¿Qué es Azure Blueprints?

Al igual que un plano permite a un ingeniero o a un arquitecto esbozar los parámetros de diseño de un proyecto, Azure Blueprints permite a los arquitectos de la nube y a los grupos centrales de tecnología de la información definir un conjunto repetible de recursos de Azure que implementa y se adhiere a los estándares, patrones y requisitos de una organización. Azure Blueprints hace posible que los equipos de desarrollo construyan y pongan en marcha rápidamente nuevos entornos con la confianza de que están construyendo dentro del cumplimiento de la organización con un conjunto de componentes incorporados, como la red, para acelerar el desarrollo y la entrega.

Los Blueprints son una forma declarativa de orquestar el despliegue de varias plantillas de recursos y otros artefactos como:

  • Asignación de funciones
  • Asignación de políticas
  • Plantillas de Azure Resource Manager (plantillas ARM)
  • Grupos de recursos

El servicio Azure Blueprints está respaldado por la base de datos Azure Cosmos distribuida globalmente. Los objetos Blueprint se replican en varias regiones de Azure. Esta replicación proporciona baja latencia, alta disponibilidad y acceso consistente a sus objetos blueprint, independientemente de la región en la que Azure Blueprints despliegue sus recursos.

En qué se diferencia de las plantillas ARM

El servicio está diseñado para ayudar a la configuración del entorno. Esta configuración suele consistir en un conjunto de grupos de recursos, políticas, asignaciones de roles y despliegues de plantillas ARM. Un blueprint es un paquete que reúne cada uno de estos tipos de artefactos y permite componer y versionar ese paquete, incluso a través de una tubería de integración continua y entrega continua (CI/CD). En última instancia, cada uno se asigna a una suscripción en una sola operación que puede ser auditada y rastreada.

Casi todo lo que se quiere incluir para el despliegue en Azure Blueprints se puede lograr con una plantilla ARM. Sin embargo, una plantilla ARM es un documento que no existe de forma nativa en Azure - cada uno se almacena localmente o en el control de origen o en Templates (vista previa). La plantilla se utiliza para el despliegue de uno o más recursos de Azure, pero una vez que esos recursos se despliegan no hay ninguna conexión o relación activa con la plantilla.

Con Azure Blueprints, se conserva la relación entre la definición del blueprint (lo que debe desple garse) y la asignación del blueprint (lo que se desplegó). Esta conexión permite mejorar el seguimiento y la auditoría de los despliegues. Azure Blueprints también puede actualizar varias suscripciones a la vez que se rigen por el mismo blueprint.

No es necesario elegir entre una plantilla ARM y un plano. Cada blueprint puede consistir en cero o más artefactos de plantillas ARM. Este soporte significa que los esfuerzos anteriores para desarrollar y mantener una biblioteca de plantillas ARM son reutilizables en Azure Blueprints.

En qué se diferencia de la política de Azure

azure blueprintsUn plano es un paquete o contenedor para componer conjuntos de normas, patrones y requisitos específicos relacionados con la aplicación de Servicios en la nube de AzureLa seguridad y el diseño pueden reutilizarse para mantener la coherencia y la conformidad.

Una política es un sistema de autorización por defecto y de denegación explícita centrado en las propiedades de los recursos durante el despliegue y para los recursos ya existentes. Respalda la gobernanza de la nube al validar que los recursos de una suscripción se ajustan a los requisitos y las normas.

La inclusión de una política en un plano permite la creación del patrón o diseño correcto durante la asignación del plano. La inclusión de una política asegura que sólo se puedan hacer cambios aprobados o esperados en el entorno para proteger el cumplimiento continuo de la intención del plano.

Una política puede ser incluida como uno de los muchos artefactos en la definición de un blueprint. Los blueprints también admiten el uso de parámetros con políticas e iniciativas.

Definición de plano

Un blueprint se compone de artefactos. Azure Blueprints admite actualmente los siguientes recursos como artefactos:

Definición de plano
Recursos Opciones de jerarquía Descripción
Grupos de recursos Suscripción Cree un nuevo grupo de recursos para que lo utilicen otros artefactos dentro del plano. Estos grupos de recursos de marcadores de posición le permiten organizar los recursos exactamente de la forma en que los quiere estructurar y proporciona un limitador de alcance para los artefactos de asignación de políticas y roles incluidos y las plantillas ARM.
Plantilla ARM Suscripción, Grupo de Recursos Las plantillas, incluidas las plantillas anidadas y vinculadas, se utilizan para componer entornos complejos. Ejemplos de entornos: una granja de SharePoint, una configuración de estado de Azure Automation o un espacio de trabajo de Log Analytics.
Asignación de políticas Suscripción, Grupo de Recursos Permite la asignación de una política o iniciativa a la suscripción a la que está asignado el blueprint. La política o iniciativa debe estar dentro del ámbito de la ubicación de definición del blueprint. Si la política o iniciativa tiene parámetros, estos parámetros se asignan al crear el blueprint o durante la asignación del blueprint.
Asignación de funciones Suscripción, Grupo de Recursos Añada un usuario o grupo existente a un rol incorporado para asegurarse de que las personas adecuadas tengan siempre el acceso correcto a sus recursos. Las asignaciones de roles pueden definirse para toda la suscripción o anidarse en un grupo de recursos específico incluido en el plano.

