Azure Enterprise-Scale项目中Deny-MgmtPorts-From-Internet策略的JSON语法陷阱解析

在企业级Azure环境部署过程中，网络安全策略的正确配置至关重要。Azure Enterprise-Scale项目提供的Deny-MgmtPorts-From-Internet策略模板是一个典型示例，它用于阻止从互联网直接访问管理端口的安全风险。但在实际部署时，开发人员可能会遇到一个隐蔽的JSON语法问题。

该策略定义文件中存在一个关键语法结构：

{
  "field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRange",
  "in": "[[parameters('ports')]"
}

表面上看这是一个标准的策略条件判断，要求目标端口范围必须在指定参数列表内。但实际部署时会抛出类型错误："Evaluation result of language expression is type 'String', expected type is 'Array'"。

这个问题的本质在于JSON模板中的双重方括号结构。在原始模板中，外层的方括号是JSON数组的语法标记，而内层的方括号实际上是Azure Policy定义语言(ALZ)的转义字符。当直接复制模板内容时，这些转义字符会被保留，导致策略引擎将整个表达式误判为字符串而非预期的数组。

正确的实现方式应该是：

{
  "field": "Microsoft.Network/networkSecurityGroups/securityRules/destinationPortRange",
  "in": "[parameters('ports')]"
}

对于使用不同部署工具的开发人员，需要注意：

1. 通过Azure门户部署时会自动处理这些转义字符
2. 使用Bicep或Terraform模块时，模板已经过预处理
3. 直接复制原始JSON定义时，需要手动移除多余的转义字符

这个案例揭示了Azure策略定义中的一个重要细节：ALZ使用特殊的转义语法来区分策略函数和普通JSON内容。理解这一机制对于正确部署企业级安全策略至关重要，特别是在需要自定义或修改标准策略模板的场景下。开发人员在复用开源项目中的策略定义时，应当特别注意这类语法差异，确保最终部署的JSON符合Azure Policy引擎的解析预期。