【Bicep】使用佈署指令擴充 Bicep 功能

在 Azure 中的所有資源都是由一組 Azure Resource Manager (ARM) 模板定義出來的，但以純 JSON 格式組成的 ARM 模板在開發或閱讀時都非常不方便，於是微軟推出了一組 IaC 工具 Bicep，讓使用者以更像程式開發的創作方式來生成 ARM 模板。

對於 Azure 資源的操作主要可以分為 Control Plane 與 Data Plane，Bicep 與 ARM 模板主要都是負責 Control Plane 的動作，而 Data Plane 大部分都是透過 Azure CLI、Azure Power Shell 或 REST API 來實現，這導致使用純 Bicep 在某些情境下可能沒辦法做到全自動化佈署，因此在 Bicep 中推出了佈署指令來解決這個問題。

以下我們將以儲存體帳戶做為範例，使用 Bicep 建立基本的儲存體帳戶與容器，並透過 Bicep 中的佈署指令使用 Azure  Power Shell 在容器中寫入一個測試檔案。接下來如果你需要一個方便執行 Bicep 的環境，可以參考下方連結部落格使用 GitHub Codespaces 搭建 Bicep 開發環境。

系列文章

• 【Bicep】從開發到佈署的工作流程

• 【Bicep】使用佈署指令擴充 Bicep 功能（本篇）

• 【Bicep】自動還要更自動的 AOAI On Your Data

使用 Bicep 建立儲存體帳戶

我們直接由一個現有的 Bicep 範例開始，以下範例將建立儲存體帳戶與一個名為 data 的 Blob 容器。

建立使用者指派的受控識別

為了有足夠的權限可以使用佈署指令執行 Azure Power Shell 指令，我們需要先建立一個使用者指派的受控識別。

賦予權限

稍後我們將使用 Azure Power Shell 指令在 Blob 容器中寫入一個檔案，為了執行這個動作，我們將賦予參與者與儲存體 Blob 資料參與者兩個內建腳色給剛剛建立的受控識別。

建立佈署指令

事前準備完成後可以開始建立佈署指令了，我們先從一個 deploymentScript 的基本框架開始：

我們在 kind 中指定使用 Azure Power Shell，並且在 identity 中選擇使用剛剛建立好的受控識別，因此稍後執行腳本時將會具有受控識別所具備的權限，最後我們在 dependsOn 中確保腳本會在所有授權動作完成後才執行。

接著最主要的 Azure Power Shell 腳本會放在 properties 中：

在腳本部分，我們使用 Set-Content 指令來建立一個名為 example.txt 的測試檔案，並使用 Set-AzStorageBlobContent 指令上傳該檔案，最後我們可以使用 $DeploymentScriptOutputs 來保留下一些資訊。

另外搭配 arguments 使用，可以將 Bicep 內的其他資訊傳入佈署指令內使用，是個非常方便的使用方式。

完整 Bicep

最終我們完成的 Bicep 如下：

測試 Bicep

最方便的方式是使用 Azure Cloud Shell 來測試 Bicep，先建立一個單獨的資源群組。

接著將 Bicep 儲存為 main.bicep 後執行：

Portal 中會看到所有被建立的資源：

其中 Azure Power Shell 腳本將會運行在容器執行個體，執行中的資訊將會被保存在儲存體帳戶，這兩項資源在腳本執行完成後也會自行刪除。

最後我們確認 data 容器中包含了我們寫入的 example.txt，測試成功！

總結

在這個儲存體帳戶的範例中，我們執行了在 Control Plane 上的建立資源，與 Data Plane 上的寫入檔案兩種類型的動作，以此展示了 Bicep 如何藉由佈署指令來補足 Bicep 或 ARM 模板不擅長的 Data Plane 操作。

在佈署指令中搭配 arguments 使用的設計，讓腳本可以與 Bicep 其他資源交換資訊，同時佈署指令在單獨的容器實例中執行並支援 Power Shell 與 Bash 腳本，這些都讓佈署指令在使用上得到了非常大的彈性。