问题标签 [azure-blueprints]

我正在开发一个包含三个工件的 Azure 蓝图：

• 日志分析工作区
• 引用此日志分析工作区的两个策略分配

为了能够在策略分配中引用日志分析工作区，我导出了此日志分析工作区的资源 ID

在策略分配中，我尝试使用 引用日志分析工作区 ID [artifacts('LogAnalyticsWorkspace').outputs.id]，但以错误结束

此错误表示此引用无效。我检查了artifacts function document，但没有解决这个问题。

我知道 Azure 支持 AKS 蓝图，但我没有找到任何 AKS 示例蓝图。

是否有任何公开可用的 Azure - AKS 蓝图？

为什么WEBSITES_PORT和PORTinMicrosoft.Web/sites被忽略，以及EXPOSEin .dockerfile？

当健康检查失败时，我们的 docker 不断崩溃。对 HTTP ping 没有响应。

我们收到didn't respond to HTTP pings on port: 8080如下所示的消息：

解释

我们在同一个 Azure 应用服务计划上运行一个函数应用和一个 Web 应用，在 Nodejs 上完成。

Microsoft.Web/serverfarms使用基本 B2 计划创建一种 Linux 类型的单一资源。

然后，Microsoft.Web/sites创建了两个：一个functionapp,linux用于函数应用程序，另一个app用于 Nodejs Web 应用程序。

我们的 Web 应用程序是一个简单的 Nodejs，它使用正在侦听端口的 express 服务器：

尝试

以下是我们尝试过但失败的步骤列表：

• 我们将计划从基本 B2 增加到基本 B3
• 我们使用WEBSITES_PORT和/或PORT用于Microsoft.Web/sitesweb 应用程序。此外，我们在 Web 应用程序本身内部创建了一个.dockerfilewithEXPOSE关键字。
• 我们尝试将WEBSITES_WEBDEPLOY_USE_SCMset 应用于 false
• 我们将 git 存储库中的文件结尾从 更改为CR LF，LF应用更改并重新规范化。
• 我们设置linuxFxVersion和/或nodeVersion
• 对于Microsoft.Web/sites网络应用程序，
• 我们设置http20Enabledfrom truetofalse并应用了不同版本的minTlsVersion
• 我们玩过healthCheckPath, autoHealEnabled,autoHealRules和loadBalancing
• 我们尝试增加WEBSITES_CONTAINER_START_TIME_LIMIT
• 我们试图将文件夹包含node_modules到存储库中
• 我们试图创建一个home目录甚至一个startup.sh文件
• 我们尝试增加WEBSITES_CONTAINER_START_TIME_LIMIT
• 我们尝试添加app.set('trust proxy', 1)
• 我们尝试为所有 404 错误添加捕获
• 我们创建了两个Microsoft.Web/serverfarms. 一个用于 Function App，另一个用于 Web App
• 我们尝试添加DOCKER_ENABLE_CI为true
• 我们尝试使用部署 YAML 文件中的任务属性添加应用服务中使用的标志（例如WEBSITES_PORT）appSettingsAzureWebApp@1

我们甚至添加了一个入口点：

最后，我们花了几天的时间在网上搜索并尝试了我们遇到的所有问题，由于我们仍然没有解决这个问题，我们想知道是否有人能发现我们缺少什么。

在此先感谢您阅读这篇冗长的解释，并感谢您为我提供的任何帮助。

我使用烧瓶舞 make_azure_blueprint 将工作天蓝色身份验证层设置为烧瓶应用程序。

范围是：范围 -

使用它，我能够检索用户信息并显示在应用程序上。现在我正在尝试结合 Azure 时间序列洞察范围“https://api.timeseries.azure.com//user_impersonation”。但这会返回一个错误，指出这不能与特定于资源的组混合。 在此处输入图像描述

在组织范围内的部署期间，我们可能会通过 Azure 蓝图将角色、策略、ARM 模板和资源组分配给用户，或者分配给一个或多个订阅。但是我们可以反之亦然。我的意思是可以分配 VNET 或 VM 以通过 Azure 蓝图与其他用户进行交互。这是我的管理层提出的部署问题。我们目前正在寻找答案。

