor ambientes complexos.Templates, including nested and linked templates, are used to compose complex environments. Ambientes de exemplo: um farm do SharePoint, a Configuração de Estado da Automatização do Azure ou uma área de trabalho do Log Analytics.Example environments: a SharePoint farm, Azure Automation State Configuration, or a Log Analytics workspace.
Atribuição de PolíticaPolicy Assignment Subscrição, Grupo de RecursosSubscription, Resource Group Permite a atribuição de uma política ou iniciativa à subscrição à qual o esquema está atribuído.Allows assignment of a policy or initiative to the subscription the blueprint is assigned to. A política ou iniciativa deve estar no âmbito da definição do projeto.The policy or initiative must be within the scope of the blueprint definition location. Se a política ou iniciativa tiver parâmetros, estes parâmetros são atribuídos durante a criação ou atribuição do esquema.If the policy or initiative has parameters, these parameters are assigned at creation of the blueprint or during blueprint assignment.
Atribuição de FunçãoRole Assignment Subscrição, Grupo de RecursosSubscription, Resource Group Adicione um utilizador ou grupo existente a uma função incorporada para garantir que as pessoas certas têm sempre o acesso adequado aos seus recursos.Add an existing user or group to a built-in role to make sure the right people always have the right access to your resources. As atribuições de funções podem ser definidas para a subscrição completa ou aninhadas num grupo de recursos específico incluído no esquema.Role assignments can be defined for the entire subscription or nested to a specific resource group included in the blueprint.

Locais de definição de plantasBlueprint definition locations

Ao criar uma definição de esquema, irá definir onde o esquema é guardado.When creating a blueprint definition, you'll define where the blueprint is saved. As plantas podem ser guardadas para um grupo de gestão ou subscrição a que tenha acesso ao Contribuinte.Blueprints can be saved to a management group or subscription that you have Contributor access to. Se a localização for um grupo de gestão, o projeto está disponível para atribuir a qualquer subscrição infantil desse grupo de gestão.If the location is a management group, the blueprint is available to assign to any child subscription of that management group.

Parâmetros de esquemaBlueprint parameters

As plantas podem passar parâmetros para uma política/iniciativa ou um modelo ARM.Blueprints can pass parameters to either a policy/initiative or an ARM template. Quando adicionar qualquer um dos artefactos a um esquema, o opta por fornecer um valor definido para cada atribuição de esquema ou por permitir que cada atribuição de esquema forneça um valor no momento da atribuição.When adding either artifact to a blueprint, the author decides to provide a defined value for each blueprint assignment or to allow each blueprint assignment to provide a value at assignment time. Esta flexibilidade oferece a possibilidade de definir um valor previamente determinado para todas as utilizações do esquema ou de permitir que essa decisão seja tomada no momento da atribuição.This flexibility provides the option to define a pre-determined value for all uses of the blueprint or to enable that decision to be made at the time of assignment.

Nota

Um esquema pode ter os seus próprios parâmetros, mas, atualmente, estes só podem ser criados se um esquema for gerado a partir da API REST, em vez de através do Portal.A blueprint can have its own parameters, but these can currently only be created if a blueprint is generated from REST API instead of through the Portal.

Para obter mais informações, veja parâmetros de esquema.For more information, see blueprint parameters.

Publicação do esquemaBlueprint publishing

Quando um esquema é criado, considera-se que está no modo de Rascunho.When a blueprint is first created, it's considered to be in Draft mode. Quando estiver pronto para ser atribuído, tem de ser Publicado.When it's ready to be assigned, it needs to be Published. A publicação exige a definição de uma cadeia de Versão (letras, números e hífenes com um comprimento máximo de 20 carateres), juntamente com Notas de alteração opcionais.Publishing requires defining a Version string (letters, numbers, and hyphens with a max length of 20 characters) along with optional Change notes. A Versão distingue-o de futuras alterações ao mesmo esquema e permite a atribuição de cada versão.The Version differentiates it from future changes to the same blueprint and allows each version to be assigned. Isto também significa que diferentes Versões do mesmo esquema podem ser atribuídas à mesma subscrição.This versioning also means different Versions of the same blueprint can be assigned to the same subscription. Quando são feitas alterações adicionais ao projeto, a Versão Publicada Version ainda existe, assim como as alterações não publicadas.When additional changes are made to the blueprint, the Published Version still exists, as do the Unpublished changes. Quando as alterações estiverem concluídas, o esquema atualizado é Publicado com uma Versão nova e exclusiva, que agora também pode ser atribuída.Once the changes are complete, the updated blueprint is Published with a new and unique Version and can now also be assigned.

