部署前还在裸奔？Azure Deployment Preflight帮你把坑提前踩完🔥

这个Skill在做什么

每次往Azure推Bicep模板，心里都没底——资源会不会被误删？权限够不够？参数文件对不对？Azure Deployment Preflight Validation就是专门解决这个问题的。它在你真正执行部署之前，把语法检查、what-if预览、权限验证全跑一遍，最后生成一份完整的preflight-report.md，让你清楚知道这次部署会动哪些资源。

核心功能

这个Skill的验证流程分五步走，缺一不可。

• 自动识别项目类型：检测根目录有没有azure.yaml，有就走azd工作流，没有就走az CLI工作流，不用手动指定。
• Bicep语法校验：调用bicep build提前暴露语法错误，精确到行列号，不用等到部署时才报错。
• What-If预览：根据目标作用域（资源组、订阅、管理组、租户）自动选对命令，把即将发生的变更分类展示——新建+、删除-、修改~、无变化=一目了然。
• 权限降级兜底：如果--validation-level Provider因为RBAC权限不足失败，自动降级到ProviderNoRbac重试，并在报告里注明，不会直接卡死流程。
• 自动匹配参数文件：优先找.bicepparam，找不到再找.parameters.json，省去手动指定的麻烦。

适用平台

这个Skill可以无缝接入主流AI编程助手，作为它们的”预检外挂”显著提升上下文理解能力。

• Cursor：在Cursor里直接唤起，边写Bicep边做预检，改完立刻验证。
• GitHub Copilot：配合Copilot的代码建议，在提交前跑一遍preflight，拦截低级错误。
• Claude Code：让Claude Code理解整个infra目录结构后，调用此Skill做全量验证。
• OpenAI Codex / Gemini Code Assist：同样支持，只要能执行shell命令的AI助手环境都能用。
• 文心快码 / 腾讯云CodeBuddy / 华为云CodeArts：国内主流AI编码平台同样适配，特别适合在企业Azure环境里做合规预检。

实操代码示例

最常见的资源组级别what-if验证，一条命令搞定：

az deployment group what-if 
  --resource-group my-rg 
  --template-file infra/main.bicep 
  --parameters infra/main.bicepparam 
  --validation-level Provider

如果是azd项目，更简单：

azd provision --preview --environment dev

Skill会自动判断走哪条路，不需要你记命令差异。

优势分析

市面上不少团队的做法是直接az deployment group create，出了问题再回滚。这个Skill的核心优势在于把问题前置。

• 相比手动跑what-if，它自动处理了作用域判断、参数文件匹配、权限降级三个最容易出错的环节。
• 报告输出到preflight-report.md，可以纳入PR review流程，让团队其他人也能看到变更影响。
• 即使某一步失败（比如Bicep CLI没装），流程不中断，继续跑后续步骤，最终报告里会注明哪些检查被跳过。

应用场景

• 多环境发布前的卡点：在dev验证通过后，用同样的Skill对staging和prod环境跑一遍，确保参数差异不会带来意外删除。
• 新人上手Azure项目：不熟悉现有infra结构的同学，跑一遍preflight就能知道这套模板会创建哪些资源，比看文档直观多了。
• CI/CD流水线集成：在GitHub Actions或Azure DevOps里加一个preflight job，把what-if结果作为PR评论自动贴出来，部署决策有据可查。
• 权限受限的生产环境：只读权限的账号也能跑ProviderNoRbac级别的验证，不需要提前申请完整部署权限。

最佳实践

几个工程落地时容易忽略的点：

• 工具版本锁定：Azure CLI建议2.76.0以上，--validation-level参数在老版本里不支持。建议在CI环境里固定版本，避免升级带来行为变化。
• 报告纳入版本控制：preflight-report.md建议加进.gitignore或者单独存到artifact，不要和infra代码混在一起，避免误提交。
• 参数文件命名规范：严格按照<filename>.bicepparam命名，Skill的自动匹配逻辑依赖这个约定，乱命名会导致参数文件被跳过。
• what-if结果要人工复核：Deploy(!)类型的变更表示Azure无法预测具体改动，这类资源需要人工判断是否安全，不能完全依赖自动化。
• 多Bicep文件项目：如果infra目录下有多个模块文件，Skill会逐一验证，但主入口文件（通常是main.bicep）的验证结果权重最高，优先关注它的报告。

如果你的团队在管理多套Azure环境的Bicep配置，把这类Skill统一收录到Skill优仓是个不错的选择——团队成员可以直接复用，不用每个人重新摸索验证流程，也方便后续迭代维护。