我一直在尝试从同一级别的另一个工件（ARM 模板）中的一个工件（ARM 模板）访问数据。显然，可以使用输出和引用函数在工件之间传递数据，如本指南所示。但是，该指南仅显示了如何在代码中执行此操作，即 Azure PowerShell，我还没有在门户中找到任何解决方案来执行此操作。那么，这可能吗？

此图像显示资源组中的两个工件。我想在将此蓝图分配给 eventGridTopic 时传递正在创建的服务总线的名称。如您所见，工件处于同一级别。

我们通过 azure web 门户创建了 BluePrint。创建的蓝图有几个工件。

工件 1) -- 在美国西部运行的资源组 -- 创建少量资源的 ARM 模板 -- ARM 模板有一些输出参数

工件 2) -- 在西欧运行的资源组 -- ARM 模板有一些功能应用程序需要使用步骤 1 的输出。

如果有人可以分享样品，我们将不胜感激。github 上的文档 - :- https://github.com/Azure/azure-blueprints/tree/15fa73b6b71bb9c093978b3a6a0f481a8a4aaa1d#artifacts

在 Azure ARM 模板中的使用方面没有明确的说明。

谢谢

我需要使用 REST API 在订阅级别创建、发布和分配 Azure 蓝图。我浏览了文档
https://docs.microsoft.com/en-us/azure/governance/blueprints/create-blueprint-rest-api#:~:text=as%20v20180622%2D135541.-,Assign%20a% 20blueprint,be%20assigned%20to%20that%20subscription。
本文档仅包含用于从管理组级别创建、发布和分配的 API。但是，我将 API 调用从

至

它工作得很好。我什至可以使用类似的方式创建工件，但我无法运行 assign 命令。我得到403 Forbidden问题是，由于蓝图已经在订阅级别定义，分配请求也有一些变化。有人可以帮忙吗？谢谢

在为现有蓝图创建新的蓝图分配后，我的蓝图分配在“正在部署”状态中停留了一个多小时（应该需要 4-8 分钟）。

此时我想取消部署，但我不知道如何停止无休止的“部署”循环。

背景

检查活动日志显示，蓝图分配在配置密钥保管库时遇到问题。日志显示以下三个操作重复了很多次，每组以 3 分钟的间隔重新出现：

1. 更新 Key Vault - 已启动
2. “审计”政策行动。- 成功
3. 更新 Key Vault - 失败

失败中报告的错误是“InternalServerError - Internal Server Error (HTTP Status Code: 500)”

尝试在“正在部署”状态下取消分配

显示无限循环的活动日志

尝试的解决方案

我尝试在有问题的分配上单击 DevOps 蓝图页面中的“取消分配蓝图”，但收到错误：删除蓝图分配“BLUEPRINT-NAME”。当分配处于“正在部署”状态时，不允许该操作。

我还尝试使用 powershell 将其删除： Remove-AzBlueprintAssignment -Name $blueprintAssignmentName -SubscriptionId $sub
但收到相同的错误：当分配处于“正在部署”状态时，不允许该操作。

有没有办法在部署时取消此分配？

大家好，我有一个订阅，我想为人们创建“沙盒”环境。我的目标是给人们一个资源组，并让他们成为资源组的所有者。他们可以在这个小资源组中做任何他们想做的事情，但不能在订阅中触及它之外的任何东西。当然，他们可以部署的资源有一些限制，但出于我的目的，这是一个可以接受的解决方案。

我的自动化过程将创建一个 RG，然后向其中添加一些标签。谁拥有它（电子邮件）以及它的创建时间（创建日期）。30 天后，我想通过并祝酒任何 30 天前的资源组。进入这个环境是有时间限制的。我想我可以根据标签日期读取标签并删除。

我需要一种方法来防止 RG 的所有者以任何方式编辑标签。

输入自定义角色 - 资源组所有者

根据文档，这是正确的。我已经指定了允许的操作，然后在分配的范围（在本例中为资源组）添加了应从允许的操作中减去的排除操作。我不在乎他们是否可以在 RG 内的资源上添加或删除标签，我只是不希望他们弄乱 RG 标签。

将此角色分配给用户后，他们只能在分配给他们的订阅中看到 RG，但他们仍然可以编辑分配给它的标签。

我究竟做错了什么？

我已经使用 Azure 蓝图研究了拒绝分配，但没有任何示例说明如何在任何地方创建拒绝分配。属性上有文档，但没有显示蓝图中的外观。

谢谢您的帮助。