Şema dağıtımının aşamalarıStages of a blueprint deployment

Bir şema dağıtıldığında, şema içinde tanımlanan kaynakları dağıtmak için Azure plan hizmeti tarafından bir dizi eylem alınır.When a blueprint gets deployed, a series of actions is taken by the Azure Blueprints service to deploy the resources defined in the blueprint. Bu makalede, her adımın neler olduğu hakkında ayrıntılı bilgi sağlanır.This article provides details about what each step involves.

Şema dağıtımı, bir aboneliğe bir şema atanarak veya var olan bir atamayı güncelleştirerektetiklenir.Blueprint deployment is triggered by assigning a blueprint to a subscription or updating an existing assignment. Dağıtım sırasında, planlar aşağıdaki üst düzey adımları alır:During the deployment, Blueprints takes the following high-level steps:

  • Sahip hakları verilen planlarBlueprints granted owner rights
  • Şema atama nesnesi oluşturulduThe blueprint assignment object is created
  • İsteğe bağlı-planlar sistem tarafından atanan yönetilen kimlik oluştururOptional - Blueprints creates system-assigned managed identity
  • Yönetilen kimlik, şema yapıtları dağıtırThe managed identity deploys blueprint artifacts
  • Blueprint hizmeti ve sistem tarafından atanan yönetilen kimlik hakları iptal edilirBlueprint service and system-assigned managed identity rights are revoked

Sahip hakları verilen planlarBlueprints granted owner rights

Azure planları hizmet sorumlusu, atanan abonelik veya aboneliklerde, sistem tarafından atanan yönetilen kimlik yönetimli bir kimlik kullanıldığında sahip hakları verilir.The Azure Blueprints service principal is granted owner rights to the assigned subscription or subscriptions when a system-assigned managed identity managed identity is used. Verilen rol, sistem tarafından atanan yönetilen kimliği, planların oluşturulmasına ve daha sonra iptal etmesine olanak tanır.The granted role allows Blueprints to create, and later revoke, the system-assigned managed identity. Kullanıcı tarafından atanan yönetilen kimlik kullanılıyorsa Azure planları hizmet sorumlusu, abonelik üzerinde sahip haklarına sahip değildir ve bu haklara gerek kalmaz.If using a user-assigned managed identity, the Azure Blueprints service principal doesn't get and doesn't need owner rights on the subscription.

Atama Portal üzerinden yapıldığında haklar otomatik olarak verilir.The rights are granted automatically if the assignment is done through the portal. Ancak, atama REST API aracılığıyla yapılabiliyorsanız, hakların ayrı bir API çağrısıyla yapılması gerekir.However, if the assignment is done through the REST API, granting the rights needs to be done with a separate API call. Azure şemaları uygulama kimliği f71766dc-90d9-4b7d-bd9d-4499c4331c3f, ancak hizmet sorumlusu kiracıya göre değişir.The Azure Blueprints AppId is f71766dc-90d9-4b7d-bd9d-4499c4331c3f, but the service principal varies by tenant. Hizmet sorumlusunu almak için Azure Active Directory Graph API ve REST uç nokta servicesorumlularını kullanın.Use Azure Active Directory Graph API and REST endpoint servicePrincipals to get the service principal. Daha sonra Azure 'a Portal, azure CLI, Azure PowerShell, REST APIveya Kaynak Yöneticisi şablonuaracılığıyla sahip rolünü verin.Then, grant the Azure Blueprints the Owner role through the Portal, Azure CLI, Azure PowerShell, REST API, or a Resource Manager template.

Planlar hizmeti kaynakları doğrudan dağıtmaz.The Blueprints service doesn't directly deploy the resources.

Şema atama nesnesi oluşturulduThe blueprint assignment object is created

Bir Kullanıcı, Grup veya hizmet sorumlusu bir aboneliğe şeması atar.A user, group, or service principal assigns a blueprint to a subscription. Atama nesnesi, şema 'in atandığı abonelik düzeyinde bulunur.The assignment object exists at the subscription level where the blueprint was assigned. Dağıtım tarafından oluşturulan kaynaklar, dağıtım varlığının bağlamında yapılmaz.Resources created by the deployment aren't done in context of the deploying entity.