Atribuição do esquemaBlueprint assignment

Cada versão publicada de uma planta pode ser atribuída (com um comprimento de nome máximo de 90 caracteres) a um grupo de gestão ou subscrição existente.Each Published Version of a blueprint can be assigned (with a max name length of 90 characters) to an existing management group or subscription. No portal, o esquema utiliza como predefinição a Versão****Publicada mais recentemente.In the portal, the blueprint defaults the Version to the one Published most recently. Se existirem parâmetros de artefactos ou parâmetros de planta, os parâmetros são definidos durante o processo de atribuição.If there are artifact parameters or blueprint parameters, then the parameters are defined during the assignment process.

Nota

Atribuir uma definição de projeto a um grupo de gestão significa que o objeto de atribuição existe no grupo de gestão.Assigning a blueprint definition to a management group means the assignment object exists at the management group. A implantação de artefactos ainda visa uma subscrição.The deployment of artifacts still targets a subscription. Para realizar uma atribuição de grupo de gestão, a API Create or Update REST deve ser utilizada e o organismo de pedido deve incluir um valor para definir a properties.scope subscrição-alvo.To perform a management group assignment, the Create Or Update REST API must be used and the request body must include a value for properties.scope to define the target subscription.

Permissões no Azure BlueprintsPermissions in Azure Blueprints

Para utilizar plantas, deve ser-lhe concedidas permissões através do controlo de acesso baseado em funções Azure (Azure RBAC).To use blueprints, you must be granted permissions through Azure role-based access control (Azure RBAC). Para ler ou ver uma planta no portal Azure, a sua conta deve ter lido o acesso ao âmbito onde está localizada a definição de planta.To read or view a blueprint in Azure portal, your account must have read access to the scope where the blueprint definition is located.

Para criar esquemas, a sua conta necessita das seguintes permissões:To create blueprints, your account needs the following permissions:

  • Microsoft.Blueprint/blueprints/write - Criar uma definição de esquemaMicrosoft.Blueprint/blueprints/write - Create a blueprint definition
  • Microsoft.Blueprint/blueprints/artifacts/write - Criar artefactos numa definição de esquemaMicrosoft.Blueprint/blueprints/artifacts/write - Create artifacts on a blueprint definition
  • Microsoft.Blueprint/blueprints/versions/write - Publicar um esquemaMicrosoft.Blueprint/blueprints/versions/write - Publish a blueprint

Para eliminar esquemas, a sua conta necessita das seguintes permissões:To delete blueprints, your account needs the following permissions:

  • Microsoft.Blueprint/blueprints/delete
  • Microsoft.Blueprint/blueprints/artifacts/delete
  • Microsoft.Blueprint/blueprints/versions/delete

Nota

As permissões de definição de projeto devem ser concedidas ou herdadas no grupo de gestão ou no âmbito de subscrição onde são guardadas.The blueprint definition permissions must be granted or inherited on the management group or subscription scope where it is saved.

