Azure控制平面和数据平面

Azure操作可以分为两个类别——控制平面和数据平面。 本文介绍这两种类型的操作之间的差异。

使用控制平面可管理订阅中的资源。 可以通过数据平面使用资源类型实例所公开的功能。

例如：

• 通过控制平面创建虚拟机。 创建虚拟机后，可以通过数据平面操作来与之交互，例如使用远程桌面协议（RDP）等方式。

• 通过控制平面创建存储帐户。 使用数据平面来在存储帐户中读取和写入数据。

• 通过控制平面创建 Azure Cosmos DB 数据库。 若要查询 Azure Cosmos DB 数据库中的数据，请使用数据平面。

控制面板

控制平面操作的所有请求都发送到 Azure Resource Manager URL。 该 URL 因Azure环境而异。

• 对于全局Azure，URL 为 https://management.chinacloudapi.cn。
• 对于Azure Government，URL 为 https://management.usgovcloudapi.net/。
• 对于Azure Germany，URL 为 https://management.microsoftazure.de/。
• 对于由世纪互联运营的Azure，URL 为 https://management.chinacloudapi.cn。

若要发现使用 Azure Resource Manager URL 的操作，请参阅 Azure REST API。 例如，用于 MySQL 的创建或更新操作是控制平面操作，因为请求 URL 是：

PUT https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.DBforMySQL/servers/{serverName}/databases/{databaseName}?api-version=2017-12-01

Azure Resource Manager处理所有控制平面请求。 它会自动应用为管理资源而实现的Azure功能，例如：

• Azure基于角色的访问控制（Azure RBAC）
• Azure Policy
• 管理锁
• Activity Logs

Azure Resource Manager对请求进行身份验证后，它会将请求发送到资源提供程序，该提供程序完成该作。 即使在控制平面不可用期间，仍然可以访问Azure资源的数据平面。 例如，即使https://management.chinacloudapi.cn 不可用，您仍可以通过其单独的存储 URI https://myaccount.blob.core.chinacloudapi.cn 继续访问和操作存储帐户资源中的数据。

控制平面包括两个用于处理请求的方案 -“绿色字段”和“棕色字段”。 “绿色字段”指的是新资源。 “棕色字段”指的是现有资源。 部署资源时，Azure Resource Manager了解何时创建新资源以及何时更新现有资源。 无需担心创建相同的资源。

数据平面

将数据平面操作的请求发送到特定于你的实例的终结点。 例如，在 Foundry Tools 中，检测语言操作 是数据平面操作，因为请求 URL 为：

POST {Endpoint}/text/analytics/v2.0/languages

数据平面操作不限于 REST API。 它们可能需要其他凭据（例如，登录到虚拟机或数据库服务器）。

强制执行管理和治理的功能可能不适用于数据平面操作。 你需要考虑用户与你的解决方案交互的不同方式。 例如，某个阻止用户删除数据库的锁不会阻止用户通过查询删除数据。

你可以使用某些策略来调控数据平面操作。 有关详细信息，请参阅 Azure Policy 中的 资源提供程序模式（预览）。

后续步骤

• 有关Azure Resource Manager的概述，请参阅 什么是 Azure Resource Manager？

• 若要详细了解策略定义对新资源和现有资源的影响，请参阅 评估新Azure Policy定义的影响。