标记是在Microsoft Azure中组织资源和管理工作负载的一种方便方法。虽然标记是一种有用的工具，但它也有其局限性和必须解决的特殊问题。什么是Azure标记？它允许您获取具有逻辑连接的资源，例如它们的生存期分配，并分配元数据将它们链接在一起。这样做可以在更高的级别上跟踪实体，例如生存期和帐单信息。标记只是一个名称/值对。在开发过程中，您可以将"开发过程中的所有资源"或"资源"分配给"环境"。每个资源或资源组最多可以有15个标记名/值对。此限制仅适用于直接应用于资源组或资源的标记。这意味着您可以依次拥有额外的资源，每个资源最多可以有最多个名称/值对。重要的是要了解，在资源组上设置标记不会过滤到其资源。但是在创建资源（如虚拟机）时，您可以通过下拉列表框（NSG、IP、可用性集、网络接口等）选择其所有/部分资源以使用相同的名称。资源组和标记的使用有一个根本的区别。在azureresourcemanager（ARM）模型中，资源组提供了将共享相同生命周期的资源分组的功能。这意味着它们通常是在同一个周期中分配和释放的。资源组提供了一个紧密耦合的容器结构来管理资源，从资源调配到生命周期管理。例如，您可以通过删除资源组来删除一组通常分组的资源。相比之下，标签是一种松散耦合的分组形式。它们可以与来自多个资源组的资源相关联。您可以将同一个标记与一个订阅范围内的任何资源相关联，以便于管理和可见性。标记的作用域不在其订阅之外。应用标记后，可以使用该标记名称和值查看订阅中的所有资源。松耦合标记使您能够从不同的紧密耦合的资源组中检索相关资源。当您需要组织用于计费或管理的资源时，这种方法非常有用。下面是一些关于标记的字段限制。标记名通常限制为512个字符，而标记值本身限制为256个字符。有些字段对标记的限制略有不同，例如：对于存储帐户，标记名限制为128个字符，标记值限制为256个字符。所有标记名和值的虚拟机总共限制为2048个字符。无法将标记应用于在ASM（Azure服务管理）模型下配置的经典资源。只有使用更新的Azure资源管理器（ARM）模型部署的资源才能使用标记。标记名中不允许使用某些特殊字符：%，？，&，\，/，。将标记与资源连接需要写访问权限：要将标记应用于所有资源类型，请使用Contributor若要仅将标记应用于一种资源类型，请使用该特定资源的参与者角色。例如，要将标记应用于虚拟机，请使用虚拟机参与者使用标记的一个示例是在Azure门户中对资源进行排序，以便快速查看属于您的开发、QA和生产环境下的所有资源。以下是您可能执行此类搜索的方法：搜索栏键入"tag"并选择"Services/Tags"点击"Environment"标签，值设置为"Development"显示用此名称-值对标记的所有资源。如果您有其他环境，例如Pre-Prod或Prod或Test，您也会看到这些环境。单击资源并查看其标记字段。在Azure中有许多类型的策略，它们使您能够跨资源维护标准并确保它们保持一致。这可能在初始资源调配时发生，例如确保在一定范围的vm之外没有分配虚拟机（vm）来管理您的成本。当一个策略被实现时，现有资源会被标记为违反其规则。在这里，我们将重点关注Azure策略，以便围绕标记对您的Azure资源实施公司治理。您可以使用内置的Azure标记策略，因此，如果资源已部署且没有标记和关联值，则Azure将对该资源应用默认标记/值。这有助于您保持对所有已配置资源的命名的遵从性，以符合治理要求。您可以使用内置的标记策略定义来确保维护统一的命名符合性。强制标记及其值–强制执行所需的标记及其值。不适用于资源组。应用标记及其默认值–如果用户未指定，则应用所需的标记及其默认值。不适用于资源组。将标记及其默认值应用于资源组–如果用户未指定，则将所需的标记及其默认值应用于一个或多个资源组。在资源组上强制标记及其值–在一个或多个资源组上强制执行所需的标记及其值。有一个策略效果决定了当一个策略被计算为匹配时会发生什么。如果资源是现有的或新的，甚至是最近更改的，效果会有所不同。以下是策略定义中支持的效果。在一个有序的优先过程中评估效果。Disabled–决定是否应评估策略规则。Append–在资源更新时向其添加其他字段，例如在创建时不可用的特定运行时值。拒绝–当请求不符合定义的策略定义，因此资源分配请求失败时使用此选项。Audit–这将在请求发送到资源提供程序之前记录请求。如果评估不符合要求的资源，则会在活动日志中记录警告事件，但不会停止请求。如果需要的话，Deny会在评估审计之前这样做。如果资源提供程序返回成功代码，则计算auditfnotexists和DeployIfNotExists，以确定是否必须执行其他操作或日志记录。对Azure资源管理器的任何请求首先由应用的策略评估。策略将首先获取一个资源，并创建一个列表，列出应用于该资源的所有适用分配。在将修改或创建请求提交给特定的资源提供程序之前，将对其中的几个效果进行评估。这样就避免了当要分配或更改的给定资源不符合策略时必须与资源提供程序联系。有关Azure策略的更多信息，请参阅：https://docs.microsoft.com/en-us/azure/governance/policy/overview。有关如何在Azure门户中分配策略的详细信息，请参阅：https://docs.microsoft.com/en-us/azure/governance/policy/assign-policy-portalMike McKeown是DXC技术的Azure解决方案架构师，也是DXC Azure卓越中心团队的成员。Mike在微软工作了20多年，自2011年起一直在Azure工作。他出版了一本关于Azure自动化的书（MS Press），用Pluralsight开发了四门Azure课程，为MSDN撰写了许多白皮书和文章，并在许多关于Azure的会议上发表过演讲。请在LinkedIn上与Mike联系。