Para atribuir ou anular a atribuição de um esquema, a sua conta necessita das seguintes permissões:To assign or unassign a blueprint, your account needs the following permissions:

  • Microsoft.Blueprint/blueprintAssignments/write - Atribuir um esquemaMicrosoft.Blueprint/blueprintAssignments/write - Assign a blueprint
  • Microsoft.Blueprint/blueprintAssignments/delete - Anular a atribuição de um esquemaMicrosoft.Blueprint/blueprintAssignments/delete - Unassign a blueprint

Nota

À medida que as atribuições de esquema são criadas numa subscrição, as permissões de atribuição e anulação da atribuição de esquema têm de ser concedidas no âmbito de uma subscrição ou herdadas para o âmbito de uma subscrição.As blueprint assignments are created on a subscription, the blueprint assign and unassign permissions must be granted on a subscription scope or be inherited onto a subscription scope.

Estão disponíveis as seguintes funções incorporadas:The following built-in roles are available:

Função do AzureAzure role DescriçãoDescription
ProprietárioOwner Além de outras permissões, inclui todas as permissões relacionadas com a Azure Blueprint.In addition to other permissions, includes all Azure Blueprint related permissions.
ContribuinteContributor Além de outras permissões, pode criar e apagar definições de planta, mas não tem permissões de design.In addition to other permissions, can create and delete blueprint definitions, but doesn't have blueprint assignment permissions.
Contribuidor de ProjetoBlueprint Contributor Pode gerir definições de planta, mas não atribuí-las.Can manage blueprint definitions, but not assign them.
Operador de blueprintBlueprint Operator Pode atribuir plantas publicadas existentes, mas não pode criar novas definições de planta.Can assign existing published blueprints, but can't create new blueprint definitions. A atribuição de plantas só funciona se a atribuição for feita com uma identidade gerida atribuída pelo utilizador.Blueprint assignment only works if the assignment is done with a user-assigned managed identity.

Se estas funções incorporadas não se adaptarem às suas necessidades de segurança, considere criar uma função personalizada.If these built-in roles don't fit your security needs, consider creating a custom role.

Nota

Se utilizar uma identidade gerida atribuída pelo sistema, o titular do serviço para a Azure Blueprints requer a função do Proprietário na subscrição atribuída, a fim de permitir a implementação.If using a system-assigned managed identity, the service principal for Azure Blueprints requires the Owner role on the assigned subscription in order to enable deployment. Se utilizar o portal, esta função é automaticamente concedida e revogada para a implementação.If using the portal, this role is automatically granted and revoked for the deployment. Se utilizar a API REST, esta função tem de ser concedida manualmente, mas continua a ser revogada automaticamente depois de concluída a implementação.If using the REST API, this role must be manually granted, but is still automatically revoked after the deployment completes. Se utilizar uma identidade gerida atribuída pelo utilizador, apenas o utilizador que cria a atribuição de plantas necessita da Microsoft.Blueprint/blueprintAssignments/write permissão, que está incluída tanto nas funções incorporadas do Proprietário como do Operador de Blueprint.If using a user-assigned managed identity, only the user creating the blueprint assignment needs the Microsoft.Blueprint/blueprintAssignments/write permission, which is included in both the Owner and Blueprint Operator built-in roles.

Limites de nomeaçãoNaming limits

Existem as seguintes limitações para determinados campos:The following limitations exist for certain fields:

ObjetoObject CampoField Personagens permitidosAllowed Characters Um máximo deMax. ComprimentoLength
PlantaBlueprint NomeName letras, números, hífens e períodosletters, numbers, hyphens, and periods 4848
PlantaBlueprint VersãoVersion letras, números, hífens e períodosletters, numbers, hyphens, and periods 2020
Atribuição do esquemaBlueprint assignment NomeName letras, números, hífens e períodosletters, numbers, hyphens, and periods 9090
Artefacto de plantaBlueprint artifact NomeName letras, números, hífens e períodosletters, numbers, hyphens, and periods 4848

Descrição geral em vídeoVideo overview

A seguinte visão geral da Azure Blueprints é da Azure Fridays.The following overview of Azure Blueprints is from Azure Fridays. Para download de vídeo, visite Azure Fridays - Uma visão geral do Azure Blueprints no Canal 9.For video download, visit Azure Fridays - An overview of Azure Blueprints on Channel 9.

Passos seguintesNext steps