Şema atamasını oluştururken, yönetilen kimliğin türü seçilidir.While creating the blueprint assignment, the type of managed identity is selected. Varsayılan ayar, sistem tarafından atanan yönetilen bir kimliktir.The default is a system-assigned managed identity. Kullanıcı tarafından atanan yönetilen kimlik seçilebilir.A user-assigned managed identity can be chosen. Kullanıcı tarafından atanan bir yönetilen kimlik kullanılırken, şema atama oluşturulmadan önce tanımlanmalı ve izinler verilmelidir.When using a user-assigned managed identity, it must be defined and granted permissions before the blueprint assignment is created. Hem Owner hem de Blueprint işleci yerleşik rollerinin, Kullanıcı tarafından atanan yönetilen kimlik kullanan bir atama oluşturmak için gerekli blueprintAssignment/write izni vardır.Both the Owner and Blueprint Operator built-in roles have the necessary blueprintAssignment/write permission to create an assignment that uses a user-assigned managed identity.

İsteğe bağlı-planlar sistem tarafından atanan yönetilen kimlik oluştururOptional - Blueprints creates system-assigned managed identity

Atama sırasında sistem tarafından atanan yönetilen kimlik seçildiğinde, planlar kimliği oluşturur ve yönetilen kimliğe sahip rolü verir.When system-assigned managed identity is selected during assignment, Blueprints creates the identity and grants the managed identity the owner role. Varolan bir atama yükseltilirse, planlar önceden oluşturulmuş yönetilen kimliği kullanır.If an existing assignment is upgraded, Blueprints uses the previously created managed identity.

Şema atamasıyla ilgili yönetilen kimlik, şema içinde tanımlanan kaynakları dağıtmak veya yeniden dağıtmak için kullanılır.The managed identity related to the blueprint assignment is used to deploy or redeploy the resources defined in the blueprint. Bu tasarım, atamaları yanlışlıkla kesintiye uğramasını önler.This design avoids assignments inadvertently interfering with each other. Bu tasarım Ayrıca, Blueprint 'ten dağıtılan her bir kaynağın güvenliğini denetleyerek kaynak kilitleme özelliğini destekler.This design also supports the resource locking feature by controlling the security of each deployed resource from the blueprint.

Yönetilen kimlik, şema yapıtları dağıtırThe managed identity deploys blueprint artifacts

Yönetilen kimlik daha sonra, şema içindeki yapıların Kaynak Yöneticisi dağıtımlarını tanımlanan sıralama düzenindetetikler.The managed identity then triggers the Resource Manager deployments of the artifacts within the blueprint in the defined sequencing order. Diğer yapıtlara bağımlı yapıtlar doğru sırada dağıtıldığından emin olmak için sıra ayarlanabilir.The order can be adjusted to ensure artifacts dependent on other artifacts are deployed in the correct order.

Bir dağıtım tarafından erişim hatası genellikle yönetilen kimliğe verilen erişim düzeyinin sonucudur.An access failure by a deployment is often the result of the level of access granted to the managed identity. Planlar hizmeti, sistem tarafından atanan yönetilen kimliğin güvenlik yaşam döngüsünü yönetir.The Blueprints service manages the security lifecycle of the system-assigned managed identity. Bununla birlikte, Kullanıcı tarafından atanan yönetilen kimliğin haklarının ve yaşam döngüsünün yönetilmesi Kullanıcı tarafından sorumludur.However, the user is responsible for managing the rights and lifecycle of a user-assigned managed identity.

Blueprint hizmeti ve sistem tarafından atanan yönetilen kimlik hakları iptal edilirBlueprint service and system-assigned managed identity rights are revoked

Dağıtımlar tamamlandıktan sonra, planlar sistem tarafından atanan yönetilen kimliğin haklarını abonelikten iptal eder.Once the deployments are completed, Blueprints revokes the rights of the system-assigned managed identity from the subscription. Ardından, planlar hizmeti aboneliğin haklarını iptal eder.Then, the Blueprints service revokes its rights from the subscription. Haklar kaldırma, planların bir abonelikte kalıcı bir sahip olmasını önler.Rights removal prevents Blueprints from becoming a permanent owner on a subscription.

Sonraki adımlarNext steps