通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:从蓝图示例创建环境

重要

2026 年 7 月 11 日,蓝图(预览版)将弃用。 将现有蓝图定义和分配迁移到 模板规格部署堆栈。 蓝图构件将被转换为 ARM JSON 模板或 Bicep 文件,以用于定义部署堆栈。 若要了解如何将工件创建为 ARM 资源,请参阅:

示例蓝图提供了使用 Azure Blueprints 所能实现内容的示例。 每个示例都是具有特定意向或用途的示例,但不会自行创建完整的环境。 每个示例蓝图旨在用作探索 Azure 蓝图的起点,其中带有包含的项目、设计和参数的各种组合。

以下教程使用 包含 RBAC 蓝图示例的资源组来展示 Azure 蓝图服务的不同方面。 下面介绍了以下步骤:

  • 从示例创建新的蓝图定义
  • 将示例的副本标记为 已发布
  • 将蓝图副本绑定到现有订阅
  • 检查要分配的已部署资源
  • 取消分配蓝图以删除锁

先决条件

若要完成本教程,需要 Azure 订阅。 如果没有 Azure 订阅,请在开始之前创建一个免费帐户

从示例创建蓝图定义

首先,实现蓝图示例。 导入会基于示例在环境中创建新蓝图。

  1. 在左窗格中选择 “所有服务 ”。 搜索并选择 “蓝图”。

  2. 从左侧的“入门”页中,选择“创建蓝图”下的“创建”按钮。

  3. “其他示例”下找到包含 RBAC 蓝图示例的资源组,然后选择它。

  4. 输入该蓝图示例的“基本信息”:

    • 蓝图名称:提供蓝图示例副本的名称。 在本教程中,我们将使用名称 two-rgs-with-role-assignments
    • 定义位置:使用省略号并选择要保存示例副本的管理组或订阅

  5. 选择页面顶部的“ 项目 ”选项卡或 “下一步: 页面底部的项目”。

  6. 查看构成蓝图示例的项目列表。 此示例定义两个资源组,其中显示名称为 ProdRGPreProdRG。 每个资源组的最终名称和位置是在蓝图分配期间设置的。 为 ProdRG 资源组分配了“参与者”角色,并且为 PreProdRG 资源组分配了“所有者”和“读取者”角色。 定义中分配的角色是静态的,但分配有角色的用户、应用或组是在蓝图分配期间设置的。

  7. 查看完蓝图示例后,选择“ 保存草稿 ”。

此步骤在所选管理组或订阅中创建示例蓝图定义的副本。 保存的蓝图定义与从头开始创建的任何蓝图一样进行管理。 可以根据需要多次将示例保存到管理组或订阅中。 但是,必须为每个副本提供唯一的名称。

显示 “保存蓝图定义成功 ”门户通知后,请转到下一步。

发布示例副本

现已在环境中创建蓝图示例的副本。 它在 草稿 模式下创建,必须先 发布 ,然后才能分配和部署它。 可根据环境和需求自定义蓝图示例的副本。 在本教程中,我们不会进行任何更改。

  1. 在左窗格中选择 “所有服务 ”。 搜索并选择 “蓝图”。

  2. 选择左侧的 “蓝图定义 ”页。 使用筛选器查找 two-rgs-with-role-assignments 蓝图定义,然后选择它。

  3. 选择页面顶部的 “发布蓝图 ”。 在右侧的新窗格中,输入 1.0 作为蓝图示例副本的版本。 如果稍后进行修改,此属性非常有用。 提供 更改说明 ,例如“使用 RBAC 蓝图示例从资源组发布的第一个版本”。然后选择页面底部的 “发布 ”。

使用此步骤可将蓝图分配到订阅。 发布后,仍可以进行更改。 其他更改需要使用新的版本值来发布,以便追踪相同蓝图定义的不同版本之间的差异。

发布蓝图定义成功后,门户通知显示后,请转到下一步。

分配示例副本

成功发布蓝图示例的副本后,可将它分配到它所在的管理组中的某个订阅。 在这一步中,提供参数以确保蓝图样本副本的每次部署都具有唯一性。

  1. 在左窗格中选择 “所有服务 ”。 搜索并选择 “蓝图”。

  2. 选择左侧的 “蓝图定义 ”页。 使用筛选器查找 two-rgs-with-role-assignments 蓝图定义,然后选择它。

  3. 选择蓝图定义页面顶部的“分配蓝图”。

  4. 提供蓝图分配的参数值:

    • Basics

      • 订阅:选择将蓝图示例副本保存到的管理组中的一个或多个订阅。 如果选择多个订阅,将使用输入的参数为每个订阅创建分配。
      • 分配名称:根据蓝图定义的名称为你预填充名称
      • 位置:选择要在其中创建托管标识的区域。 Azure 蓝图使用此托管标识来部署分配的蓝图中的所有项目。 若要了解详细信息,请参阅 Azure 资源的托管标识。 对于本教程,请选择 “美国东部 2”。
      • 蓝图定义版本:选取示例蓝图定义副本的 已发布 版本 1.0

    • 锁分配

      选择“只读”蓝图锁定模式。 有关详细信息,请参阅 蓝图资源锁定

    • 托管标识

      保留默认选项 系统分配的。 有关详细信息,请参阅 托管标识

    • 工件参数

      本节中定义的参数适用于定义它所依据的项目。 这些参数是 动态参数 ,因为它们是在分配蓝图期间定义的。 对于每个项目,请将参数值设置为“ ”列中定义的值。 对于 {Your ID},请选择 Azure 用户帐户。

