Azure 控制平面和数据平面

Azure 操作可以分为两个类别 - 控制平面和数据平面。 本文介绍这两种类型的操作之间的差异。

使用控制平面可管理订阅中的资源。 可以使用数据平面来使用由资源类型的实例公开的功能。

例如：

• 通过控制平面创建虚拟机。 创建虚拟机后，通过数据平面操作（如远程桌面协议 (RDP)）与该虚拟机进行交互。

• 通过控制平面创建存储帐户。 然后，使用数据平面在存储帐户中读取和写入数据。

• 通过控制平面创建 Azure Cosmos DB 数据库。 要查询 Azure Cosmos DB 数据库中的数据，可使用数据平面。

控制面板

对控制平面操作的所有请求都将发送到 Azure 资源管理器 URL。 该 URL 因 Azure 环境而异。

• 对于 Azure 全球，该 URL 是 https://management.chinacloudapi.cn。
• 对于 Azure 政府，该 URL 是 https://management.usgovcloudapi.net/。
• 对于 Azure 德国，该 URL 是 https://management.microsoftazure.de/。
• 对于由世纪互联运营的 Azure，URL 为 https://management.chinacloudapi.cn。

若要发现哪些操作使用 Azure 资源管理器 URL，请参阅 Azure REST API。 例如，用于 MySQL 的创建或更新操作是控制平面操作，因为请求 URL 是：

PUT https://management.chinacloudapi.cn/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.DBforMySQL/servers/{serverName}/databases/{databaseName}?api-version=2017-12-01

Azure 资源管理器处理所有控制平面请求。 它将自动应用已实现的 Azure 功能来管理资源，例如：

• Azure 基于角色的访问控制 (Azure RBAC)
• Azure Policy
• 管理锁
• 活动日志

对请求进行身份验证后，Azure 资源管理器会将其发送到资源提供程序，该资源提供程序会完成操作。 即使在控制平面不可用期间，仍可以访问你的 Azure 资源的数据平面。 例如，即使 https://management.chinacloudapi.cn 不可用，也可以通过单独的存储 URI https://myaccount.blob.core.chinacloudapi.cn 继续访问和操作存储帐户资源中的数据。

控制平面包括两个用于处理请求的方案 -“绿色字段”和“棕色字段”。 “绿色字段”指的是新资源。 “棕色字段”指的是现有资源。 部署资源时，Azure 资源管理器会了解何时要创建新资源以及何时要更新现有资源。 你不必担心相同的资源会被创建。

数据平面

将数据平面操作的请求发送到特定于你的实例的终结点。 例如，Azure AI 服务中的检测语言操作是一项数据平面操作，因为请求 URL 是：

POST {Endpoint}/text/analytics/v2.0/languages

数据平面操作不限于 REST API。 它们可能需要其他凭据（例如，登录到虚拟机或数据库服务器）。

强制执行管理和治理的功能可能不适用于数据平面操作。 你需要考虑用户与你的解决方案交互的不同方式。 例如，某个阻止用户删除数据库的锁不会阻止用户通过查询删除数据。

你可以使用某些策略来调控数据平面操作。 有关详细信息，请参阅 Azure Policy 中的资源提供程序模式（预览版）。

后续步骤

• 有关 Azure 资源管理器的概述，请参阅什么是 Azure 资源管理器？

• 若要了解有关策略定义对新资源和现有资源的影响的详细信息，请参阅评估新的 Azure 策略定义的影响。