Lugares de definición de planos

Al crear una definición de blueprint, definirá dónde se guarda el blueprint. Los blueprints pueden guardarse en un grupo de gestión o en una suscripción a la que se tenga acceso como contribuyente. Si la ubicación es un grupo de gestión, el plano está disponible para asignarlo a cualquier suscripción secundaria de ese grupo de gestión.

Parámetros de los planos

Los blueprints pueden pasar parámetros a una política/iniciativa o a una plantilla ARM. Al añadir cualquiera de los dos artefactos a un blueprint, el autor decide proporcionar un valor definido para cada asignación de blueprint o permitir que cada asignación de blueprint proporcione un valor en el momento de la asignación. Esta flexibilidad ofrece la opción de definir un valor predeterminado para todos los usos del plano o permitir que esa decisión se tome en el momento de la asignación.

Publicación de planos

Cuando se crea un plano por primera vez, se considera que está en modo Borrador. Cuando esté listo para ser asignado, debe ser publicado. La publicación requiere la definición de una cadena de Versión (letras, números y guiones con una longitud máxima de 20 caracteres) junto con notas de cambio opcionales. La Versión la diferencia de los futuros cambios del mismo plano y permite asignar cada versión. Este versionado también significa que se pueden asignar diferentes versiones del mismo plano a la misma suscripción. Cuando se realizan cambios adicionales en el plano, la Versión publicada sigue existiendo, al igual que los cambios no publicados. Una vez completados los cambios, el plano actualizado se publica con una nueva y única Versión y ahora también puede asignarse.

Asignación de planos

Cada Versión publicada de un plano puede asignarse (con una longitud máxima de nombre de 90 caracteres) a un grupo de gestión o a una suscripción existente. En el portal, el blueprint asigna por defecto la Versión publicada más recientemente. Si hay parámetros del artefacto o del plano, los parámetros se definen durante el proceso de asignación.

Permisos en Azure Blueprints

Para utilizar los blueprints, debe obtener permisos a través del control de acceso basado en roles de Azure (Azure RBAC). Para leer o ver un blueprint en el portal de Azure, su cuenta debe tener acceso de lectura al ámbito donde se encuentra la definición del blueprint.

Para crear planos, su cuenta necesita los siguientes permisos:

  • Microsoft.Blueprint/blueprints/write - Crear una definición de plano
  • Microsoft.Blueprint/blueprints/artifacts/write - Crear artefactos en una definición de plano
  • Microsoft.Blueprint/blueprints/versions/write - Publicar un plano

Para eliminar los blueprints, su cuenta necesita los siguientes permisos:

  • Microsoft.Blueprint/blueprints/delete
  • Microsoft.Blueprint/blueprints/artifacts/delete
  • Microsoft.Blueprint/blueprints/versions/delete

Para asignar o desasignar un plano, su cuenta necesita los siguientes permisos:

  • Microsoft.Blueprint/blueprintAssignments/write - Asignar un plano
  • Microsoft.Blueprint/blueprintAssignments/delete - Desasignar un plano

Están disponibles los siguientes roles incorporados:

Cuadro 2
Papel de Azure Descripción
Propietario Además de otros permisos, incluye todos los permisos relacionados con Azure Blueprints.
Colaborador Además de otros permisos, puede crear y eliminar definiciones de planos, pero no tiene permisos de asignación de planos.
Colaborador de Blueprint Puede gestionar las definiciones de planos, pero no asignarlas.
Operador de planos Puede asignar blueprints publicados existentes, pero no puede crear nuevas definiciones de blueprint. La asignación de planos sólo funciona si la asignación se realiza con una identidad gestionada asignada por el usuario.

Si estos roles incorporados no se ajustan a sus necesidades de seguridad, considere la posibilidad de crear un rol personalizado.

Límites de la denominación

Existen las siguientes limitaciones para determinados campos:

Límites de la denominación
Objeto Campo Caracteres permitidos Max. Longitud
Plano Nombre letras, números, guiones y puntos 48
Plano Versión letras, números, guiones y puntos 20
Asignación de planos Nombre letras, números, guiones y puntos 90
Artefacto de la huella azul Nombre letras, números, guiones y puntos 48

Resumen en vídeo

El siguiente resumen de Azure Blueprints es de Azure Fridays. Para descargar el vídeo, visite Azure Fridays - An overview of Azure Blueprints en Channel 9.