      项目名称 工件类型 参数名称 价值 Description
      ProdRG 资源组 资源组 Name ProductionRG 定义第一个资源组的名称。
      ProdRG 资源组 资源组 位置 美国西部 2 设置第一个资源组的位置。
      贡献者 角色分配 用户或组 {你的 ID} 定义要在第一个资源组中授予 参与者 角色分配的用户或组。
      PreProdRG 资源组 资源组 Name PreProductionRG 定义第二个资源组的名称。
      PreProdRG 资源组 资源组 位置 美国西部 设置第二个资源组的位置。
      所有者 角色分配 用户或组 {你的 ID} 定义要在第二个资源组中授予 所有者 角色分配的用户或组。
      Readers 角色分配 用户或组 {你的 ID} 定义要在第二个资源组中授予 读者 角色分配的用户或组。

  5. 输入所有参数后,选择页面底部的 “分配 ”。

此步骤部署定义的资源并配置所选锁定分配。 应用蓝图锁最长可能需要花费 30 分钟。

一旦显示“分配蓝图定义成功”的门户通知,请转到下一步。

检查分配部署的资源

蓝图分配创建并跟踪蓝图定义中定义的项目。 我们可以通过蓝图分配页查看资源的状态,也可以直接查看资源。

  1. 在左窗格中选择 “所有服务 ”。 搜索并选择 “蓝图”。

  2. 选择左侧分配的蓝图页面。 使用筛选器找到 Assignment-two-rgs-with-role-assignments 蓝图分配,并将其选中。

    在此页中,可以看到任务分配成功、已创建资源的列表,以及其蓝图锁定状态信息。 如果分配已更新,分配操作下拉列表将显示有关每个定义版本的部署的详细信息。 可以选择创建的每个列出的资源,并打开该资源属性页。

  3. 选择 ProductionRG 资源组。

    我们看到资源组的名称是 ProductionRG ,而不是项目显示名称 ProdRG。 此名称与蓝图分配期间设置的值匹配。

  4. 选择左侧的 “访问控制”(IAM) 页,然后选择“ 角色分配 ”选项卡。

    在这里,我们看到你的帐户已被授予此资源范围内的“参与者”角色。 Assignment-two-rgs-with-role-assignments 蓝图分配具有“所有者”角色,因为资源组是使用该分配创建的。 这些权限还用于管理配置蓝图锁的资源。

  5. 在 Azure 门户痕迹导航中,选择“Assignment-two-rgs-with-role-assignments”返回前一页面,然后选择“PreProductionRG”资源组。

  6. 选择左侧的 “访问控制”(IAM) 页,然后选择“ 角色分配 ”选项卡。

    在这里,我们看到你的帐户已同时被授予所有者角色和读取者角色,这两个角色都在此资源的范围内。 蓝图分配也具有所有者角色,与第一个资源组相同。

  7. 选择“ 拒绝分配 ”选项卡。

    蓝图分配在部署的资源组上创建了 拒绝分配 ,以强制实施 只读 蓝图锁定模式。 拒绝分配可防止具有相应权限的人员在“角色分配”选项卡上执行特定操作。 拒绝分配会影响所有主体。

  8. 选择“拒绝分配”,然后选择左侧的拒绝权限页面。

    该拒绝分配正在阻止使用 * 和 Action 配置的所有操作,但允许通过 NotActions 排除 */read,以此进行读取访问

  9. 在 Azure 门户导航中,选择 PreProductionRG - 访问控制(IAM)。 然后选择左侧的 “概述 ”页,然后选择“ 删除资源组 ”按钮。 输入名称 PreProductionRG 以确认删除,然后选择窗格底部的 “删除 ”。

    门户通知显示 “删除资源组 PreProductionRG”失败 。 错误中指出,尽管你的帐户有权删除资源组,但蓝图分配拒绝了访问。 请记住,我们在蓝图分配期间选择了 只读 蓝图锁定模式。 蓝图锁可防止具有权限(甚至 所有者)的帐户删除资源。 有关详细信息,请参阅 蓝图资源锁定

这些步骤表明,我们的资源已按定义创建,蓝图锁阻止了不需要的删除,即使来自具有权限的帐户也是如此。

取消分配蓝图

最后一步是删除蓝图分配及其部署的资源。 删除分配不会删除已部署的工件。

  1. 在左窗格中选择 “所有服务 ”。 搜索并选择 “蓝图”。

  2. 选择左侧分配的蓝图页面。 使用筛选器找到 Assignment-two-rgs-with-role-assignments 蓝图分配,并将其选中。

  3. 选择页面顶部的 “取消分配蓝图 ”按钮。 在确认对话框中阅读警告,然后选择“ 确定”。

    在删除蓝图分配后,蓝图锁也将被移除。 拥有权限的帐户可以再次删除已创建的资源。

  4. 从 Azure 菜单中选择 资源组 ,然后选择 ProductionRG

  5. 选择左侧的 “访问控制”(IAM) 页,然后选择“ 角色分配 ”选项卡。

每个资源组的安全性仍具有已部署的角色分配,但蓝图分配不再具有“所有者”访问权限

显示 “删除蓝图分配成功 ”门户通知后,请转到下一步。

清理资源

完成本教程后,请删除以下资源:

  • 资源组 ProductionRG
  • 资源组 PreProductionRG
  • 蓝图定义 two-rgs-with-role-assignments

后续步骤

在本教程中,你已了解如何从示例定义创建新蓝图。 若要详细了解 Azure 蓝图,请继续阅读蓝图生命周期文章。

了解蓝图生命周期

  • Last updated on